Şəhərin küçələrində pul olan dəmir qutular sürətli pul həvəskarlarının diqqətini çəkməyə bilməz. Əgər əvvəllər bankomatları boşaltmaq üçün sırf fiziki üsullardan istifadə olunurdusa, indi kompüterlərlə bağlı daha çox bacarıqlı hiylələrdən istifadə olunur. İndi onlardan ən aktualı içərisində bir lövhəli mikrokompüter olan “qara qutu”dur. Bu yazıda bunun necə işlədiyini danışacağıq.
Beynəlxalq ATM İstehsalçıları Assosiasiyasının (ATMIA) rəhbəri
Tipik bir bankomat bir korpusda yerləşdirilən hazır elektromexaniki komponentlər dəstidir. ATM istehsalçıları öz dəmir məhsullarını əskinas dispenserindən, kart oxuyucudan və artıq üçüncü tərəf satıcıları tərəfindən hazırlanmış digər komponentlərdən hazırlayırlar. Böyüklər üçün bir növ LEGO konstruktoru. Hazır komponentlər adətən iki bölmədən ibarət olan bankomat qutusuna yerləşdirilir: yuxarı bölmə (“kabinet” və ya “xidmət sahəsi”) və aşağı bölmə (seyf). Bütün elektromexaniki komponentlər USB və COM portları vasitəsilə bu halda host kimi çıxış edən sistem blokuna qoşulur. Bankomatların köhnə modellərində siz həmçinin SDC avtobusu vasitəsilə əlaqə tapa bilərsiniz.
ATM kartinqinin təkamülü
İçərisində böyük məbləğlər olan bankomatlar həmişə kartçıları özlərinə cəlb edir. Əvvəlcə karterlər ATM təhlükəsizliyində yalnız kobud fiziki qüsurlardan istifadə edirdilər - onlar maqnit zolaqlarından məlumatları oğurlamaq üçün skimmerlərdən və parıldayanlardan istifadə edirdilər; pinkodlara baxmaq üçün saxta pin-padlar və kameralar; və hətta saxta bankomatlar.
Sonra bankomatlar XFS (Maliyyə Xidmətləri üçün eXtensions) kimi ümumi standartlara uyğun işləyən vahid proqram təminatı ilə təchiz olunmağa başlayanda kartçılar bankomatlara kompüter virusları ilə hücum etməyə başladılar.
Onların arasında Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii və karterlərin yüklənə bilən fləş disk və ya uzaqdan idarə olunan TCP portu vasitəsilə ATM hostunda yerləşdirdiyi çoxsaylı digər adlı və adsız zərərli proqramlar var.
ATM yoluxma prosesi
XFS alt sistemini ələ keçirərək zərərli proqram icazəsiz əskinas dispenserinə əmrlər verə bilər. Və ya kart oxuyucusuna əmrlər verin: bank kartının maqnit zolağı oxuyun / yazın və hətta EMV kart çipində saxlanılan əməliyyat tarixçəsini çıxarın. EPP (Encrypting PIN Pad; encrypted pinpad) xüsusi diqqətə layiqdir. Ümumiyyətlə qəbul edilir ki, ona daxil edilmiş PİN kodu ələ keçirmək mümkün deyil. Bununla belə, XFS EPP pinpad-dən iki rejimdə istifadə etməyə imkan verir: 1) açıq rejim (müxtəlif ədədi parametrləri daxil etmək üçün, məsələn, nağdlaşdırılacaq məbləğ); 2) təhlükəsiz rejim (pinkod və ya şifrələmə açarı daxil etmək lazım olduqda EPP ona keçir). XFS-in bu xüsusiyyəti karterə MiTM hücumu həyata keçirməyə imkan verir: hostdan EPP-yə göndərilən təhlükəsiz rejimi aktivləşdirmə əmrini ələ keçirmək və sonra EPP pinpadına işin açıq rejimdə davam etməsini söyləmək. Bu mesaja cavab olaraq EPP düz mətndə düymə vuruşlarını göndərir.
"Qara qutu"nun işləmə prinsipi
Son illərdə,
Uzaqdan giriş vasitəsilə ATM hücumu
Antiviruslar, firmware yeniləmələrini bloklamaq, USB portlarını bloklamaq və sabit diski şifrələmək - müəyyən dərəcədə ATM-ni karterlərin virus hücumlarından qoruyur. Bəs karder ev sahibinə hücum etmirsə, ancaq birbaşa periferiyaya (RS232 və ya USB vasitəsilə) - kart oxuyucuya, pin pad və ya nağd pul dispenserinə qoşulursa necə?
"Qara qutu" ilə ilk tanışlıq
Bu gün texnoloji bilikləri olan kartçılar
Raspberry Pi əsasında hazırlanmış "Qara qutu"
Ən böyük bankomat istehsalçıları və dövlət kəşfiyyat orqanları “qara qutu”nun bir neçə tətbiqi ilə üzləşiblər.
Eyni zamanda, kameralar qarşısında parlamamaq üçün, ən ehtiyatlı kartçılar çox dəyərli olmayan bəzi tərəfdaşın, bir qatırın köməyinə müraciət edirlər. Və “qara qutu”nu özünə məxsus edə bilməməsi üçün istifadə edirlər
Uzaqdan giriş vasitəsilə aktivləşdirmə ilə "qara qutu"nun modifikasiyası
Bankirlər baxımından bu necə görünür? Videokamera-fiksatorların qeydlərində belə bir şey baş verir: müəyyən bir şəxs yuxarı bölməni (xidmət sahəsini) açır, “sehrli qutu”nu bankomata qoşur, yuxarı bölməni bağlayır və çıxır. Bir az sonra adi müştəri kimi görünən bir neçə şəxs bankomata yaxınlaşaraq külli miqdarda pul çıxarırlar. Sonra kartçı qayıdır və kiçik sehrli cihazını bankomatdan götürür. Adətən, "qara qutu" ilə bankomat hücumu faktı yalnız bir neçə gündən sonra aşkar edilir: boş seyf və nağd pul çıxarma jurnalı uyğun gəlmədikdə. Nəticədə bank işçiləri yalnız qalır
ATM kommunikasiyalarının təhlili
Yuxarıda qeyd edildiyi kimi, sistem bloku ilə periferik qurğular arasında qarşılıqlı əlaqə USB, RS232 və ya SDC vasitəsilə həyata keçirilir. Karder birbaşa periferik cihazın portuna qoşulur və ona əmrlər göndərir - hostdan yan keçərək. Bu olduqca sadədir, çünki standart interfeyslər heç bir xüsusi sürücü tələb etmir. Və ətraf qurğular və hostun qarşılıqlı əlaqədə olduğu xüsusi protokollar avtorizasiya tələb etmir (bütün bunlardan sonra cihaz etibarlı zonanın daxilində yerləşir); və buna görə də periferik və ev sahibinin əlaqə saxladığı bu etibarsız protokollar asanlıqla dinlənilir və təkrar hücuma asanlıqla məruz qalır.
Bu. karterlər ötürülən məlumatları toplamaq üçün onu birbaşa xüsusi periferik cihazın portuna (məsələn, kart oxuyucusu) birləşdirən proqram və ya aparat trafik analizatorundan istifadə edə bilərlər. Trafik analizatorundan istifadə edərək karter bankomat əməliyyatının bütün texniki detallarını, o cümlədən onun periferiyasının sənədləşdirilməmiş funksiyalarını (məsələn, periferik cihazın proqram təminatının dəyişdirilməsi funksiyası) öyrənir. Nəticədə karter bankomat üzərində tam nəzarətə malikdir. Eyni zamanda, trafik analizatorunun mövcudluğunu aşkar etmək olduqca çətindir.
Əskinas dispenserinə birbaşa nəzarət o deməkdir ki, bankomat kasetləri hostda yerləşdirilmiş proqram təminatının adətən etdiyi qeydlərdə heç bir fiksasiya edilmədən boşaldıla bilər. ATM avadanlığı və proqram təminatı arxitekturası ilə tanış olmayanlar üçün sehrli görünə bilər.
Qara qutular haradan gəlir?
ATM satıcıları və subpodratçılar, nağd pulun çıxarılmasına cavabdeh olan elektromexanika da daxil olmaqla, ATM aparatının diaqnostikası üçün sazlama alətləri hazırlayır. Bu kommunal xidmətlərə aşağıdakılar daxildir:
ATMDesk idarəetmə paneli
RapidFire ATM XFS idarəetmə paneli
Bir neçə diaqnostik kommunalın müqayisəli xüsusiyyətləri
Bu cür kommunal xidmətlərə giriş adətən fərdiləşdirilmiş tokenlərlə məhdudlaşır; və onlar yalnız bankomatın seyf qapısı açıq olduqda işləyirlər. Bununla belə, sadəcə olaraq, kommunal ikili kodun bir neçə baytı əvəz etməklə, karterlər
Son mil və saxta prosessinq mərkəzi
Ev sahibi ilə əlaqə yaratmadan periferiya qurğuları ilə birbaşa qarşılıqlı əlaqə, taranmanın təsirli üsullarından yalnız biridir. Digər fəndlər bankomatın xarici dünya ilə əlaqə qurduğu geniş çeşidli şəbəkə interfeyslərinə malik olduğumuza əsaslanır. X.25-dən Ethernet və Cellular-a. Shodan xidmətindən istifadə edərək bir çox bankomatları müəyyən etmək və yerləşdirmək olar (onun istifadəsi üçün ən qısa təlimatlar təqdim olunur).
ATM və prosessinq mərkəzi arasında ünsiyyətin "son mil"i karter üçün giriş nöqtəsi kimi xidmət edə biləcək çoxlu sayda texnologiyalarla zəngindir. Qarşılıqlı əlaqə simli (telefon xətti və ya Ethernet) və ya simsiz (Wi-Fi, mobil: CDMA, GSM, UMTS, LTE) rabitə üsulu ilə həyata keçirilə bilər. Təhlükəsizlik mexanizmlərinə aşağıdakılar daxil ola bilər: 1) VPN-i dəstəkləmək üçün aparat və ya proqram təminatı (hər ikisi standart, ƏS-də quraşdırılmış və üçüncü tərəf); 2) SSL/TLS (həm xüsusi ATM modelinə, həm də üçüncü tərəf istehsalçılarına xasdır); 3) şifrələmə; 4) mesajın autentifikasiyası.
Lakin
PCI DSS-nin əsas tələblərindən biri odur ki, bütün həssas məlumatlar ictimai şəbəkə üzərindən ötürüldükdə şifrələnməlidir. Bizdə elə şəbəkələrimiz var ki, onlardakı məlumatlar tamamilə şifrələnsin! Buna görə də belə demək cazibədardır: "Bizim məlumatlarımız şifrələnir, çünki biz Wi-Fi və GSM-dən istifadə edirik." Lakin bu şəbəkələrin çoxu kifayət qədər qorunma təmin etmir. Bütün nəsillərin mobil şəbəkələri çoxdan sındırılıb. Yekun və geri alınmaz. Hətta onların üzərindən ötürülən məlumatları tutmaq üçün cihazlar təklif edən satıcılar var.
Buna görə də, ya etibarsız rabitədə, ya da hər bir ATM-nin özü haqqında digər bankomatlara yayımladığı “özəl” şəbəkədə “saxta prosessinq mərkəzi” MiTM hücumu başlana bilər ki, bu da karterin ötürülən məlumat axınına nəzarəti ələ almasına səbəb olacaq. ATM və prosessinq mərkəzi arasında.
Aşağıdakı rəqəm
Saxta emal mərkəzinin əmrlərini boşaltın
Mənbə: www.habr.com