Якія стаяць на вуліцах горада жалезныя скрынкі з грашыма не могуць не прыцягваць увагу аматараў хуткай нажывы. І калі раней для спусташэння банкаматаў ужывалі чыста фізічныя метады, то зараз у ход ідуць усё больш майстэрскія трукі, звязаныя з кампутарамі. Цяпер найбольш актуальны з іх – гэта «чорная скрыня» з аднаплатным мікракампутарам усярэдзіне. Аб тым, як ён працуе, мы і пагаворым у гэтым артыкуле.
Начальнік міжнароднай асацыяцыі вытворцаў банкаматаў (ATMIA)
Тыповы банкамат - гэта набор ужо гатовых электрамеханічных кампанентаў, размешчаных у адным корпусе. Вытворцы банкаматаў будуюць свае жалезныя творы з прылады выдачы банкнот, счытвальніка карт і іншых кампанентаў, - ужо распрацаваных іншымі пастаўшчыкамі. Гэткі канструктар LEGO для дарослых. Гатовыя кампаненты размяшчаюцца ў корпусе банкамата, які звычайна складаецца з двух адсекаў: верхні адсек («кабінет» ці «зона абслугоўвання»), і ніжні адсек (сейф). Усе электрамеханічныя кампаненты падлучаны праз парты USB і COM да сістэмнага блока, які ў дадзеным выпадку выконвае ролю хаста. На старых мадэлях банкаматаў таксама можна сустрэць злучэнні праз SDC-шыну.
Эвалюцыя банкаматнага кардынга
Банкаматы з вялізнымі сумамі ўнутры, нязменна вабяць кардэраў да сябе. Спачатку кардэры эксплуатавалі толькі грубыя фізічныя недахопы абароны банкаматаў - выкарыстоўвалі скиммеры і шымеры для крадзяжу дадзеных з магнітных палос; падробленыя пін-пады і камеры для прагляду пінкодаў; і нават падробленыя банкаматы.
Затым, калі банкаматы пачалі абсталёўвацца ўніфікаваным софтам, якія працуюць па адзіных стандартах, такім як XFS (eXtensions for Financial Services), - кардэры пачалі атакаваць банкаматы кампутарнымі вірусамі.
Сярод іх Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii і іншыя шматлікія найменныя і безназоўныя зловреды, якіх кардэры падсаджваюць на хост банкамата альбо праз загрузную флешку, альбо праз TCP-порт выдаленага кіравання.
Працэс заражэння банкамата
Захапіўшы XFS-падсістэму, малвар можа аддаваць каманды прыладзе выдачы банкнот, без аўтарызацыі. Або аддаваць каманды картрыдару: чытаць/пісаць магнітную паласу банкаўскай карты і нават здабываць гісторыю транзакцый, якая захоўваецца на чыпе EMV-карты. Адмысловай увагі заслугоўвае EPP (Encrypting PIN Pad; шыфраваны пінпад). Прынята лічыць, што пінкод, які ўводзіцца на ім, не можа быць перахоплены. Аднак XFS дазваляе выкарыстоўваць EPP-пінпад у двух рэжымах: 1) адчынены рэжым (для ўводу розных лікавых параметраў, такіх як сума якая падлягае абналічванню); 2) бяспечны рэжым (у яго EPP перамыкаецца, калі трэба ўвесці пінкод або ключ шыфравання). Дадзеная асаблівасць XFS дазваляе кардэр ажыццяўляць MiTM-напад: перахапіць каманду актывацыі бяспечнага рэжыму, якая адпраўляецца з хаста на EPP, і затым паведаміць EPP-пінпаду, што працу варта працягнуць у адкрытым рэжыме. У адказ на гэтае паведамленне, EPP адпраўляе націску клавіш, адкрытым тэкстам.
Прынцып дзеяння "чорнай скрыні"
У апошнія гады,
Атака на банкамат праз аддалены доступ
Антывірусы, блакіроўка абнаўлення прашыўкі, блакіроўка USB-партоў і шыфраванне жорсткага дыска - да некаторай ступені абараняюць банкамат ад вірусных нападаў кардэраў. Але што калі кардэр не хост атакуе, а напроста да перыферыі падлучаецца (праз RS232 або USB) - да счытвальніка карт, пін-паду або прыладзе выдачы наяўных?
Першае знаёмства з "чорнай скрыняй"
Сёння тэхнічна падкаваныя кардэры
"Чорная скрыня" на базе Raspberry Pi
Найбуйнейшыя вытворцы банкаматаў і ўрадавыя спецслужбы, сутыкнуўшыся з некалькімі рэалізацыямі "чорнай скрыні",
Пры гэтым, каб не свяціцца перад камерамі, найболей асцярожныя кардэры бяруць на дапамогу якога-небудзь не занадта каштоўнага партнёра, мула. А каб тая не змагла прысвоіць «чорную скрыню» сабе, выкарыстоўваюць
Мадыфікацыя «чорнай скрыні», з актывацыяй праз аддалены доступ
Як гэта выглядае з пункту гледжання банкіраў? На запісах з відэакамер-фіксатараў адбываецца прыкладна наступнае: нейкая асоба выкрывае верхні адсек (зону абслугоўвання), падлучае да банкамата "чарадзейная скрыня", закрывае верхні адсек і сыходзіць. Крыху пазней некалькі чалавек, з выгляду звычайныя кліенты, падыходзяць да банкамата, і здымаюць вялізныя сумы грошай. Затым кардэр вяртаецца і здабывае з банкамата свая маленькая чароўная прылада. Звычайна факт нападу банкамата «чорнай скрыняй» выяўляецца толькі праз некалькі дзён: калі пусты сейф і часопіс зняцця наяўных - не супадаюць. У выніку супрацоўнікам банка застаецца толькі
Аналіз банкаматных камунікацый
Як ужо адзначалася вышэй, узаемадзеянне паміж сістэмным блокам і перыферыйнымі прыладамі ажыццяўляецца з дапамогай USB, RS232 або SDC. Кардэр падключаецца непасрэдна да порта перыферыйнай прылады і адпраўляе яму каманды - у абыход хаста. Гэта даволі проста, таму што стандартныя інтэрфейсы не патрабуюць нейкіх спецыфічных драйвераў. А прапрыетарныя пратаколы, па якіх перыферыя і хост узаемадзейнічаюць, не патрабуюць аўтарызацыі (бо прылада ж усярэдзіне даверанай зоны знаходзіцца); і таму гэтыя неабароненыя пратаколы, па якіх перыферыя і хост узаемадзейнічаюць - лёгка праслухоўваюцца і лёгка паддаюцца нападу прайгравання.
В.а. кардэры могуць выкарыстоўваць праграмны або апаратны аналізатар трафіку, падлучаючы яго напроста да порта пэўнай перыферыйнай прылады (напрыклад, да счытвальніка карт) – для збору перадаваных дадзеных. Карыстаючыся аналізатарам трафіку, кардэр пазнае ўсе тэхнічныя падрабязнасці працы банкамата, у тым ліку недакументаваныя функцыі яго перыферыі (напрыклад, функцыя змены прашыўкі перыферыйнай прылады). У выніку кардэр атрымлівае поўны кантроль над банкаматам. Пры гэтым, выявіць наяўнасць аналізатара трафіку даволі цяжка.
Прамы кантроль над прыладай выдачы банкнот азначае, што касеты банкамата - могуць быць спустошаны без якой-небудзь фіксацыі ў логах, якія ў штатным рэжыме ўносіць софт, разгорнуты на хасце. Для тых, хто не знаёмы з праграмна-апаратнай архітэктурай банкамата, гэта сапраўды як магія можа выглядаць.
Адкуль бяруцца "чорныя скрыні"?
Пастаўшчыкі банкаматаў і субпадрадчыкі распрацоўваюць адладкавыя ўтыліты для дыягностыкі апаратнай часткі банкамата, - у тым ліку электрамеханікі, якая адказвае за зняцце наяўных грошай. Сярод такіх утыліт:
Панэль кіравання ATMDesk
Панэль кіравання RapidFire ATM XFS
Параўнальныя характарыстыкі некалькіх дыягнастычных утыліт
Доступ да падобных утылітаў у норме абмежаваны персаналізаванымі токенамі; і працуюць яны толькі пры адчыненых дзверцах банкаматнага сейфа. Аднак проста замяніўшы ў бінарным кодзе ўтыліты некалькі байт.
Апошняя міля і падроблены працэсінгавы цэнтр
Прамое ўзаемадзеянне з перыферыяй, без зносін з хастом - гэта толькі адзін з эфектыўных прыёмаў кардынга. Іншыя прыёмы належаць на той факт, што ў нас ёсць шырокая разнастайнасць сеткавых інтэрфейсаў, праз якія банкамат звязваецца з навакольным светам. Ад X.25 да Ethernet і сотавай сувязі. Многія банкаматы могуць быць ідэнтыфікаваны і лакалізаваны з дапамогай сэрвісу Shodan (найбольш лаканічная інструкцыя па яго выкарыстанні прадстаўлена
"Апошняя міля" сувязі паміж банкаматам і працэсінгавым цэнтрам, багатая самымі разнастайнымі тэхналогіямі, якія могуць служыць кропкай уваходу для кардэра. Узаемадзеянне можа ажыццяўляцца з дапамогай праваднога (тэлефонная лінія або Ethernet) або бесправаднога (Wi-Fi, сотавая сувязь: CDMA, GSM, UMTS, LTE) спосабу сувязі. Механізмы бяспекі могуць уключаць у сябе: 1) апаратныя або праграмныя сродкі для падтрымкі VPN (як стандартныя, убудаваныя ў АС, так і ад іншых вытворцаў); 2) SSL/TLS (як спецыфічныя для канкрэтнай мадэлі банкамата, так і ад іншых вытворцаў); 3) шыфраванне; 4) аўтэнтыфікацыя паведамленняў.
Аднак
Адно з асноўных патрабаванняў PCI DSS: усе канфідэнцыйныя дадзеныя, калі яны перадаюцца праз агульнадаступную сетку, павінны быць зашыфраваны. І бо ў нас сапраўды ёсць сеткі, якія першапачаткова былі спраектаваны так, што ў іх дадзеныя цалкам зашыфраваны! Таму ёсць спакуса сказаць: "У нас дадзеныя зашыфраваныя, таму што мы выкарыстоўваем Wi-Fi і GSM". Аднак многія з гэтых сетак не забяспечваюць дастатковай абароны. Сотавыя сеткі ўсіх пакаленняў ужо даўно ўзламаны. Канчаткова і беззваротна. І нават ёсць пастаўшчыкі, якія прапануюць прылады для перахопу перадаюцца па іх дадзеных.
Таму альбо ў небяспечнай камунікацыі, альбо ў «прыватнай» сетцы, дзе кожны банкамат шырокавяшчае пра сябе іншым банкаматам, можа быць ініцыяваная MiTM-напад «падроблены працэсінгавы цэнтр», – якая прывядзе да таго, што кардэр захопіць кантроль над струменямі дадзеных, якія перадаюцца паміж банкаматам і працэсінгавым цэнтрам.
На наступным малюнку
Дамп каманд падробленага працэсінгавага цэнтра
Крыніца: habr.com