Ni all blychau haearn gydag arian yn sefyll ar strydoedd y ddinas ond denu sylw cariadon arian cyflym. Ac os defnyddiwyd dulliau corfforol pur yn y gorffennol i wagio peiriannau ATM, nawr mae mwy a mwy o driciau medrus yn ymwneud â chyfrifiaduron yn cael eu defnyddio. Nawr y mwyaf perthnasol ohonynt yw'r "blwch du" gyda microgyfrifiadur un bwrdd y tu mewn. Byddwn yn siarad am sut mae'n gweithio yn yr erthygl hon.
Pennaeth Cymdeithas Ryngwladol Cynhyrchwyr ATM (ATMIA) "blychau du" fel y bygythiad mwyaf peryglus i beiriannau ATM.
Mae peiriant ATM nodweddiadol yn set o gydrannau electromecanyddol parod wedi'u gosod mewn un cwt. Mae gweithgynhyrchwyr ATM yn adeiladu eu creadigaethau haearn o ddosbarthwr arian papur, darllenydd cerdyn a chydrannau eraill a ddatblygwyd eisoes gan werthwyr trydydd parti. Math o adeiladwr LEGO i oedolion. Rhoddir cydrannau gorffenedig yn yr achos ATM, sydd fel arfer yn cynnwys dwy adran: y rhan uchaf (“cabinet” neu “fan wasanaeth”), a'r adran isaf (diogel). Mae'r holl gydrannau electromecanyddol wedi'u cysylltu trwy borthladdoedd USB a COM i'r uned system, sydd yn yr achos hwn yn gweithredu fel gwesteiwr. Ar fodelau hŷn o beiriannau ATM, gallwch hefyd ddod o hyd i gysylltiadau trwy'r bws CDC.
Esblygiad cerdyn ATM
Mae peiriannau ATM gyda llawer iawn y tu mewn yn ddieithriad yn denu carders iddynt. Ar y dechrau, dim ond diffygion corfforol gros yn niogelwch ATM a ddefnyddiodd cardwyr - roedden nhw'n defnyddio sgimwyr a shimmers i ddwyn data o streipiau magnetig; padiau pin ffug a chamerâu ar gyfer gwylio codau pin; a hyd yn oed peiriannau ATM ffug.
Yna, pan ddechreuodd peiriannau ATM gael meddalwedd unedig sy'n gweithio yn unol â safonau cyffredin, megis XFS (eXtensions for Financial Services), dechreuodd cardwyr ymosod ar beiriannau ATM â firysau cyfrifiadurol.
Yn eu plith mae Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii, a meddalwedd faleisus niferus eraill sydd wedi'u henwi a heb eu henwi y mae cardwyr yn eu plannu ar y gwesteiwr ATM naill ai trwy yriant fflach y gellir ei gychwyn neu drwy'r porthladd TCP rheoli o bell.
Proses haint ATM
Ar ôl dal yr is-system XFS, gall y malware roi gorchmynion i'r dosbarthwr arian papur heb awdurdodiad. Neu rhowch orchmynion i'r darllenydd cerdyn: darllenwch / ysgrifennwch streipen magnetig cerdyn banc a hyd yn oed dynnu'r hanes trafodion sydd wedi'i storio ar y sglodion cerdyn EMV. Mae EPP (Pad PIN Amgryptio; pinpad wedi'i amgryptio) yn haeddu sylw arbennig. Derbynnir yn gyffredinol na ellir rhyng-gipio'r cod PIN a roddwyd arno. Fodd bynnag, mae XFS yn caniatáu ichi ddefnyddio'r pinpad EPP mewn dau fodd: 1) modd agored (ar gyfer mynd i mewn i baramedrau rhifiadol amrywiol, megis y swm i'w gyfnewid); 2) modd diogel (mae EPP yn newid iddo pan fydd angen i chi nodi cod pin neu allwedd amgryptio). Mae'r nodwedd hon o XFS yn caniatáu i'r cardiwr gyflawni ymosodiad MiTM: i ryng-gipio'r gorchymyn actifadu modd diogel sy'n cael ei anfon o'r gwesteiwr i'r EPP, ac yna dweud wrth y pinpad EPP y dylai'r gwaith barhau yn y modd agored. Mewn ymateb i'r neges hon, mae EPP yn anfon trawiadau bysell mewn testun plaen.
Egwyddor gweithredu'r "blwch du"
Yn ystod y blynyddoedd diwethaf, Mae malware ATM Europol wedi esblygu'n sylweddol. Nid oes angen i gardwyr gael mynediad corfforol i beiriant ATM i'w heintio mwyach. Gallant heintio peiriannau ATM trwy ymosodiadau rhwydwaith o bell gan ddefnyddio rhwydwaith corfforaethol y banc ar gyfer hyn. Grŵp IB, yn 2016 mewn mwy na 10 o wledydd yn Ewrop, roedd peiriannau ATM yn destun ymosodiad o bell.
Ymosodiad ATM trwy fynediad o bell
Antiviruses, blocio diweddariadau firmware, blocio porthladdoedd USB ac amgryptio'r ddisg galed - i ryw raddau amddiffyn yr ATM rhag ymosodiadau firws gan gardwyr. Ond beth os nad yw'r carder yn ymosod ar y gwesteiwr, ond yn cysylltu'n uniongyrchol â'r cyrion (trwy RS232 neu USB) - i ddarllenydd cerdyn, pad pin neu ddosbarthwr arian parod?
Yr adnabyddiaeth gyntaf â'r "blwch du"
Heddiw, carders technoleg-savvy , defnyddio ar gyfer dwyn arian parod o ATM hyn a elwir. Mae "blychau du" yn ficrogyfrifiaduron un bwrdd wedi'u rhaglennu'n benodol, fel y Raspberry Pi. "Blychau du" ATM gwag mewn ffordd lân, gwbl hudol (o safbwynt bancwyr). Mae carders yn cysylltu eu dyfais hud yn uniongyrchol i'r dosbarthwr arian papur; i dynnu o'r holl arian sydd ar gael. Mae ymosodiad o'r fath yn osgoi'r holl feddalwedd amddiffyn a ddefnyddir ar y gwesteiwr ATM (gwrthfeirysau, rheolaeth uniondeb, amgryptio disg llawn, ac ati).
"Blwch du" yn seiliedig ar Raspberry Pi
Roedd y gwneuthurwyr mwyaf o beiriannau ATM ac asiantaethau cudd-wybodaeth y llywodraeth, yn wynebu sawl gweithrediad o'r "blwch du", bod y cyfrifiaduron dyfeisgar hyn yn ysgogi peiriannau ATM i boeri allan yr holl arian sydd ar gael; 40 papur banc bob 20 eiliad. Hefyd, mae gwasanaethau arbennig yn rhybuddio bod cardwyr yn aml yn targedu peiriannau ATM mewn fferyllfeydd, canolfannau siopa; a hefyd i beiriannau ATM sy'n gwasanaethu modurwyr wrth fynd.
Ar yr un pryd, er mwyn peidio â disgleirio o flaen y camerâu, mae'r carders mwyaf gofalus yn cymryd cymorth rhai partner nad yw'n werthfawr iawn, mul. Ac fel na allai briodoli y "blwch du" iddo ei hun, defnyddiant . Mae'r swyddogaeth allweddol yn cael ei thynnu o'r "blwch du" ac mae ffôn clyfar wedi'i gysylltu ag ef, a ddefnyddir fel sianel ar gyfer trosglwyddo gorchmynion o bell i'r "blwch du" cwtogi trwy'r protocol IP.
Addasu'r "blwch du", gydag actifadu trwy fynediad o bell
Sut mae'n edrych o safbwynt bancwyr? Ar y recordiadau o osodwyr camerâu fideo, mae rhywbeth fel y canlynol yn digwydd: mae person penodol yn agor y rhan uchaf (maes gwasanaeth), yn cysylltu'r “blwch hud” â'r peiriant ATM, yn cau'r adran uchaf ac yn gadael. Ychydig yn ddiweddarach, mae nifer o bobl, cwsmeriaid sy'n ymddangos yn gyffredin, yn mynd at y peiriant ATM, ac yn tynnu symiau enfawr o arian yn ôl. Yna mae'r carder yn dychwelyd ac yn adfer ei ddyfais fach hud o'r peiriant ATM. Fel arfer, dim ond ar ôl ychydig ddyddiau y canfyddir ffaith ymosodiad ATM gyda "blwch du": pan nad yw sêff wag a chofnod tynnu arian parod yn cyfateb. O ganlyniad, gweithwyr banc yn cael eu gadael gyda yn unig .
Dadansoddiad o gyfathrebiadau ATM
Fel y nodwyd uchod, mae'r rhyngweithio rhwng yr uned system a dyfeisiau ymylol yn cael ei wneud trwy USB, RS232 neu SDC. Mae'r carder yn cysylltu'n uniongyrchol â phorthladd y ddyfais ymylol ac yn anfon gorchmynion ato - gan osgoi'r gwesteiwr. Mae hyn yn eithaf syml oherwydd nid oes angen unrhyw yrwyr penodol ar y rhyngwynebau safonol. Ac nid oes angen awdurdodiad ar brotocolau perchnogol, yn ôl y mae'r perifferolion a'r gwesteiwr yn rhyngweithio â nhw (wedi'r cyfan, mae'r ddyfais wedi'i lleoli y tu mewn i'r parth dibynadwy); ac felly, mae'r protocolau ansicr hyn, y mae'r perifferol a'r gwesteiwr yn cyfathrebu drostynt, yn hawdd eu clustfeinio ac yn hawdd eu trin i ymosodiad ailchwarae.
Hynny. gall cardwyr ddefnyddio dadansoddwr traffig meddalwedd neu galedwedd, gan ei gysylltu'n uniongyrchol â phorthladd dyfais ymylol benodol (er enghraifft, i ddarllenydd cerdyn) i gasglu data a drosglwyddir. Gan ddefnyddio'r dadansoddwr traffig, mae'r cardiwr yn dysgu holl fanylion technegol gweithrediad ATM, gan gynnwys swyddogaethau heb eu dogfennu ei ymylon (er enghraifft, swyddogaeth newid firmware dyfais ymylol). O ganlyniad, mae gan y carder reolaeth lawn dros y peiriant ATM. Ar yr un pryd, mae braidd yn anodd canfod presenoldeb dadansoddwr traffig.
Mae rheolaeth uniongyrchol dros y dosbarthwr arian papur yn golygu y gellir gwagio'r casetiau ATM heb unrhyw osodiad yn y logiau y mae'r meddalwedd a ddefnyddir ar y gwesteiwr yn eu gwneud fel arfer. I'r rhai sy'n anghyfarwydd â phensaernïaeth caledwedd a meddalwedd ATM, dyma sut y gall hud edrych mewn gwirionedd.
O ble mae blychau du yn dod?
Mae gwerthwyr ac isgontractwyr ATM yn datblygu offer dadfygio i wneud diagnosis o galedwedd ATM, gan gynnwys yr electromecaneg sy'n gyfrifol am godi arian parod. Mae'r cyfleustodau hyn yn cynnwys: , . Mae'r ffigur isod yn dangos ychydig mwy o'r cyfleustodau diagnostig hyn.
Panel rheoli ATDesk
Panel rheoli ATM XFS RapidFire
Nodweddion cymharol nifer o gyfleustodau diagnostig
Mae mynediad at gyfleustodau o'r fath fel arfer yn gyfyngedig i docynnau personol; a dim ond pan fydd drws diogel ATM ar agor y maen nhw'n gweithio. Fodd bynnag, yn syml trwy ddisodli ychydig o beit yng nghod deuaidd y cyfleustodau, carders tynnu arian parod "prawf" - osgoi'r sieciau a ddarperir gan y gwneuthurwr cyfleustodau. Mae cardwyr yn gosod y cyfleustodau addasedig hyn ar eu gliniadur neu ar ficrogyfrifiadur bwrdd sengl, y maent wedyn yn ei blygio'n uniongyrchol i ddosbarthwr arian papur i ddwyn arian parod.
Y Filltir Olaf a'r Ganolfan Brosesu Ffug
Dim ond un o'r dulliau effeithiol o gardio yw rhyngweithio'n uniongyrchol â perifferolion, heb gyfathrebu â'r gwesteiwr. Mae triciau eraill yn dibynnu ar y ffaith bod gennym amrywiaeth eang o ryngwynebau rhwydwaith y mae'r peiriant ATM yn cyfathrebu â'r byd y tu allan trwyddynt. O X.25 i Ethernet a Cellog. Gellir adnabod a lleoli llawer o beiriannau ATM gan ddefnyddio gwasanaeth Shodan (cyflwynir y cyfarwyddiadau mwyaf cryno ar gyfer ei ddefnyddio ), ac yna ymosodiad sy'n parasitizes ar gyfluniad diogelwch bregus, diogi'r gweinyddwr a chyfathrebu bregus rhwng gwahanol adrannau'r banc.
Mae'r "filltir olaf" o gyfathrebu rhwng y peiriant ATM a'r ganolfan brosesu yn gyfoethog mewn amrywiaeth eang o dechnolegau a all wasanaethu fel pwynt mynediad ar gyfer y carder. Gellir cyflawni rhyngweithio trwy ddull cyfathrebu â gwifrau (llinell ffôn neu Ethernet) neu ddiwifr (Wi-Fi, cellog: CDMA, GSM, UMTS, LTE). Gall mecanweithiau diogelwch gynnwys: 1) caledwedd neu feddalwedd i gefnogi VPN (y rhai safonol, wedi'u hymgorffori yn yr OS, a thrydydd parti); 2) SSL/TLS (yn benodol i fodel ATM penodol a chan weithgynhyrchwyr trydydd parti); 3) amgryptio; 4) dilysu neges.
Ond bod y technolegau rhestredig yn gymhleth iawn ar gyfer banciau, ac felly nid ydynt yn poeni am amddiffyniad rhwydwaith arbennig; neu ei weithredu gyda gwallau. Yn yr achos gorau, mae'r ATM yn cysylltu â'r gweinydd VPN, ac eisoes y tu mewn i'r rhwydwaith preifat, mae'n cysylltu â'r ganolfan brosesu. Yn ogystal, hyd yn oed os yw'r banciau'n llwyddo i weithredu'r mecanweithiau amddiffyn uchod, mae gan y carder ymosodiadau effeithiol yn eu herbyn eisoes. Hynny. hyd yn oed os yw'r diogelwch yn cydymffurfio â safon PCI DSS, mae peiriannau ATM yn dal yn agored i niwed.
Un o brif ofynion y PCI DSS yw bod yn rhaid i'r holl ddata sensitif, pan gaiff ei drosglwyddo dros rwydwaith cyhoeddus, gael ei amgryptio. Ac mae gennym ni rwydweithiau a ddyluniwyd yn wreiddiol yn y fath fodd fel bod y data ynddynt wedi'u hamgryptio'n llwyr! Felly, mae'n demtasiwn dweud: "Mae ein data wedi'i amgryptio oherwydd ein bod yn defnyddio Wi-Fi a GSM." Fodd bynnag, nid yw llawer o'r rhwydweithiau hyn yn darparu amddiffyniad digonol. Mae rhwydweithiau cellog o bob cenhedlaeth wedi'u hacio ers amser maith. Terfynol ac anadferadwy. Ac mae yna hyd yn oed werthwyr sy'n cynnig dyfeisiau i ryng-gipio'r data a drosglwyddir drostynt.
Felly, naill ai mewn cyfathrebu ansicr, neu mewn rhwydwaith "preifat", lle mae pob peiriant ATM yn darlledu amdano'i hun i beiriannau ATM eraill, gellir cychwyn ymosodiad MiTM "canolfan brosesu ffug" - a fydd yn arwain at y carder yn cymryd rheolaeth o'r llif data a drosglwyddir. rhwng ATM a chanolfan brosesu.
Mae'n bosibl y bydd miloedd o beiriannau ATM yn cael eu heffeithio. Ar y ffordd i ganolfan brosesu wirioneddol - mae'r cardiwr yn mewnosod ei un ffug ei hun. Mae'r ganolfan brosesu ffug hon yn cyfarwyddo'r peiriant ATM i ddosbarthu arian papur. Ar yr un pryd, mae'r carder yn sefydlu ei ganolfan brosesu yn y fath fodd fel bod arian parod yn cael ei dynnu'n ôl ni waeth pa gerdyn sy'n cael ei fewnosod yn y peiriant ATM - hyd yn oed os yw wedi dod i ben neu â balans sero. Y prif beth yw bod y ganolfan brosesu ffug yn ei “gydnabod”. Gall canolfan brosesu ffug fod naill ai'n waith llaw neu'n efelychydd canolfan brosesu, a ddyluniwyd yn wreiddiol i ddadfygio gosodiadau rhwydwaith (rhodd arall gan y “gwneuthurwr” i gardwyr).
Y ffigur canlynol dymp o orchmynion i gyhoeddi 40 o arian papur o'r pedwerydd casét - wedi'u hanfon o ganolfan brosesu ffug a'u storio mewn logiau meddalwedd ATM. Maen nhw'n edrych bron yn real.
Gorchmynion dympio canolfan brosesu ffug
Ffynhonnell: hab.com