Ni all blychau haearn gydag arian yn sefyll ar strydoedd y ddinas ond denu sylw cariadon arian cyflym. Ac os defnyddiwyd dulliau corfforol pur yn y gorffennol i wagio peiriannau ATM, nawr mae mwy a mwy o driciau medrus yn ymwneud â chyfrifiaduron yn cael eu defnyddio. Nawr y mwyaf perthnasol ohonynt yw'r "blwch du" gyda microgyfrifiadur un bwrdd y tu mewn. Byddwn yn siarad am sut mae'n gweithio yn yr erthygl hon.
Pennaeth Cymdeithas Ryngwladol Cynhyrchwyr ATM (ATMIA)
Mae peiriant ATM nodweddiadol yn set o gydrannau electromecanyddol parod wedi'u gosod mewn un cwt. Mae gweithgynhyrchwyr ATM yn adeiladu eu creadigaethau haearn o ddosbarthwr arian papur, darllenydd cerdyn a chydrannau eraill a ddatblygwyd eisoes gan werthwyr trydydd parti. Math o adeiladwr LEGO i oedolion. Rhoddir cydrannau gorffenedig yn yr achos ATM, sydd fel arfer yn cynnwys dwy adran: y rhan uchaf (“cabinet” neu “fan wasanaeth”), a'r adran isaf (diogel). Mae'r holl gydrannau electromecanyddol wedi'u cysylltu trwy borthladdoedd USB a COM i'r uned system, sydd yn yr achos hwn yn gweithredu fel gwesteiwr. Ar fodelau hŷn o beiriannau ATM, gallwch hefyd ddod o hyd i gysylltiadau trwy'r bws CDC.
Esblygiad cerdyn ATM
Mae peiriannau ATM gyda llawer iawn y tu mewn yn ddieithriad yn denu carders iddynt. Ar y dechrau, dim ond diffygion corfforol gros yn niogelwch ATM a ddefnyddiodd cardwyr - roedden nhw'n defnyddio sgimwyr a shimmers i ddwyn data o streipiau magnetig; padiau pin ffug a chamerâu ar gyfer gwylio codau pin; a hyd yn oed peiriannau ATM ffug.
Yna, pan ddechreuodd peiriannau ATM gael meddalwedd unedig sy'n gweithio yn unol â safonau cyffredin, megis XFS (eXtensions for Financial Services), dechreuodd cardwyr ymosod ar beiriannau ATM â firysau cyfrifiadurol.
Yn eu plith mae Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii, a meddalwedd faleisus niferus eraill sydd wedi'u henwi a heb eu henwi y mae cardwyr yn eu plannu ar y gwesteiwr ATM naill ai trwy yriant fflach y gellir ei gychwyn neu drwy'r porthladd TCP rheoli o bell.
Proses haint ATM
Ar ôl dal yr is-system XFS, gall y malware roi gorchmynion i'r dosbarthwr arian papur heb awdurdodiad. Neu rhowch orchmynion i'r darllenydd cerdyn: darllenwch / ysgrifennwch streipen magnetig cerdyn banc a hyd yn oed dynnu'r hanes trafodion sydd wedi'i storio ar y sglodion cerdyn EMV. Mae EPP (Pad PIN Amgryptio; pinpad wedi'i amgryptio) yn haeddu sylw arbennig. Derbynnir yn gyffredinol na ellir rhyng-gipio'r cod PIN a roddwyd arno. Fodd bynnag, mae XFS yn caniatáu ichi ddefnyddio'r pinpad EPP mewn dau fodd: 1) modd agored (ar gyfer mynd i mewn i baramedrau rhifiadol amrywiol, megis y swm i'w gyfnewid); 2) modd diogel (mae EPP yn newid iddo pan fydd angen i chi nodi cod pin neu allwedd amgryptio). Mae'r nodwedd hon o XFS yn caniatáu i'r cardiwr gyflawni ymosodiad MiTM: i ryng-gipio'r gorchymyn actifadu modd diogel sy'n cael ei anfon o'r gwesteiwr i'r EPP, ac yna dweud wrth y pinpad EPP y dylai'r gwaith barhau yn y modd agored. Mewn ymateb i'r neges hon, mae EPP yn anfon trawiadau bysell mewn testun plaen.
Egwyddor gweithredu'r "blwch du"
Yn ystod y blynyddoedd diwethaf,
Ymosodiad ATM trwy fynediad o bell
Antiviruses, blocio diweddariadau firmware, blocio porthladdoedd USB ac amgryptio'r ddisg galed - i ryw raddau amddiffyn yr ATM rhag ymosodiadau firws gan gardwyr. Ond beth os nad yw'r carder yn ymosod ar y gwesteiwr, ond yn cysylltu'n uniongyrchol â'r cyrion (trwy RS232 neu USB) - i ddarllenydd cerdyn, pad pin neu ddosbarthwr arian parod?
Yr adnabyddiaeth gyntaf â'r "blwch du"
Heddiw, carders technoleg-savvy
"Blwch du" yn seiliedig ar Raspberry Pi
Roedd y gwneuthurwyr mwyaf o beiriannau ATM ac asiantaethau cudd-wybodaeth y llywodraeth, yn wynebu sawl gweithrediad o'r "blwch du",
Ar yr un pryd, er mwyn peidio â disgleirio o flaen y camerâu, mae'r carders mwyaf gofalus yn cymryd cymorth rhai partner nad yw'n werthfawr iawn, mul. Ac fel na allai briodoli y "blwch du" iddo ei hun, defnyddiant
Addasu'r "blwch du", gydag actifadu trwy fynediad o bell
Sut mae'n edrych o safbwynt bancwyr? Ar y recordiadau o osodwyr camerâu fideo, mae rhywbeth fel y canlynol yn digwydd: mae person penodol yn agor y rhan uchaf (maes gwasanaeth), yn cysylltu'r “blwch hud” â'r peiriant ATM, yn cau'r adran uchaf ac yn gadael. Ychydig yn ddiweddarach, mae nifer o bobl, cwsmeriaid sy'n ymddangos yn gyffredin, yn mynd at y peiriant ATM, ac yn tynnu symiau enfawr o arian yn ôl. Yna mae'r carder yn dychwelyd ac yn adfer ei ddyfais fach hud o'r peiriant ATM. Fel arfer, dim ond ar ôl ychydig ddyddiau y canfyddir ffaith ymosodiad ATM gyda "blwch du": pan nad yw sêff wag a chofnod tynnu arian parod yn cyfateb. O ganlyniad, gweithwyr banc yn cael eu gadael gyda yn unig
Dadansoddiad o gyfathrebiadau ATM
Fel y nodwyd uchod, mae'r rhyngweithio rhwng yr uned system a dyfeisiau ymylol yn cael ei wneud trwy USB, RS232 neu SDC. Mae'r carder yn cysylltu'n uniongyrchol â phorthladd y ddyfais ymylol ac yn anfon gorchmynion ato - gan osgoi'r gwesteiwr. Mae hyn yn eithaf syml oherwydd nid oes angen unrhyw yrwyr penodol ar y rhyngwynebau safonol. Ac nid oes angen awdurdodiad ar brotocolau perchnogol, yn ôl y mae'r perifferolion a'r gwesteiwr yn rhyngweithio â nhw (wedi'r cyfan, mae'r ddyfais wedi'i lleoli y tu mewn i'r parth dibynadwy); ac felly, mae'r protocolau ansicr hyn, y mae'r perifferol a'r gwesteiwr yn cyfathrebu drostynt, yn hawdd eu clustfeinio ac yn hawdd eu trin i ymosodiad ailchwarae.
Hynny. gall cardwyr ddefnyddio dadansoddwr traffig meddalwedd neu galedwedd, gan ei gysylltu'n uniongyrchol â phorthladd dyfais ymylol benodol (er enghraifft, i ddarllenydd cerdyn) i gasglu data a drosglwyddir. Gan ddefnyddio'r dadansoddwr traffig, mae'r cardiwr yn dysgu holl fanylion technegol gweithrediad ATM, gan gynnwys swyddogaethau heb eu dogfennu ei ymylon (er enghraifft, swyddogaeth newid firmware dyfais ymylol). O ganlyniad, mae gan y carder reolaeth lawn dros y peiriant ATM. Ar yr un pryd, mae braidd yn anodd canfod presenoldeb dadansoddwr traffig.
Mae rheolaeth uniongyrchol dros y dosbarthwr arian papur yn golygu y gellir gwagio'r casetiau ATM heb unrhyw osodiad yn y logiau y mae'r meddalwedd a ddefnyddir ar y gwesteiwr yn eu gwneud fel arfer. I'r rhai sy'n anghyfarwydd â phensaernïaeth caledwedd a meddalwedd ATM, dyma sut y gall hud edrych mewn gwirionedd.
O ble mae blychau du yn dod?
Mae gwerthwyr ac isgontractwyr ATM yn datblygu offer dadfygio i wneud diagnosis o galedwedd ATM, gan gynnwys yr electromecaneg sy'n gyfrifol am godi arian parod. Mae'r cyfleustodau hyn yn cynnwys:
Panel rheoli ATDesk
Panel rheoli ATM XFS RapidFire
Nodweddion cymharol nifer o gyfleustodau diagnostig
Mae mynediad at gyfleustodau o'r fath fel arfer yn gyfyngedig i docynnau personol; a dim ond pan fydd drws diogel ATM ar agor y maen nhw'n gweithio. Fodd bynnag, yn syml trwy ddisodli ychydig o beit yng nghod deuaidd y cyfleustodau, carders
Y Filltir Olaf a'r Ganolfan Brosesu Ffug
Dim ond un o'r dulliau effeithiol o gardio yw rhyngweithio'n uniongyrchol â perifferolion, heb gyfathrebu â'r gwesteiwr. Mae triciau eraill yn dibynnu ar y ffaith bod gennym amrywiaeth eang o ryngwynebau rhwydwaith y mae'r peiriant ATM yn cyfathrebu â'r byd y tu allan trwyddynt. O X.25 i Ethernet a Cellog. Gellir adnabod a lleoli llawer o beiriannau ATM gan ddefnyddio gwasanaeth Shodan (cyflwynir y cyfarwyddiadau mwyaf cryno ar gyfer ei ddefnyddio
Mae'r "filltir olaf" o gyfathrebu rhwng y peiriant ATM a'r ganolfan brosesu yn gyfoethog mewn amrywiaeth eang o dechnolegau a all wasanaethu fel pwynt mynediad ar gyfer y carder. Gellir cyflawni rhyngweithio trwy ddull cyfathrebu â gwifrau (llinell ffôn neu Ethernet) neu ddiwifr (Wi-Fi, cellog: CDMA, GSM, UMTS, LTE). Gall mecanweithiau diogelwch gynnwys: 1) caledwedd neu feddalwedd i gefnogi VPN (y rhai safonol, wedi'u hymgorffori yn yr OS, a thrydydd parti); 2) SSL/TLS (yn benodol i fodel ATM penodol a chan weithgynhyrchwyr trydydd parti); 3) amgryptio; 4) dilysu neges.
Ond
Un o brif ofynion y PCI DSS yw bod yn rhaid i'r holl ddata sensitif, pan gaiff ei drosglwyddo dros rwydwaith cyhoeddus, gael ei amgryptio. Ac mae gennym ni rwydweithiau a ddyluniwyd yn wreiddiol yn y fath fodd fel bod y data ynddynt wedi'u hamgryptio'n llwyr! Felly, mae'n demtasiwn dweud: "Mae ein data wedi'i amgryptio oherwydd ein bod yn defnyddio Wi-Fi a GSM." Fodd bynnag, nid yw llawer o'r rhwydweithiau hyn yn darparu amddiffyniad digonol. Mae rhwydweithiau cellog o bob cenhedlaeth wedi'u hacio ers amser maith. Terfynol ac anadferadwy. Ac mae yna hyd yn oed werthwyr sy'n cynnig dyfeisiau i ryng-gipio'r data a drosglwyddir drostynt.
Felly, naill ai mewn cyfathrebu ansicr, neu mewn rhwydwaith "preifat", lle mae pob peiriant ATM yn darlledu amdano'i hun i beiriannau ATM eraill, gellir cychwyn ymosodiad MiTM "canolfan brosesu ffug" - a fydd yn arwain at y carder yn cymryd rheolaeth o'r llif data a drosglwyddir. rhwng ATM a chanolfan brosesu.
Y ffigur canlynol
Gorchmynion dympio canolfan brosesu ffug
Ffynhonnell: hab.com