Σιδερένια κουτιά με χρήματα που στέκονται στους δρόμους της πόλης δεν μπορούν παρά να τραβήξουν την προσοχή των λάτρεις του γρήγορου χρήματος. Και αν στο παρελθόν χρησιμοποιούνταν καθαρά φυσικές μέθοδοι για το άδειασμα των ΑΤΜ, τώρα χρησιμοποιούνται όλο και πιο επιδέξια κόλπα που σχετίζονται με τους υπολογιστές. Τώρα το πιο σχετικό από αυτά είναι το «μαύρο κουτί» με έναν μικροϋπολογιστή μονής πλακέτας μέσα. Θα μιλήσουμε για το πώς λειτουργεί σε αυτό το άρθρο.
Επικεφαλής της Διεθνούς Ένωσης Κατασκευαστών ΑΤΜ (ATMIA)
Ένα τυπικό ΑΤΜ είναι ένα σύνολο από έτοιμα ηλεκτρομηχανικά εξαρτήματα τοποθετημένα σε ένα περίβλημα. Οι κατασκευαστές ΑΤΜ κατασκευάζουν τις σιδερένιες δημιουργίες τους από ένα διανομέα τραπεζογραμματίων, συσκευή ανάγνωσης καρτών και άλλα εξαρτήματα που έχουν ήδη αναπτυχθεί από τρίτους προμηθευτές. Ένα είδος κατασκευαστή LEGO για ενήλικες. Τα τελειωμένα εξαρτήματα τοποθετούνται στη θήκη του ATM, η οποία συνήθως αποτελείται από δύο διαμερίσματα: το επάνω διαμέρισμα («ντουλάπι» ή «περιοχή εξυπηρέτησης») και το κάτω διαμέρισμα (ασφαλές). Όλα τα ηλεκτρομηχανικά εξαρτήματα συνδέονται μέσω θυρών USB και COM στη μονάδα συστήματος, η οποία σε αυτήν την περίπτωση λειτουργεί ως κεντρικός υπολογιστής. Σε παλαιότερα μοντέλα ΑΤΜ, μπορείτε επίσης να βρείτε συνδέσεις μέσω του διαύλου SDC.
Η εξέλιξη της κάρτας ATM
Τα ΑΤΜ με τεράστια ποσά μέσα προσελκύουν πάντα τους καρτέλες σε αυτά. Στην αρχή, οι carders εκμεταλλεύονταν μόνο σοβαρά φυσικά ελαττώματα στην ασφάλεια ATM - χρησιμοποιούσαν skimmers και shimmers για να κλέψουν δεδομένα από μαγνητικές λωρίδες. ψεύτικα pin-pad και κάμερες για την προβολή κωδικών PIN. ακόμα και ψεύτικα ΑΤΜ.
Στη συνέχεια, όταν τα ΑΤΜ άρχισαν να εξοπλίζονται με ενοποιημένο λογισμικό που λειτουργεί σύμφωνα με κοινά πρότυπα, όπως το XFS (EXtensions for Financial Services), οι κάρτες καρτών άρχισαν να επιτίθενται στα ΑΤΜ με ιούς υπολογιστών.
Μεταξύ αυτών είναι το Trojan.Skimmer, το Backdoor.Win32.Skimer, το Ploutus, το ATMii και πολλά άλλα επώνυμα και ανώνυμα κακόβουλα προγράμματα που εγκαθιστούν οι καρτέρες στον κεντρικό υπολογιστή του ATM είτε μέσω μιας μονάδας flash εκκίνησης είτε μέσω της θύρας TCP του τηλεχειριστηρίου.
Διαδικασία μόλυνσης από ATM
Έχοντας καταγράψει το υποσύστημα XFS, το κακόβουλο λογισμικό μπορεί να εκδώσει εντολές στον διανομέα τραπεζογραμματίων χωρίς εξουσιοδότηση. Ή δώστε εντολές στη συσκευή ανάγνωσης καρτών: διαβάστε / γράψτε τη μαγνητική λωρίδα μιας τραπεζικής κάρτας και ακόμη και εξάγετε το ιστορικό συναλλαγών που είναι αποθηκευμένο στο τσιπ της κάρτας EMV. Το EPP (Encrypting PIN Pad, encrypted pinpad) αξίζει ιδιαίτερης προσοχής. Είναι γενικά αποδεκτό ότι ο κωδικός PIN που έχει εισαχθεί σε αυτό δεν μπορεί να υποκλαπεί. Ωστόσο, το XFS σάς επιτρέπει να χρησιμοποιείτε το pinpad EPP σε δύο λειτουργίες: 1) ανοιχτή λειτουργία (για την εισαγωγή διαφόρων αριθμητικών παραμέτρων, όπως το ποσό που θα εξαργυρωθεί). 2) ασφαλής λειτουργία (το EPP μεταβαίνει σε αυτό όταν χρειάζεται να εισαγάγετε κωδικό PIN ή κλειδί κρυπτογράφησης). Αυτή η δυνατότητα του XFS επιτρέπει στον καρτέρ να πραγματοποιήσει μια επίθεση MiTM: να παρεμποδίσει την εντολή ενεργοποίησης ασφαλούς λειτουργίας που αποστέλλεται από τον κεντρικό υπολογιστή στο EPP και, στη συνέχεια, να πει στο pinpad του EPP ότι η εργασία πρέπει να συνεχιστεί σε ανοιχτή λειτουργία. Ως απάντηση σε αυτό το μήνυμα, το EPP στέλνει πληκτρολογήσεις σε απλό κείμενο.
Η αρχή λειτουργίας του "μαύρου κουτιού"
Τα τελευταία χρόνια,
Επίθεση ATM μέσω απομακρυσμένης πρόσβασης
Προστασία από ιούς, αποκλεισμός ενημερώσεων υλικολογισμικού, αποκλεισμός θυρών USB και κρυπτογράφηση του σκληρού δίσκου - σε κάποιο βαθμό προστατεύουν το ΑΤΜ από επιθέσεις ιών από κάρτες καρτών. Τι γίνεται όμως αν η κάρτα κάρτας δεν επιτεθεί στον κεντρικό υπολογιστή, αλλά συνδεθεί απευθείας στην περιφέρεια (μέσω RS232 ή USB) - σε συσκευή ανάγνωσης καρτών, μπλοκ καρφιτσών ή διανομέα μετρητών;
Η πρώτη γνωριμία με το «μαύρο κουτί»
Σήμερα, οι καρτεροί που γνωρίζουν την τεχνολογία
«Μαύρο κουτί» βασισμένο στο Raspberry Pi
Οι μεγαλύτεροι κατασκευαστές ΑΤΜ και κυβερνητικές υπηρεσίες πληροφοριών, αντιμέτωποι με αρκετές υλοποιήσεις του «μαύρου κουτιού»,
Ταυτόχρονα, για να μην λάμπουν μπροστά στις κάμερες, οι πιο επιφυλακτικοί καρτέρι βοηθούν κάποιον όχι πολύτιμο σύντροφο, ένα μουλάρι. Και για να μην μπορεί να οικειοποιηθεί το «μαύρο κουτί» στον εαυτό του, χρησιμοποιούν
Τροποποίηση του «μαύρου κουτιού», με ενεργοποίηση μέσω απομακρυσμένης πρόσβασης
Πώς φαίνεται από τη σκοπιά των τραπεζιτών; Στις εγγραφές από βιντεοκάμερες-φιξωτές συμβαίνει κάτι σαν το εξής: ένα συγκεκριμένο άτομο ανοίγει το πάνω διαμέρισμα (περιοχή εξυπηρέτησης), συνδέει το «μαγικό κουτί» με το ΑΤΜ, κλείνει το πάνω διαμέρισμα και φεύγει. Λίγο αργότερα, αρκετοί άνθρωποι, φαινομενικά απλοί πελάτες, πλησιάζουν το ΑΤΜ, και αποσύρουν τεράστια χρηματικά ποσά. Στη συνέχεια, ο καρτογράφος επιστρέφει και ανακτά τη μικρή μαγική συσκευή του από το ΑΤΜ. Συνήθως, το γεγονός μιας επίθεσης σε ATM με ένα "μαύρο κουτί" εντοπίζεται μόνο μετά από λίγες ημέρες: όταν ένα άδειο χρηματοκιβώτιο και ένα αρχείο καταγραφής αναλήψεων μετρητών δεν ταιριάζουν. Ως αποτέλεσμα, οι τραπεζικοί υπάλληλοι μένουν μόνο με
Ανάλυση επικοινωνιών ΑΤΜ
Όπως σημειώθηκε παραπάνω, η αλληλεπίδραση μεταξύ της μονάδας συστήματος και των περιφερειακών συσκευών πραγματοποιείται μέσω USB, RS232 ή SDC. Η κάρτα κάρτας συνδέεται απευθείας στη θύρα της περιφερειακής συσκευής και της στέλνει εντολές - παρακάμπτοντας τον κεντρικό υπολογιστή. Αυτό είναι αρκετά απλό, επειδή οι τυπικές διεπαφές δεν απαιτούν συγκεκριμένα προγράμματα οδήγησης. Και τα ιδιόκτητα πρωτόκολλα, σύμφωνα με τα οποία αλληλεπιδρούν τα περιφερειακά και ο κεντρικός υπολογιστής, δεν απαιτούν εξουσιοδότηση (εξάλλου, η συσκευή βρίσκεται εντός της αξιόπιστης ζώνης). και ως εκ τούτου, αυτά τα ανασφαλή πρωτόκολλα, μέσω των οποίων επικοινωνούν το περιφερειακό και ο κεντρικός υπολογιστής, παρακολουθούνται εύκολα και εύκολα επιδέχονται επίθεση επανάληψης.
Οτι. Οι carders μπορούν να χρησιμοποιήσουν έναν αναλυτή κίνησης λογισμικού ή υλικού, συνδέοντάς τον απευθείας στη θύρα μιας συγκεκριμένης περιφερειακής συσκευής (για παράδειγμα, σε μια συσκευή ανάγνωσης καρτών) για τη συλλογή μεταδιδόμενων δεδομένων. Χρησιμοποιώντας τον αναλυτή κίνησης, ο καρτέλας μαθαίνει όλες τις τεχνικές λεπτομέρειες της λειτουργίας του ATM, συμπεριλαμβανομένων των μη τεκμηριωμένων λειτουργιών της περιφέρειάς του (για παράδειγμα, τη λειτουργία αλλαγής του υλικολογισμικού μιας περιφερειακής συσκευής). Ως αποτέλεσμα, ο κάτοχος κάρτας έχει τον πλήρη έλεγχο του ΑΤΜ. Ταυτόχρονα, είναι μάλλον δύσκολο να ανιχνευθεί η παρουσία αναλυτή κυκλοφορίας.
Ο άμεσος έλεγχος του διανομέα τραπεζογραμματίων σημαίνει ότι οι κασέτες ATM μπορούν να αδειαστούν χωρίς καμία στερέωση στα αρχεία καταγραφής που δημιουργεί συνήθως το λογισμικό που αναπτύσσεται στον κεντρικό υπολογιστή. Για όσους δεν είναι εξοικειωμένοι με την αρχιτεκτονική υλικού και λογισμικού ATM, έτσι μπορεί να μοιάζει πραγματικά η μαγεία.
Από πού προέρχονται τα μαύρα κουτιά;
Οι πωλητές και οι υπεργολάβοι ATM αναπτύσσουν εργαλεία εντοπισμού σφαλμάτων για τη διάγνωση του υλικού ATM, συμπεριλαμβανομένων των ηλεκτρομηχανικών που είναι υπεύθυνοι για τις αναλήψεις μετρητών. Αυτά τα βοηθητικά προγράμματα περιλαμβάνουν:
Πίνακας ελέγχου ATMDesk
Πίνακας ελέγχου RapidFire ATM XFS
Συγκριτικά χαρακτηριστικά πολλών διαγνωστικών βοηθητικών προγραμμάτων
Η πρόσβαση σε τέτοια βοηθητικά προγράμματα περιορίζεται συνήθως σε εξατομικευμένα διακριτικά. και λειτουργούν μόνο όταν η πόρτα του χρηματοκιβωτίου του ΑΤΜ είναι ανοιχτή. Ωστόσο, απλώς αντικαθιστώντας μερικά byte στον δυαδικό κώδικα του βοηθητικού προγράμματος, carders
The Last Mile and the Fake Processing Center
Η άμεση αλληλεπίδραση με περιφερειακά, χωρίς επικοινωνία με τον κεντρικό υπολογιστή, είναι μόνο μία από τις αποτελεσματικές μεθόδους λαναρίσματος. Άλλα κόλπα βασίζονται στο γεγονός ότι έχουμε μια μεγάλη ποικιλία διεπαφών δικτύου μέσω των οποίων το ΑΤΜ επικοινωνεί με τον έξω κόσμο. Από X.25 σε Ethernet και Cellular. Πολλά ΑΤΜ μπορούν να εντοπιστούν και να εντοπιστούν χρησιμοποιώντας την υπηρεσία Shodan (παρουσιάζονται οι πιο συνοπτικές οδηγίες χρήσης της
Το «τελευταίο μίλι» επικοινωνίας μεταξύ του ΑΤΜ και του κέντρου επεξεργασίας είναι πλούσιο σε μια μεγάλη ποικιλία τεχνολογιών που μπορούν να χρησιμεύσουν ως σημείο εισόδου για τον κάτοχο κάρτας. Η αλληλεπίδραση μπορεί να πραγματοποιηθεί μέσω ενσύρματης (τηλεφωνικής γραμμής ή Ethernet) ή ασύρματης (Wi-Fi, κινητής τηλεφωνίας: CDMA, GSM, UMTS, LTE) μεθόδου επικοινωνίας. Οι μηχανισμοί ασφαλείας μπορεί να περιλαμβάνουν: 1) υλικό ή λογισμικό για την υποστήριξη VPN (τόσο τυπικό, ενσωματωμένο στο λειτουργικό σύστημα όσο και τρίτων) 2) SSL/TLS (τόσο ειδικά για ένα συγκεκριμένο μοντέλο ATM όσο και από τρίτους κατασκευαστές). 3) κρυπτογράφηση? 4) έλεγχος ταυτότητας μηνύματος.
Αλλά
Μία από τις κύριες απαιτήσεις του PCI DSS είναι ότι όλα τα ευαίσθητα δεδομένα, όταν μεταδίδονται μέσω ενός δημόσιου δικτύου, πρέπει να είναι κρυπτογραφημένα. Και έχουμε δίκτυα που σχεδιάστηκαν αρχικά με τέτοιο τρόπο ώστε τα δεδομένα σε αυτά να είναι πλήρως κρυπτογραφημένα! Επομένως, είναι δελεαστικό να πούμε: «Τα δεδομένα μας είναι κρυπτογραφημένα επειδή χρησιμοποιούμε Wi-Fi και GSM». Ωστόσο, πολλά από αυτά τα δίκτυα δεν παρέχουν επαρκή προστασία. Τα κυψελωτά δίκτυα όλων των γενεών έχουν παραβιαστεί εδώ και καιρό. Οριστικές και αμετάκλητες. Και υπάρχουν ακόμη και προμηθευτές που προσφέρουν συσκευές για την παρακολούθηση των δεδομένων που μεταδίδονται μέσω αυτών.
Επομένως, είτε σε ανασφαλή επικοινωνία είτε σε "ιδιωτικό" δίκτυο, όπου κάθε ΑΤΜ εκπέμπει για τον εαυτό του σε άλλα ΑΤΜ, μπορεί να ξεκινήσει μια επίθεση MiTM "κέντρου ψεύτικης επεξεργασίας" - η οποία θα οδηγήσει στον έλεγχο των ροών δεδομένων που μεταδίδονται από την κάρτα μεταξύ ΑΤΜ και κέντρου επεξεργασίας.
Το παρακάτω σχήμα
Απόρριψη εντολών ενός πλαστού κέντρου επεξεργασίας
Πηγή: www.habr.com