Feraj skatoloj kun mono staranta sur la stratoj de la urbo ne povas ne altiri la atenton de amantoj de rapida mono. Kaj se en la pasinteco oni uzis pure fizikajn metodojn por malplenigi ATM, nun pli kaj pli oni uzas lertajn lertaĵojn rilate komputilojn. Nun la plej grava el ili estas la "nigra skatolo" kun unuestrara mikrokomputilo ene. Ni parolos pri kiel ĝi funkcias en ĉi tiu artikolo.
Estro de la Internacia Asocio de ATM-Produktantoj (ATMIA) "nigraj skatoloj" kiel la plej danĝera minaco al ATM.
Tipa ATM estas aro de pretaj elektromekanikaj komponentoj metitaj en unu loĝejon. ATM-fabrikistoj konstruas siajn ferajn kreaĵojn el monbiletdisdonilo, kartlegilo kaj aliaj komponantoj jam evoluigitaj de triaj vendistoj. Speco de LEGO-konstruanto por plenkreskuloj. Finitaj komponentoj estas metitaj en la ATM-kazon, kiu kutime konsistas el du kupeoj: la supra kupeo ("kabineto" aŭ "servareo"), kaj la malsupra kupeo (sekura). Ĉiuj elektromekanikaj komponantoj estas konektitaj per USB kaj COM-havenoj al la sistemunuo, kiu ĉi-kaze funkcias kiel gastiganto. Sur pli malnovaj modeloj de ATM, vi ankaŭ povas trovi konektojn per la SDC-buso.
La evoluo de ATM-kartado
ATMs kun grandegaj kvantoj interne senescepte altiras kardistojn al ili. Komence, kardistoj ekspluatis nur krudajn fizikajn difektojn en ATM-sekureco - ili uzis skimmers kaj shimmers por ŝteli datumojn de magnetstrioj; falsaj pingloj kaj fotiloj por vidi pinkodojn; kaj eĉ falsaj bankaŭtomatoj.
Tiam, kiam ATM-oj komencis esti ekipitaj per unuigita programaro, kiu funkcias laŭ komunaj normoj, kiel XFS (eXtensions for Financial Services), kardistoj komencis ataki ATM-ojn per komputilaj virusoj.
Inter ili estas Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii, kaj multaj aliaj nomitaj kaj nenomitaj malware, kiujn kardistoj plantas sur la ATM-gastiganto aŭ per startebla poŝmemoro aŭ per la telerega TCP-haveno.
ATM-infekta procezo
Kaptinte la XFS-subsistemon, la malbon-programo povas elsendi komandojn al la monbiletdisdonilo sen rajtigo. Aŭ donu komandojn al la kartlegilo: legu / skribu la magnetan strion de bankkarto kaj eĉ ĉerpi la transakcian historion konservitan sur la EMV-kartpeceto. EPP (Encrypting PIN Pad; ĉifrita pinpad) meritas specialan atenton. Estas ĝenerale akceptite ke la PIN-kodo enigita sur ĝi ne povas esti kaptita. Tamen, XFS ebligas al vi uzi la EPP-pinpad en du reĝimoj: 1) malferma reĝimo (por enigi diversajn nombrajn parametrojn, kiel la kvanton elsendan); 2) sekura reĝimo (EPP ŝanĝas al ĝi kiam vi bezonas enigi pinkodon aŭ ĉifradan ŝlosilon). Ĉi tiu trajto de XFS permesas al la kardisto efektivigi MiTM-atakon: por kapti la sekuran reĝiman aktivigan komandon kiu estas sendita de la gastiganto al la EPP, kaj tiam diri al la EPP-pinpad ke laboro devus daŭri en malferma reĝimo. Responde al ĉi tiu mesaĝo, EPP sendas klavopremojn en simpla teksto.
La principo de funkciado de la "nigra skatolo"
En la lastaj jaroj, Europol, ATM-malware evoluis signife. Kardistoj ne plu bezonas havi fizikan aliron al ATM por infekti ĝin. Ili povas infekti ATM-ojn per foraj retaj atakoj uzante la kompanian reton de la banko por tio. Grupo IB, en 2016 en pli ol 10 landoj en Eŭropo, ATMs estis submetataj al fora atako.
ATM-atako per fora aliro
Antivirusoj, blokado de firmware ĝisdatigoj, blokado de USB-havenoj kaj ĉifrado de la malmola disko - iagrade protektas la ATM kontraŭ virusaj atakoj de kardistoj. Sed kio se la kardisto ne atakas la gastiganton, sed konektas rekte al la periferio (per RS232 aŭ USB) - al kartlegilo, pinglo-kuseneto aŭ mondissendilo?
La unua konato kun la "nigra skatolo"
Hodiaŭ, teknologiaj kardistoj , uzante por ŝtelo de kontantmono de ATM tiel nomata. "nigraj skatoloj" estas specife programitaj unu-tablaj mikrokomputiloj, kiel la Raspberry Pi. "Nigraj skatoloj" malplenigas ATM-ojn en tute magia (el la vidpunkto de bankistoj). Kardistoj ligas sian magian aparaton rekte al la monbiletdisdonilo; ĉerpi el ĝi ĉiun disponeblan monon. Tia atako preteriras ĉiun protektan programaron deplojitan sur la ATM-gastiganto (antivirusoj, integreckontrolo, plena disko-ĉifrado, ktp.).
"Nigra skatolo" bazita sur Raspberry Pi
La plej grandaj produktantoj de ATM kaj registaraj spionagentejoj, alfrontitaj kun pluraj efektivigoj de la "nigra skatolo", ke tiuj spritaj komputiloj instigas ATM-ojn kraĉi ĉiujn disponeblajn kontantmonojn; 40 monbiletoj ĉiujn 20 sekundojn. Ankaŭ, specialaj servoj avertas, ke kardistoj plej ofte celas ATM-ojn en apotekoj, komercaj centroj; kaj ankaŭ al bankaŭtomatoj, kiuj servas aŭtistojn survoje.
Samtempe, por ne brili antaŭ la fotiloj, la plej singardaj kardistoj helpas iun ne tre valoran partneron, mulon. Kaj por ke li ne povu alproprigi la "nigran skatolon" al si, ili uzas . La ŝlosila funkcio estas forigita de la "nigra skatolo" kaj inteligenta telefono estas konektita al ĝi, kiu estas uzata kiel kanalo por fora transdono de komandoj al la detranĉita "nigra skatolo" per la IP-protokolo.
Modifo de la "nigra skatolo", kun aktivigo per fora aliro
Kiel ĝi aspektas el la vidpunkto de bankistoj? Sur la registradoj de videokameraoj-fiksiloj okazas io kiel la jena: certa persono malfermas la supran kupeon (serva areo), ligas la "magian skatolon" al la ATM, fermas la supran kupeon kaj foriras. Iom poste, pluraj homoj, ŝajne ordinaraj klientoj, alproksimiĝas al la ATM, kaj eltiras grandegajn monsumojn. La kardisto tiam revenas kaj prenas sian malgrandan magian aparaton de la ATM. Kutime, la fakto de ATM-atako kun "nigra skatolo" estas detektita nur post kelkaj tagoj: kiam malplena monŝranko kaj mona eliro ne kongruas. Kiel rezulto, bankaj dungitoj restas kun nur .
Analizo de ATM-komunikadoj
Kiel notite supre, la interago inter la sistemunuo kaj ekstercentraj aparatoj estas efektivigita per USB, RS232 aŭ SDC. La kardisto konektas rekte al la haveno de la ekstercentra aparato kaj sendas komandojn al ĝi - preterirante la gastiganton. Ĉi tio estas sufiĉe simpla ĉar la normaj interfacoj ne postulas specifajn ŝoforojn. Kaj proprietaj protokoloj, laŭ kiuj la ekstercentraj kaj la gastiganto interagas, ne postulas rajtigon (post ĉio, la aparato situas ene de la fidinda zono); kaj tial, ĉi tiuj nesekuraj protokoloj, super kiuj la ekstercentra kaj la gastiganto komunikas, estas facile subaŭskultitaj kaj facile alireblaj al ripetatako.
Tio. kardistoj povas uzi programaron aŭ hardvartrafikan analizilon, ligante ĝin rekte al la haveno de specifa periferia aparato (ekzemple, al kartlegilo) por kolekti transdonitajn datenojn. Uzante la trafikan analizilon, la kardisto lernas ĉiujn teknikajn detalojn de la operacio de ATM, inkluzive de nedokumentitaj funkcioj de ĝia periferio (ekzemple, la funkcio ŝanĝi la firmware de ekstercentra aparato). Kiel rezulto, la kardisto havas plenan kontrolon de la ATM. Samtempe, estas sufiĉe malfacile detekti la ĉeeston de trafika analizilo.
Rekta kontrolo super la monbiletdisdonilo signifas, ke la ATM-kasedoj povas esti malplenigitaj sen ajna fiksado en la protokoloj kiujn la programaro deplojita sur la gastiganto normale faras. Por tiuj, kiuj ne konas ATM-aparaton kaj programaran arkitekturon, jen kiel magio povas aspekti.
De kie venas nigraj skatoloj?
ATM-vendistoj kaj subkontraktistoj evoluigas sencimigajn ilojn por diagnozi la ATM-aparaton, inkluzive de la elektromekanikistoj respondecaj pri kontantretprenoj. Ĉi tiuj utilecoj inkluzivas: , . La suba figuro montras kelkajn pli el ĉi tiuj diagnozaj utilecoj.
ATMDesk kontrolpanelo
RapidFire ATM XFS-kontrolpanelo
Komparaj trajtoj de pluraj diagnozaj utilecoj
Aliro al tiaj utilecoj estas normale limigita al personigitaj ĵetonoj; kaj ili funkcias nur kiam la sekura pordo de ATM estas malfermita. Tamen, simple anstataŭigante kelkajn bajtojn en la binara kodo de la utileco, carders "prova" kontantpreno - preterpasante la ĉekojn provizitajn de la servaĵoproduktanto. Kardistoj instalas ĉi tiujn modifitajn servaĵojn sur sia tekokomputilo aŭ unu-estrara mikrokomputilo, kiun ili tiam ŝtopas rekte en monbiletdisdonilon por ŝteli kontantmonon.
La Lasta Mejlo kaj la Falsa Pretigo-Centro
Rekta interago kun ekstercentraj, sen komunikado kun la gastiganto, estas nur unu el la efikaj metodoj de kardado. Aliaj lertaĵoj dependas de la fakto, ke ni havas ampleksan varion de retaj interfacoj per kiuj la ATM komunikas kun la ekstera mondo. De X.25 ĝis Ethernet kaj Ĉela. Multaj ATMs povas esti identigitaj kaj lokalizitaj uzante la Shodan-servon (la plej koncizaj instrukcioj por uzi ĝin estas prezentitaj ), sekvita de atako, kiu parazitas sur vundebla sekureca agordo, maldiligento de la administranto kaj vundeblaj komunikadoj inter diversaj fakoj de la banko.
La "lasta mejlo" de komunikado inter la ATM kaj la pretigcentro estas riĉa je vasta gamo de teknologioj kiuj povas funkcii kiel enirpunkto por la kardisto. Interago povas esti farita per kabla (telefona linio aŭ Eterreto) aŭ sendrata (Wi-Fi, ĉela: CDMA, GSM, UMTS, LTE) komunika metodo. Sekurecaj mekanismoj povas inkluzivi: 1) aparataro aŭ programaro por subteni VPN (ambaŭ normaj, enkonstruitaj en la OS, kaj triaj); 2) SSL/TLS (ambaŭ specifa por aparta ATM-modelo kaj de triaj fabrikistoj); 3) ĉifrado; 4) mesaĝo aŭtentigo.
Tamen, ke por bankoj la listigitaj teknologioj estas tre kompleksaj, kaj tial ili ne ĝenas sin per speciala reta protekto; aŭ efektivigi ĝin kun eraroj. En la plej bona kazo, la ATM konektas al la VPN-servilo, kaj jam ene de la privata reto, ĝi konektas al la pretiga centro. Krome, eĉ se la bankoj sukcesas efektivigi la suprajn defendajn mekanismojn, la kardisto jam havas efikajn atakojn kontraŭ ili. Tio. eĉ se la sekureco konformas al la normo PCI DSS, ATMs ankoraŭ estas vundeblaj.
Unu el la ĉefaj postuloj de la PCI DSS estas, ke ĉiuj sentemaj datumoj, kiam transdonitaj tra publika reto, devas esti ĉifritaj. Kaj ni ja havas retojn, kiuj estis origine desegnitaj tiel, ke la datumoj en ili estas tute ĉifritaj! Tial, estas tentante diri: "Niaj datumoj estas ĉifritaj ĉar ni uzas Wi-Fi kaj GSM." Tamen, multaj el ĉi tiuj retoj ne provizas sufiĉan protekton. Ĉelaj retoj de ĉiuj generacioj estas delonge hakitaj. Fina kaj nerevokebla. Kaj estas eĉ vendistoj, kiuj proponas aparatojn por kapti la datumojn transdonitajn per ili.
Tial, ĉu en nesekura komunikado, ĉu en "privata" reto, kie ĉiu ATM elsendas pri si al aliaj ATM, oni povas komenci "falsan pretigcentron" MiTM-atako - kiu kondukos al la kardisto ekkontrolo de la datumfluoj transdonitaj. inter ATM kaj pretigcentro.
Miloj da ATM-oj estas eble trafitaj. Survoje al vera pretigcentro - la kardisto enmetas sian propran, falsan. Ĉi tiu falsa pretigcentro instrukcias la ATM liveri monbiletojn. Samtempe, la kardisto starigas sian pretigan centron tiel, ke kontantretpreno okazas sendepende de kiu karto estas enigita en la ATM - eĉ se ĝi eksvalidiĝis aŭ havas nulan saldon. La ĉefa afero estas, ke la falsa prilabora centro "rekonas" ĝin. Falsa pretigcentro povas esti aŭ manfaritaĵo aŭ pretigcentra simulilo, origine dizajnita por sencimigi retajn agordojn (alia donaco de la "fabrikisto" ĝis kardistoj).
La sekva figuro rubejo de komandoj por elsendi 40 monbiletojn el la kvara kasedo - senditaj el falsa prilaborado kaj konservitaj en ATM-programaraj protokoloj. Ili aspektas preskaŭ realaj.
Forĵetu komandojn de falsa pretigcentro
fonto: www.habr.com