Feraj skatoloj kun mono staranta sur la stratoj de la urbo ne povas ne altiri la atenton de amantoj de rapida mono. Kaj se en la pasinteco oni uzis pure fizikajn metodojn por malplenigi ATM, nun pli kaj pli oni uzas lertajn lertaĵojn rilate komputilojn. Nun la plej grava el ili estas la "nigra skatolo" kun unuestrara mikrokomputilo ene. Ni parolos pri kiel ĝi funkcias en ĉi tiu artikolo.
Estro de la Internacia Asocio de ATM-Produktantoj (ATMIA)
Tipa ATM estas aro de pretaj elektromekanikaj komponentoj metitaj en unu loĝejon. ATM-fabrikistoj konstruas siajn ferajn kreaĵojn el monbiletdisdonilo, kartlegilo kaj aliaj komponantoj jam evoluigitaj de triaj vendistoj. Speco de LEGO-konstruanto por plenkreskuloj. Finitaj komponentoj estas metitaj en la ATM-kazon, kiu kutime konsistas el du kupeoj: la supra kupeo ("kabineto" aŭ "servareo"), kaj la malsupra kupeo (sekura). Ĉiuj elektromekanikaj komponantoj estas konektitaj per USB kaj COM-havenoj al la sistemunuo, kiu ĉi-kaze funkcias kiel gastiganto. Sur pli malnovaj modeloj de ATM, vi ankaŭ povas trovi konektojn per la SDC-buso.
La evoluo de ATM-kartado
ATMs kun grandegaj kvantoj interne senescepte altiras kardistojn al ili. Komence, kardistoj ekspluatis nur krudajn fizikajn difektojn en ATM-sekureco - ili uzis skimmers kaj shimmers por ŝteli datumojn de magnetstrioj; falsaj pingloj kaj fotiloj por vidi pinkodojn; kaj eĉ falsaj bankaŭtomatoj.
Tiam, kiam ATM-oj komencis esti ekipitaj per unuigita programaro, kiu funkcias laŭ komunaj normoj, kiel XFS (eXtensions for Financial Services), kardistoj komencis ataki ATM-ojn per komputilaj virusoj.
Inter ili estas Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii, kaj multaj aliaj nomitaj kaj nenomitaj malware, kiujn kardistoj plantas sur la ATM-gastiganto aŭ per startebla poŝmemoro aŭ per la telerega TCP-haveno.
ATM-infekta procezo
Kaptinte la XFS-subsistemon, la malbon-programo povas elsendi komandojn al la monbiletdisdonilo sen rajtigo. Aŭ donu komandojn al la kartlegilo: legu / skribu la magnetan strion de bankkarto kaj eĉ ĉerpi la transakcian historion konservitan sur la EMV-kartpeceto. EPP (Encrypting PIN Pad; ĉifrita pinpad) meritas specialan atenton. Estas ĝenerale akceptite ke la PIN-kodo enigita sur ĝi ne povas esti kaptita. Tamen, XFS ebligas al vi uzi la EPP-pinpad en du reĝimoj: 1) malferma reĝimo (por enigi diversajn nombrajn parametrojn, kiel la kvanton elsendan); 2) sekura reĝimo (EPP ŝanĝas al ĝi kiam vi bezonas enigi pinkodon aŭ ĉifradan ŝlosilon). Ĉi tiu trajto de XFS permesas al la kardisto efektivigi MiTM-atakon: por kapti la sekuran reĝiman aktivigan komandon kiu estas sendita de la gastiganto al la EPP, kaj tiam diri al la EPP-pinpad ke laboro devus daŭri en malferma reĝimo. Responde al ĉi tiu mesaĝo, EPP sendas klavopremojn en simpla teksto.
La principo de funkciado de la "nigra skatolo"
En la lastaj jaroj,
ATM-atako per fora aliro
Antivirusoj, blokado de firmware ĝisdatigoj, blokado de USB-havenoj kaj ĉifrado de la malmola disko - iagrade protektas la ATM kontraŭ virusaj atakoj de kardistoj. Sed kio se la kardisto ne atakas la gastiganton, sed konektas rekte al la periferio (per RS232 aŭ USB) - al kartlegilo, pinglo-kuseneto aŭ mondissendilo?
La unua konato kun la "nigra skatolo"
Hodiaŭ, teknologiaj kardistoj
"Nigra skatolo" bazita sur Raspberry Pi
La plej grandaj produktantoj de ATM kaj registaraj spionagentejoj, alfrontitaj kun pluraj efektivigoj de la "nigra skatolo",
Samtempe, por ne brili antaŭ la fotiloj, la plej singardaj kardistoj helpas iun ne tre valoran partneron, mulon. Kaj por ke li ne povu alproprigi la "nigran skatolon" al si, ili uzas
Modifo de la "nigra skatolo", kun aktivigo per fora aliro
Kiel ĝi aspektas el la vidpunkto de bankistoj? Sur la registradoj de videokameraoj-fiksiloj okazas io kiel la jena: certa persono malfermas la supran kupeon (serva areo), ligas la "magian skatolon" al la ATM, fermas la supran kupeon kaj foriras. Iom poste, pluraj homoj, ŝajne ordinaraj klientoj, alproksimiĝas al la ATM, kaj eltiras grandegajn monsumojn. La kardisto tiam revenas kaj prenas sian malgrandan magian aparaton de la ATM. Kutime, la fakto de ATM-atako kun "nigra skatolo" estas detektita nur post kelkaj tagoj: kiam malplena monŝranko kaj mona eliro ne kongruas. Kiel rezulto, bankaj dungitoj restas kun nur
Analizo de ATM-komunikadoj
Kiel notite supre, la interago inter la sistemunuo kaj ekstercentraj aparatoj estas efektivigita per USB, RS232 aŭ SDC. La kardisto konektas rekte al la haveno de la ekstercentra aparato kaj sendas komandojn al ĝi - preterirante la gastiganton. Ĉi tio estas sufiĉe simpla ĉar la normaj interfacoj ne postulas specifajn ŝoforojn. Kaj proprietaj protokoloj, laŭ kiuj la ekstercentraj kaj la gastiganto interagas, ne postulas rajtigon (post ĉio, la aparato situas ene de la fidinda zono); kaj tial, ĉi tiuj nesekuraj protokoloj, super kiuj la ekstercentra kaj la gastiganto komunikas, estas facile subaŭskultitaj kaj facile alireblaj al ripetatako.
Tio. kardistoj povas uzi programaron aŭ hardvartrafikan analizilon, ligante ĝin rekte al la haveno de specifa periferia aparato (ekzemple, al kartlegilo) por kolekti transdonitajn datenojn. Uzante la trafikan analizilon, la kardisto lernas ĉiujn teknikajn detalojn de la operacio de ATM, inkluzive de nedokumentitaj funkcioj de ĝia periferio (ekzemple, la funkcio ŝanĝi la firmware de ekstercentra aparato). Kiel rezulto, la kardisto havas plenan kontrolon de la ATM. Samtempe, estas sufiĉe malfacile detekti la ĉeeston de trafika analizilo.
Rekta kontrolo super la monbiletdisdonilo signifas, ke la ATM-kasedoj povas esti malplenigitaj sen ajna fiksado en la protokoloj kiujn la programaro deplojita sur la gastiganto normale faras. Por tiuj, kiuj ne konas ATM-aparaton kaj programaran arkitekturon, jen kiel magio povas aspekti.
De kie venas nigraj skatoloj?
ATM-vendistoj kaj subkontraktistoj evoluigas sencimigajn ilojn por diagnozi la ATM-aparaton, inkluzive de la elektromekanikistoj respondecaj pri kontantretprenoj. Ĉi tiuj utilecoj inkluzivas:
ATMDesk kontrolpanelo
RapidFire ATM XFS-kontrolpanelo
Komparaj trajtoj de pluraj diagnozaj utilecoj
Aliro al tiaj utilecoj estas normale limigita al personigitaj ĵetonoj; kaj ili funkcias nur kiam la sekura pordo de ATM estas malfermita. Tamen, simple anstataŭigante kelkajn bajtojn en la binara kodo de la utileco, carders
La Lasta Mejlo kaj la Falsa Pretigo-Centro
Rekta interago kun ekstercentraj, sen komunikado kun la gastiganto, estas nur unu el la efikaj metodoj de kardado. Aliaj lertaĵoj dependas de la fakto, ke ni havas ampleksan varion de retaj interfacoj per kiuj la ATM komunikas kun la ekstera mondo. De X.25 ĝis Ethernet kaj Ĉela. Multaj ATMs povas esti identigitaj kaj lokalizitaj uzante la Shodan-servon (la plej koncizaj instrukcioj por uzi ĝin estas prezentitaj
La "lasta mejlo" de komunikado inter la ATM kaj la pretigcentro estas riĉa je vasta gamo de teknologioj kiuj povas funkcii kiel enirpunkto por la kardisto. Interago povas esti farita per kabla (telefona linio aŭ Eterreto) aŭ sendrata (Wi-Fi, ĉela: CDMA, GSM, UMTS, LTE) komunika metodo. Sekurecaj mekanismoj povas inkluzivi: 1) aparataro aŭ programaro por subteni VPN (ambaŭ normaj, enkonstruitaj en la OS, kaj triaj); 2) SSL/TLS (ambaŭ specifa por aparta ATM-modelo kaj de triaj fabrikistoj); 3) ĉifrado; 4) mesaĝo aŭtentigo.
Tamen,
Unu el la ĉefaj postuloj de la PCI DSS estas, ke ĉiuj sentemaj datumoj, kiam transdonitaj tra publika reto, devas esti ĉifritaj. Kaj ni ja havas retojn, kiuj estis origine desegnitaj tiel, ke la datumoj en ili estas tute ĉifritaj! Tial, estas tentante diri: "Niaj datumoj estas ĉifritaj ĉar ni uzas Wi-Fi kaj GSM." Tamen, multaj el ĉi tiuj retoj ne provizas sufiĉan protekton. Ĉelaj retoj de ĉiuj generacioj estas delonge hakitaj. Fina kaj nerevokebla. Kaj estas eĉ vendistoj, kiuj proponas aparatojn por kapti la datumojn transdonitajn per ili.
Tial, ĉu en nesekura komunikado, ĉu en "privata" reto, kie ĉiu ATM elsendas pri si al aliaj ATM, oni povas komenci "falsan pretigcentron" MiTM-atako - kiu kondukos al la kardisto ekkontrolo de la datumfluoj transdonitaj. inter ATM kaj pretigcentro.
La sekva figuro
Forĵetu komandojn de falsa pretigcentro
fonto: www.habr.com