Akwatunan ƙarfe da kuɗi a tsaye a kan titunan birni ba za su iya taimakawa ba face jawo hankalin masoyan kuɗi masu sauri. Kuma idan a baya ana amfani da hanyoyin zahiri ne kawai don zubar da ATMs, yanzu ana amfani da dabaru masu alaƙa da kwamfuta. Yanzu mafi dacewa daga cikinsu shine "akwatin baki" tare da microcomputer guda ɗaya a ciki. Za mu yi magana game da yadda yake aiki a cikin wannan labarin.
Shugaban Kungiyar Masu Kera ATM ta Duniya (ATMIA)
ATM na yau da kullun shine saitin kayan aikin lantarki da aka yi da shi wanda ke cikin gida ɗaya. Masu kera ATM suna gina kayan aikinsu daga mai ba da lissafi, mai karanta kati da sauran abubuwan da aka riga aka kirkira daga wasu kamfanoni. Wani nau'in ginin LEGO na manya. Abubuwan da aka gama ana sanya su a cikin jikin ATM, wanda yawanci ya ƙunshi sassa biyu: babban ɗaki ("cabinet" ko "yankin sabis"), da ƙananan ɗaki (aminci). Ana haɗa duk abubuwan haɗin lantarki ta hanyar tashoshin USB da COM zuwa sashin tsarin, wanda a wannan yanayin yana aiki azaman mai watsa shiri. A kan tsofaffin samfuran ATM kuma kuna iya samun haɗin kai ta bas ɗin SDC.
Juyin ATM carding
ATMs masu tarin yawa a ciki koyaushe suna jan hankalin masu kati. Da farko, masu yin kati sun yi amfani da babban raunin jiki na kariya ta ATM - sun yi amfani da skimmers da shimmers don satar bayanai daga ratsin maganadisu; faifan fil na karya da kyamarori don duba lambobin fil; da ma na ATM na jabu.
Bayan haka, lokacin da ATMs ya fara samar da kayan masarufi guda ɗaya waɗanda ke aiki bisa ga ƙa'idodin gama gari, irin su XFS (eXtensions for Financial Services), masu yin kati sun fara kai hari ga ATMs da ƙwayoyin cuta na kwamfuta.
Daga cikin su akwai Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii da sauran malware masu yawa da ba a bayyana sunansu ba, waɗanda masu yin kati ke shukawa a gidan ATM ɗin ta hanyar kebul na USB mai bootable ko ta tashar tashar nesa ta TCP.
ATM kamuwa da cuta tsari
Bayan kama tsarin tsarin XFS, malware na iya ba da umarni ga mai ba da takardar kuɗi ba tare da izini ba. Ko ba da umarni ga mai karanta katin: karanta/rubuta faifan maganadisu na katin banki har ma da dawo da tarihin ciniki da aka adana a guntuwar katin EMV. EPP (Encrypting PIN Pad) ya cancanci kulawa ta musamman. An yarda gabaɗaya cewa lambar PIN da aka shigar a kanta ba za ta iya kutsawa ba. Koyaya, XFS yana ba ku damar amfani da pinpad na EPP ta hanyoyi biyu: 1) yanayin buɗewa (don shigar da sigogin lambobi daban-daban, kamar adadin da za'a fitar); 2) Yanayin aminci (EPP yana canza shi lokacin da kake buƙatar shigar da lambar PIN ko maɓallin ɓoyewa). Wannan fasalin na XFS yana ba mai kati damar kai harin MiTM: tsallaka umarnin kunna yanayin lafiya wanda aka aika daga mai watsa shiri zuwa EPP, sannan sanar da faifan EPP cewa ya ci gaba da aiki a cikin yanayin buɗewa. Don amsa wannan sakon, EPP tana aika maɓallai a cikin madaidaicin rubutu.
Ƙa'idar aiki na "black box"
A cikin 'yan shekarun nan,
Kai hari kan ATM ta hanyar shiga nesa
Antiviruses, toshe sabunta firmware, toshe tashoshin USB da ɓoye rumbun kwamfutarka - zuwa wani lokaci suna kare ATM daga hare-haren ƙwayoyin cuta daga masu kati. Amma idan mai kati bai kai hari ga mai watsa shiri ba, amma ya haɗa kai tsaye zuwa gefen (ta hanyar RS232 ko USB) - zuwa mai karanta katin, kushin fil ko mai rarraba kuɗi?
Sanin farko da “baƙin akwatin”
Kati masu basirar fasaha na yau
"Bakar Akwatin" bisa Rasberi Pi
Manyan masana'antun ATM da hukumomin leken asiri na gwamnati, sun fuskanci aiwatarwa da yawa na "akwatin baƙar fata",
A lokaci guda kuma, don kada ya bayyana a gaban kyamarori, masu kati masu hankali suna ɗaukar taimakon wasu ba abokin tarayya mai mahimmanci ba, alfadari. Kuma don kada ya dace da "akwatin baƙar fata" don kansa, suna amfani da su
Gyaran "akwatin baƙar fata", tare da kunnawa ta hanyar shiga mai nisa
Menene wannan kama daga mahangar ma'aikatan banki? A cikin rikodi daga kyamarori na bidiyo, wani abu kamar haka yana faruwa: wani mutum ya buɗe babban ɗakin (yankin sabis), ya haɗa "akwatin sihiri" zuwa ATM, ya rufe babban ɗakin kuma ya fita. Daga baya kadan, mutane da dama, da alama kwastomomi ne na gari, suka tunkari na’urar ATM suka ciro makudan kudade. Mai kati ya dawo ya dauko ƴan na'urar sihirinsa daga ATM. Yawanci, gaskiyar harin ATM ta hanyar “akwatin baƙar fata” ana gano shi ne kawai bayan ƴan kwanaki: lokacin da ajiyar fanko da log ɗin cire kuɗi ba su daidaita ba. A sakamakon haka, ma'aikatan banki na iya kawai
Binciken hanyoyin sadarwa na ATM
Kamar yadda muka gani a sama, ana yin hulɗa tsakanin naúrar tsarin da na'urorin gefe ta USB, RS232 ko SDC. Kati yana haɗa kai tsaye zuwa tashar jiragen ruwa na na'urar da ke gefe kuma ya aika da umarni zuwa gare ta - yana ƙetare mai watsa shiri. Wannan abu ne mai sauƙi, saboda daidaitattun musaya ba sa buƙatar kowane takamaiman direbobi. Kuma ka'idojin mallakar mallaka waɗanda na gefe da mai watsa shirye-shiryen ke hulɗa ba sa buƙatar izini (bayan haka, na'urar tana cikin yankin da aka amince); sabili da haka waɗannan ƙa'idodi marasa tsaro, ta hanyarsu na gefe da mai watsa shirye-shiryen suna sadarwa, cikin sauƙin saurare da sauƙi don sake maimaita harin.
Wannan. Masu kati na iya amfani da software ko na'urar tantance zirga-zirgar kayan masarufi, haɗa shi kai tsaye zuwa tashar jiragen ruwa ta takamaiman na'ura (misali, mai karanta kati) don tattara bayanan da aka watsa. Yin amfani da na'urar tantance zirga-zirga, mai kati yana koyon duk cikakkun bayanai na fasaha na aikin ATM, gami da ayyukan da ba a rubuta ba na abubuwan da ke kewaye da shi (misali, aikin canza firmware na na'urar ta gefe). A sakamakon haka, kati ya sami cikakken iko akan ATM. A lokaci guda, yana da matukar wahala a gano gaban na'urar tantance hanya.
Sarrafa kai tsaye a kan na'urar ta banki yana nufin cewa za a iya kwashe kaset ɗin ATM ba tare da wani rikodi ba a cikin rajistan ayyukan, waɗanda galibi software ɗin da aka saka a kan ma'aikata ke shigar da su. Ga waɗanda basu san kayan aikin ATM da gine-ginen software ba, da gaske yana iya kama da sihiri.
Daga ina bakaken akwatuna ke fitowa?
Masu samar da ATM da ƴan kwangilar ƙasa suna haɓaka kayan aikin gyara kurakurai don tantance kayan aikin ATM, gami da injiniyoyin lantarki da ke da alhakin cire kuɗi. Daga cikin waɗannan abubuwan amfani:
ATMDesk Control Panel
RapidFire ATM XFS Control Panel
Halayen kwatancen kayan aikin bincike da yawa
Samun damar zuwa irin waɗannan abubuwan amfani galibi yana iyakance ga keɓaɓɓun alamomi; kuma suna aiki ne kawai lokacin da ATM ɗin lafiya ya buɗe. Koyaya, ta hanyar maye gurbin ƴan bytes a cikin lambar binary na mai amfani, masu kati
“Mile na ƙarshe” da cibiyar sarrafa karya
Yin hulɗa kai tsaye tare da kewaye, ba tare da sadarwa tare da mai watsa shiri ba, ɗaya ne kawai daga cikin ingantattun dabarun yin katin. Sauran fasahohin sun dogara da gaskiyar cewa muna da nau'ikan hanyoyin sadarwa iri-iri ta hanyar da ATM ke sadarwa da duniyar waje. Daga X.25 zuwa Ethernet da salon salula. Yawancin ATMs za a iya ganowa kuma a keɓance su ta amfani da sabis na Shodan (an gabatar da mafi ƙayyadaddun umarnin amfani da shi
"Mile na ƙarshe" na sadarwa tsakanin ATM da cibiyar sarrafawa yana da wadata a cikin fasahohi iri-iri masu yawa waɗanda zasu iya zama hanyar shigarwa ga katin. Ana iya yin hulɗa ta hanyar waya (layin waya ko Ethernet) ko mara waya (Wi-Fi, salon salula: CDMA, GSM, UMTS, LTE) hanyar sadarwa. Hanyoyin tsaro na iya haɗawa da: 1) hardware ko software don tallafawa VPN (duka daidaitattun, an gina su a cikin OS, kuma daga ɓangare na uku); 2) SSL/TLS (dukansu musamman ga wani samfurin ATM na musamman kuma daga masana'antun ɓangare na uku); 3) boye-boye; 4) Tabbatar da saƙo.
Duk da haka,
Ɗaya daga cikin mahimman buƙatun PCI DSS shine cewa duk mahimman bayanai dole ne a rufaffen ɓoye lokacin da aka watsa su akan hanyar sadarwar jama'a. Kuma a zahiri muna da cibiyoyin sadarwar da aka tsara su ta hanyar da bayanan da ke cikin su ke rufaffen su gaba ɗaya! Saboda haka, yana da jaraba a ce: "An ɓoye bayananmu saboda muna amfani da Wi-Fi da GSM." Koyaya, yawancin waɗannan cibiyoyin sadarwa ba su samar da isasshen tsaro. An dade ana satar hanyoyin sadarwar salula na dukkan tsararraki. A ƙarshe kuma ba za a iya cirewa ba. Kuma akwai ma masu samar da kayayyaki waɗanda ke ba da na'urori don sutse bayanan da aka watsa a kansu.
Don haka, ko dai a cikin hanyar sadarwa mara tsaro ko kuma a cikin hanyar sadarwa ta “private”, inda kowace ATM ke watsa kanta zuwa wasu na’urorin ATM, ana iya fara kai harin “cibiyar sarrafa karya” ta MiTM - wanda hakan zai kai ga mai daukar katin ya kwace ikon sarrafa bayanan da ake yadawa tsakanin su. ATM da cibiyar sarrafawa.
A cikin hoto mai zuwa
Rushe umarnin cibiyar sarrafa karya
source: www.habr.com