Қала көшелерінде тұрған ақшасы бар темір жәшіктер жылдам ақшаны ұнататындардың назарын аудармай тұра алмайды. Ал егер бұрын банкоматтарды босату үшін таза физикалық әдістер қолданылса, қазір компьютерге қатысты епті айлалар көбірек қолданылуда. Қазір олардың ішіндегі ең өзектісі – ішінде бір тақталы микрокомпьютері бар «қара жәшік». Оның қалай жұмыс істейтіні туралы біз осы мақалада айтатын боламыз.
Халықаралық банкомат өндірушілер қауымдастығының (ATMIA) басшысы
Әдеттегі банкомат – бір корпуста орналасқан дайын электромеханикалық компоненттердің жиынтығы. Банкомат өндірушілері шот диспенсерінен, карта оқу құрылғысынан және үшінші тарап жеткізушілері әзірлеген басқа компоненттерден аппараттық құралдарды жасайды. Ересектерге арналған LEGO конструкторының бір түрі. Дайын компоненттер банкомат корпусына орналастырылады, ол әдетте екі бөлімнен тұрады: жоғарғы бөлік («шкаф» немесе «қызмет көрсету аймағы») және төменгі бөлік (сейф). Барлық электромеханикалық құрамдас бөліктер USB және COM порттары арқылы жүйелік блокқа қосылған, бұл жағдайда ол хост рөлін атқарады. Ескі банкомат үлгілерінде сіз SDC шинасы арқылы да қосылымдарды таба аласыз.
Банкомат картасының эволюциясы
Ішінде қомақты сомалар бар банкоматтар үнемі карташыларды тартады. Бастапқыда картерлер банкоматты қорғаудың өрескел физикалық кемшіліктерін ғана пайдаланды - олар магниттік жолақтардан деректерді ұрлау үшін скиммерлер мен жылтырларды пайдаланды; жалған пин-кодтар мен пин кодтарын көруге арналған камералар; және тіпті жалған банкоматтар.
Содан кейін банкоматтар XFS (eXtensions for Financial Services) сияқты жалпы стандарттарға сәйкес жұмыс істейтін бірыңғай бағдарламалық қамтамасыз етумен жабдықтала бастағанда, карта жасаушылар банкоматтарға компьютерлік вирустармен шабуыл жасай бастады.
Олардың арасында Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii және басқа да көптеген атаулы және аталмаған зиянды бағдарламалар бар, олар банкомат хостына жүктелетін USB флэш-дискісі арқылы немесе TCP қашықтан басқару порты арқылы орналасады.
Банкоматтарды жұқтыру процесі
XFS ішкі жүйесін басып алған зиянды бағдарлама банкноттарды таратушыға рұқсатсыз командалар бере алады. Немесе картаны оқу құрылғысына пәрмендер беріңіз: банк картасының магниттік жолағын оқу/жазу және тіпті EMV картасының чипінде сақталған транзакциялар тарихын шығарып алу. EPP (Шифрлау PIN тақтасы) ерекше назар аударуды қажет етеді. Оған енгізілген PIN-кодты ұстап алу мүмкін емес деп жалпы қабылданған. Дегенмен, XFS EPP пин-пад тақтасын екі режимде пайдалануға мүмкіндік береді: 1) ашық режим (қолма-қол ақшаға аударылатын сома сияқты әртүрлі сандық параметрлерді енгізу үшін); 2) қауіпсіз режим (EPP оған PIN кодын немесе шифрлау кілтін енгізу қажет болғанда ауысады). XFS-тің бұл мүмкіндігі картерге MiTM шабуылын орындауға мүмкіндік береді: хосттан EPP-ге жіберілген қауіпсіз режимді белсендіру пәрменін тоқтатыңыз, содан кейін EPP пин-пад тақтасына ашық режимде жұмысын жалғастыру керек екенін хабарлаңыз. Осы хабарға жауап ретінде EPP пернелерді басуларды анық мәтінде жібереді.
«Қара жәшіктің» жұмыс принципі
Соңғы жылдары,
Қашықтан қол жеткізу арқылы банкоматқа шабуыл жасау
Антивирустар, микробағдарлама жаңартуларын блоктау, USB порттарын блоктау және қатты дискіні шифрлау - белгілі бір дәрежеде банкоматты карта жасаушылардың вирустық шабуылдарынан қорғайды. Бірақ егер картон хостқа шабуыл жасамаса, бірақ тікелей периферияға (RS232 немесе USB арқылы) - картаны оқу құрылғысына, пин-подка немесе кассалық диспенсерге қосылса ше?
«Қара жәшікпен» алғашқы танысу
Бүгінгі технологияны меңгерген карташылар
Raspberry Pi негізіндегі «Қара жәшік».
Ең ірі банкомат өндірушілері мен мемлекеттік барлау агенттіктері «қара жәшіктің» бірнеше енгізуіне тап болды,
Сонымен бірге, камералардың алдына түспеу үшін, ең сақтық танытушылар өте құнды емес серіктес, қашырдың көмегіне жүгінеді. Ол «қара жәшікті» өзіне ала алмау үшін пайдаланады
Қашықтан қол жеткізу арқылы белсендіру арқылы «қара жәшікті» өзгерту
Бұл банкирлердің көзқарасы бойынша қалай көрінеді? Бейнекамералардың жазбаларында осындай нәрсе орын алады: белгілі бір адам жоғарғы бөлімді (қызмет көрсету аймағын) ашады, банкоматқа «сиқырлы қорапты» қосады, жоғарғы бөлікті жауып, кетеді. Сәлден соң банкоматқа қарапайым тұтынушылар болып көрінетін бірнеше адам келіп, қомақты ақша алады. Кардер содан кейін банкоматтан өзінің кішкентай сиқырлы құрылғысын қайтарып алады. Әдетте, банкоматтың «қара жәшіктің» шабуылы фактісі бірнеше күннен кейін ғана анықталады: бос сейф пен қолма-қол ақшаны алу журналы сәйкес келмегенде. Нәтижесінде банк қызметкерлері ғана алады
Банкоматтардың байланысын талдау
Жоғарыда айтылғандай, жүйелік блок пен перифериялық құрылғылар арасындағы өзара әрекет USB, RS232 немесе SDC арқылы жүзеге асырылады. Кардер перифериялық құрылғының портына тікелей қосылады және оған командаларды жібереді - хостты айналып өтеді. Бұл өте қарапайым, өйткені стандартты интерфейстер нақты драйверлерді қажет етпейді. Ал перифериялық және хост өзара әрекеттесетін меншікті протоколдар авторизацияны қажет етпейді (ақыр соңында құрылғы сенімді аймақ ішінде орналасқан); сондықтан перифериялық құрылғы мен хост байланысатын бұл қауіпті протоколдар оңай тыңдалады және қайталанатын шабуылдарға оңай сезімтал болады.
Бұл. Кардерлер жіберілетін деректерді жинау үшін оны нақты перифериялық құрылғының портына (мысалы, картаны оқу құрылғысы) тікелей қоса отырып, бағдарламалық немесе аппараттық трафик анализаторын пайдалана алады. Трафик анализаторын пайдалана отырып, карташы банкомат жұмысының барлық техникалық мәліметтерін, оның ішінде оның перифериялық құрылғыларының құжатталмаған функцияларын (мысалы, перифериялық құрылғының микробағдарламасын өзгерту функциясы) үйренеді. Нәтижесінде карташы банкоматты толық бақылауға алады. Бұл ретте трафик анализаторының болуын анықтау өте қиын.
Банкнот диспенсерін тікелей бақылау банкомат кассеталарын әдетте хостта орналастырылған бағдарламалық құрал енгізетін журналдарда ешқандай жазбасыз босатуға болатындығын білдіреді. Банкоматтың аппараттық және бағдарламалық жасақтамасы архитектурасымен таныс емес адамдар үшін ол шынымен сиқыр сияқты көрінуі мүмкін.
Қара жәшіктер қайдан келеді?
Банкомат жеткізушілері мен қосалқы мердігерлері қолма-қол ақшаны алуға жауапты электр механиктерін қоса, банкомат аппараттық құралдарын диагностикалау үшін жөндеу утилиталарын әзірлеуде. Осы утилиталардың ішінде:
ATMDesk басқару тақтасы
RapidFire ATM XFS басқару тақтасы
Бірнеше диагностикалық утилиталардың салыстырмалы сипаттамасы
Мұндай утилиталарға қолжетімділік әдетте жекелендірілген белгілермен шектеледі; және олар банкомат сейфінің есігі ашық болғанда ғана жұмыс істейді. Дегенмен, утилитаның екілік кодындағы бірнеше байтты ауыстыру арқылы, картерлер
«Соңғы миль» және жалған өңдеу орталығы
Хостпен байланыссыз перифериямен тікелей өзара әрекеттесу тиімді тарақ әдістерінің бірі ғана болып табылады. Басқа әдістер бізде банкомат сыртқы әлеммен байланысатын көптеген желілік интерфейстердің бар екендігіне негізделген. X.25 бастап Ethernet және ұялы байланыс. Көптеген банкоматтарды Shodan сервисінің көмегімен анықтауға және локализациялауға болады (оны пайдалану бойынша ең қысқа нұсқаулар берілген).
Банкомат пен процессингтік орталық арасындағы байланыстың «соңғы милясы» карташы үшін кіру нүктесі бола алатын алуан түрлі технологияларға бай. Өзара әрекеттесу сымды (телефон желісі немесе Ethernet) немесе сымсыз (Wi-Fi, ұялы: CDMA, GSM, UMTS, LTE) байланыс әдісі арқылы жүзеге асырылуы мүмкін. Қауіпсіздік тетіктері мыналарды қамтуы мүмкін: 1) VPN-ге қолдау көрсетуге арналған аппараттық немесе бағдарламалық құрал (екеуі де стандартты, ОЖ-ға енгізілген және үшінші тараптардан); 2) SSL/TLS (нақты банкомат үлгісіне тән және үшінші тарап өндірушілерінен); 3) шифрлау; 4) хабарламаның аутентификациясы.
Алайда,
PCI DSS негізгі талаптарының бірі жалпыға ортақ желі арқылы жіберілген кезде барлық құпия деректер шифрлануы керек. Бізде бастапқыда олардағы деректер толығымен шифрланғандай етіп жасалған желілер бар! Сондықтан: «Біздің деректеріміз шифрланған, өйткені біз Wi-Fi және GSM пайдаланамыз» деп айту қызықтырады. Дегенмен, бұл желілердің көпшілігі жеткілікті қауіпсіздікті қамтамасыз етпейді. Барлық ұрпақтардың ұялы желілері бұрыннан бұзылған. Ақырында және қайтымсыз. Тіпті олар арқылы берілетін деректерді ұстап алу үшін құрылғыларды ұсынатын жеткізушілер де бар.
Сондықтан, қауіпті байланыста немесе әрбір банкомат өзін басқа банкоматтарға тарататын «жеке» желіде MiTM «жалған процессингтік орталық» шабуылы басталуы мүмкін, бұл картаның банкоматтар арасында тасымалданатын деректер ағынын бақылауды басып алуына әкеледі. Банкомат және процессинг орталығы.
Келесі суретте
Жалған өңдеу орталығының командалық үйіндісі
Ақпарат көзі: www.habr.com