Sindoqên hesinî yên bi pereyên ku li kolanên bajêr radiwestin nikarin bala hezkirên pereyên bilez bikşînin. Û heger berê rêbazên fizîkî yên safî ji bo valakirina bankomatan dihatin bikaranîn, naha hîn bêtir û bêtir hîleyên bi komputerê yên jêhatî têne bikar anîn. Naha ya herî têkildar ji wan "qutiya reş" e ku di hundurê de mîkrokomputerek yek-pîvan e. Em ê di vê gotarê de biaxivin ka ew çawa dixebite.
Serokê Komeleya Çêkerên ATM ya Navneteweyî (ATMIA)
ATM-ya tîpîk komek pêkhateyên elektromekanîkî yên amade ye ku di yek xanî de têne bicîh kirin. Hilberînerên ATM-ê afirînên xwe yên reqalava ji belavkera fatûreyê, kartêxwenda û hêmanên din ên ku berê ji hêla dabînkerên partiya sêyemîn ve hatine pêşve xistin ava dikin. Cûreyek çêkerek LEGO ji bo mezinan. Parçeyên qedandî di laşê ATM-ê de, ku bi gelemperî ji du beşan pêk tê, têne danîn: parçeyek jorîn ("kabîne" an "herêma karûbarê"), û parçeyek jêrîn (ewle). Hemî hêmanên elektromekanîkî bi portên USB û COM ve bi yekîneya pergalê ve têne girêdan, ku di vê rewşê de wekî mêvandar tevdigere. Li ser modelên kevn ên ATM-ê hûn dikarin pêwendiyan bi otobusa SDC jî bibînin.
Pêşveçûna kartêkirina ATM
ATM-yên ku di hundurê de dravê mezin hene, her gav qertan dikişînin. Di destpêkê de, kardêran tenê kêmasiyên laşî yên mezin ên parastina ATM-ê îstismar kirin - wan skimmers û şimmer bikar anîn da ku daneyan ji xetên magnetîkî bidizin; pîne û kamerayên sexte ji bo dîtina kodên pin; û heta bankomatên sexte jî.
Dûv re, dema ku ATM dest pê kir ku bi nermalava yekbûyî ya ku li gorî standardên hevpar tevdigerin, wek XFS (EXtensions for Financial Services), kardêran dest pê kirin ku bi vîrusên komputerê êrîşî bankomatan bikin.
Di nav wan de Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii û gelek malwareyên din ên bi nav û bênav hene, ku kartêker li ser mêvandarê ATM-ê bi navgîniya ajokerek USB-ya bootable an jî bi riya bendera kontrolê ya dûr a TCP-ê diçînin.
Pêvajoya enfeksiyonê ya ATM
Piştî ku binepergala XFS-ê girt, malware dikare bêyî destûr fermanan bide belavkera banknotê. An jî fermanan bidin xwendevana qertê: xêza magnetîkî ya qerta bankê bixwînin/binivîsin û tewra dîroka danûstendinê ya ku li ser çîpa qerta EMV hatî hilanîn jî bistînin. EPP (PIN Pad-a şîfrekirinê) baldariyek taybetî heq dike. Bi gelemperî tê pejirandin ku koda PIN-a ku li ser hatî nivîsandin nikare were girtin. Lêbelê, XFS dihêle hûn pinpad-a EPP-ê di du awayan de bikar bînin: 1) moda vekirî (ji bo têketina pîvanên hejmarî yên cihêreng, wekî mîqdara ku tê dravdan); 2) moda ewle (EPP gava ku hûn hewce ne ku kodek PIN an bişkojka şîfrekirinê têkevin wê diguhezîne). Vê taybetmendiya XFS dihêle kardêr êrîşek MiTM pêk bîne: fermana aktîvkirina moda ewle ya ku ji mêvandar ji EPP re tê şandin bigire, û dûv re pinpadê EPP agahdar bike ku divê ew di moda vekirî de xebata xwe bidomîne. Di bersiva vê peyamê de, EPP bi nivîsa zelal bişkojkan dişîne.
Prensîba xebitandinê ya "qutiya reş"
Di salên dawî de,
Bi riya gihîştina ji dûr ve êrîşî ATM-ê bikin
Antivirus, astengkirina nûvekirinên firmware, astengkirina portên USB û şîfrekirina dîska hişk - heya radeyekê ATM-ê ji êrişên vîrusê yên ji hêla qertafan ve diparêze. Lê heke kardêr êrîşî mêvandar neke, lê rasterast bi derûdora xwe ve (bi riya RS232 an USB-yê) ve were girêdan - bi kartêxwînerek, peldanka pin an belavkerê dravê re?
Yekem nasîna bi "qutiya reş"
Karkerên teknolojî yên îroyîn
"Qûtika reş" li ser bingeha Raspberry Pi
Hilberînerên herî mezin ên ATM û saziyên îstîxbarata hikûmetê, bi gelek pêkanînên "qutiya reş" re rû bi rû man.
Di heman demê de, ji bo ku dernekevin pêşberî kamerayan, qertelên herî bi îhtîyat ji hevjînek ne pir bi qîmet, mêşhingiv, alîkariyê digirin. Û ji bo ku ew nikaribe "qutiya reş" ji xwe re biguncîne, ew bikar tînin
Guhertina "qutiya reş", bi aktîvkirina bi gihandina ji dûr ve
Li gorî nêrîna bankeran ev yek çawa xuya dike? Di tomarkirinên ji kamerayên vîdyoyê de, tiştek wusa diqewime: Kesek cîhê jorîn (herêma karûbarê) vedike, "qutiya sêrbaz" bi ATM ve girêdide, beşa jorîn digire û derdikeve. Demek şûnda, çend kes, ku xerîdarên asayî xuya dikin, nêzikî ATM-yê dibin û gelek drav dikişînin. Dûv re kartok vedigere û amûra xweya sêhrbazê ya piçûk ji ATM-yê distîne. Bi gelemperî, rastiya êrişek ATM-ê ji hêla "qutiya reş" ve tenê piştî çend rojan tê kifş kirin: gava ku kasa vala û têketina dravê li hev nakin. Wekî encamek, karmendên bankê tenê dikarin
Analîza danûstandinên ATM
Wekî ku li jor hate destnîşan kirin, danûstendina di navbera yekîneya pergalê û cîhazên periferîkî de bi USB, RS232 an SDC ve tête kirin. Carder rasterast bi porta cîhaza dor ve girêdide û fermanan jê re dişîne - ji hêla mêvandar ve derbas dibe. Ev pir hêsan e, ji ber ku navberên standard ne ajokerên taybetî hewce ne. Û protokolên xwedan ên ku pêvek û mêvandar bi hevûdu re têkildar in ne hewceyê destûrnameyê ne (berî her tiştî, cîhaz di hundurê herêmek pêbawer de ye); û ji ber vê yekê ev protokolên neewle, ku bi navgîniya wan pêwendiya dorhêl û mêvandar re têkilî daynin, bi hêsanî têne guhdarî kirin û bi hêsanî ji êrişên dubarekirinê re têkildar in.
Va. Kardêr dikarin analîzkerek seyrûsefera nermalava an hardware bikar bînin, wê rasterast bi porta amûrek dorpêvekî ya taybetî ve girêbidin (mînak, kartêkerek) da ku daneyên veguheztin berhev bikin. Bi karanîna analyzerek seyrûseferê, kardêr hemî hûrguliyên teknîkî yên xebata ATM-ê, tevî fonksiyonên nebelge yên dorhêlên wê (mînakî, fonksiyona guheztina firmware-ya amûrek dorhêlê) fêr dibe. Wekî encamek, kartêker kontrola tevahî li ser ATM-ê digire. Di heman demê de, tespîtkirina hebûna analîzkerek trafîkê pir dijwar e.
Kontrola rasterast a li ser belavkera banknotê tê vê wateyê ku kasetên ATM-ê dikarin bêyî tomarkirinê di têketinên ku bi gelemperî ji hêla nermalava ku li ser mêvandar ve hatî bicîh kirin ve têne vala kirin. Ji bo kesên ku bi mîmariya hardware û nermalava ATM-ê nizanin, ew bi rastî dikare mîna sêrbaz xuya bike.
Qutiyên reş ji ku tên?
Pêşkêşker û taşeronên ATM-ê ji bo teşhîskirina hardware ya ATM-ê, tevî mekanîka elektrîkê ya ku berpirsiyarê vekêşana dravê berpirsiyar e, karûbarên debugkirinê pêşve diçin. Di nav van amûran de:
Panela Kontrolê ya ATMDesk
RapidFire ATM XFS Panela Kontrolê
Taybetmendiyên berawirdî yên çend amûrên tespîtkirinê
Gihîştina karûbarên weha bi gelemperî bi nîşaneyên kesane ve sînorkirî ye; û ew tenê dema ku deriyê ewlekariya ATM vekirî ye dixebitin. Lêbelê, bi tenê bi cîhkirina çend byte di koda binary ya kargêr, kartê de
"Mîloya Dawî" û navenda pêvajoyê ya sexte
Têkiliya rasterast bi derdor re, bêyî danûstendina bi mêvandar re, tenê yek ji teknîkên kartêkirinê yên bi bandor e. Teknîkên din bi vê rastiyê ve girêdayî ne ku me cûrbecûr navbeynkariya torê heye ku bi navgîniya ATM bi cîhana derve re danûstendinê dike. Ji X.25 heya Ethernet û hucreyî. Gelek ATM dikarin bi karanîna karûbarê Shodan bêne nasîn û herêmî kirin (rêberên herî berbiçav ên ji bo karanîna wê têne pêşkêş kirin
"Mîloya dawî" ya danûstendinê ya di navbera ATM û navenda pêvajoyê de ji hêla teknolojiyên cûrbecûr ve dewlemend e ku dikare wekî xalek têketinê ji bo kardêr re xizmet bike. Têkilî dikare bi riya têl (xeta têlefonê an Ethernet) an bêtêl (Wi-Fi, hucreyî: CDMA, GSM, UMTS, LTE) ve were meşandin. Dibe ku mekanîzmayên ewlehiyê ev in: 1) hardware an nermalava ku VPN piştgirî bike (hem standard, di nav OS-ê de hatî çêkirin, hem jî ji aliyên sêyemîn); 2) SSL / TLS (hem ji bo modelek taybetî ya ATM-ê û hem jî ji hilberînerên partiya sêyemîn re taybetî); 3) şîfrekirin; 4) pejirandina peyamê.
Lêbelê,
Yek ji hewcedariyên bingehîn ên PCI DSS ev e ku hemî daneyên hesas dema ku li ser torgilokek gelemperî têne şandin divê werin şîfre kirin. Û bi rastî toreyên me hene ku bi eslê xwe bi vî rengî hatine sêwirandin ku daneyên di wan de bi tevahî şîfrekirî ne! Ji ber vê yekê, ceribandinek e ku meriv bêje: "Daneyên me şîfre ne ji ber ku em Wi-Fi û GSM bikar tînin." Lêbelê, gelek ji van toran ewlehiya têra xwe peyda nakin. Torên hucreyî yên hemî nifşan demek dirêj hatine hack kirin. Di dawiyê de û bêveger. Tewra peydaker hene ku cîhazan pêşkêşî dikin da ku daneyên ku li ser wan hatine veguheztin bigirin.
Ji ber vê yekê, an di danûstendinek neewle de an jî di torgilokek "taybet", ku her ATM xwe ji ATM-yên din re diweşîne, dikare êrîşek "navenda pêvajoyek sexte" ya MiTM were destpêkirin - ku dê bibe sedem ku kardêr kontrola herikîna daneyan a ku di navbera wan de hatî veguheztin bigire dest. ATM û navenda pêvajoyê.
Di wêneya jêrîn de
Fermana navendek pêvajoyek sexte
Source: www.habr.com