Sindoqên hesinî yên bi pereyên ku li kolanên bajêr radiwestin nikarin bala hezkirên pereyên bilez bikşînin. Û heger berê rêbazên fizîkî yên safî ji bo valakirina bankomatan dihatin bikaranîn, naha hîn bêtir û bêtir hîleyên bi komputerê yên jêhatî têne bikar anîn. Naha ya herî têkildar ji wan "qutiya reş" e ku di hundurê de mîkrokomputerek yek-pîvan e. Em ê di vê gotarê de biaxivin ka ew çawa dixebite.
Serokê Komeleya Çêkerên ATM ya Navneteweyî (ATMIA) "qutiyên reş" ji bo bankomatan xetereya herî xeternak e.
ATM-ya tîpîk komek pêkhateyên elektromekanîkî yên amade ye ku di yek xanî de têne bicîh kirin. Hilberînerên ATM-ê afirînên xwe yên reqalava ji belavkera fatûreyê, kartêxwenda û hêmanên din ên ku berê ji hêla dabînkerên partiya sêyemîn ve hatine pêşve xistin ava dikin. Cûreyek çêkerek LEGO ji bo mezinan. Parçeyên qedandî di laşê ATM-ê de, ku bi gelemperî ji du beşan pêk tê, têne danîn: parçeyek jorîn ("kabîne" an "herêma karûbarê"), û parçeyek jêrîn (ewle). Hemî hêmanên elektromekanîkî bi portên USB û COM ve bi yekîneya pergalê ve têne girêdan, ku di vê rewşê de wekî mêvandar tevdigere. Li ser modelên kevn ên ATM-ê hûn dikarin pêwendiyan bi otobusa SDC jî bibînin.
Pêşveçûna kartêkirina ATM
ATM-yên ku di hundurê de dravê mezin hene, her gav qertan dikişînin. Di destpêkê de, kardêran tenê kêmasiyên laşî yên mezin ên parastina ATM-ê îstismar kirin - wan skimmers û şimmer bikar anîn da ku daneyan ji xetên magnetîkî bidizin; pîne û kamerayên sexte ji bo dîtina kodên pin; û heta bankomatên sexte jî.
Dûv re, dema ku ATM dest pê kir ku bi nermalava yekbûyî ya ku li gorî standardên hevpar tevdigerin, wek XFS (EXtensions for Financial Services), kardêran dest pê kirin ku bi vîrusên komputerê êrîşî bankomatan bikin.
Di nav wan de Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii û gelek malwareyên din ên bi nav û bênav hene, ku kartêker li ser mêvandarê ATM-ê bi navgîniya ajokerek USB-ya bootable an jî bi riya bendera kontrolê ya dûr a TCP-ê diçînin.
Pêvajoya enfeksiyonê ya ATM
Piştî ku binepergala XFS-ê girt, malware dikare bêyî destûr fermanan bide belavkera banknotê. An jî fermanan bidin xwendevana qertê: xêza magnetîkî ya qerta bankê bixwînin/binivîsin û tewra dîroka danûstendinê ya ku li ser çîpa qerta EMV hatî hilanîn jî bistînin. EPP (PIN Pad-a şîfrekirinê) baldariyek taybetî heq dike. Bi gelemperî tê pejirandin ku koda PIN-a ku li ser hatî nivîsandin nikare were girtin. Lêbelê, XFS dihêle hûn pinpad-a EPP-ê di du awayan de bikar bînin: 1) moda vekirî (ji bo têketina pîvanên hejmarî yên cihêreng, wekî mîqdara ku tê dravdan); 2) moda ewle (EPP gava ku hûn hewce ne ku kodek PIN an bişkojka şîfrekirinê têkevin wê diguhezîne). Vê taybetmendiya XFS dihêle kardêr êrîşek MiTM pêk bîne: fermana aktîvkirina moda ewle ya ku ji mêvandar ji EPP re tê şandin bigire, û dûv re pinpadê EPP agahdar bike ku divê ew di moda vekirî de xebata xwe bidomîne. Di bersiva vê peyamê de, EPP bi nivîsa zelal bişkojkan dişîne.
Prensîba xebitandinê ya "qutiya reş"
Di salên dawî de, Europol, malware ATM bi girîngî pêş ketiye. Karker êdî ne hewce ne ku xwedan gihandina fizîkî ya ATM-yê bibin da ku wê vegirin. Ew dikarin bankomatan bi êrîşên torê yên dûr ve bi karanîna tora pargîdanî ya bankê vebigirin. Koma IB, di sala 2016'an de li zêdetirî 10 welatên Ewropayê, ATM rastî êrîşên ji dûr ve hatin.
Bi riya gihîştina ji dûr ve êrîşî ATM-ê bikin
Antivirus, astengkirina nûvekirinên firmware, astengkirina portên USB û şîfrekirina dîska hişk - heya radeyekê ATM-ê ji êrişên vîrusê yên ji hêla qertafan ve diparêze. Lê heke kardêr êrîşî mêvandar neke, lê rasterast bi derûdora xwe ve (bi riya RS232 an USB-yê) ve were girêdan - bi kartêxwînerek, peldanka pin an belavkerê dravê re?
Yekem nasîna bi "qutiya reş"
Karkerên teknolojî yên îroyîn , bi navê ji bo dizîna pere ji ATM bikaranîn. "Qutîkên reş" bi taybetî mîkrokomputerên yek-pişteyê bernamekirî ne, mîna Raspberry Pi. "Qutîkên reş" bankomatan bi tevahî, bi rengek bi tevahî efsûnî (ji nêrîna bankeran) vala dikin. Carders amûrê xwe yê sêrbaz rasterast bi belavkera fatûreyê ve girêdidin; ku hemû pereyên berdest jê derxin. Ev êrîş hemî nermalava ewlehiyê ya ku li ser mêvandarê ATM-ê hatî bicîh kirin (antîvirus, çavdêriya yekparebûnê, şîfrekirina tevahî dîskê, hwd.) derbas dike.
"Qûtika reş" li ser bingeha Raspberry Pi
Hilberînerên herî mezin ên ATM û saziyên îstîxbarata hikûmetê, bi gelek pêkanînên "qutiya reş" re rû bi rû man. ku ev komputerên zîrek bankomatan dihêle ku hemî dravê berdest derxînin; Her 40 saniye de 20 banknot. Karûbarên ewlehiyê her weha hişyar dikin ku kartêker pir caran bankomatên li dermanxane û navendên danûstendinê dikin hedef; û her weha bankomatên ku di rê de ji ajokaran re xizmet dikin.
Di heman demê de, ji bo ku dernekevin pêşberî kamerayan, qertelên herî bi îhtîyat ji hevjînek ne pir bi qîmet, mêşhingiv, alîkariyê digirin. Û ji bo ku ew nikaribe "qutiya reş" ji xwe re biguncîne, ew bikar tînin . Ew fonksiyonên sereke ji "qutiya reş" derdixin û têlefonek jê re girêdidin, ku wekî kanalek ji bo veguhestina fermanan ji dûr ve ji "qutiya reş" a jêkirî re bi protokola IP-yê ve tê bikar anîn.
Guhertina "qutiya reş", bi aktîvkirina bi gihandina ji dûr ve
Li gorî nêrîna bankeran ev yek çawa xuya dike? Di tomarkirinên ji kamerayên vîdyoyê de, tiştek wusa diqewime: Kesek cîhê jorîn (herêma karûbarê) vedike, "qutiya sêrbaz" bi ATM ve girêdide, beşa jorîn digire û derdikeve. Demek şûnda, çend kes, ku xerîdarên asayî xuya dikin, nêzikî ATM-yê dibin û gelek drav dikişînin. Dûv re kartok vedigere û amûra xweya sêhrbazê ya piçûk ji ATM-yê distîne. Bi gelemperî, rastiya êrişek ATM-ê ji hêla "qutiya reş" ve tenê piştî çend rojan tê kifş kirin: gava ku kasa vala û têketina dravê li hev nakin. Wekî encamek, karmendên bankê tenê dikarin .
Analîza danûstandinên ATM
Wekî ku li jor hate destnîşan kirin, danûstendina di navbera yekîneya pergalê û cîhazên periferîkî de bi USB, RS232 an SDC ve tête kirin. Carder rasterast bi porta cîhaza dor ve girêdide û fermanan jê re dişîne - ji hêla mêvandar ve derbas dibe. Ev pir hêsan e, ji ber ku navberên standard ne ajokerên taybetî hewce ne. Û protokolên xwedan ên ku pêvek û mêvandar bi hevûdu re têkildar in ne hewceyê destûrnameyê ne (berî her tiştî, cîhaz di hundurê herêmek pêbawer de ye); û ji ber vê yekê ev protokolên neewle, ku bi navgîniya wan pêwendiya dorhêl û mêvandar re têkilî daynin, bi hêsanî têne guhdarî kirin û bi hêsanî ji êrişên dubarekirinê re têkildar in.
Va. Kardêr dikarin analîzkerek seyrûsefera nermalava an hardware bikar bînin, wê rasterast bi porta amûrek dorpêvekî ya taybetî ve girêbidin (mînak, kartêkerek) da ku daneyên veguheztin berhev bikin. Bi karanîna analyzerek seyrûseferê, kardêr hemî hûrguliyên teknîkî yên xebata ATM-ê, tevî fonksiyonên nebelge yên dorhêlên wê (mînakî, fonksiyona guheztina firmware-ya amûrek dorhêlê) fêr dibe. Wekî encamek, kartêker kontrola tevahî li ser ATM-ê digire. Di heman demê de, tespîtkirina hebûna analîzkerek trafîkê pir dijwar e.
Kontrola rasterast a li ser belavkera banknotê tê vê wateyê ku kasetên ATM-ê dikarin bêyî tomarkirinê di têketinên ku bi gelemperî ji hêla nermalava ku li ser mêvandar ve hatî bicîh kirin ve têne vala kirin. Ji bo kesên ku bi mîmariya hardware û nermalava ATM-ê nizanin, ew bi rastî dikare mîna sêrbaz xuya bike.
Qutiyên reş ji ku tên?
Pêşkêşker û taşeronên ATM-ê ji bo teşhîskirina hardware ya ATM-ê, tevî mekanîka elektrîkê ya ku berpirsiyarê vekêşana dravê berpirsiyar e, karûbarên debugkirinê pêşve diçin. Di nav van amûran de: , . Nîgara jêrîn çend amûrên din ên tespîtkirinê nîşan dide.
Panela Kontrolê ya ATMDesk
RapidFire ATM XFS Panela Kontrolê
Taybetmendiyên berawirdî yên çend amûrên tespîtkirinê
Gihîştina karûbarên weha bi gelemperî bi nîşaneyên kesane ve sînorkirî ye; û ew tenê dema ku deriyê ewlekariya ATM vekirî ye dixebitin. Lêbelê, bi tenê bi cîhkirina çend byte di koda binary ya kargêr, kartê de Vekêşana dravê "ceribandinê" - derbaskirina kontrolên ku ji hêla hilberînerê karûbar ve hatî peyda kirin. Kartkaran karûbarên weha guhertî li ser laptop an mîkrokomputera xwe ya yek-piştê saz dikin, ku dûv re rasterast bi belavkera banknotê ve têne girêdan da ku dravê bêdestûr bidin.
"Mîloya Dawî" û navenda pêvajoyê ya sexte
Têkiliya rasterast bi derdor re, bêyî danûstendina bi mêvandar re, tenê yek ji teknîkên kartêkirinê yên bi bandor e. Teknîkên din bi vê rastiyê ve girêdayî ne ku me cûrbecûr navbeynkariya torê heye ku bi navgîniya ATM bi cîhana derve re danûstendinê dike. Ji X.25 heya Ethernet û hucreyî. Gelek ATM dikarin bi karanîna karûbarê Shodan bêne nasîn û herêmî kirin (rêberên herî berbiçav ên ji bo karanîna wê têne pêşkêş kirin ), - bi êrîşek paşîn a ku mîhengek ewlehiyê ya xedar, tembeliya rêvebir û danûstendinên xedar di navbera beşên cihêreng ên bankê de bikar tîne.
"Mîloya dawî" ya danûstendinê ya di navbera ATM û navenda pêvajoyê de ji hêla teknolojiyên cûrbecûr ve dewlemend e ku dikare wekî xalek têketinê ji bo kardêr re xizmet bike. Têkilî dikare bi riya têl (xeta têlefonê an Ethernet) an bêtêl (Wi-Fi, hucreyî: CDMA, GSM, UMTS, LTE) ve were meşandin. Dibe ku mekanîzmayên ewlehiyê ev in: 1) hardware an nermalava ku VPN piştgirî bike (hem standard, di nav OS-ê de hatî çêkirin, hem jî ji aliyên sêyemîn); 2) SSL / TLS (hem ji bo modelek taybetî ya ATM-ê û hem jî ji hilberînerên partiya sêyemîn re taybetî); 3) şîfrekirin; 4) pejirandina peyamê.
Lêbelê, ku ji bo bankan teknolojiyên navnîşkirî pir tevlihev xuya dikin, û ji ber vê yekê ew xwe bi parastina torê ya taybetî re aciz nakin; yan jî bi xeletiyan pêk tînin. Di rewşek çêtirîn de, ATM bi servera VPN re têkilî dike, û jixwe di hundurê tora taybet de ew bi navenda pêvajoyê ve girêdayî ye. Digel vê yekê, her çend bankan bi rê ve bibin ku mekanîzmayên parastinê yên ku li jor hatine destnîşan kirin bicîh bînin, kartêker jixwe li dijî wan êrîşên bi bandor hene. Va. Her çend ewlehî bi standarda PCI DSS-ê re têkildar be jî, ATM hîn jî xeternak in.
Yek ji hewcedariyên bingehîn ên PCI DSS ev e ku hemî daneyên hesas dema ku li ser torgilokek gelemperî têne şandin divê werin şîfre kirin. Û bi rastî toreyên me hene ku bi eslê xwe bi vî rengî hatine sêwirandin ku daneyên di wan de bi tevahî şîfrekirî ne! Ji ber vê yekê, ceribandinek e ku meriv bêje: "Daneyên me şîfre ne ji ber ku em Wi-Fi û GSM bikar tînin." Lêbelê, gelek ji van toran ewlehiya têra xwe peyda nakin. Torên hucreyî yên hemî nifşan demek dirêj hatine hack kirin. Di dawiyê de û bêveger. Tewra peydaker hene ku cîhazan pêşkêşî dikin da ku daneyên ku li ser wan hatine veguheztin bigirin.
Ji ber vê yekê, an di danûstendinek neewle de an jî di torgilokek "taybet", ku her ATM xwe ji ATM-yên din re diweşîne, dikare êrîşek "navenda pêvajoyek sexte" ya MiTM were destpêkirin - ku dê bibe sedem ku kardêr kontrola herikîna daneyan a ku di navbera wan de hatî veguheztin bigire dest. ATM û navenda pêvajoyê.
Bi hezaran ATM bi potansiyel bandor dibin. Li ser riya navenda pêvajoyek rastîn, kart yekî xweya derewîn dixe. Ev navenda hilberandina sexte fermanan dide ATM-ê da ku banknotan belav bike. Di vê rewşê de, kardêr navenda xwe ya pêvajoyê bi vî rengî mîheng dike ku drav tê derxistin bêyî ku kîjan qertê têxe nav ATM-ê - tevî ku ew qediya an jî balansek sifir hebe. Ya sereke ev e ku navenda hilberandina sexte wê "nas dike". Navendek pêvajoyek sexte dikare bibe hilberek xwemalî an jî simulatorek navenda pêvajoyê, ku bi eslê xwe ji bo verastkirina mîhengên torê hatî çêkirin (dyariyek din ji "çêker" ji kardêran re).
Di wêneya jêrîn de fermanên ji bo derxistina 40 banknotên ji kaseta çaremîn - ku ji navendek pêvajoyek sexte hatî şandin û di têketinên nermalava ATM de têne hilanîn. Ew hema rast xuya dikin.
Fermana navendek pêvajoyek sexte
Source: www.habr.com