Шаардын көчөлөрүндө акча салынган темир кутулар тез акчаны сүйгөндөрдүн көңүлүн бурбай коё албайт. Эгерде мурда банкоматтарды бошотуш үчүн физикалык ыкмалар колдонулса, азыр компьютерге байланышкан трюктар барган сайын көбөйүүдө. Эми алардын эң актуалдуусу – ичинде бир такталуу микрокомпьютери бар “кара куту”. Бул макалада кандайча иштээри тууралуу сүйлөшөбүз.
Эл аралык банкомат өндүрүүчүлөр ассоциациясынын (ATMIA) жетекчиси "кара кутулар" банкоматтар үчүн эң коркунучтуу.
Кадимки банкомат – бул бир корпуста жайгашкан даяр электромеханикалык компоненттердин жыйындысы. Банкомат өндүрүүчүлөрү өздөрүнүн аппараттык жабдыктарын эсеп-кысап тараткычынан, картаны окугучтан жана үчүнчү тараптын жеткирүүчүлөрү тарабынан иштелип чыккан башка компоненттерден түзүшөт. Чоңдор үчүн LEGO конструкторунун бир түрү. Даяр компоненттер банкоматтын корпусуна жайгаштырылат, ал адатта эки бөлүмдөн турат: үстүнкү бөлүм («кабинет» же «тейлөө аймагы») жана төмөнкү бөлүм (сейф). Бардык электромеханикалык компоненттер USB жана COM порттору аркылуу системалык блокко туташтырылып, бул учурда хост катары иштейт. Эски банкомат моделдеринде сиз SDC автобусу аркылуу байланыштарды таба аласыз.
Банкомат картингинин эволюциясы
Ичинде чоң суммадагы банкоматтар дайыма карттарды тартат. Адегенде картерлер банкоматтарды коргоонун одоно физикалык кемчиликтерин гана пайдаланышкан – алар магниттик тилкелерден маалыматтарды уурдоо үчүн скиммерлерди жана жылтылдаткычтарды колдонушкан; жасалма пин-коддорду жана пин коддорду көрүү үчүн камералар; жана ал тургай жасалма банкоматтар.
Андан кийин, банкоматтар XFS (eXtensions for Financial Services) сыяктуу жалпы стандарттарга ылайык иштеген бирдиктүү программалык камсыздоо менен жабдыла баштаганда, картачылар компьютердик вирустар менен банкоматтарга чабуул жасай башташты.
Алардын арасында Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii жана башка көптөгөн аталган жана аты аталбаган зыяндуу программалар бар, алар банкоматтын хостуна жүктөлүүчү USB флэш-диск же TCP алыстан башкаруу порту аркылуу отургузулат.
Банкоматтын инфекция процесси
XFS подсистемасын басып алып, кесепеттүү программа банкнот диспенсерине уруксатсыз буйруктарды бере алат. Же картаны окугучка буйруктарды бериңиз: банк картасынын магниттик тилкесин окуп/жазыңыз жана ал тургай EMV карта чипинде сакталган транзакциянын тарыхын алыңыз. EPP (Encrypting PIN Pad) өзгөчө көңүл бурууга татыктуу. Ага киргизилген PIN-кодду кармоого болбойт деп жалпы кабыл алынган. Бирок, XFS сизге EPP пинпадын эки режимде колдонууга мүмкүндүк берет: 1) ачык режим (ар кандай сандык параметрлерди киргизүү үчүн, мисалы, накталай турган сумма); 2) коопсуз режим (EPP ага PIN кодду же шифрлөө ачкычын киргизүү керек болгондо өтөт). XFSтин бул өзгөчөлүгү карттарга MiTM чабуулун жүргүзүүгө мүмкүндүк берет: хосттон EPPге жөнөтүлгөн коопсуз режимди активдештирүү буйругун кармап, андан кийин EPP пинпадына ачык режимде иштөөнү улантуу керектиги жөнүндө кабарлаңыз. Бул билдирүүгө жооп катары, EPP так текстте баскыч басууну жөнөтөт.
"Кара кутунун" иштөө принциби
Акыркы жылдары, Europol, ATM зыяндуу программалары олуттуу түрдө өнүккөн. Кардерлерге банкоматты жуктуруп алуу үчүн мындан ары физикалык мүмкүнчүлүгүнө ээ болушу керек эмес. Алар банктын корпоративдик тармагын пайдалануу менен алыскы тармактык чабуулдар аркылуу банкоматтарды жугузушу мүмкүн. IB тобу, 2016-жылы Европанын 10дон ашык өлкөлөрүндө банкоматтар аралыктан чабуулга дуушар болгон.
Алыстан кирүү аркылуу банкоматка кол салуу
Антивирустар, микропрограммаларды жаңыртууларды бөгөттөө, USB портторун бөгөттөө жана катуу дискти шифрлөө - банкоматты кандайдыр бир деңгээлде картачылардын вирустук чабуулдарынан коргойт. Бирок, эгерде карттар хостко кол салбай, түздөн-түз периферияга (RS232 же USB аркылуу) - картаны окугучка, пин-подка же касса диспенсерине туташсачы?
"Кара куту" менен биринчи таанышуу
Бугунку кундун тех-никаны жакшы билген кардерлар , банкоматтан накталай акчаны уурдоо үчүн колдонгон. "Кара кутулар" - Raspberry Pi сыяктуу атайын программаланган бир такталуу микрокомпьютерлер. "Кара кутулар" толугу менен сыйкырдуу (банкирлердин көз карашы боюнча) банкоматтарды толугу менен бошотот. Кардерлер өздөрүнүн сыйкырдуу түзүлүшүн түздөн-түз эсеп тараткычка туташтырышат; андан колдо болгон бардык акчаларды алуу. Бул чабуул банкоматтын хостунда орнотулган бардык коопсуздук программаларын (антивирус, бүтүндүккө мониторинг, дисктин толук шифрлөө ж.б.) айланып өтөт.
Raspberry Pi негизиндеги "Кара куту"
ири банкомат өндүрүүчүлөр жана мамлекеттик чалгындоо органдары, "кара куту" бир нече ишке дуушар болгон, бул акылдуу компьютерлер банкоматтарды бардык колдо болгон накталай акчаларды түкүрүүгө түртөт; 40 секунд сайын 20 банкнот. Коопсуздук кызматтары ошондой эле картачылар көбүнчө дарыканаларда жана соода борборлорунда банкоматтарды бутага алаарын эскертет; ошондой эле автотранспортчуларды тейлеген банкоматтарга.
Ошол эле учурда, камералардын алдына чыкпоо үчүн, өтө этият карттар кээ бир өтө баалуу эмес өнөктөштүн, качырдын жардамын алышат. Анан ал "кара кутуну" өзүнө ыйгарып албаш үчүн колдонушат . Алар "кара кутудан" негизги функцияларды алып салышат жана ага смартфонду туташтырат, ал IP протоколу аркылуу ажыратылган "кара кутуга" буйруктарды алыстан жөнөтүү үчүн канал катары колдонулат.
Алыстан кирүү аркылуу активдештирүү менен "кара кутуну" өзгөртүү
Бул банкирлердин көз карашы боюнча кандай көрүнөт? Видеокамералардагы жазууларда мындай нерсе болот: белгилүү бир адам үстүнкү бөлүмдү (кызмат аймагын) ачып, банкоматка "сыйкырдуу кутуну" туташтырат, үстүнкү бөлүмдү жаап, чыгып кетет. Бир аз убакыт өткөндөн кийин, жөнөкөй кардарлар көрүнгөн бир нече адамдар банкоматка келип, ири суммадагы акчаларды чыгарып кетишет. Кардер андан кийин кайтып келип, банкоматтан өзүнүн кичинекей сыйкырдуу аппаратын алат. Эреже катары, банкоматтын “кара куту” менен кол салуу фактысы бир нече күндөн кийин гана аныкталат: бош сейф менен накталай акча алуу журналы дал келбей калганда. Натыйжада, банк кызматкерлери гана мүмкүн .
Банкоматтык байланыштарды талдоо
Жогоруда белгиленгендей, системалык блок менен перифериялык түзүлүштөрдүн ортосундагы өз ара аракеттенүү USB, RS232 же SDC аркылуу ишке ашырылат. Кардер перифериялык түзүлүштүн портуна түздөн-түз кошулат жана ага буйруктарды жөнөтөт - хостту айланып өтүп. Бул абдан жөнөкөй, анткени стандарттык интерфейстер кандайдыр бир конкреттүү драйверлерди талап кылбайт. Ал эми перифериялык жана хосттун өз ара аракеттенген проприетардык протоколдору авторизацияны талап кылбайт (анткени, түзмөк ишенимдүү зонанын ичинде жайгашкан); жана ошондуктан бул кооптуу протоколдор, алар аркылуу перифериялык жана хост байланышы оңой тыңшалат жана кайталануучу чабуулдарга оңой кабылат.
Ошол. Кардерлер берилүүчү маалыматтарды чогултуу үчүн аны белгилүү бир перифериялык түзүлүштүн портуна (мисалы, картаны окугуч) түздөн-түз туташтырган программалык же аппараттык трафик анализаторун колдоно алышат. Трафик анализаторун колдонуу менен, карт банкоматтын иштөөсүнүн бардык техникалык деталдарын, анын ичинде анын перифериялык түзүлүштөрүнүн документтештирилбеген функцияларын (мисалы, перифериялык түзүлүштүн микропрограммасын өзгөртүү функциясын) үйрөнөт. Натыйжада, карта банкоматты толук көзөмөлдөйт. Ошол эле учурда трафик анализаторунун бар экендигин аныктоо өтө кыйын.
Банкноттордун диспенсерине тике контролдук кылуу банкоматтын кассеталарын адатта хостто орнотулган программалык камсыздоо тарабынан киргизилүүчү журналдарда эч кандай жазуусуз бошотууга болорун билдирет. Банкоматтын аппараттык жана программалык камсыздоо архитектурасы менен тааныш болбогондор үчүн, ал чындап эле сыйкырдуу көрүнүшү мүмкүн.
Кара кутулар кайдан келет?
Банкоматтарды жеткирүүчүлөр жана субподрядчылар банкоматтын аппараттык жабдыктарын, анын ичинде накталай акчаларды алуу үчүн жооптуу электр механиктерин диагностикалоо үчүн мүчүлүштүктөрдү оңдоо программаларын иштеп чыгууда. Бул коммуналдык кызматтардын арасында: , . Төмөнкү сүрөттө дагы бир нече диагностикалык программалар көрсөтүлгөн.
ATMDesk Башкаруу панели
RapidFire ATM XFS башкаруу панели
Бир нече диагностикалык кызматтардын салыштырма мүнөздөмөлөрү
Мындай утилиталарга кирүү, адатта, жекелештирилген энбелгилер менен чектелет; жана алар банкоматтын сейф эшиги ачык болгондо гана иштешет. Бирок, жөн гана пайдалуу экилик кодун бир нече байт алмаштыруу менен, Carders "Тест" накталай акча алуу - коммуналдык өндүрүүчү тарабынан берилген чектерди айланып өтүү. Кардерлер мындай модификацияланган утилиталарды ноутбукка же бир платалуу микрокомпьютерге орнотушат, алар банкноттордун диспенсерине түздөн-түз туташтырылып, уруксатсыз накталай акчаларды алуу үчүн.
"Акыркы миля" жана жасалма процессинг борбору
Хост менен байланышпастан, периферия менен түз өз ара аракеттенүү эффективдүү картинг ыкмаларынын бири гана. Башка ыкмалар банкомат тышкы дүйнө менен байланышып турган ар кандай тармактык интерфейстерге ээ экендигине таянат. X.25тен Ethernet жана уюлдук. Көптөгөн банкоматтарды Shodan кызматы аркылуу аныктоого жана локалдаштырууга болот (аны колдонуу боюнча эң кыска нускамалар берилген). ), – коопсуздуктун аялуу конфигурациясын, администратордун жалкоолугун жана банктын ар кандай бөлүмдөрүнүн ортосундагы аялуу байланыштарды пайдаланган кийинки чабуул менен.
Банкомат менен процессингдик борбордун ортосундагы байланыштын “акыркы милясы” карттар үчүн кирүү чекити катары кызмат кыла турган ар түрдүү технологияларга бай. Өз ара аракеттенүү зымдуу (телефон линиясы же Ethernet) же зымсыз (Wi-Fi, уюлдук: CDMA, GSM, UMTS, LTE) байланыш ыкмасы аркылуу жүргүзүлүшү мүмкүн. Коопсуздук механизмдери төмөнкүлөрдү камтышы мүмкүн: 1) VPNди колдоо үчүн аппараттык же программалык камсыздоо (экөө тең стандарттуу, ОСке орнотулган жана үчүнчү жактардан); 2) SSL/TLS (белгилүү бир банкомат моделине мүнөздүү жана үчүнчү тараптын өндүрүүчүлөрүнөн); 3) шифрлөө; 4) билдирүүнүн аутентификациясы.
Бирок банктар үчүн саналып өткөн технологиялар абдан татаал сезилет, ошондуктан алар атайын тармак коргоо менен убара эмес; же каталар менен ишке ашырышат. Эң жакшы учурда, банкомат VPN сервери менен байланышып, жеке тармактын ичинде процессинг борборуна кошулат. Мындан тышкары, банктар жогоруда саналып өткөн коргоо механизмдерин ишке ашыруу үчүн башкаруу болсо да, Кардер буга чейин аларга каршы натыйжалуу чабуулдарды бар. Ошол. Коопсуздук PCI DSS стандартына ылайык келсе дагы, банкоматтар дагы эле аялуу.
PCI DSSтин негизги талаптарынын бири - бул коомдук тармак аркылуу берилүүчү бардык купуя маалыматтар шифрленген болушу керек. Бизде чындыгында алардагы маалыматтар толугу менен шифрленгендей кылып иштелип чыккан тармактар бар! Ошондуктан: "Биздин маалыматтар шифрленген, анткени биз Wi-Fi жана GSM колдонобуз" деп айтууга азгырылат. Бирок, бул тармактардын көбү жетиштүү коопсуздукту камсыз кыла албайт. Бардык муундардын уюлдук тармактары көптөн бери бузулган. Акыры жана кайтарылгыс. Ал тургай, алар аркылуу берилүүчү маалыматтарды кармап туруу үчүн түзмөктөрдү сунуш кылган жеткирүүчүлөр бар.
Демек, кооптуу байланышта же ар бир банкомат өзүн башка банкоматтарга тараткан “жеке” тармакта, MiTM “жасалма процессинг борбору” чабуулу башталышы мүмкүн, бул картанын ортосунда берилүүчү маалымат агымын башкарууну басып алууга алып келет. Банкомат жана процессинг борбору.
Миңдеген банкоматтар жабыркашы мүмкүн. Чыныгы процессинг борборуна бара жатып, карта өзүнүн жасалмасын киргизет. Бул жасалма процессинг борбору банкоматка банкнотторду чыгарууга буйрук берет. Мында Кардер өзүнүн процессингдик борборун банкоматка кайсы карта салынганына карабастан накталай акча – анын мөөнөтү бүтүп калса же нөлдүк баланска ээ болсо да чыгарыла тургандай конфигурациялайт. Эң негизгиси, жасалма процессинг борбору аны “таанып” жатат. Жасалма процессинг борбору же үйдө жасалган продукт, же алгач тармак жөндөөлөрүн оңдоо үчүн иштелип чыккан процессинг борборунун симулятору болушу мүмкүн («өндүрүүчүнүн» карттарга дагы бир белеги).
Кийинки сүрөттө төртүнчү кассетадан 40 банкнотторду чыгаруу боюнча буйруктардын төгүлүшү - жасалма процессинг борборунан жөнөтүлгөн жана банкоматтын программалык камсыздоо журналында сакталган. Алар дээрлик реалдуу көрүнөт.
Жасалма процессинг борборунун командалык таштандысы
Source: www.habr.com