Хотын гудамжинд мөнгөтэй төмөр хайрцагнууд хурдан мөнгө сонирхогчдын анхаарлыг татахгүй байхын аргагүй юм. Хэрэв өмнө нь АТМ-ыг хоослоход зөвхөн физик аргыг ашигладаг байсан бол одоо компьютертэй холбоотой илүү чадварлаг заль мэх хэрэглэж байна. Одоо тэдний хамгийн хамааралтай нь дотроо нэг самбар бүхий микрокомпьютер бүхий "хар хайрцаг" юм. Энэ нь хэрхэн ажилладаг талаар бид энэ нийтлэлд ярих болно.
Олон улсын АТМ үйлдвэрлэгчдийн холбооны тэргүүн (ATMIA)
Ердийн АТМ нь нэг орон сууцанд байрлуулсан бэлэн цахилгаан механик бүрэлдэхүүн хэсгүүдийн багц юм. АТМ үйлдвэрлэгчид гуравдагч талын ханган нийлүүлэгчдийн аль хэдийн хөгжүүлсэн данс, карт уншигч болон бусад бүрэлдэхүүн хэсгүүдээс техник хангамжаа бүтээдэг. Насанд хүрэгчдэд зориулсан нэг төрлийн LEGO бүтээгч. Бэлэн эд ангиудыг АТМ-ийн биед байрлуулсан бөгөөд энэ нь ихэвчлэн дээд тасалгаа ("кабинет" эсвэл "үйлчилгээний хэсэг"), доод тасалгаа (сейф) гэсэн хоёр тасалгаанаас бүрддэг. Бүх цахилгаан механик бүрэлдэхүүн хэсгүүд нь USB болон COM портуудаар системийн нэгжид холбогдсон бөгөөд энэ тохиолдолд хост үүрэг гүйцэтгэдэг. Хуучин АТМ загварууд дээр та SDC автобусаар дамжуулан холболтыг олох боломжтой.
АТМ картын хувьсал
Дотор нь асар их мөнгөтэй АТМ нь карт эзэмшигчдийн анхаарлыг байнга татдаг. Эхэндээ картчид зөвхөн АТМ-ийн хамгаалалтын бүрэн физик дутагдлыг ашигладаг байсан - тэд соронзон туузаас өгөгдлийг хулгайлахын тулд skimmers болон shimmers ашигладаг; хуурамч зүү дэвсгэр, пин кодыг үзэх камер; тэр байтугай хуурамч АТМ.
Дараа нь АТМ-уудыг XFS (Санхүүгийн үйлчилгээний өргөтгөл) гэх мэт нийтлэг стандартын дагуу ажилладаг нэгдсэн программ хангамжаар тоноглож эхлэхэд картчид компьютерийн вирусаар АТМ руу халдаж эхлэв.
Тэдгээрийн дотор Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii болон бусад олон тооны нэртэй болон нэргүй хортой программууд байдаг бөгөөд картууд нь ачаалах боломжтой USB флаш диск эсвэл TCP алсын удирдлагын портоор дамжуулан АТМ хост дээр суулгадаг.
АТМ-ийн халдварын үйл явц
XFS дэд системийг барьж авсны дараа хортой програм нь зөвшөөрөлгүйгээр мөнгөн дэвсгэрт түгээгч рүү тушаал өгөх боломжтой. Эсвэл карт уншигчид тушаал өгөх: банкны картын соронзон туузыг унших/бичих, тэр ч байтугай EMV картын чип дээр хадгалагдсан гүйлгээний түүхийг авах боломжтой. EPP (Encrypting PIN Pad) нь онцгой анхаарал хандуулах ёстой. Түүн дээр оруулсан ПИН кодыг саатуулах боломжгүй гэдгийг ерөнхийд нь хүлээн зөвшөөрдөг. Гэсэн хэдий ч XFS нь EPP pinpad-ийг хоёр горимд ашиглах боломжийг олгодог: 1) нээлттэй горим (бэлэн мөнгө авах дүн гэх мэт янз бүрийн тоон параметрүүдийг оруулах); 2) аюулгүй горим (PIN код эсвэл шифрлэлтийн түлхүүр оруулах шаардлагатай үед EPP түүн рүү шилждэг). XFS-ийн энэ онцлог нь картчинд MiTM халдлага хийх боломжийг олгодог: хостоос EPP рүү илгээсэн аюулгүй горимыг идэвхжүүлэх командыг таслан зогсоож, дараа нь нээлттэй горимд үргэлжлүүлэн ажиллах ёстойг EPP pinpad-д мэдэгдэнэ. Энэ мессежийн хариуд EPP нь товчлуурын даралтыг тодорхой текстээр илгээдэг.
"Хар хайрцаг"-ын ажиллах зарчим
Сүүлийн жилүүдэд,
Алсын зайнаас АТМ руу халдах
Антивирусууд, програмын шинэчлэлтийг хаах, USB портуудыг хаах, хатуу дискийг шифрлэх зэрэг нь АТМ-ийг картын вирусын халдлагаас тодорхой хэмжээгээр хамгаалдаг. Кардер нь хост руу дайрахгүй, харин захын хэсэг рүү (RS232 эсвэл USB-ээр) шууд холбогдвол - карт уншигч, зүү дэвсгэр эсвэл бэлэн мөнгө тараагчтай холбогдвол яах вэ?
"Хар хайрцаг"-тай анхны танилцах
Өнөөгийн технологийн мэдлэгтэй картчид
Raspberry Pi дээр суурилсан "Хар хайрцаг"
Хамгийн том АТМ үйлдвэрлэгчид болон засгийн газрын тагнуулын байгууллагууд "хар хайрцаг"-ын хэд хэдэн хэрэгжилттэй тулгарсан.
Үүний зэрэгцээ, камерын өмнө гарахгүйн тулд хамгийн болгоомжтой картчид тийм ч үнэ цэнэтэй биш түнш болох луусын тусламжийг авдаг. Тэгээд тэр "хар хайрцгийг" өөртөө зориулж чадахгүйн тулд тэд ашигладаг
Алсын хандалтаар идэвхжүүлэх "хар хайрцгийг" өөрчлөх
Энэ нь банкируудын нүдээр ямар харагдаж байна вэ? Видео камерын бичлэгт иймэрхүү зүйл тохиолддог: тодорхой хүн дээд тасалгааг (үйлчилгээний талбайг) онгойлгож, "шидэт хайрцаг" -ыг АТМ-тай холбож, дээд тасалгааг хааж, орхидог. Хэсэг хугацааны дараа энгийн үйлчлүүлэгч бололтой хэд хэдэн хүмүүс АТМ руу ойртож, асар их хэмжээний мөнгө авчээ. Дараа нь картчин буцаж ирээд АТМ-аас бяцхан шидэт хэрэгслээ гаргаж авна. Ихэвчлэн "хар хайрцаг"-аар АТМ-д халдсан нь хэдхэн хоногийн дараа л олддог: хоосон сейф болон бэлэн мөнгө авах бүртгэл таарахгүй байх үед. Үүний үр дүнд банкны ажилтнууд зөвхөн боломжтой
АТМ харилцаа холбооны шинжилгээ
Дээр дурдсанчлан системийн нэгж болон захын төхөөрөмжүүдийн хоорондын харилцан үйлчлэл нь USB, RS232 эсвэл SDC-ээр дамждаг. Кардер нь захын төхөөрөмжийн порт руу шууд холбогдож, түүн рүү командуудыг илгээдэг - хостыг тойрч гардаг. Энэ нь маш энгийн, учир нь стандарт интерфейс нь тусгай драйвер шаарддаггүй. Мөн захын болон хостын харилцан үйлчлэлийн өмчлөлийн протоколууд нь зөвшөөрөл шаарддаггүй (эцэст нь төхөөрөмж нь итгэмжлэгдсэн бүсэд байрладаг); Тиймээс захын төхөөрөмж болон хостууд хоорондоо харилцдаг эдгээр аюулгүй протоколуудыг чагнаж, давтан халдлагад амархан өртдөг.
Тэр. Кардерууд дамжуулагдсан өгөгдлийг цуглуулахын тулд тодорхой захын төхөөрөмжийн порт руу (жишээлбэл, карт уншигч) шууд холбож, програм хангамж эсвэл техник хангамжийн хөдөлгөөний анализатор ашиглаж болно. Хөдөлгөөний анализатор ашиглан картчин нь АТМ-ийн үйл ажиллагааны бүх техникийн нарийн ширийнийг, түүний дотор түүний захын төхөөрөмжийн баримтжуулаагүй функцуудыг (жишээлбэл, захын төхөөрөмжийн програмыг өөрчлөх функц) сурдаг. Үүний үр дүнд картчин АТМ-ийг бүрэн хянах боломжтой болно. Үүний зэрэгцээ замын хөдөлгөөний анализатор байгаа эсэхийг илрүүлэх нь нэлээд хэцүү байдаг.
Мөнгөн тэмдэгт түгээгчийг шууд хянах нь АТМ-ын кассетыг ихэвчлэн хост дээр байрлуулсан программ хангамжаар оруулдаг бүртгэлд ямар ч бичлэг хийхгүйгээр хоослох боломжтой гэсэн үг юм. АТМ-ийн техник хангамж, програм хангамжийн архитектурыг мэдэхгүй хүмүүст энэ нь үнэхээр ид шид мэт харагдаж болно.
Хар хайрцаг хаанаас гардаг вэ?
АТМ нийлүүлэгчид болон туслан гүйцэтгэгчид АТМ-ын тоног төхөөрөмжийг оношлох дибаг хийх хэрэгслүүд, тэр дундаа бэлэн мөнгө авах үүрэгтэй цахилгаан механикчуудыг хөгжүүлж байна. Эдгээр хэрэгслүүдийн дунд:
ATMDesk хяналтын самбар
RapidFire ATM XFS хяналтын самбар
Хэд хэдэн оношлогооны хэрэгслийн харьцуулсан шинж чанарууд
Ийм хэрэгслүүдэд хандах хандалт нь ихэвчлэн хувийн жетоноор хязгаарлагддаг; Мөн тэд зөвхөн АТМ-ийн сейфийн хаалга нээлттэй үед л ажилладаг. Гэсэн хэдий ч, зүгээр л хэрэглүүрийн хоёртын код дахь хэдэн байтыг орлуулах замаар картууд
“Сүүлчийн миль” ба хуурамч боловсруулах төв
Хосттой харилцахгүйгээр захын хэсэгтэй шууд харьцах нь үр дүнтэй үрэх аргуудын зөвхөн нэг юм. Бусад техникүүд нь АТМ нь гадаад ертөнцтэй харилцдаг олон төрлийн сүлжээний интерфейстэй байдагт тулгуурладаг. X.25-аас Ethernet болон үүрэн холбоо хүртэл. Шодан үйлчилгээг ашиглан олон АТМ-ийг тодорхойлж, нутагшуулах боломжтой (үүнийг ашиглах хамгийн товч зааврыг танилцуулсан болно
АТМ болон процессийн төв хоорондын харилцааны "сүүлийн миль" нь карт эзэмшигчийн нэвтрэх цэг болж чадах олон төрлийн технологиор баялаг юм. Харилцаа холбоог утастай (утасны шугам эсвэл Ethernet) эсвэл утасгүй (Wi-Fi, үүрэн холбоо: CDMA, GSM, UMTS, LTE) холбооны аргаар хийж болно. Хамгаалалтын механизмд дараахь зүйлс орно: 1) VPN-г дэмжих техник хангамж эсвэл програм хангамж (стандарт, үйлдлийн системд суулгасан болон гуравдагч этгээдийн аль аль нь); 2) SSL/TLS (тодорхой АТМ загвар болон гуравдагч талын үйлдвэрлэгчдийн аль алинд нь зориулагдсан); 3) шифрлэлт; 4) мессежийн баталгаажуулалт.
Гэсэн хэдий ч,
PCI DSS-ийн үндсэн шаардлагуудын нэг бол бүх нууц мэдээллийг нийтийн сүлжээгээр дамжуулахдаа шифрлэгдсэн байх ёстой. Бидэнд үнэхээр сүлжээнүүд байдаг бөгөөд тэдгээрийн доторх өгөгдөл нь бүрэн шифрлэгдсэн байдаг! Тиймээс, "Бид Wi-Fi болон GSM ашигладаг тул бидний өгөгдөл шифрлэгдсэн" гэж хэлэх нь сонирхолтой юм. Гэсэн хэдий ч эдгээр сүлжээнүүдийн ихэнх нь хангалттай аюулгүй байдлыг хангадаггүй. Бүх үеийн үүрэн холбооны сүлжээг хакердаад удаж байна. Эцэст нь, эргэлт буцалтгүй. Мөн тэдгээрийн дамжуулсан өгөгдлийг таслах төхөөрөмжийг санал болгодог ханган нийлүүлэгчид ч байдаг.
Тиймээс, найдвартай бус харилцаа холбоо эсвэл АТМ бүр өөр АТМ руу дамжуулдаг "хувийн" сүлжээнд MiTM "хуурамч боловсруулах төв" халдлага үйлдэж болох бөгөөд энэ нь картын хооронд дамжих өгөгдлийн урсгалыг хянахад хүргэнэ. АТМ болон боловсруулах төв.
Дараах зурган дээр
Хуурамч боловсруулах төвийн командын хогийн цэг
Эх сурвалж: www.habr.com