Kaxxi tal-ħadid bil-flus wieqaf fit-toroq tal-belt ma jistgħux ma jiġbdux l-attenzjoni ta 'min iħobb il-flus malajr. U jekk qabel kienu jintużaw metodi purament fiżiċi biex jitbattlu l-ATMs, issa qed jintużaw aktar u aktar tricks sengħa relatati mal-kompjuter. Issa l-aktar rilevanti minnhom hija "kaxxa sewda" b'mikrokompjuter b'bord wieħed ġewwa. Se nitkellmu dwar kif taħdem f'dan l-artikolu.
Kap tal-Assoċjazzjoni Internazzjonali tal-Manifatturi tal-ATM (ATMIA)
ATM tipiku huwa sett ta 'komponenti elettromekkaniċi lesti miżmuma f'akkomodazzjoni waħda. Il-manifatturi tal-ATM jibnu l-kreazzjonijiet tal-ħardwer tagħhom mid-dispenser tal-kontijiet, il-qarrejja tal-karti u komponenti oħra diġà żviluppati minn fornituri ta 'partijiet terzi. Speċi ta 'kostruttur LEGO għall-adulti. Il-komponenti lesti jitqiegħdu fil-korp tal-ATM, li normalment jikkonsisti f'żewġ kompartimenti: kompartiment ta 'fuq ("kabinett" jew "żona tas-servizz"), u kompartiment t'isfel (sikur). Il-komponenti elettromekkaniċi kollha huma konnessi permezz ta 'portijiet USB u COM mal-unità tas-sistema, li f'dan il-każ taġixxi bħala host. Fuq mudelli ta' ATM eqdem tista' ssib ukoll konnessjonijiet permezz tal-bus SDC.
L-evoluzzjoni tal-kard tal-ATM
ATMs b'somom kbar ġewwa invarjabbilment jattiraw carders. Għall-ewwel, carders sfruttaw biss in-nuqqasijiet fiżiċi kbar tal-protezzjoni tal-ATM - użaw skimmers u shimmers biex jisirqu d-dejta minn strixxi manjetiċi; pads tal-brilli foloz u kameras għall-wiri tal-kodiċijiet tal-pin; u anke ATMs foloz.
Imbagħad, meta l-ATMs bdew ikunu mgħammra b'softwer unifikat li jopera skont standards komuni, bħal XFS (eXtensions for Financial Services), il-carders bdew jattakkaw l-ATMs b'viruses tal-kompjuter.
Fosthom hemm Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii u għadd kbir ta' malware ieħor bl-isem u mingħajr isem, li carders impjant fuq l-ATM ospitanti jew permezz ta' USB flash drive bootable jew permezz ta' port ta' kontroll remot TCP.
proċess ta 'infezzjoni ATM
Wara li qabad is-subsistema XFS, il-malware jista' joħroġ kmandi lid-dispenser tal-karti tal-flus mingħajr awtorizzazzjoni. Jew agħti kmandi lill-qarrej tal-kards: aqra/ikteb l-istrixxa manjetika ta 'karta tal-bank u saħansitra rkupra l-istorja tat-tranżazzjonijiet maħżuna fuq iċ-ċippa tal-karta EMV. EPP (Encrypting PIN Pad) jistħoqqlu attenzjoni speċjali. Huwa ġeneralment aċċettat li l-kodiċi PIN imdaħħal fuqu ma jistax jiġi interċettat. Madankollu, XFS jippermettilek tuża l-Pinpad EPP f'żewġ modi: 1) modalità miftuħa (biex tiddaħħal diversi parametri numeriċi, bħall-ammont li għandu jitħallas); 2) mod sigur (EPP jaqleb għaliha meta jkollok bżonn tidħol kodiċi PIN jew ċavetta ta 'encryption). Din il-karatteristika ta 'XFS tippermetti lill-carder iwettaq attakk MiTM: jinterċetta l-kmand tal-attivazzjoni tal-mod sikur li jintbagħat mill-host lill-EPP, u mbagħad jinforma lill-pinpad tal-EPP li għandu jkompli jaħdem fil-modalità miftuħa. Bi tweġiba għal dan il-messaġġ, EPP jibgħat keystrokes f'test ċar.
Prinċipju operattiv ta' "kaxxa sewda"
Fis-snin riċenti,
Attakk fuq ATM permezz ta' aċċess mill-bogħod
Antiviruses, imblukkar aġġornamenti tal-firmware, imblukkar tal-portijiet USB u kriptaġġ tal-hard drive - sa ċertu punt jipproteġu l-ATM minn attakki tal-virus minn carders. Imma x'jiġri jekk il-carder ma jattakkax lill-host, iżda jgħaqqad direttament mal-periferija (permezz ta 'RS232 jew USB) - ma' card reader, pin pad jew cash dispenser?
L-ewwel familjarità mal-"kaxxa s-sewda"
Carders tal-lum li huma sofistikati fit-teknoloġija
"Kaxxa sewda" ibbażata fuq Raspberry Pi
L-akbar manifatturi ta 'ATM u aġenziji ta' intelliġenza tal-gvern, iffaċċjati b'diversi implimentazzjonijiet tal-"kaxxa s-sewda",
Fl-istess ħin, biex ma jidhrux quddiem il-kameras, l-aktar carders kawti jieħdu l-għajnuna ta 'xi sieħeb mhux siewi ħafna, bagħal. U sabiex ma jkunx jista 'japproprja l-"kaxxa s-sewda" għalih innifsu, huma jużaw
Modifika tal-"kaxxa s-sewda", b'attivazzjoni permezz ta' aċċess mill-bogħod
Dan kif jidher mill-perspettiva tal-bankiera? F'reġistrazzjonijiet minn kameras tal-vidjo, jiġri xi ħaġa bħal din: ċerta persuna tiftaħ il-kompartiment ta 'fuq (żona tas-servizz), tgħaqqad "kaxxa maġika" mal-ATM, tagħlaq il-kompartiment ta' fuq u titlaq. Ftit aktar tard, diversi nies, li jidhru klijenti ordinarji, jersqu lejn l-ATM u jirtiraw ammonti kbar ta’ flus. Il-karder imbagħad jirritorna u jirkupra l-apparat maġiku żgħir tiegħu mill-ATM. Tipikament, il-fatt ta 'attakk ATM minn "kaxxa sewda" jiġi skopert biss wara ftit jiem: meta s-safe vojta u l-ġurnal tal-ġbid ta' flus ma jaqblux. Bħala riżultat, l-impjegati tal-bank jistgħu biss
Analiżi tal-komunikazzjonijiet ATM
Kif innutat hawn fuq, l-interazzjoni bejn l-unità tas-sistema u l-apparati periferali titwettaq permezz tal-USB, RS232 jew SDC. Il-carder jgħaqqad direttament mal-port tal-apparat periferali u jibgħat kmandi lilu - jinjora l-ospitant. Dan huwa pjuttost sempliċi, minħabba li l-interfaces standard ma jeħtieġu ebda sewwieqa speċifiċi. U l-protokolli proprjetarji li bihom il-periferali u l-host jinteraġixxu ma jeħtiġux awtorizzazzjoni (wara kollox, l-apparat jinsab ġewwa żona fdata); u għalhekk dawn il-protokolli mhux sikuri, li permezz tagħhom il-periferali u l-host jikkomunikaw, huma faċilment eavesdropped u faċilment suxxettibbli għal attakki mill-ġdid.
Dik. Carders jistgħu jużaw analizzatur tat-traffiku ta 'softwer jew ħardwer, li jgħaqqdu direttament mal-port ta' apparat periferali speċifiku (per eżempju, qarrej tal-kards) biex jiġbru data trażmessa. Bl-użu ta 'analizzatur tat-traffiku, il-carder jitgħallem id-dettalji tekniċi kollha tal-operat tal-ATM, inklużi l-funzjonijiet mhux dokumentati tal-periferali tiegħu (pereżempju, il-funzjoni li jinbidel il-firmware ta' apparat periferali). Bħala riżultat, il-karder jikseb kontroll sħiħ fuq l-ATM. Fl-istess ħin, huwa pjuttost diffiċli li tiskopri l-preżenza ta 'analizzatur tat-traffiku.
Kontroll dirett fuq id-dispenser tal-karti tal-flus ifisser li l-cassettes tal-ATM jistgħu jitbattlu mingħajr ebda reġistrazzjoni fil-logs, li normalment jiddaħħlu mis-software skjerat fuq il-host. Għal dawk li mhumiex familjari mal-arkitettura tal-ħardwer u s-softwer tal-ATM, verament tista 'tidher qisha maġija.
Minn fejn ġejjin il-kaxxi suwed?
Il-fornituri u s-sottokuntratturi tal-ATM qed jiżviluppaw utilitajiet ta 'debugging biex jiddijanjostikaw il-ħardwer tal-ATM, inkluż il-mekkanika elettrika responsabbli għall-ġbid ta' flus kontanti. Fost dawn l-utilitajiet:
Panel tal-Kontroll tal-ATMDesk
RapidFire ATM XFS Control Panel
Karatteristiċi komparattivi ta 'diversi utilitajiet dijanjostiċi
L-aċċess għal utilitajiet bħal dawn huwa normalment limitat għal tokens personalizzati; u jaħdmu biss meta l-bieb sikur tal-ATM ikun miftuħ. Madankollu, sempliċement billi tissostitwixxi ftit bytes fil-kodiċi binarju tal-utilità, carders
"L-aħħar mil" u ċentru tal-ipproċessar falz
L-interazzjoni diretta mal-periferija, mingħajr komunikazzjoni mal-host, hija biss waħda mit-tekniki effettivi ta 'tqardix. Tekniki oħra jiddependu fuq il-fatt li għandna varjetà wiesgħa ta 'interfaces tan-netwerk li permezz tagħhom l-ATM tikkomunika mad-dinja ta' barra. Minn X.25 għal Ethernet u ċellulari. Ħafna ATMs jistgħu jiġu identifikati u lokalizzati bl-użu tas-servizz Shodan (l-aktar struzzjonijiet konċiżi għall-użu tiegħu huma ppreżentati
L-"aħħar mil" tal-komunikazzjoni bejn l-ATM u ċ-ċentru tal-ipproċessar huwa għani f'varjetà wiesgħa ta 'teknoloġiji li jistgħu jservu bħala punt ta' dħul għall-karder. L-interazzjoni tista 'titwettaq permezz tal-metodu ta' komunikazzjoni bil-fili (linja tat-telefon jew Ethernet) jew mingħajr fili (Wi-Fi, ċellulari: CDMA, GSM, UMTS, LTE). Mekkaniżmi ta' sigurtà jistgħu jinkludu: 1) ħardwer jew softwer biex isostni VPN (kemm standard, mibnija fis-OS, kif ukoll minn partijiet terzi); 2) SSL/TLS (kemm speċifiċi għal mudell ATM partikolari kif ukoll minn manifatturi ta' partijiet terzi); 3) encryption; 4) awtentikazzjoni tal-messaġġ.
Imma
Waħda mir-rekwiżiti ewlenin tal-PCI DSS hija li d-dejta sensittiva kollha trid tkun encrypted meta tiġi trażmessa fuq netwerk pubbliku. U fil-fatt għandna netwerks li oriġinarjament kienu ddisinjati b'tali mod li d-dejta fihom tkun kompletament encrypted! Għalhekk, jitħajjar ngħid: "Id-dejta tagħna hija kkodifikata għax nużaw il-Wi-Fi u l-GSM." Madankollu, ħafna minn dawn in-netwerks ma jipprovdux sigurtà suffiċjenti. Netwerks ċellulari tal-ġenerazzjonijiet kollha ilhom hacked. Fl-aħħar u b'mod irrevokabbli. U hemm anke fornituri li joffru apparati biex jinterċettaw data trażmessa fuqhom.
Għalhekk, jew f’komunikazzjoni mhux sigura jew f’netwerk “privat”, fejn kull ATM ixandar lilu nnifsu lil ATMs oħra, jista’ jinbeda attakk MiTM “ċentru ta’ pproċessar falz” - li jwassal biex il-carder jieħu l-kontroll tal-flussi tad-data trażmessi bejn ATM u ċentru tal-ipproċessar.
Fl-istampa li ġejja
Kmand dump ta' ċentru ta' pproċessar falz
Sors: www.habr.com