Kaxxi tal-ħadid bil-flus wieqaf fit-toroq tal-belt ma jistgħux ma jiġbdux l-attenzjoni ta 'min iħobb il-flus malajr. U jekk qabel kienu jintużaw metodi purament fiżiċi biex jitbattlu l-ATMs, issa qed jintużaw aktar u aktar tricks sengħa relatati mal-kompjuter. Issa l-aktar rilevanti minnhom hija "kaxxa sewda" b'mikrokompjuter b'bord wieħed ġewwa. Se nitkellmu dwar kif taħdem f'dan l-artikolu.
Kap tal-Assoċjazzjoni Internazzjonali tal-Manifatturi tal-ATM (ATMIA) "kaxxi suwed" bħala l-aktar theddida perikoluża għall-ATMs.
ATM tipiku huwa sett ta 'komponenti elettromekkaniċi lesti miżmuma f'akkomodazzjoni waħda. Il-manifatturi tal-ATM jibnu l-kreazzjonijiet tal-ħardwer tagħhom mid-dispenser tal-kontijiet, il-qarrejja tal-karti u komponenti oħra diġà żviluppati minn fornituri ta 'partijiet terzi. Speċi ta 'kostruttur LEGO għall-adulti. Il-komponenti lesti jitqiegħdu fil-korp tal-ATM, li normalment jikkonsisti f'żewġ kompartimenti: kompartiment ta 'fuq ("kabinett" jew "żona tas-servizz"), u kompartiment t'isfel (sikur). Il-komponenti elettromekkaniċi kollha huma konnessi permezz ta 'portijiet USB u COM mal-unità tas-sistema, li f'dan il-każ taġixxi bħala host. Fuq mudelli ta' ATM eqdem tista' ssib ukoll konnessjonijiet permezz tal-bus SDC.
L-evoluzzjoni tal-kard tal-ATM
ATMs b'somom kbar ġewwa invarjabbilment jattiraw carders. Għall-ewwel, carders sfruttaw biss in-nuqqasijiet fiżiċi kbar tal-protezzjoni tal-ATM - użaw skimmers u shimmers biex jisirqu d-dejta minn strixxi manjetiċi; pads tal-brilli foloz u kameras għall-wiri tal-kodiċijiet tal-pin; u anke ATMs foloz.
Imbagħad, meta l-ATMs bdew ikunu mgħammra b'softwer unifikat li jopera skont standards komuni, bħal XFS (eXtensions for Financial Services), il-carders bdew jattakkaw l-ATMs b'viruses tal-kompjuter.
Fosthom hemm Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii u għadd kbir ta' malware ieħor bl-isem u mingħajr isem, li carders impjant fuq l-ATM ospitanti jew permezz ta' USB flash drive bootable jew permezz ta' port ta' kontroll remot TCP.
proċess ta 'infezzjoni ATM
Wara li qabad is-subsistema XFS, il-malware jista' joħroġ kmandi lid-dispenser tal-karti tal-flus mingħajr awtorizzazzjoni. Jew agħti kmandi lill-qarrej tal-kards: aqra/ikteb l-istrixxa manjetika ta 'karta tal-bank u saħansitra rkupra l-istorja tat-tranżazzjonijiet maħżuna fuq iċ-ċippa tal-karta EMV. EPP (Encrypting PIN Pad) jistħoqqlu attenzjoni speċjali. Huwa ġeneralment aċċettat li l-kodiċi PIN imdaħħal fuqu ma jistax jiġi interċettat. Madankollu, XFS jippermettilek tuża l-Pinpad EPP f'żewġ modi: 1) modalità miftuħa (biex tiddaħħal diversi parametri numeriċi, bħall-ammont li għandu jitħallas); 2) mod sigur (EPP jaqleb għaliha meta jkollok bżonn tidħol kodiċi PIN jew ċavetta ta 'encryption). Din il-karatteristika ta 'XFS tippermetti lill-carder iwettaq attakk MiTM: jinterċetta l-kmand tal-attivazzjoni tal-mod sikur li jintbagħat mill-host lill-EPP, u mbagħad jinforma lill-pinpad tal-EPP li għandu jkompli jaħdem fil-modalità miftuħa. Bi tweġiba għal dan il-messaġġ, EPP jibgħat keystrokes f'test ċar.
Prinċipju operattiv ta' "kaxxa sewda"
Fis-snin riċenti, Europol, il-malware tal-ATM evolva b'mod sinifikanti. Carders m'għadx jeħtieġ li jkollhom aċċess fiżiku għal ATM biex jinfettawha. Jistgħu jinfettaw ATMs permezz ta' attakki tan-netwerk remoti bl-użu tan-netwerk korporattiv tal-bank. Grupp IB, fl-2016 f'aktar minn 10 pajjiżi Ewropej, ATMs kienu suġġetti għal attakki mill-bogħod.
Attakk fuq ATM permezz ta' aċċess mill-bogħod
Antiviruses, imblukkar aġġornamenti tal-firmware, imblukkar tal-portijiet USB u kriptaġġ tal-hard drive - sa ċertu punt jipproteġu l-ATM minn attakki tal-virus minn carders. Imma x'jiġri jekk il-carder ma jattakkax lill-host, iżda jgħaqqad direttament mal-periferija (permezz ta 'RS232 jew USB) - ma' card reader, pin pad jew cash dispenser?
L-ewwel familjarità mal-"kaxxa s-sewda"
Carders tal-lum li huma sofistikati fit-teknoloġija , billi tuża l-hekk imsejħa biex tisraq flus kontanti minn ATM. "kaxxi suwed" huma mikrokompjuters b'bord wieħed ipprogrammati speċifikament, bħall-Raspberry Pi. "Kaxxi suwed" ibattlu l-ATMs kompletament, b'mod kompletament maġiku (mill-perspettiva tal-bankiera). Carders jgħaqqdu l-apparat maġiku tagħhom direttament mad-dispenser tal-kontijiet; biex jiġi estratt il-flus kollha disponibbli minnha. Dan l-attakk jevita s-softwer tas-sigurtà kollu skjerat fuq il-host ATM (antivirus, monitoraġġ tal-integrità, kriptaġġ sħiħ tad-disk, eċċ.).
"Kaxxa sewda" ibbażata fuq Raspberry Pi
L-akbar manifatturi ta 'ATM u aġenziji ta' intelliġenza tal-gvern, iffaċċjati b'diversi implimentazzjonijiet tal-"kaxxa s-sewda", li dawn il-kompjuters għaqlija jħeġġu lill-ATMs jibżgħu l-flus kollha disponibbli; 40 karta tal-flus kull 20 sekonda. Is-servizzi tas-sigurtà jwissu wkoll li l-carders l-aktar spiss jimmiraw lejn ATMs fl-ispiżeriji u ċentri tax-xiri; u wkoll lil ATMs li jservu lis-sewwieqa waqt li jkunu għaddejjin.
Fl-istess ħin, biex ma jidhrux quddiem il-kameras, l-aktar carders kawti jieħdu l-għajnuna ta 'xi sieħeb mhux siewi ħafna, bagħal. U sabiex ma jkunx jista 'japproprja l-"kaxxa s-sewda" għalih innifsu, huma jużaw . Huma jneħħu l-funzjonalità ewlenija mill-"kaxxa s-sewda" u jgħaqqdu smartphone magħha, li jintuża bħala kanal għat-trażmissjoni mill-bogħod ta 'kmandi lill-"kaxxa s-sewda" imqaxxar permezz tal-protokoll IP.
Modifika tal-"kaxxa s-sewda", b'attivazzjoni permezz ta' aċċess mill-bogħod
Dan kif jidher mill-perspettiva tal-bankiera? F'reġistrazzjonijiet minn kameras tal-vidjo, jiġri xi ħaġa bħal din: ċerta persuna tiftaħ il-kompartiment ta 'fuq (żona tas-servizz), tgħaqqad "kaxxa maġika" mal-ATM, tagħlaq il-kompartiment ta' fuq u titlaq. Ftit aktar tard, diversi nies, li jidhru klijenti ordinarji, jersqu lejn l-ATM u jirtiraw ammonti kbar ta’ flus. Il-karder imbagħad jirritorna u jirkupra l-apparat maġiku żgħir tiegħu mill-ATM. Tipikament, il-fatt ta 'attakk ATM minn "kaxxa sewda" jiġi skopert biss wara ftit jiem: meta s-safe vojta u l-ġurnal tal-ġbid ta' flus ma jaqblux. Bħala riżultat, l-impjegati tal-bank jistgħu biss .
Analiżi tal-komunikazzjonijiet ATM
Kif innutat hawn fuq, l-interazzjoni bejn l-unità tas-sistema u l-apparati periferali titwettaq permezz tal-USB, RS232 jew SDC. Il-carder jgħaqqad direttament mal-port tal-apparat periferali u jibgħat kmandi lilu - jinjora l-ospitant. Dan huwa pjuttost sempliċi, minħabba li l-interfaces standard ma jeħtieġu ebda sewwieqa speċifiċi. U l-protokolli proprjetarji li bihom il-periferali u l-host jinteraġixxu ma jeħtiġux awtorizzazzjoni (wara kollox, l-apparat jinsab ġewwa żona fdata); u għalhekk dawn il-protokolli mhux sikuri, li permezz tagħhom il-periferali u l-host jikkomunikaw, huma faċilment eavesdropped u faċilment suxxettibbli għal attakki mill-ġdid.
Dik. Carders jistgħu jużaw analizzatur tat-traffiku ta 'softwer jew ħardwer, li jgħaqqdu direttament mal-port ta' apparat periferali speċifiku (per eżempju, qarrej tal-kards) biex jiġbru data trażmessa. Bl-użu ta 'analizzatur tat-traffiku, il-carder jitgħallem id-dettalji tekniċi kollha tal-operat tal-ATM, inklużi l-funzjonijiet mhux dokumentati tal-periferali tiegħu (pereżempju, il-funzjoni li jinbidel il-firmware ta' apparat periferali). Bħala riżultat, il-karder jikseb kontroll sħiħ fuq l-ATM. Fl-istess ħin, huwa pjuttost diffiċli li tiskopri l-preżenza ta 'analizzatur tat-traffiku.
Kontroll dirett fuq id-dispenser tal-karti tal-flus ifisser li l-cassettes tal-ATM jistgħu jitbattlu mingħajr ebda reġistrazzjoni fil-logs, li normalment jiddaħħlu mis-software skjerat fuq il-host. Għal dawk li mhumiex familjari mal-arkitettura tal-ħardwer u s-softwer tal-ATM, verament tista 'tidher qisha maġija.
Minn fejn ġejjin il-kaxxi suwed?
Il-fornituri u s-sottokuntratturi tal-ATM qed jiżviluppaw utilitajiet ta 'debugging biex jiddijanjostikaw il-ħardwer tal-ATM, inkluż il-mekkanika elettrika responsabbli għall-ġbid ta' flus kontanti. Fost dawn l-utilitajiet: , . Il-figura hawn taħt turi diversi aktar utilitajiet dijanjostiċi bħal dawn.
Panel tal-Kontroll tal-ATMDesk
RapidFire ATM XFS Control Panel
Karatteristiċi komparattivi ta 'diversi utilitajiet dijanjostiċi
L-aċċess għal utilitajiet bħal dawn huwa normalment limitat għal tokens personalizzati; u jaħdmu biss meta l-bieb sikur tal-ATM ikun miftuħ. Madankollu, sempliċement billi tissostitwixxi ftit bytes fil-kodiċi binarju tal-utilità, carders "test" irtirar ta' flus kontanti - jinjora l-kontrolli pprovduti mill-manifattur tal-utilità. Carders jinstallaw utilitajiet modifikati bħal dawn fuq il-laptop tagħhom jew il-mikrokompjuter b'bord wieħed, li mbagħad jiġu konnessi direttament mad-dispenser tal-karti tal-flus biex jagħmlu ġbid ta' flus kontanti mhux awtorizzat.
"L-aħħar mil" u ċentru tal-ipproċessar falz
L-interazzjoni diretta mal-periferija, mingħajr komunikazzjoni mal-host, hija biss waħda mit-tekniki effettivi ta 'tqardix. Tekniki oħra jiddependu fuq il-fatt li għandna varjetà wiesgħa ta 'interfaces tan-netwerk li permezz tagħhom l-ATM tikkomunika mad-dinja ta' barra. Minn X.25 għal Ethernet u ċellulari. Ħafna ATMs jistgħu jiġu identifikati u lokalizzati bl-użu tas-servizz Shodan (l-aktar struzzjonijiet konċiżi għall-użu tiegħu huma ppreżentati ), – b'attakk sussegwenti li jisfrutta konfigurazzjoni ta' sigurtà vulnerabbli, għażżien tal-amministratur u komunikazzjonijiet vulnerabbli bejn diversi dipartimenti tal-bank.
L-"aħħar mil" tal-komunikazzjoni bejn l-ATM u ċ-ċentru tal-ipproċessar huwa għani f'varjetà wiesgħa ta 'teknoloġiji li jistgħu jservu bħala punt ta' dħul għall-karder. L-interazzjoni tista 'titwettaq permezz tal-metodu ta' komunikazzjoni bil-fili (linja tat-telefon jew Ethernet) jew mingħajr fili (Wi-Fi, ċellulari: CDMA, GSM, UMTS, LTE). Mekkaniżmi ta' sigurtà jistgħu jinkludu: 1) ħardwer jew softwer biex isostni VPN (kemm standard, mibnija fis-OS, kif ukoll minn partijiet terzi); 2) SSL/TLS (kemm speċifiċi għal mudell ATM partikolari kif ukoll minn manifatturi ta' partijiet terzi); 3) encryption; 4) awtentikazzjoni tal-messaġġ.
Imma li għall-banek it-teknoloġiji elenkati jidhru kumplessi ħafna, u għalhekk ma jiddejqux lilhom infushom bi protezzjoni speċjali tan-netwerk; jew jimplimentawha bi żbalji. Fl-aħjar każ, l-ATM jikkomunika mas-server VPN, u diġà ġewwa n-netwerk privat jgħaqqad maċ-ċentru tal-ipproċessar. Barra minn hekk, anki jekk il-banek jirnexxilhom jimplimentaw il-mekkaniżmi protettivi elenkati hawn fuq, il-carder diġà għandu attakki effettivi kontrihom. Dik. Anke jekk is-sigurtà tikkonforma mal-istandard PCI DSS, l-ATMs għadhom vulnerabbli.
Waħda mir-rekwiżiti ewlenin tal-PCI DSS hija li d-dejta sensittiva kollha trid tkun encrypted meta tiġi trażmessa fuq netwerk pubbliku. U fil-fatt għandna netwerks li oriġinarjament kienu ddisinjati b'tali mod li d-dejta fihom tkun kompletament encrypted! Għalhekk, jitħajjar ngħid: "Id-dejta tagħna hija kkodifikata għax nużaw il-Wi-Fi u l-GSM." Madankollu, ħafna minn dawn in-netwerks ma jipprovdux sigurtà suffiċjenti. Netwerks ċellulari tal-ġenerazzjonijiet kollha ilhom hacked. Fl-aħħar u b'mod irrevokabbli. U hemm anke fornituri li joffru apparati biex jinterċettaw data trażmessa fuqhom.
Għalhekk, jew f’komunikazzjoni mhux sigura jew f’netwerk “privat”, fejn kull ATM ixandar lilu nnifsu lil ATMs oħra, jista’ jinbeda attakk MiTM “ċentru ta’ pproċessar falz” - li jwassal biex il-carder jieħu l-kontroll tal-flussi tad-data trażmessi bejn ATM u ċentru tal-ipproċessar.
Eluf ta’ ATMs huma potenzjalment affettwati. Fit-triq lejn iċ-ċentru tal-ipproċessar ġenwin, il-cardr idaħħal wieħed falz tiegħu stess. Dan iċ-ċentru tal-ipproċessar falz jagħti kmandi lill-ATM biex iqassam il-karti tal-flus. F'dan il-każ, il-carder jikkonfigura ċ-ċentru tal-ipproċessar tiegħu b'tali mod li jinħarġu flus kontanti irrispettivament minn liema karta tiddaħħal fl-ATM - anki jekk tkun skadiet jew ikollu bilanċ żero. Il-ħaġa prinċipali hija li ċ-ċentru tal-ipproċessar falz "jirrikonoxxih". Ċentru tal-ipproċessar falz jista 'jkun jew prodott magħmul mid-dar jew simulatur taċ-ċentru tal-ipproċessar, oriġinarjament iddisinjat għall-debugging tas-settings tan-netwerk (rigal ieħor mill-"manifattur" lill-carders).
Fl-istampa li ġejja dump ta 'kmandi għall-ħruġ ta' karti tal-flus 40 mir-raba 'cassette - mibgħuta minn ċentru ta' pproċessar foloz u maħżuna f'logs tas-softwer tal-ATM. Huma jidhru kważi reali.
Kmand dump ta' ċentru ta' pproċessar falz
Sors: www.habr.com