Kutitë e hekurit me para që qëndrojnë në rrugët e qytetit nuk mund të mos tërheqin vëmendjen e dashamirëve të parave të shpejta. Dhe nëse më parë përdoreshin metoda thjesht fizike për të zbrazur ATM-të, tani po përdoren gjithnjë e më shumë truke të aftë në lidhje me kompjuterin. Tani më e rëndësishmja prej tyre është një "kuti e zezë" me një mikrokompjuter me një tabelë brenda. Ne do të flasim për mënyrën se si funksionon në këtë artikull.
Shefi i Shoqatës Ndërkombëtare të Prodhuesve të ATM-ve (ATMIA) “kutitë e zeza” si kërcënimi më i rrezikshëm për ATM-të.
Një ATM tipik është një grup përbërësish elektromekanikë të gatshëm të vendosur në një strehë. Prodhuesit e ATM-ve ndërtojnë krijimet e tyre të harduerit nga shpërndarësi i faturave, lexuesi i kartave dhe komponentë të tjerë të zhvilluar tashmë nga furnizues të palëve të treta. Një lloj konstruktori LEGO për të rriturit. Komponentët e përfunduar vendosen në trupin e ATM-së, i cili zakonisht përbëhet nga dy ndarje: një ndarje e sipërme ("kabineti" ose "zona e shërbimit") dhe një ndarje e poshtme (i sigurt). Të gjithë komponentët elektromekanikë janë të lidhur nëpërmjet portave USB dhe COM me njësinë e sistemit, e cila në këtë rast vepron si një pritës. Në modelet më të vjetra të ATM-ve mund të gjeni lidhje edhe nëpërmjet autobusit SDC.
Evolucioni i kartave të ATM-ve
ATM-të me shuma të mëdha brenda tërheqin pa ndryshim kardarët. Në fillim, kardarët shfrytëzuan vetëm mangësitë e mëdha fizike të mbrojtjes ATM - ata përdorën skimmers dhe shimmers për të vjedhur të dhëna nga shiritat magnetikë; jastëkë dhe kamera të rreme me pin për shikimin e kodeve pine; dhe madje edhe ATM të rreme.
Më pas, kur ATM-të filluan të pajisen me softuer të unifikuar që funksionojnë sipas standardeve të përbashkëta, si XFS (EXtensions for Financial Services), kardarët filluan të sulmojnë ATM-të me viruse kompjuterike.
Midis tyre janë Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii dhe malware të tjerë të shumtë me emër dhe pa emër, të cilët kardarët i vendosin në hostin e ATM ose nëpërmjet një USB flash drive bootable ose përmes një porti TCP telekomandë.
Procesi i infektimit me ATM
Pasi ka kapur nënsistemin XFS, malware mund të lëshojë komanda në shpërndarësin e kartëmonedhave pa autorizim. Ose jepni komanda lexuesit të kartave: lexoni/shkruani shiritin magnetik të një karte bankare dhe madje merrni historinë e transaksioneve të ruajtura në çipin e kartës EMV. EPP (Encrypting PIN Pad) meriton vëmendje të veçantë. Në përgjithësi pranohet që kodi PIN i futur në të nuk mund të përgjohet. Megjithatë, XFS ju lejon të përdorni pinpadin EPP në dy mënyra: 1) modaliteti i hapur (për futjen e parametrave të ndryshëm numerikë, si p.sh. shuma që do të arkëtohet); 2) modaliteti i sigurt (EPP kalon në të kur duhet të futni një kod PIN ose një çelës enkriptimi). Kjo veçori e XFS lejon karderin të kryejë një sulm MiTM: përgjoni komandën e aktivizimit të modalitetit të sigurt që dërgohet nga hosti në EPP dhe më pas informoni pinpadin EPP se duhet të vazhdojë të punojë në modalitetin e hapur. Në përgjigje të këtij mesazhi, EPP dërgon tastierë në tekst të qartë.
Parimi i funksionimit të "kutisë së zezë"
Në vitet e fundit, Malware i Europol, ATM ka evoluar ndjeshëm. Kartelat nuk kanë më nevojë të kenë qasje fizike në një ATM për ta infektuar atë. Ata mund të infektojnë ATM-të përmes sulmeve të rrjetit në distancë duke përdorur rrjetin e korporatës së bankës. Grupi IB, në vitin 2016 në më shumë se 10 vende evropiane, ATM-të iu nënshtruan sulmeve në distancë.
Sulmi në një ATM nëpërmjet aksesit në distancë
Antiviruset, bllokimi i përditësimeve të firmuerit, bllokimi i porteve USB dhe enkriptimi i diskut të ngurtë - në një farë mase mbrojnë ATM-në nga sulmet e viruseve nga kartat. Por, çka nëse kartuesi nuk sulmon hostin, por lidhet drejtpërdrejt me periferinë (nëpërmjet RS232 ose USB) - me një lexues kartash, bllokues pin ose shpërndarës parash?
Njohja e parë me "kutinë e zezë"
Karderët e sotëm të teknologjisë , duke përdorur të ashtuquajturin për të vjedhur para nga një ATM. "Kutitë e zeza" janë mikrokompjuterë të programuar posaçërisht me një bord, si Raspberry Pi. “Kutitë e zeza” zbrazin plotësisht ATM-të, në një mënyrë krejtësisht magjike (nga këndvështrimi i bankierëve). Kartelat lidhin pajisjen e tyre magjike direkt me shpërndarësin e faturave; për të nxjerrë të gjitha paratë në dispozicion prej saj. Ky sulm anashkalon të gjithë softuerin e sigurisë të vendosur në hostin e ATM-së (antivirus, kontrolli i integritetit, kriptimi i plotë i diskut, etj.).
"Black box" bazuar në Raspberry Pi
Prodhuesit më të mëdhenj të ATM-ve dhe agjencitë e inteligjencës qeveritare, përballen me disa implementime të "kutisë së zezë", që këta kompjuterë të zgjuar nxisin ATM-të të nxjerrin të gjitha paratë e disponueshme; 40 kartëmonedha çdo 20 sekonda. Shërbimet e sigurisë paralajmërojnë gjithashtu se kardarët më së shpeshti synojnë ATM-të në farmaci dhe qendra tregtare; dhe gjithashtu për ATM-të që u shërbejnë shoferëve në lëvizje.
Në të njëjtën kohë, për të mos u shfaqur para kamerave, kartolinat më të kujdesshëm marrin ndihmën e një partneri jo shumë të vlefshëm, një mushkaje. Dhe në mënyrë që ai të mos mund të përvetësojë "kutinë e zezë" për vete, ata përdorin . Ata heqin funksionalitetin kryesor nga "kutia e zezë" dhe lidhin një smartphone me të, i cili përdoret si një kanal për transmetimin në distancë të komandave në "kutinë e zezë" të zhveshur përmes protokollit IP.
Modifikimi i “kutisë së zezë”, me aktivizim nëpërmjet aksesit në distancë
Si duket kjo nga këndvështrimi i bankierëve? Në regjistrimet nga kamerat video, diçka e tillë ndodh: një person i caktuar hap ndarjen e sipërme (zonën e shërbimit), lidh një "kuti magjike" me ATM-në, mbyll ndarjen e sipërme dhe largohet. Pak më vonë, disa njerëz, klientë të zakonshëm në dukje, i afrohen bankomatit dhe tërheqin shuma të mëdha parash. Kartëdhënësi pastaj kthehet dhe merr pajisjen e tij të vogël magjike nga ATM. Në mënyrë tipike, fakti i një sulmi në ATM nga një "kuti e zezë" zbulohet vetëm pas disa ditësh: kur kasaforta e zbrazët dhe regjistri i tërheqjes së parave nuk përputhen. Si rezultat, punonjësit e bankës munden vetëm .
Analiza e komunikimeve me ATM
Siç u përmend më lart, ndërveprimi midis njësisë së sistemit dhe pajisjeve periferike kryhet nëpërmjet USB, RS232 ose SDC. Karderi lidhet drejtpërdrejt me portin e pajisjes periferike dhe i dërgon komanda - duke anashkaluar hostin. Kjo është mjaft e thjeshtë, sepse ndërfaqet standarde nuk kërkojnë ndonjë drejtues specifik. Dhe protokollet pronësore me të cilat ndërveprojnë pajisja periferike dhe hosti nuk kërkojnë autorizim (në fund të fundit, pajisja ndodhet brenda një zone të besuar); dhe për këtë arsye këto protokolle të pasigurta, përmes të cilave komunikojnë periferiku dhe hosti, përgjohen lehtësisht dhe lehtësisht të ndjeshëm ndaj sulmeve të përsëritura.
Se. Kartelat mund të përdorin një softuer ose analizues të trafikut harduer, duke e lidhur atë drejtpërdrejt me portin e një pajisjeje specifike periferike (për shembull, një lexues kartash) për të mbledhur të dhëna të transmetuara. Duke përdorur një analizues trafiku, kartuesi mëson të gjitha detajet teknike të funksionimit të ATM-së, duke përfshirë funksionet e padokumentuara të pajisjeve periferike të tij (për shembull, funksionin e ndryshimit të firmuerit të një pajisjeje periferike). Si rezultat, kartuesi fiton kontroll të plotë mbi ATM-në. Në të njëjtën kohë, është mjaft e vështirë të zbulohet prania e një analizuesi të trafikut.
Kontrolli i drejtpërdrejtë mbi shpërndarësin e kartëmonedhave do të thotë që kasetat e ATM-ve mund të zbrazen pa asnjë regjistrim në regjistrat, të cilët zakonisht futen nga softueri i vendosur në host. Për ata që nuk janë të njohur me arkitekturën e harduerit dhe softuerit të ATM-ve, me të vërtetë mund të duket si magji.
Nga vijnë kutitë e zeza?
Furnizuesit dhe nënkontraktorët e ATM-ve po zhvillojnë shërbime korrigjimi për të diagnostikuar harduerin e ATM-ve, duke përfshirë mekanikën elektrike përgjegjëse për tërheqjet e parave. Ndër këto shërbime: , . Figura më poshtë tregon disa mjete të tjera të tilla diagnostikuese.
Paneli i kontrollit të ATMDesk
Paneli i kontrollit RapidFire ATM XFS
Karakteristikat krahasuese të disa shërbimeve diagnostikuese
Qasja në shërbime të tilla zakonisht kufizohet në shenja të personalizuara; dhe ato funksionojnë vetëm kur dera e kasafortës së bankomatit është e hapur. Megjithatë, thjesht duke zëvendësuar disa bajt në kodin binar të programit, karderat "Testoni" tërheqjen e parave - duke anashkaluar kontrollet e ofruara nga prodhuesi i shërbimeve. Kartuesit instalojnë shërbime të tilla të modifikuara në laptopin e tyre ose mikrokompjuterin me një tabelë, të cilët më pas lidhen drejtpërdrejt me shpërndarësin e kartëmonedhave për të bërë tërheqje të paautorizuara parash.
“Last Mile” dhe qendër përpunimi false
Ndërveprimi i drejtpërdrejtë me periferinë, pa komunikim me hostin, është vetëm një nga teknikat efektive të kartonit. Teknika të tjera mbështeten në faktin se ne kemi një shumëllojshmëri të gjerë të ndërfaqeve të rrjetit përmes të cilave ATM komunikon me botën e jashtme. Nga X.25 në Ethernet dhe celular. Shumë ATM mund të identifikohen dhe lokalizohen duke përdorur shërbimin Shodan (udhëzimet më koncize për përdorimin e tij janë paraqitur ), – me një sulm të mëvonshëm që shfrytëzon një konfigurim të cenueshëm sigurie, dembelizëm të administratorit dhe komunikime të pambrojtura midis departamenteve të ndryshme të bankës.
"Mili i fundit" i komunikimit midis ATM-së dhe qendrës së përpunimit është i pasur me një gamë të gjerë teknologjish që mund të shërbejnë si pikë hyrëse për kartësin. Ndërveprimi mund të kryhet nëpërmjet metodës së komunikimit me tela (linjë telefonike ose Ethernet) ose me valë (Wi-Fi, celular: CDMA, GSM, UMTS, LTE). Mekanizmat e sigurisë mund të përfshijnë: 1) harduer ose softuer për të mbështetur VPN (si standarde, të integruara në OS dhe nga palët e treta); 2) SSL/TLS (të dyja specifike për një model të veçantë ATM dhe nga prodhues të palëve të treta); 3) enkriptimi; 4) vërtetimi i mesazhit.
Por se për bankat teknologjitë e listuara duken shumë komplekse, dhe për këtë arsye ato nuk e shqetësojnë veten me mbrojtjen e veçantë të rrjetit; ose e zbatojnë me gabime. Në rastin më të mirë, ATM komunikon me serverin VPN dhe tashmë brenda rrjetit privat lidhet me qendrën e përpunimit. Për më tepër, edhe nëse bankat arrijnë të zbatojnë mekanizmat mbrojtës të renditur më sipër, kartuesi tashmë ka sulme efektive kundër tyre. Se. Edhe nëse siguria përputhet me standardin PCI DSS, ATM-të janë ende të pambrojtur.
Një nga kërkesat thelbësore të PCI DSS është që të gjitha të dhënat e ndjeshme duhet të kodohen kur transmetohen përmes një rrjeti publik. Dhe ne në fakt kemi rrjete që fillimisht janë projektuar në atë mënyrë që të dhënat në to janë plotësisht të koduara! Prandaj, është joshëse të thuhet: "Të dhënat tona janë të koduara sepse ne përdorim Wi-Fi dhe GSM". Megjithatë, shumë prej këtyre rrjeteve nuk ofrojnë siguri të mjaftueshme. Rrjetet celulare të të gjitha gjeneratave janë hakuar prej kohësh. Më në fund dhe në mënyrë të pakthyeshme. Madje ka edhe furnizues që ofrojnë pajisje për të përgjuar të dhënat e transmetuara mbi to.
Prandaj, qoftë në një komunikim të pasigurt ose në një rrjet "privat", ku secili ATM transmeton vetveten në ATM-të e tjerë, mund të inicohet një sulm i "qendrës së përpunimit të rremë" MiTM - i cili do të çojë në marrjen e kontrollit të flukseve të të dhënave të transmetuara ndërmjet kartësit. ATM dhe qendër përpunimi.
Mijëra ATM janë prekur potencialisht. Rrugës për në qendrën e vërtetë të përpunimit, kartela fut një të tijën false. Kjo qendër e përpunimit false i jep komanda ATM-së për të shpërndarë kartëmonedha. Në këtë rast, kartuesi konfiguron qendrën e tij të përpunimit në atë mënyrë që paratë e gatshme të lëshohen pavarësisht se cila kartë është futur në ATM - edhe nëse ajo ka skaduar ose ka një bilanc zero. Gjëja kryesore është që qendra e përpunimit të rremë "e njeh" atë. Një qendër përpunimi e rremë mund të jetë ose një produkt i bërë në shtëpi ose një simulator i qendrës së përpunimit, i krijuar fillimisht për korrigjimin e cilësimeve të rrjetit (një dhuratë tjetër nga "prodhuesi" për karderët).
Në foton e mëposhtme hale komandash për lëshimin e 40 kartëmonedhave nga kaseta e katërt - të dërguara nga një qendër përpunimi false dhe të ruajtura në regjistrat e softuerit të ATM-ve. Duken pothuajse reale.
Deponia e komandës së një qendre përpunimi të rremë
Burimi: www.habr.com