Kutitë e hekurit me para që qëndrojnë në rrugët e qytetit nuk mund të mos tërheqin vëmendjen e dashamirëve të parave të shpejta. Dhe nëse më parë përdoreshin metoda thjesht fizike për të zbrazur ATM-të, tani po përdoren gjithnjë e më shumë truke të aftë në lidhje me kompjuterin. Tani më e rëndësishmja prej tyre është një "kuti e zezë" me një mikrokompjuter me një tabelë brenda. Ne do të flasim për mënyrën se si funksionon në këtë artikull.
Shefi i Shoqatës Ndërkombëtare të Prodhuesve të ATM-ve (ATMIA)
Një ATM tipik është një grup përbërësish elektromekanikë të gatshëm të vendosur në një strehë. Prodhuesit e ATM-ve ndërtojnë krijimet e tyre të harduerit nga shpërndarësi i faturave, lexuesi i kartave dhe komponentë të tjerë të zhvilluar tashmë nga furnizues të palëve të treta. Një lloj konstruktori LEGO për të rriturit. Komponentët e përfunduar vendosen në trupin e ATM-së, i cili zakonisht përbëhet nga dy ndarje: një ndarje e sipërme ("kabineti" ose "zona e shërbimit") dhe një ndarje e poshtme (i sigurt). Të gjithë komponentët elektromekanikë janë të lidhur nëpërmjet portave USB dhe COM me njësinë e sistemit, e cila në këtë rast vepron si një pritës. Në modelet më të vjetra të ATM-ve mund të gjeni lidhje edhe nëpërmjet autobusit SDC.
Evolucioni i kartave të ATM-ve
ATM-të me shuma të mëdha brenda tërheqin pa ndryshim kardarët. Në fillim, kardarët shfrytëzuan vetëm mangësitë e mëdha fizike të mbrojtjes ATM - ata përdorën skimmers dhe shimmers për të vjedhur të dhëna nga shiritat magnetikë; jastëkë dhe kamera të rreme me pin për shikimin e kodeve pine; dhe madje edhe ATM të rreme.
Më pas, kur ATM-të filluan të pajisen me softuer të unifikuar që funksionojnë sipas standardeve të përbashkëta, si XFS (EXtensions for Financial Services), kardarët filluan të sulmojnë ATM-të me viruse kompjuterike.
Midis tyre janë Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii dhe malware të tjerë të shumtë me emër dhe pa emër, të cilët kardarët i vendosin në hostin e ATM ose nëpërmjet një USB flash drive bootable ose përmes një porti TCP telekomandë.
Procesi i infektimit me ATM
Pasi ka kapur nënsistemin XFS, malware mund të lëshojë komanda në shpërndarësin e kartëmonedhave pa autorizim. Ose jepni komanda lexuesit të kartave: lexoni/shkruani shiritin magnetik të një karte bankare dhe madje merrni historinë e transaksioneve të ruajtura në çipin e kartës EMV. EPP (Encrypting PIN Pad) meriton vëmendje të veçantë. Në përgjithësi pranohet që kodi PIN i futur në të nuk mund të përgjohet. Megjithatë, XFS ju lejon të përdorni pinpadin EPP në dy mënyra: 1) modaliteti i hapur (për futjen e parametrave të ndryshëm numerikë, si p.sh. shuma që do të arkëtohet); 2) modaliteti i sigurt (EPP kalon në të kur duhet të futni një kod PIN ose një çelës enkriptimi). Kjo veçori e XFS lejon karderin të kryejë një sulm MiTM: përgjoni komandën e aktivizimit të modalitetit të sigurt që dërgohet nga hosti në EPP dhe më pas informoni pinpadin EPP se duhet të vazhdojë të punojë në modalitetin e hapur. Në përgjigje të këtij mesazhi, EPP dërgon tastierë në tekst të qartë.
Parimi i funksionimit të "kutisë së zezë"
Në vitet e fundit,
Sulmi në një ATM nëpërmjet aksesit në distancë
Antiviruset, bllokimi i përditësimeve të firmuerit, bllokimi i porteve USB dhe enkriptimi i diskut të ngurtë - në një farë mase mbrojnë ATM-në nga sulmet e viruseve nga kartat. Por, çka nëse kartuesi nuk sulmon hostin, por lidhet drejtpërdrejt me periferinë (nëpërmjet RS232 ose USB) - me një lexues kartash, bllokues pin ose shpërndarës parash?
Njohja e parë me "kutinë e zezë"
Karderët e sotëm të teknologjisë
"Black box" bazuar në Raspberry Pi
Prodhuesit më të mëdhenj të ATM-ve dhe agjencitë e inteligjencës qeveritare, përballen me disa implementime të "kutisë së zezë",
Në të njëjtën kohë, për të mos u shfaqur para kamerave, kartolinat më të kujdesshëm marrin ndihmën e një partneri jo shumë të vlefshëm, një mushkaje. Dhe në mënyrë që ai të mos mund të përvetësojë "kutinë e zezë" për vete, ata përdorin
Modifikimi i “kutisë së zezë”, me aktivizim nëpërmjet aksesit në distancë
Si duket kjo nga këndvështrimi i bankierëve? Në regjistrimet nga kamerat video, diçka e tillë ndodh: një person i caktuar hap ndarjen e sipërme (zonën e shërbimit), lidh një "kuti magjike" me ATM-në, mbyll ndarjen e sipërme dhe largohet. Pak më vonë, disa njerëz, klientë të zakonshëm në dukje, i afrohen bankomatit dhe tërheqin shuma të mëdha parash. Kartëdhënësi pastaj kthehet dhe merr pajisjen e tij të vogël magjike nga ATM. Në mënyrë tipike, fakti i një sulmi në ATM nga një "kuti e zezë" zbulohet vetëm pas disa ditësh: kur kasaforta e zbrazët dhe regjistri i tërheqjes së parave nuk përputhen. Si rezultat, punonjësit e bankës munden vetëm
Analiza e komunikimeve me ATM
Siç u përmend më lart, ndërveprimi midis njësisë së sistemit dhe pajisjeve periferike kryhet nëpërmjet USB, RS232 ose SDC. Karderi lidhet drejtpërdrejt me portin e pajisjes periferike dhe i dërgon komanda - duke anashkaluar hostin. Kjo është mjaft e thjeshtë, sepse ndërfaqet standarde nuk kërkojnë ndonjë drejtues specifik. Dhe protokollet pronësore me të cilat ndërveprojnë pajisja periferike dhe hosti nuk kërkojnë autorizim (në fund të fundit, pajisja ndodhet brenda një zone të besuar); dhe për këtë arsye këto protokolle të pasigurta, përmes të cilave komunikojnë periferiku dhe hosti, përgjohen lehtësisht dhe lehtësisht të ndjeshëm ndaj sulmeve të përsëritura.
Se. Kartelat mund të përdorin një softuer ose analizues të trafikut harduer, duke e lidhur atë drejtpërdrejt me portin e një pajisjeje specifike periferike (për shembull, një lexues kartash) për të mbledhur të dhëna të transmetuara. Duke përdorur një analizues trafiku, kartuesi mëson të gjitha detajet teknike të funksionimit të ATM-së, duke përfshirë funksionet e padokumentuara të pajisjeve periferike të tij (për shembull, funksionin e ndryshimit të firmuerit të një pajisjeje periferike). Si rezultat, kartuesi fiton kontroll të plotë mbi ATM-në. Në të njëjtën kohë, është mjaft e vështirë të zbulohet prania e një analizuesi të trafikut.
Kontrolli i drejtpërdrejtë mbi shpërndarësin e kartëmonedhave do të thotë që kasetat e ATM-ve mund të zbrazen pa asnjë regjistrim në regjistrat, të cilët zakonisht futen nga softueri i vendosur në host. Për ata që nuk janë të njohur me arkitekturën e harduerit dhe softuerit të ATM-ve, me të vërtetë mund të duket si magji.
Nga vijnë kutitë e zeza?
Furnizuesit dhe nënkontraktorët e ATM-ve po zhvillojnë shërbime korrigjimi për të diagnostikuar harduerin e ATM-ve, duke përfshirë mekanikën elektrike përgjegjëse për tërheqjet e parave. Ndër këto shërbime:
Paneli i kontrollit të ATMDesk
Paneli i kontrollit RapidFire ATM XFS
Karakteristikat krahasuese të disa shërbimeve diagnostikuese
Qasja në shërbime të tilla zakonisht kufizohet në shenja të personalizuara; dhe ato funksionojnë vetëm kur dera e kasafortës së bankomatit është e hapur. Megjithatë, thjesht duke zëvendësuar disa bajt në kodin binar të programit, karderat
“Last Mile” dhe qendër përpunimi false
Ndërveprimi i drejtpërdrejtë me periferinë, pa komunikim me hostin, është vetëm një nga teknikat efektive të kartonit. Teknika të tjera mbështeten në faktin se ne kemi një shumëllojshmëri të gjerë të ndërfaqeve të rrjetit përmes të cilave ATM komunikon me botën e jashtme. Nga X.25 në Ethernet dhe celular. Shumë ATM mund të identifikohen dhe lokalizohen duke përdorur shërbimin Shodan (udhëzimet më koncize për përdorimin e tij janë paraqitur
"Mili i fundit" i komunikimit midis ATM-së dhe qendrës së përpunimit është i pasur me një gamë të gjerë teknologjish që mund të shërbejnë si pikë hyrëse për kartësin. Ndërveprimi mund të kryhet nëpërmjet metodës së komunikimit me tela (linjë telefonike ose Ethernet) ose me valë (Wi-Fi, celular: CDMA, GSM, UMTS, LTE). Mekanizmat e sigurisë mund të përfshijnë: 1) harduer ose softuer për të mbështetur VPN (si standarde, të integruara në OS dhe nga palët e treta); 2) SSL/TLS (të dyja specifike për një model të veçantë ATM dhe nga prodhues të palëve të treta); 3) enkriptimi; 4) vërtetimi i mesazhit.
Por
Një nga kërkesat thelbësore të PCI DSS është që të gjitha të dhënat e ndjeshme duhet të kodohen kur transmetohen përmes një rrjeti publik. Dhe ne në fakt kemi rrjete që fillimisht janë projektuar në atë mënyrë që të dhënat në to janë plotësisht të koduara! Prandaj, është joshëse të thuhet: "Të dhënat tona janë të koduara sepse ne përdorim Wi-Fi dhe GSM". Megjithatë, shumë prej këtyre rrjeteve nuk ofrojnë siguri të mjaftueshme. Rrjetet celulare të të gjitha gjeneratave janë hakuar prej kohësh. Më në fund dhe në mënyrë të pakthyeshme. Madje ka edhe furnizues që ofrojnë pajisje për të përgjuar të dhënat e transmetuara mbi to.
Prandaj, qoftë në një komunikim të pasigurt ose në një rrjet "privat", ku secili ATM transmeton vetveten në ATM-të e tjerë, mund të inicohet një sulm i "qendrës së përpunimit të rremë" MiTM - i cili do të çojë në marrjen e kontrollit të flukseve të të dhënave të transmetuara ndërmjet kartësit. ATM dhe qendër përpunimi.
Në foton e mëposhtme
Deponia e komandës së një qendre përpunimi të rremë
Burimi: www.habr.com