Kotak beusi sareng artos anu nangtung di jalan-jalan kota henteu tiasa ngabantosan tapi narik perhatian para pencinta artos gancang. Sareng upami sateuacana metode fisik murni dianggo pikeun ngosongkeun ATM, ayeuna langkung seueur trik anu aya hubunganana sareng komputer anu dianggo. Ayeuna anu paling relevan di antarana nyaéta "kotak hideung" kalayan mikrokomputer papan tunggal di jero. Urang bakal ngobrol ngeunaan kumaha gawéna dina artikel ieu.
Pimpinan Asosiasi Pabrikan ATM Internasional (ATMIA) "Kotak hideung" salaku ancaman paling bahaya pikeun ATM.
ATM has nyaéta sakumpulan komponén éléktromékanis siap-siap anu disimpen dina hiji perumahan. Pabrikan ATM ngawangun kreasi hardwarena tina dispenser tagihan, pamaca kartu sareng komponén sanésna anu parantos dikembangkeun ku panyadia pihak katilu. A nurun constructor LEGO for geus dewasa. Komponén réngsé disimpen dina awak ATM, anu biasana diwangun ku dua kompartemen: kompartemen luhur ("kabinet" atanapi "area jasa"), sareng kompartemen handap (aman). Sadaya komponén electromechanical disambungkeun via USB jeung COM palabuhan ka Unit sistem, nu dina hal ieu tindakan minangka host. Dina model ATM heubeul Anjeun ogé bisa manggihan sambungan via beus SDC.
Évolusi kartu ATM
ATM kalawan sums badag di jero invariably mikat carders. Mimitina, carders dieksploitasi ngan deficiencies fisik kotor panyalindungan ATM - aranjeunna dipaké skimmers na shimmers maok data ti stripes magnét; bantalan pin palsu sareng kaméra pikeun ningali kodeu pin; komo ATM palsu.
Lajeng, nalika ATM mimiti dilengkepan software terpadu operasi nurutkeun standar umum, kayaning XFS (eXtensions for Financial Services), carders mimiti narajang ATM kalawan virus komputer.
Diantarana nyaéta Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii sareng seueur deui malware anu namina sareng henteu namina, anu ditandurkeun kartu dina host ATM boh ngalangkungan USB flash drive bootable atanapi ngalangkungan port kadali jauh TCP.
prosés inféksi ATM
Saatos ngarebut subsistem XFS, malware tiasa ngaluarkeun paréntah ka dispenser uang kertas tanpa otorisasina. Atawa masihan paréntah ka maca kartu: maca / nulis belang magnét tina kartu bank komo nimba sajarah urus disimpen dina chip kartu EMV. EPP (Encrypting PIN Pad) pantes perhatian husus. Hal ieu umumna ditarima yén kodeu PIN diasupkeun kana eta teu bisa disadap. Nanging, XFS ngamungkinkeun anjeun ngagunakeun pinpad EPP dina dua modeu: 1) modeu kabuka (pikeun ngalebetkeun rupa-rupa parameter numerik, sapertos jumlah anu bakal dikaluarkeun); 2) modeu aman (EPP pindah ka éta nalika anjeun kedah ngalebetkeun kode PIN atanapi konci enkripsi). Fitur XFS ieu ngamungkinkeun carder pikeun ngalaksanakeun serangan MiTM: nyegat paréntah aktivasina mode aman anu dikirim ti host ka EPP, teras ngawartosan pinpad EPP yén éta kedah neraskeun damel dina modeu kabuka. Dina respon kana pesen ieu, EPP ngirimkeun keystrokes dina téks jelas.
Prinsip operasi "kotak hideung"
Dina taun-taun ayeuna, Europol, malware ATM parantos mekar sacara signifikan. Carders henteu kedah gaduh aksés fisik ka ATM pikeun nginféksi éta. Éta tiasa nginféksi ATM ngalangkungan serangan jaringan jauh nganggo jaringan perusahaan bank. Grup IB, dina 2016 di langkung ti 10 nagara Éropa, ATM tunduk kana serangan jarak jauh.
Serangan kana ATM via aksés jauh
Antipirus, meungpeuk apdet firmware, meungpeuk palabuhan USB sareng énkripsi hard drive - dugi ka sababaraha tingkat ngajaga ATM tina serangan virus ku carder. Tapi kumaha lamun carder nu teu nyerang host, tapi nyambung langsung ka periphery nu (via RS232 atanapi USB) - ka card reader, pin Pad atanapi dispenser tunai?
Kenalan munggaran sareng "kotak hideung"
Carders tech-savvy dinten ieu , ngagunakeun nu disebut maok tunai ti ATM. "Kotak hideung" diprogram khusus pikeun mikrokomputer papan tunggal, sapertos Raspberry Pi. "Kotak Hideung" ATM kosong lengkep, dina cara lengkep gaib (ti sudut pandang bankers '). Carders nyambungkeun alat magic maranéhanana langsung ka dispenser tagihan; pikeun nimba sagala duit sadia ti eta. Serangan ieu ngalangkungan sadaya parangkat lunak kaamanan anu dipasang dina host ATM (antivirus, monitoring integritas, enkripsi disk pinuh, jsb.).
"Kotak Hideung" dumasar kana buah prambus Pi
Pabrikan ATM panggedéna sareng agénsi intelijen pamaréntah, nyanghareupan sababaraha palaksanaan "kotak hideung", yén ieu komputer pinter ngainduksi ATM nyiduh kaluar kabeh tunai sadia; 40 duit kertas unggal 20 detik. jasa kaamanan ogé ngingetkeun yén carders paling sering sasaran ATM di apoték jeung puseur balanja; sarta ogé ka ATM nu ngawula motorists on lebet.
Dina waktu nu sarua, dina urutan teu némbongan di hareup kaméra, nu carders paling cautious nyandak bantuan sababaraha pasangan teu pisan berharga, bigal a. Sarta ku kituna manéhna teu bisa luyu jeung "kotak hideung" keur dirina, aranjeunna ngagunakeun . Aranjeunna ngaleungitkeun fungsionalitas konci tina "kotak hideung" sareng nyambungkeun smartphone ka dinya, anu dianggo salaku saluran pikeun ngirimkeun paréntah jarak jauh ka "kotak hideung" anu dilucuti ku protokol IP.
Modifikasi tina "kotak hideung", kalawan aktivasina via aksés jauh
Kumaha ieu katingalina tina sudut pandang para bankir? Dina rekaman tina kaméra video, hal kawas kieu: jalma nu tangtu muka kompartemen luhur (area jasa), nyambungkeun "kotak magic" ka ATM, nutup kompartemen luhur jeung daun. Sakedapan, sababaraha urang, sigana konsumén biasa, ngadeukeutan ATM sareng narik artos anu ageung. Carder lajeng balik sarta retrieves alat magic saeutik na ti ATM. Ilaharna, kanyataan serangan ATM ku "kotak hideung" kapanggih ngan sanggeus sababaraha poé: nalika brankas kosong jeung log ditarikna tunai teu cocog. Hasilna, pagawé bank ngan bisa .
Analisis komunikasi ATM
Sakumaha anu kacatet di luhur, interaksi antara unit sistem sareng alat periferal dilaksanakeun via USB, RS232 atanapi SDC. Carder nyambungkeun langsung ka port tina alat periferal sarta ngirimkeun paréntah ka dinya - bypassing host. Ieu cukup basajan, sabab interfaces baku teu merlukeun sagala drivers husus. Sareng protokol proprietary dimana periferal sareng host berinteraksi henteu meryogikeun otorisasina (sanggeus sadayana, alatna aya di jero zona anu dipercaya); sahingga ieu protokol teu aman, ngaliwatan nu periferal jeung host komunikasi, gampang eavesdropped sarta gampang susceptible mun replay serangan.
Anu. Carders bisa ngagunakeun software atawa hardware analyzer lalulintas, nyambungkeun eta langsung ka port sahiji alat periferal husus (Contona, card reader) pikeun ngumpulkeun data dikirimkeun. Ngagunakeun analisa lalulintas, carder diajar sagala rinci teknis ngeunaan operasi ATM, kaasup fungsi undocumented périferal na (contona, fungsi ngarobah firmware tina alat periferal). Hasilna, carder nu gains kadali pinuh ngaliwatan ATM. Dina waktos anu sami, hese pisan pikeun ngadeteksi ayana analisa lalu lintas.
Kontrol langsung kana dispenser uang kertas hartosna yén kasét ATM tiasa dikosongkeun tanpa ngarékam dina log, anu biasana diasupkeun ku parangkat lunak anu dipasang dina host. Pikeun anu henteu wawuh sareng arsitéktur hardware sareng software ATM, éta tiasa katingali sapertos sihir.
Dimana kotak hideung asalna?
Pembekal ATM sareng subkontraktor nuju ngembangkeun utilitas debugging pikeun ngadiagnosa hardware ATM, kalebet mékanika listrik anu tanggung jawab pikeun ditarikna artos. Diantara utiliti ieu: , . Gambar di handap ieu nunjukkeun sababaraha utilitas diagnostik sapertos kitu.
Panel Kontrol ATMDesk
RapidFire ATM XFS Control Panel
Karakteristik komparatif tina sababaraha utilitas diagnostik
Aksés ka utilitas sapertos biasana dugi ka token pribadi; sareng aranjeunna ngan ukur tiasa dianggo nalika panto aman ATM dibuka. Sanajan kitu, cukup ku ngaganti sababaraha bait dina kode binér utiliti, carders "Nguji" ditarikna tunai - ngalangkungan cek anu disayogikeun ku produsén utiliti. Carder masang utilitas anu dirobih sapertos dina laptop atanapi mikrokomputer papan tunggal, anu teras dihubungkeun langsung ka dispenser uang kertas pikeun nyandak artos anu teu sah.
"Panungtungan mil" jeung puseur processing palsu
Interaksi langsung sareng periphery, tanpa komunikasi sareng host, ngan ukur salah sahiji téknik carding anu efektif. Téhnik séjén ngandelkeun kanyataan yén urang gaduh rupa-rupa interfaces jaringan dimana ATM komunikasi sareng dunya luar. Ti X.25 ka Ethernet jeung sélular. Seueur ATM tiasa diidentifikasi sareng dilokalkeun nganggo jasa Shodan (parentah anu paling ringkes pikeun panggunaanna dibere ), - kalawan serangan saterusna nu exploits konfigurasi kaamanan rentan, hoream administrator jeung komunikasi rentan antara rupa departemén bank.
The "mil panungtungan" komunikasi antara ATM jeung puseur processing téh euyeub di rupa-rupa téknologi nu bisa ngawula ka salaku titik Éntri pikeun carder nu. Interaksi tiasa dilakukeun via kabel (garis telepon atanapi Ethernet) atanapi nirkabel (Wi-Fi, sélular: CDMA, GSM, UMTS, LTE) metode komunikasi. Mékanisme kaamanan bisa ngawengku: 1) hardware atawa software pikeun ngarojong VPN (duanana standar, diwangun kana OS, sarta ti pihak katilu); 2) SSL/TLS (duanana husus pikeun modél ATM tinangtu jeung ti pabrik pihak katilu); 3) énkripsi; 4) auténtikasi pesen.
kumaha oge yén pikeun bank téknologi didaptarkeun sigana pisan kompléks, sarta ku kituna maranéhna teu ngaganggu diri ku panyalindungan jaringan husus; atanapi aranjeunna ngalaksanakeunana kalayan kasalahan. Dina kasus anu pangsaéna, ATM komunikasi sareng server VPN, sareng parantos aya di jero jaringan pribadi éta nyambung ka pusat pangolahan. Sajaba ti éta, sanajan bank ngatur pikeun nerapkeun mékanisme pelindung nu didaptarkeun di luhur, carder geus boga serangan éféktif ngalawan aranjeunna. Anu. Sanajan kaamanan luyu jeung standar PCI DSS, ATM masih rentan.
Salah sahiji sarat inti PCI DSS nyaéta sakabéh data sénsitip kudu énkripsi nalika dikirimkeun ngaliwatan jaringan umum. Sareng urang saleresna gaduh jaringan anu awalna dirarancang supados data di jerona énkripsi lengkep! Ku sabab éta, pikabitaeun nyarios: "Data kami énkripsi sabab kami nganggo Wi-Fi sareng GSM." Sanajan kitu, loba jaringan ieu teu nyadiakeun kaamanan cukup. Jaringan sélulér sadaya generasi parantos lami diretas. Tungtungna jeung irrevocably. Tur aya malah suppliers nu nawiskeun alat pikeun intercept data dikirimkeun ngaliwatan aranjeunna.
Ku alatan éta, boh dina komunikasi anu teu aman atanapi dina jaringan "swasta", dimana unggal ATM nyiarkeun sorangan ka ATM anu sanés, serangan "pusat pamrosésan palsu" MiTM tiasa digagas - anu bakal ngakibatkeun carder ngarebut kontrol aliran data anu dikirimkeun antara. ATM jeung puseur processing.
Rébuan ATM berpotensi kapangaruhan. Dina jalan ka puseur processing asli, cardr nyelapkeun sorangan, hiji palsu. Puseur pangolahan palsu ieu masihan paréntah ka ATM pikeun ngaluarkeun uang kertas. Dina hal ieu, carder ngonpigurasikeun pusat pamrosésanna ku cara anu ngaluarkeun artos henteu paduli kartu mana anu diselapkeun kana ATM - sanaos éta parantos kadaluwarsa atanapi ngagaduhan kasaimbangan enol. Hal utama nyaéta yén pusat pangolahan palsu "ngaku" éta. Puseur processing palsu bisa jadi boh produk homemade atawa simulator puseur processing, asalna dirancang pikeun setelan jaringan debugging (kado sejen ti "produsén" pikeun carders).
Dina gambar di handap ieu dump paréntah pikeun ngaluarkeun 40 duit kertas ti kaset kaopat - dikirim ti puseur processing palsu tur disimpen dina log software ATM. Aranjeunna kasampak ampir nyata.
Komando dump sahiji puseur processing palsu
sumber: www.habr.com