Şehrin sokaklarında duran paralı demir kutular, hızlı para tutkunlarının dikkatini çekmeden edemiyor. Daha önce ATM'leri boşaltmak için tamamen fiziksel yöntemler kullanılıyordu, şimdi ise bilgisayarla ilgili hileler giderek daha fazla kullanılıyor. Şimdi bunlardan en alakalı olanı, içinde tek kartlı bir mikro bilgisayar bulunan bir “kara kutu”. Bu yazımızda nasıl çalıştığından bahsedeceğiz.
Uluslararası ATM Üreticileri Birliği (ATMIA) Başkanı
Tipik bir ATM, tek bir muhafazaya yerleştirilmiş bir dizi hazır elektromekanik bileşenden oluşur. ATM üreticileri, donanım tasarımlarını fatura dağıtıcı, kart okuyucu ve üçüncü taraf tedarikçiler tarafından halihazırda geliştirilmiş olan diğer bileşenlerden oluşturur. Yetişkinler için bir tür LEGO yapıcısı. Bitmiş bileşenler, genellikle iki bölmeden oluşan ATM gövdesine yerleştirilir: bir üst bölme ("dolap" veya "servis alanı") ve bir alt bölme (kasa). Tüm elektromekanik bileşenler, USB ve COM bağlantı noktaları aracılığıyla, bu durumda ana bilgisayar görevi gören sistem birimine bağlanır. Daha eski ATM modellerinde bağlantıları SDC veri yolu üzerinden de bulabilirsiniz.
ATM kartlamanın evrimi
İçinde büyük meblağlar bulunan ATM'ler her zaman kartçıların ilgisini çeker. İlk başta, kartçılar ATM korumasının yalnızca büyük fiziksel eksikliklerinden yararlandılar; manyetik şeritlerden veri çalmak için sıyırıcıları ve parıltıları kullandılar; sahte pin pedleri ve pin kodlarını görüntülemek için kameralar; ve hatta sahte ATM'ler.
Daha sonra ATM'ler, XFS (Finansal Hizmetler için eXtensions) gibi ortak standartlara göre çalışan birleşik yazılımlarla donatılmaya başlayınca, kartçılar ATM'lere bilgisayar virüsleriyle saldırmaya başladı.
Bunların arasında Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii ve kartçıların önyüklenebilir bir USB flash sürücü veya bir TCP uzaktan kumanda bağlantı noktası aracılığıyla ATM ana bilgisayarına yerleştirdiği çok sayıda adlandırılmış ve adlandırılmamış kötü amaçlı yazılım bulunmaktadır.
ATM enfeksiyon süreci
XFS alt sistemini ele geçiren kötü amaçlı yazılım, banknot dağıtıcısına izinsiz komutlar verebilir. Veya kart okuyucuya komutlar verin: bir banka kartının manyetik şeridini okuyun/yazın ve hatta EMV kart çipinde saklanan işlem geçmişini alın. EPP (Şifreleme PIN Pad'i) özel ilgiyi hak ediyor. Üzerine girilen PIN kodunun ele geçirilemeyeceği genel olarak kabul edilmektedir. Ancak XFS, EPP pinpad'ini iki modda kullanmanıza olanak tanır: 1) açık mod (paraya çevrilecek tutar gibi çeşitli sayısal parametreleri girmek için); 2) güvenli mod (Bir PIN kodu veya şifreleme anahtarı girmeniz gerektiğinde EPP buna geçer). XFS'nin bu özelliği, taraklayıcının bir MiTM saldırısı gerçekleştirmesine olanak tanır: Ana bilgisayardan EPP'ye gönderilen güvenli mod etkinleştirme komutunu engelleyin ve ardından EPP pinpad'ine açık modda çalışmaya devam etmesi gerektiğini bildirin. Bu mesaja yanıt olarak EPP, tuş vuruşlarını açık metin olarak gönderir.
“Kara kutunun” çalışma prensibi
Son yıllarda,
Uzaktan erişim yoluyla ATM'ye saldırı
Antivirüsler, ürün yazılımı güncellemelerini engelleme, USB bağlantı noktalarını engelleme ve sabit sürücüyü şifreleme - ATM'yi karterlerin virüs saldırılarına karşı bir dereceye kadar korur. Peki ya taraklayıcı ana bilgisayara saldırmaz, ancak doğrudan çevre birimine (RS232 veya USB yoluyla) - bir kart okuyucuya, pin pad'e veya bankamatik'e bağlanırsa?
“Kara kutu” ile ilk tanışma
Günümüzün teknoloji meraklısı tarakçılar
Raspberry Pi'ye dayalı "kara kutu"
En büyük ATM üreticileri ve devlet istihbarat teşkilatları, çeşitli "kara kutu" uygulamalarıyla karşı karşıya kaldı.
Aynı zamanda en temkinli kartçılar, kameraların karşısına çıkmamak için pek de değerli olmayan bir ortak olan katırdan yardım alır. Ve “kara kutuyu” kendine mal edemesin diye kullanıyorlar
Uzaktan erişim yoluyla etkinleştirme ile "kara kutunun" değiştirilmesi
Bankacıların bakış açısından bu nasıl görünüyor? Video kameralardan alınan kayıtlarda şöyle bir şey oluyor: Belirli bir kişi üst bölmeyi (servis alanı) açıyor, ATM'ye “sihirli kutu” bağlıyor, üst bölmeyi kapatıyor ve çıkıyor. Kısa bir süre sonra, görünüşte sıradan müşteriler olan birkaç kişi ATM'ye yaklaşır ve büyük miktarlarda para çeker. Kartçı daha sonra geri döner ve küçük sihirli cihazını ATM'den alır. Tipik olarak, bir "kara kutu" tarafından ATM saldırısının gerçek olduğu ancak birkaç gün sonra keşfedilir: boş kasa ve nakit çekme günlüğü eşleşmediğinde. Sonuç olarak, banka çalışanları yalnızca
ATM iletişimlerinin analizi
Yukarıda belirtildiği gibi sistem birimi ile çevresel cihazlar arasındaki etkileşim USB, RS232 veya SDC üzerinden gerçekleştirilir. Taraklayıcı doğrudan çevre biriminin bağlantı noktasına bağlanır ve ana bilgisayarı atlayarak ona komutlar gönderir. Bu oldukça basittir çünkü standart arayüzler herhangi bir özel sürücü gerektirmez. Çevre biriminin ve ana bilgisayarın etkileşimde bulunduğu özel protokoller yetkilendirme gerektirmez (sonuçta cihaz güvenilir bir bölgede bulunur); ve bu nedenle, çevre birimlerin ve ana bilgisayarın iletişim kurduğu bu güvenli olmayan protokoller kolaylıkla dinlenebilir ve tekrarlama saldırılarına kolaylıkla maruz kalabilir.
O. Kartçılar, iletilen verileri toplamak için onu doğrudan belirli bir çevre birimi aygıtının (örneğin kart okuyucu) bağlantı noktasına bağlayan bir yazılım veya donanım trafik analizörü kullanabilir. Kartçı, bir trafik analizörü kullanarak, çevre birimlerinin belgelenmemiş işlevleri (örneğin, bir çevre aygıtının donanım yazılımını değiştirme işlevi) dahil olmak üzere, ATM'nin çalışmasının tüm teknik ayrıntılarını öğrenir. Sonuç olarak, kartçı ATM üzerinde tam kontrol sahibi olur. Aynı zamanda trafik analizörünün varlığını tespit etmek oldukça zordur.
Banknot dağıtıcısının doğrudan kontrolü, ATM kasetlerinin normalde ana makineye yerleştirilen yazılım tarafından girilen günlüklere herhangi bir kayıt yapılmadan boşaltılabileceği anlamına gelir. ATM donanım ve yazılım mimarisine aşina olmayanlar için bu gerçekten sihir gibi görünebilir.
Kara kutular nereden geliyor?
ATM tedarikçileri ve taşeronları, nakit çekmeden sorumlu elektrik teknisyenleri de dahil olmak üzere ATM donanımını teşhis etmek için hata ayıklama araçları geliştiriyor. Bu yardımcı programlar arasında:
ATMDesk Kontrol Paneli
RapidFire ATM XFS Kontrol Paneli
Çeşitli teşhis yardımcı programlarının karşılaştırmalı özellikleri
Bu tür yardımcı programlara erişim normalde kişiselleştirilmiş tokenlarla sınırlıdır; ve yalnızca ATM kasasının kapısı açıkken çalışırlar. Ancak, yardımcı programın ikili kodundaki birkaç baytın değiştirilmesiyle, kartlayıcılar
“Son mil” ve sahte işlem merkezi
Ev sahibi ile iletişim olmaksızın çevre ile doğrudan etkileşim, etkili tarama tekniklerinden yalnızca biridir. Diğer teknikler, ATM'nin dış dünyayla iletişim kurmasını sağlayan çok çeşitli ağ arayüzlerine sahip olduğumuz gerçeğine dayanmaktadır. X.25'ten Ethernet ve hücresele. Shodan hizmeti kullanılarak birçok ATM tanımlanabilir ve yerelleştirilebilir (kullanımına ilişkin en kısa talimatlar sunulmaktadır)
ATM ile işlem merkezi arasındaki iletişimin "son mili", tarakçı için bir giriş noktası görevi görebilecek çok çeşitli teknolojiler açısından zengindir. Etkileşim kablolu (telefon hattı veya Ethernet) veya kablosuz (Wi-Fi, hücresel: CDMA, GSM, UMTS, LTE) iletişim yöntemiyle gerçekleştirilebilir. Güvenlik mekanizmaları şunları içerebilir: 1) VPN'yi destekleyen donanım veya yazılım (hem standart, işletim sistemi içinde yerleşik hem de üçüncü taraflardan); 2) SSL/TLS (hem belirli bir ATM modeline özel hem de üçüncü taraf üreticilere ait); 3) şifreleme; 4) mesaj kimlik doğrulaması.
Ancak
PCI DSS'nin temel gereksinimlerinden biri, tüm hassas verilerin genel bir ağ üzerinden aktarıldığında şifrelenmesi gerektiğidir. Ve aslında orijinal olarak içlerindeki verilerin tamamen şifreleneceği şekilde tasarlanmış ağlarımız var! Dolayısıyla "Wi-Fi ve GSM kullandığımız için verilerimiz şifrelendi" demek cazip geliyor. Ancak bu ağların birçoğu yeterli güvenliği sağlayamıyor. Tüm nesillerin hücresel ağları uzun süredir saldırıya uğruyor. Son olarak ve geri dönülmez bir şekilde. Hatta üzerlerinden iletilen verilere müdahale edecek cihazlar sunan tedarikçiler bile var.
Bu nedenle, güvenli olmayan bir iletişimde veya her ATM'nin kendisini diğer ATM'lere yayınladığı "özel" bir ağda, bir MiTM "sahte işlem merkezi" saldırısı başlatılabilir ve bu, kartçının ATM'ler arasında iletilen veri akışlarının kontrolünü ele geçirmesine yol açabilir. ATM ve işlem merkezi.
Aşağıdaki resimde
Sahte bir işlem merkezinin komut dökümü
Kaynak: habr.com