Shahar ko'chalarida pul qo'yilgan temir qutilar tez pul ishqibozlarining e'tiborini tortmaydi. Va agar ilgari bankomatlarni bo'shatish uchun sof jismoniy usullar qo'llanilgan bo'lsa, endi kompyuter bilan bog'liq bo'lgan nayranglar tobora ko'proq qo'llanilmoqda. Endi ularning eng dolzarbi ichida bitta platali mikrokompyuter joylashgan "qora quti". Bu qanday ishlashi haqida biz ushbu maqolada gaplashamiz.
Xalqaro bankomat ishlab chiqaruvchilar uyushmasi (ATMIA) rahbari "qora qutilar" bankomatlar uchun eng xavfli tahdid sifatida.
Oddiy bankomat - bu bitta korpusda joylashgan tayyor elektromexanik komponentlar to'plami. Bankomat ishlab chiqaruvchilari o'zlarining apparat vositalarini hisob-kitoblarni tarqatuvchi, kartani o'quvchi va uchinchi tomon yetkazib beruvchilar tomonidan allaqachon ishlab chiqilgan boshqa komponentlardan yaratadilar. Kattalar uchun bir turdagi LEGO konstruktori. Tayyor komponentlar bankomat korpusiga joylashtiriladi, u odatda ikkita bo'limdan iborat: yuqori bo'linma ("shkaf" yoki "xizmat ko'rsatish maydoni") va pastki bo'linma (seyf). Barcha elektromexanik komponentlar USB va MAQOMOTI portlari orqali tizim blokiga ulanadi, bu holda u xost vazifasini bajaradi. Eski ATM modellarida siz SDC avtobusi orqali ulanishlarni ham topishingiz mumkin.
ATM kartalarining evolyutsiyasi
Ichkarida katta summalar bo'lgan bankomatlar har doim kartalarni jalb qiladi. Dastlab, kartalar bankomatlarni himoya qilishning qo'pol jismoniy kamchiliklaridan foydalanganlar - ular magnit chiziqlardagi ma'lumotlarni o'g'irlash uchun skimmer va shimmerlardan foydalangan; pin kodlarini ko'rish uchun soxta prokladkalar va kameralar; va hatto soxta bankomatlar.
Keyinchalik, bankomatlar XFS (eXtensions for Financial Services) kabi umumiy standartlarga muvofiq ishlaydigan yagona dasturiy ta'minot bilan jihozlana boshlaganida, karterlar bankomatlarga kompyuter viruslari bilan hujum qila boshladilar.
Ular orasida Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii va boshqa ko'plab nomli va noma'lum zararli dasturlar mavjud bo'lib, ularni kartalar yuklanadigan USB flesh-disk yoki TCP masofadan boshqarish porti orqali ATM xostiga joylashtiradi.
ATM infektsiya jarayoni
XFS quyi tizimini qo'lga kiritgandan so'ng, zararli dastur banknot dispenseriga ruxsatsiz buyruqlar berishi mumkin. Yoki kartani o'quvchiga buyruqlar bering: bank kartasining magnit chizig'ini o'qing / yozing va hatto EMV karta chipida saqlangan tranzaktsiyalar tarixini oling. EPP (Encrypting PIN Pad) alohida e'tiborga loyiqdir. Unga kiritilgan PIN-kodni ushlab bo'lmaydi, deb qabul qilinadi. Biroq, XFS sizga EPP pinpadidan ikkita rejimda foydalanish imkonini beradi: 1) ochiq rejim (turli raqamli parametrlarni kiritish uchun, masalan, naqd pul olinadi); 2) xavfsiz rejim (EPP PIN-kod yoki shifrlash kalitini kiritish kerak bo'lganda unga o'tadi). XFS ning bu xususiyati karderga MiTM hujumini amalga oshirish imkonini beradi: xostdan EPP ga yuborilgan xavfsiz rejimni faollashtirish buyrug'ini to'xtatib qo'ying va keyin EPP pinpadiga ochiq rejimda ishlashni davom ettirishi kerakligi haqida xabar bering. Ushbu xabarga javoban EPP aniq matnda tugmalar bosishlarini yuboradi.
"Qora quti" ning ishlash printsipi
Yaqin o'tkan yillarda, Europol, ATM zararli dasturlari sezilarli darajada rivojlandi. Karderlarga endi bankomatni yuqtirish uchun unga jismoniy kirish kerak emas. Ular bankning korporativ tarmog'idan foydalangan holda masofaviy tarmoq hujumlari orqali bankomatlarni yuqtirishlari mumkin. IB guruhi, 2016 yilda Yevropaning 10 dan ortiq mamlakatlarida bankomatlar masofadan hujumga uchragan.
Masofaviy kirish orqali bankomatga hujum qilish
Antiviruslar, proshivka yangilanishlarini bloklash, USB portlarini bloklash va qattiq diskni shifrlash - ma'lum darajada bankomatni kartalar tomonidan virus hujumlaridan himoya qiladi. Biroq, agar karta uy egasiga hujum qilmasa, lekin to'g'ridan-to'g'ri periferiyaga (RS232 yoki USB orqali) - kartani o'qish moslamasiga, pin-pad yoki naqd pul tarqatuvchiga ulansa-chi?
"Qora quti" bilan birinchi tanishish
Bugungi texnologiyani yaxshi biladigan kartachilar , bankomatdan naqd pul o'g'irlash deb ataladigan narsadan foydalanish. "Qora qutilar" - bu Raspberry Pi kabi maxsus dasturlashtirilgan bir platali mikrokompyuterlar. "Qora qutilar" butunlay sehrli (bankirlar nuqtai nazaridan) bankomatlarni butunlay bo'shatadi. Karderlar o'zlarining sehrli qurilmasini to'g'ridan-to'g'ri hisoblagichga ulaydilar; undan barcha mavjud pullarni olish. Ushbu hujum ATM xostida o'rnatilgan barcha xavfsizlik dasturlarini chetlab o'tadi (antivirus, yaxlitlik monitoringi, diskni to'liq shifrlash va boshqalar).
Raspberry Pi asosidagi "Qora quti"
Eng yirik bankomat ishlab chiqaruvchilari va davlat razvedka idoralari "qora quti" ning bir nechta ilovalariga duch kelishdi, bu aqlli kompyuterlar bankomatlarni barcha mavjud naqd pullarni tupurishga undaydi; Har 40 soniyada 20 ta banknot. Xavfsizlik xizmatlari, shuningdek, kartalar ko'pincha dorixonalar va savdo markazlaridagi bankomatlarni nishonga olishi haqida ogohlantiradi; shuningdek, yo'lda haydovchilarga xizmat ko'rsatadigan bankomatlarga.
Shu bilan birga, kameralar oldida ko'rinmaslik uchun, eng ehtiyotkor kartalar juda qimmatli bo'lmagan sherigidan, xachirdan yordam olishadi. Va u "qora quti" ni o'ziga moslashtira olmasligi uchun ular foydalanadilar . Ular "qora quti" dan asosiy funksiyalarni olib tashlaydi va unga smartfonni ulaydi, u IP protokoli orqali olib tashlangan "qora quti" ga buyruqlarni masofadan uzatish uchun kanal sifatida ishlatiladi.
Masofaviy kirish orqali faollashtirish bilan "qora quti" ni o'zgartirish
Bu bankirlar nuqtai nazaridan qanday ko'rinadi? Videokameralardagi yozuvlarda shunga o'xshash narsa sodir bo'ladi: ma'lum bir kishi yuqori bo'linmani (xizmat ko'rsatish zonasini) ochadi, bankomatga "sehrli quti" ni ulaydi, yuqori bo'linmani yopadi va ketadi. Biroz vaqt o'tgach, oddiy mijozlarga o'xshab ko'ringan bir necha kishi bankomatga yaqinlashib, katta miqdordagi pulni yechib olishadi. Keyin kartachi qaytib kelib, bankomatdan o'zining kichik sehrli qurilmasini oladi. Odatda, "qora quti" tomonidan bankomat hujumi fakti bir necha kundan keyin aniqlanadi: bo'sh seyf va naqd pul yechib olish jurnali mos kelmasa. Natijada, faqat bank xodimlari mumkin .
ATM aloqalarini tahlil qilish
Yuqorida ta'kidlab o'tilganidek, tizim bloki va periferik qurilmalar o'rtasidagi o'zaro ta'sir USB, RS232 yoki SDC orqali amalga oshiriladi. Karder to'g'ridan-to'g'ri periferik qurilma portiga ulanadi va unga buyruqlar yuboradi - xostni chetlab o'tadi. Bu juda oddiy, chunki standart interfeyslar hech qanday maxsus drayverlarni talab qilmaydi. Va periferik va xost o'zaro ta'sir qiladigan xususiy protokollar avtorizatsiyani talab qilmaydi (oxir-oqibat, qurilma ishonchli zonada joylashgan); va shuning uchun periferik va xost aloqa o'rnatadigan ushbu xavfsiz protokollar osongina tinglanadi va takroriy hujumlarga osonlikcha sezgir.
Bu. Karderlar uzatilgan ma'lumotlarni yig'ish uchun uni to'g'ridan-to'g'ri ma'lum bir periferik qurilma (masalan, kartani o'quvchi) portiga ulab, dasturiy yoki apparatli trafik analizatoridan foydalanishi mumkin. Trafik analizatoridan foydalanib, karta bankomat ishlashining barcha texnik tafsilotlarini, shu jumladan uning tashqi qurilmalarining hujjatlashtirilmagan funktsiyalarini (masalan, periferik qurilmaning proshivkasini o'zgartirish funksiyasini) o'rganadi. Natijada, karta bankomat ustidan to'liq nazoratga ega bo'ladi. Shu bilan birga, trafik analizatorining mavjudligini aniqlash juda qiyin.
Banknot dispenserini to'g'ridan-to'g'ri nazorat qilish bankomat kassetalarini odatda xostda o'rnatilgan dasturiy ta'minot tomonidan kiritiladigan jurnallarda hech qanday yozuvsiz bo'shatish mumkinligini anglatadi. ATM apparat va dasturiy ta'minot arxitekturasi bilan tanish bo'lmaganlar uchun bu haqiqatan ham sehr kabi ko'rinishi mumkin.
Qora qutilar qayerdan keladi?
Bankomat yetkazib beruvchilar va subpudratchilar bankomat apparatlarini, shu jumladan naqd pul yechib olish uchun mas'ul bo'lgan elektr mexanikasini diagnostika qilish uchun disk raskadrovka yordam dasturlarini ishlab chiqmoqda. Ushbu yordam dasturlari orasida: , . Quyidagi rasmda yana bir nechta diagnostika yordam dasturlari ko'rsatilgan.
ATMDesk boshqaruv paneli
RapidFire ATM XFS boshqaruv paneli
Bir nechta diagnostika vositalarining qiyosiy tavsiflari
Bunday yordamchi dasturlarga kirish odatda shaxsiylashtirilgan tokenlar bilan cheklangan; va ular faqat bankomat seyf eshigi ochiq bo'lganda ishlaydi. Biroq, oddiygina yordam dasturining ikkilik kodida bir necha baytlarni almashtirish orqali, kartalar "Sinov" naqd pul olish - kommunal xizmatlar ishlab chiqaruvchisi tomonidan taqdim etilgan cheklarni chetlab o'tish. Karderlar bunday o'zgartirilgan yordamchi dasturlarni noutbuk yoki bitta platali mikrokompyuterga o'rnatadilar, keyinchalik ular ruxsatsiz naqd pul olish uchun banknot dispenseriga to'g'ridan-to'g'ri ulanadi.
"So'nggi mil" va soxta ishlov berish markazi
Uy egasi bilan aloqa qilmasdan, periferiya bilan to'g'ridan-to'g'ri o'zaro ta'sir qilish samarali tarash usullaridan biridir. Boshqa usullar bizda bankomat tashqi dunyo bilan aloqa qiladigan turli xil tarmoq interfeyslariga ega ekanligiga asoslanadi. X.25 dan Ethernet va uyali aloqaga. Shodan xizmati yordamida ko'plab bankomatlarni aniqlash va mahalliylashtirish mumkin (uni ishlatish bo'yicha eng qisqa ko'rsatmalar keltirilgan). ), β zaif xavfsizlik konfiguratsiyasidan, ma'murning dangasaligidan va bankning turli bo'limlari o'rtasidagi zaif aloqalardan foydalanadigan keyingi hujum bilan.
Bankomat va protsessing markazi o'rtasidagi aloqaning "so'nggi milyasi" kartaga kirish nuqtasi bo'lib xizmat qiladigan turli xil texnologiyalarga boy. O'zaro aloqa simli (telefon liniyasi yoki Ethernet) yoki simsiz (Wi-Fi, uyali: CDMA, GSM, UMTS, LTE) aloqa usuli orqali amalga oshirilishi mumkin. Xavfsizlik mexanizmlari quyidagilarni o'z ichiga olishi mumkin: 1) VPN-ni qo'llab-quvvatlash uchun apparat yoki dasturiy ta'minot (ikkalasi ham standart, OTga o'rnatilgan va uchinchi shaxslar tomonidan); 2) SSL/TLS (ham ma'lum bir bankomat modeliga xos, ham uchinchi tomon ishlab chiqaruvchilardan); 3) shifrlash; 4) xabarni autentifikatsiya qilish.
Biroq, banklar uchun sanab o'tilgan texnologiyalar juda murakkab ko'rinadi va shuning uchun ular maxsus tarmoq himoyasi bilan o'zlarini bezovta qilmaydi; yoki ular buni xatolar bilan amalga oshiradilar. Eng yaxshi holatda, bankomat VPN serveri bilan bog'lanadi va allaqachon xususiy tarmoq ichida u protsessing markaziga ulanadi. Bundan tashqari, banklar yuqorida sanab o'tilgan himoya mexanizmlarini amalga oshirishga muvaffaq bo'lishsa ham, karta allaqachon ularga qarshi samarali hujumlarga ega. Bu. Xavfsizlik PCI DSS standartiga mos kelsa ham, bankomatlar hali ham himoyasiz.
PCI DSS ning asosiy talablaridan biri shundaki, barcha maxfiy ma'lumotlar umumiy tarmoq orqali uzatilganda shifrlangan bo'lishi kerak. Va bizda aslida shunday tarmoqlar mavjudki, ulardagi ma'lumotlar to'liq shifrlangan! Shuning uchun: "Bizning ma'lumotlarimiz shifrlangan, chunki biz Wi-Fi va GSM dan foydalanamiz" deyish jozibali. Biroq, bu tarmoqlarning ko'pchiligi etarli darajada xavfsizlikni ta'minlamaydi. Barcha avlodlarning uyali tarmoqlari uzoq vaqtdan beri buzilgan. Nihoyat va qaytarib bo'lmaydigan. Va hatto ular orqali uzatiladigan ma'lumotlarni ushlab qolish uchun qurilmalarni taklif qiluvchi etkazib beruvchilar ham bor.
Shu sababli, xavfsiz bo'lmagan aloqada yoki har bir bankomat o'zini boshqa bankomatlarga uzatadigan "shaxsiy" tarmoqda MiTM "soxta protsessing markazi" hujumi boshlanishi mumkin - bu kartalar o'rtasida uzatiladigan ma'lumotlar oqimini nazorat qilishni qo'lga kiritishiga olib keladi. Bankomat va protsessing markazi.
Minglab bankomatlar potentsial ta'sir ko'rsatishi mumkin. Haqiqiy protsessing markaziga boradigan yo'lda, karta o'zining soxtasini kiritadi. Ushbu soxta protsessing markazi bankomatga banknotlarni berish uchun buyruqlar beradi. Bunday holda, kartochka o'z protsessing markazini shunday sozlaydiki, naqd pul bankomatga qaysi karta kiritilganidan qat'iy nazar - muddati tugagan yoki balans nol bo'lsa ham beriladi. Asosiysi, soxta protsessing markazi buni "tan oladi". Soxta ishlov berish markazi uy qurilishi mahsuloti yoki dastlab tarmoq sozlamalarini tuzatish uchun mo'ljallangan protsessor markazi simulyatori bo'lishi mumkin ("ishlab chiqaruvchidan" kartachilarga yana bir sovg'a).
Quyidagi rasmda to'rtinchi kassetadan 40 ta banknotni chiqarish uchun buyruqlar dump - soxta protsessing markazidan yuborilgan va ATM dasturiy ta'minot jurnallarida saqlanadi. Ular deyarli haqiqiy ko'rinadi.
Soxta ishlov berish markazining buyrug'i
Manba: www.habr.com