Донецкий техникум промышленной автоматики

7 проблем в захисті банкоматів, про які розповіли на # theSAS2016

Банкомати залучали злочинців завжди. Раніше для полювання на машини з видачі грошей зловмисники використовували різні цікаві інструменти, такі як автоген або вибухівка. Але зараз можна отримати кругленьку суму в банкоматі, не вдаючись до подібних спецефектів. Банкомати залучали злочинців завжди

На конференції SAS 2016 Ольга Кочетова , Фахівець відділу тестування на проникнення в «Лабораторії Касперського», пояснила, чому банкомати настільки уразливі. Свої викладки вона представила в доповіді «Шкідливе ПО і інші способи зірвати джекпот в банкоматі».

1. Для початку треба зрозуміти, що кожен банкомат - це комп'ютер. Так, в ньому, без сумніву, є цілий набір спеціалізованих електронних підсистем і індустріальних контролерів, але серцем і мозком всього цього зоопарку є звичайний ПК. І, звичайно ж, як і будь-який комп'ютер, банкомат теж вразливий.

2. Крім того, досить імовірно, що працює цей ПК під керуванням якої-небудь старої операційної системи на кшталт Windows XP. Банкоматів багато, оновлювати їх дорого, тому банки економлять і вичавлюють максимум з наявної інфраструктури.

Ви, напевно, знаєте, що Microsoft більше не підтримує Windows XP. Так що все уразливості, знайдені після закінчення підтримки, так назавжди і залишаться «уразливими нульового дня» - для них ніколи не випустять заплатки. І вже повірте, серйозних дірок в XP вже зараз дуже багато.

3. Крім того, цілком імовірно, що й інше програмне забезпечення, що використовується в банкоматах, також вразливе. Наприклад, лазівку всередину системи злочинці можуть знайти в застарілому Adobe Flash Player з уже зараз відомими 9 тис. Багів, або в інструментах віддаленого управління пристроєм, або ще в якомусь софт.

Багів, або в інструментах віддаленого управління пристроєм, або ще в якомусь софт

4. Виробники банкоматів нерідко впевнені, що їх машинки працюють виключно в «нормальних умовах» і в системі ніколи не трапляється нічого екстраординарного. Тому найчастіше в операційній системі банкомату немає контролю цілісності ПО, система не захищена антивірусом і в ній не передбачено механізму авторизації додатків, що посилають команду на видачу готівки.

Тому найчастіше в операційній системі банкомату немає контролю цілісності ПО, система не захищена антивірусом і в ній не передбачено механізму авторизації додатків, що посилають команду на видачу готівки

5. Сейф всередині банкомату, в якому зберігаються гроші, а також пристосування, яке їх видає, захищені неслабкою бронею і відмінними замками - тут все серйозно, «як в швейцарському банку». А ось до комп'ютерної частини банкомату дістатися набагато легше.

Найчастіше та частина банкомату, в якій розміщена електроніка, зроблена з пластику, в кращому випадку - з тонкого металу і замкнені на прості замки, які навряд чи надовго затримають злочинців. Очевидно, виробники банкоматів думають приблизно так: раз в цій частині пристрою немає грошей, то її і захищати нема чого.

6. Модулі всередині банкоматів підключені один до одного за допомогою стандартних інтерфейсів, таких як COM і USB. Іноді до деяких з них можна отримати доступ зовні, але, навіть якщо і не можна, ця особливість все одно грає на руку злочинцям.

7. Банкомати так чи інакше повинні бути підключені до якої-небудь системі комунікації. А оскільки зв'язок через Інтернет зараз найдешевша, банки використовують Всесвітню павутину, щоб підключати банкомати до своїх процесингових центрів. І знаєте що? Так, банкомати можна знайти на Shodan (Це пошуковик для Інтернету речей).

З урахуванням усього вищесказаного у злочинців є сила-силенна можливостей для злому банкоматів. Наприклад, вони можуть написати шкідливу програму, завантажити її в систему банкомату і забрати всі знаходяться в ньому готівку. Насправді такі троянці вже неодноразово випускалися. Наприклад, рік тому ми виявили один з видів подібного шкідливого ПЗ під назвою «Тюпкін».

Ще один спосіб для кіберзлочинців обзавестися легкої готівкою - це підключити до банкомату спеціальне обладнання по USB-порту. Ольга Кочетова і Олексій Осипов продемонстрували, як це може бути зроблено за допомогою невеликого і недорогого одноплатного комп'ютера Raspberry Pi , Обладнаного Wi-Fi-адаптером і батареєю. У цьому відеоролику показано, як була справа.

Дистанційні атаки на мережу банкоматів через Інтернет навіть більш небезпечні. Злочинці можуть створити віртуальний процесинговий центр або навіть зламати справжній. Наприклад, саме це виконали члени банди Carbanak, щоб вкрасти мільярд доларів: вони проникли в ключові комп'ютери в банківських мережах і використовували їх, щоб безпосередньо командувати банкоматами.

Тому банки і виробники банкоматів повинні приділяти більше уваги захисту своїх пристроїв. Їм потрібно серйозно переглянути заходи забезпечення безпеки як для програмної, так і для апаратної складової, а також для всієї мережевої інфраструктури. Крім того, потрібно швидше реагувати на загрози і зломи, а також активніше взаємодіяти з поліцією і компаніями, що спеціалізуються на забезпеченні безпеки.

І знаєте що?