1. Абстрактно
В этой статье мы сконцентрируемся на различных аспектах сетевой и внутренней безопасности.
проблемы банкоматов. Мы рассмотрим некоторые основные элементы управления, которые уже есть, и почему они важны, а также дадим несколько советов для реализации.
Мы рассмотрим технические подробности атак на банкоматы более распространенных производителей.
Концентрация на двух аспектах: сетевые коммуникации банкоматов с процессинговыми центрами и связь хоста с его периферийными устройствами. Мы расскажем, как злоумышленники превращают банкомат в скимминг устройства без какого-либо физического доступа к нему или кража всех денег без каких-либо судебных доказательств в журналах банкоматов.
2. Вступление
В течение нескольких лет банкоматы так много раз попадали в джекпот с помощью вредоносного ПО. У них были разные имена, но равные возможности - вредоносное ПО, основанное на стандарте финансовых приложений. Однако когда банки пытались защитить свои банкоматы от атак вредоносного ПО, мошенник продолжал в кошки-мышки
игру, игнорируя хост и используя разные векторы атаки.
В прошлом году умы банкира были полны другой боли. Иногда банкоматы пустеют и похоже на чудо для банков. Злоумышленники используют так называемые «черные ящики» для прямого подключения к диспенсеру для извлечения денег. Такая атака позволяет обойти все программные средства защиты на хост-машине.
Но хозяин диспенсера - это только одна сторона. С другой стороны, у нас есть всевозможные связи с внешним миром. От X.25 до Ethernet и сотовых сетей. Тысячи банкоматов могут быть атакованы.
МиТМ-атакой называют фальшивый процессинговый центр. Или многие из них можно отождествить с Шоданом и затем подвергнуться атаке из-за неправильной конфигурации системы безопасности, лени администраторов и отсутствия связи между разными отделами в банках.
3. Задний план
Банкомат - это, по сути, конструктор. Производитель собирает их из дозатора, карточные ридеры и другие устройства, выпускаемые разными компаниями. Агрегаты размещены в корпусе, который обычно состоит из двух частей: верхней коробки, называемой шкафом, или служебной зоной, и нижней части, который называется сейф.
Все устройства подключены к системному блоку, который в данном случае выполняет функцию хоста (как мы его будем называть) через порты USB или RS232 (часто называемые COM-портом). Иногда эти порты расположены непосредственно на системном блоке; если портов недостаточно, используется концентратор USB / COM. Еще можно встретить более старые модели банкоматов, которые подключаются через шину SDC.
Для выполнения финансовых функций банкомат должен быть подключен любым доступным способом к центру обработки и управляющему узелу, например Active Directory банкомата.
Банкоматы можно рассматривать как точку входа для злоумышленников для проведения атак на банкоматные сети или даже процессинговый центр банкомата. Такие атаки могут предоставить злоумышленнику базу для использование различных финансовых приложений.
4. Аппаратные атаки
Черный ящик
Так называемые атаки черного ящика - это еще один тип атак, который получает все большее покрытие в новостях. На видео с камеры наблюдения происходит следующее: кто-то открывает служебную зону, подключается к волшебному ящику банкомата, закрывает шкаф и уходит. Чуть позже клиенты подходят к банкомату и снимают огромные суммы денег. Конечно, преступники получают их маленькое устройство из банкомата, как только они достигнут своей цели. Обычно эти атаки черного ящика обнаруживаются только через несколько дней, когда пустые кассеты и журналы изъятия не совпадают, оставляя сотрудников банка чесать в затылках.
Однако здесь нет никакой магии - злоумышленники подключают специально запрограммированный микрокомпьютер (например, Raspberry Pi) к диспенсеру таким образом, чтобы он обошел меры безопасности, реализованные на хосте (антивирус, контроль целостности, полное шифрование диска и т. д.).
Небезопасность связи
Как упоминалось выше, USB, RS232 или SDC могут использоваться в качестве канала передачи данных между системным блоком и устройствами. Вероятно, что ничто не помешает злоумышленникам отправить необходимые команды напрямую на порт устройства, минуя его поставщика услуг. Стандартные интерфейсы часто не требуют каких-либо конкретных драйверов. Авторизация также не требуется, что в основном делает эти небезопасные проприетарные протоколы легкой целью - просто понюхайте и воспроизведите. Результат прямого контроля над банкоматами, использование недокументированных функций (например, смена блока прошивки). Преступники также могут использовать программный или аппаратный анализатор трафика, установив его напрямую.
на порт определенного устройства, например, устройства чтения карт, для получения передаваемых данных. А также этот анализатор будет сложно обнаружить.
Прямой контроль над диспенсером означает, что кассеты банкоматов можно опорожнять без каких-либо записей, вносимые в журналы программного обеспечения банкомата.
Для тех, кто не знает, это может показаться волшебством. Каждый большой фокус состоит из трех частях или актах. Выдача денег из кассеты, открытие заслонки и подача денег клиенту.
Аппаратные скиммеры - это «прошлое». Прямое подключение позволяет читать и записать магнитную полосу кредитной карты. Анализаторы трафика, которые находятся в свободном доступе в Интернете, также может использоваться как прямое соединение. Ходят слухи, что в одном довольно крупном банке все банкоматы были использованы как скиммеры: злоумышленники обнаружили уязвимости в сети банка и установили USB сниффер банкоматов, позволяющий собирать данные банковских карт в текстовом виде в течение пяти лет! Кто знает,
возможно, ваша карта попала в число пострадавших.
5. Сетевые атаки
Последнюю милю связи между банкоматами и процессинговым центром можно разделить на различные категории:
1. По типу СМИ:
1.1. Проводной
1.1.1. Телефонная линия
1.1.2. Ethernet
1.2. Беспроводной
1.2.1. Вай-фай
1.2.2. Мобильный
1.2.2.1. CDMA
1.2.2.2. GSM
1.2.2.3. UMTS
1.2.2.4. LTE
2. По реализованным средствам безопасности
2.1. VPN
2.1.1. Программное обеспечение
2.1.1.1. Внутренняя ОС
2.1.1.2. Сторонняя ОС
2.1.2. Аппаратное обеспечение
2.2. SSL / TLS
2.2.1. Специальное приложение для банкомата
2.2.2. Сторонняя ОС
2.3. Шифрование
2.4. Аутентификация сообщения
3. По определению стандарта PCI DSS
3.1. Общественные
3.2. Частные
У нас есть нормативные требования (например, PCI DSS), которые определяют минимальный набор функций безопасности, это должно быть реализовано. Но, когда мы говорим о крупных организациях, принято, что тот, кто предложит самую низкую цену, построит систему. Легче реализовать систему, которая будет соответствовать таким требованиям.
требований, но будет уязвим для различных атак.
Одно из основных правил - вся конфиденциальная информация (например, данные о держателях карт) в публичной сети должны быть зашифрованы. У нас есть сети, в которых шифрование реализовано заранее, и это заманчиво, что данные зашифрованы, потому что используется соединение Wi-Fi или GSM. Но многие из таких соединения не обеспечивают достаточной защиты. CDMA полностью сломан и есть компании, предоставляющие коммерческие решения для перехвата данных. GSM в значительной степени.
Такая же ситуация. Шифрование A5 / 1 - взломано и может быть расшифровано энтузиастами.
Связь между банкоматами и процессинговым центром можно защитить разными способами.
Например, используя аппаратную или программную VPN, шифрование SSL / TLS, межсетевой экран или MAC-аутентификация, реализованная в протоколах xDC. Однако все эти меры часто оказываются сложными для банков, что они вообще не беспокоятся об использовании какой-либо сетевой защиты или могут быть реализованы ошибочно.
В «лучшем» случае в банке - банкомат подключается к VPN серверу и внутри такой частной сети подключается к процессинговому центру. Проблема в том, что банки часто используют соединение типа "сеть-сеть", где все банкоматы видят другие банкоматы. В такой ситуации банкоматы не подключаются физически, а становятся логически взаимосвязаны.
Либо с небезопасной беспроводной связью, либо путем создания частной сети с общим широковещательным доменом для разных банкоматов, может быть запущена атака MiTM, в результате которой злоумышленник получение данных, передаваемых между банкоматом и банком. Такая информация содержит данные карты и команды снять деньги в банкомате. Для этого требуется удаленный доступ к устройству, который обычно получается с помощью уязвимых сервисов, к которым можно получить доступ из Интернета, а также с помощью техники социальной инженерии. Физический доступ к сетевому оборудованию, включая Ethernet-кабель банкомата.
По дороге в настоящий процессинговый центр выскакивает фальшивая команда, которая отправляет команды программное обеспечение банкомата для выдачи банкнот. Снятие денег возможно с любой карты, даже с той, на которой истек срок действия или имеет нулевой баланс, пока фальшивый процессинговый центр «распознает» его. Поддельная центральная обработка может быть «самодельным» программным обеспечением, поддерживающим связь с банкоматом через xDC-протокол или симулятор центра обработки, изначально предназначенный для проверки сетевых настроек (еще один «Подарок» от продавцов злоумышленникам).
Команды выдачи банкнот из четвертой кассеты, отправленной из центра обработки фальшивок и хранятся в журналах программного обеспечения банкомата. Они выглядят почти как настоящие.
Где преступники находят банкоматы, которые можно атаковать через сеть? Сканируют ли они все близлежащие сети или покупать информацию на подпольных форумах?
Получается, что вам просто нужно ввести правильный запрос в поисковике.
- https://www.shodan.io/ ( этот сканер Интернета вещей хорошо известен специалистам). Данные собираемых этим сканером обычно достаточно для запуска таких атак.
Или вы можете просто присмотреться к банкоматам в торговых и бизнес-центрах. Иногда доступ к банкоматной системе можно получить, даже не открывая ее - все коммуникации расположены на за пределами.
Выводы
Производители банкоматов могут снизить риск атаки на банкоматы.
• Внедрить «аутентифицированную выдачу», чтобы исключить возможность атак через поддельные
обрабатывающие центры.
• Реализовать криптографическую защиту и контроль целостности данных, передаваемых между всеми аппаратные части и ПК внутри банкомата.
А что делать банкам? Им нужно действовать!
Поощряйте тех, кто продает банкоматы и программное обеспечение, сделать их безопасными. Производитель должен в кратчайшие сроки устраните уязвимости; об этом нужно как можно чаще рассказывать им.
Для предотвращения взлома банкоматов необходимо использовать все доступные средства защиты. А заполненная анкета для самооценки PCI DSS не является серебряной пулей и не защитит банкоматы от атаки или банки от финансовых и репутационных потерь. Проактивная защита, включает оценка безопасности обычного банкомата и тестирование на проникновение, лучше (и часто намного дешевле), чем инцидент безопасности и последующее расследование.
Авторы: Ольга Кочетова и Алексей Осипов
PDF с картинками: https://gsec.hitb.org/materials/sg2... Secrets - Olga Kochetova & Alexey Osipov.pdf
В этой статье мы сконцентрируемся на различных аспектах сетевой и внутренней безопасности.
проблемы банкоматов. Мы рассмотрим некоторые основные элементы управления, которые уже есть, и почему они важны, а также дадим несколько советов для реализации.
Мы рассмотрим технические подробности атак на банкоматы более распространенных производителей.
Концентрация на двух аспектах: сетевые коммуникации банкоматов с процессинговыми центрами и связь хоста с его периферийными устройствами. Мы расскажем, как злоумышленники превращают банкомат в скимминг устройства без какого-либо физического доступа к нему или кража всех денег без каких-либо судебных доказательств в журналах банкоматов.
2. Вступление
В течение нескольких лет банкоматы так много раз попадали в джекпот с помощью вредоносного ПО. У них были разные имена, но равные возможности - вредоносное ПО, основанное на стандарте финансовых приложений. Однако когда банки пытались защитить свои банкоматы от атак вредоносного ПО, мошенник продолжал в кошки-мышки
игру, игнорируя хост и используя разные векторы атаки.
В прошлом году умы банкира были полны другой боли. Иногда банкоматы пустеют и похоже на чудо для банков. Злоумышленники используют так называемые «черные ящики» для прямого подключения к диспенсеру для извлечения денег. Такая атака позволяет обойти все программные средства защиты на хост-машине.
Но хозяин диспенсера - это только одна сторона. С другой стороны, у нас есть всевозможные связи с внешним миром. От X.25 до Ethernet и сотовых сетей. Тысячи банкоматов могут быть атакованы.
МиТМ-атакой называют фальшивый процессинговый центр. Или многие из них можно отождествить с Шоданом и затем подвергнуться атаке из-за неправильной конфигурации системы безопасности, лени администраторов и отсутствия связи между разными отделами в банках.
3. Задний план
Банкомат - это, по сути, конструктор. Производитель собирает их из дозатора, карточные ридеры и другие устройства, выпускаемые разными компаниями. Агрегаты размещены в корпусе, который обычно состоит из двух частей: верхней коробки, называемой шкафом, или служебной зоной, и нижней части, который называется сейф.
Все устройства подключены к системному блоку, который в данном случае выполняет функцию хоста (как мы его будем называть) через порты USB или RS232 (часто называемые COM-портом). Иногда эти порты расположены непосредственно на системном блоке; если портов недостаточно, используется концентратор USB / COM. Еще можно встретить более старые модели банкоматов, которые подключаются через шину SDC.
Для выполнения финансовых функций банкомат должен быть подключен любым доступным способом к центру обработки и управляющему узелу, например Active Directory банкомата.
Банкоматы можно рассматривать как точку входа для злоумышленников для проведения атак на банкоматные сети или даже процессинговый центр банкомата. Такие атаки могут предоставить злоумышленнику базу для использование различных финансовых приложений.
4. Аппаратные атаки
Черный ящик
Так называемые атаки черного ящика - это еще один тип атак, который получает все большее покрытие в новостях. На видео с камеры наблюдения происходит следующее: кто-то открывает служебную зону, подключается к волшебному ящику банкомата, закрывает шкаф и уходит. Чуть позже клиенты подходят к банкомату и снимают огромные суммы денег. Конечно, преступники получают их маленькое устройство из банкомата, как только они достигнут своей цели. Обычно эти атаки черного ящика обнаруживаются только через несколько дней, когда пустые кассеты и журналы изъятия не совпадают, оставляя сотрудников банка чесать в затылках.
Однако здесь нет никакой магии - злоумышленники подключают специально запрограммированный микрокомпьютер (например, Raspberry Pi) к диспенсеру таким образом, чтобы он обошел меры безопасности, реализованные на хосте (антивирус, контроль целостности, полное шифрование диска и т. д.).
Небезопасность связи
Как упоминалось выше, USB, RS232 или SDC могут использоваться в качестве канала передачи данных между системным блоком и устройствами. Вероятно, что ничто не помешает злоумышленникам отправить необходимые команды напрямую на порт устройства, минуя его поставщика услуг. Стандартные интерфейсы часто не требуют каких-либо конкретных драйверов. Авторизация также не требуется, что в основном делает эти небезопасные проприетарные протоколы легкой целью - просто понюхайте и воспроизведите. Результат прямого контроля над банкоматами, использование недокументированных функций (например, смена блока прошивки). Преступники также могут использовать программный или аппаратный анализатор трафика, установив его напрямую.
на порт определенного устройства, например, устройства чтения карт, для получения передаваемых данных. А также этот анализатор будет сложно обнаружить.
Прямой контроль над диспенсером означает, что кассеты банкоматов можно опорожнять без каких-либо записей, вносимые в журналы программного обеспечения банкомата.
Для тех, кто не знает, это может показаться волшебством. Каждый большой фокус состоит из трех частях или актах. Выдача денег из кассеты, открытие заслонки и подача денег клиенту.
Аппаратные скиммеры - это «прошлое». Прямое подключение позволяет читать и записать магнитную полосу кредитной карты. Анализаторы трафика, которые находятся в свободном доступе в Интернете, также может использоваться как прямое соединение. Ходят слухи, что в одном довольно крупном банке все банкоматы были использованы как скиммеры: злоумышленники обнаружили уязвимости в сети банка и установили USB сниффер банкоматов, позволяющий собирать данные банковских карт в текстовом виде в течение пяти лет! Кто знает,
возможно, ваша карта попала в число пострадавших.
5. Сетевые атаки
Последнюю милю связи между банкоматами и процессинговым центром можно разделить на различные категории:
1. По типу СМИ:
1.1. Проводной
1.1.1. Телефонная линия
1.1.2. Ethernet
1.2. Беспроводной
1.2.1. Вай-фай
1.2.2. Мобильный
1.2.2.1. CDMA
1.2.2.2. GSM
1.2.2.3. UMTS
1.2.2.4. LTE
2. По реализованным средствам безопасности
2.1. VPN
2.1.1. Программное обеспечение
2.1.1.1. Внутренняя ОС
2.1.1.2. Сторонняя ОС
2.1.2. Аппаратное обеспечение
2.2. SSL / TLS
2.2.1. Специальное приложение для банкомата
2.2.2. Сторонняя ОС
2.3. Шифрование
2.4. Аутентификация сообщения
3. По определению стандарта PCI DSS
3.1. Общественные
3.2. Частные
У нас есть нормативные требования (например, PCI DSS), которые определяют минимальный набор функций безопасности, это должно быть реализовано. Но, когда мы говорим о крупных организациях, принято, что тот, кто предложит самую низкую цену, построит систему. Легче реализовать систему, которая будет соответствовать таким требованиям.
требований, но будет уязвим для различных атак.
Одно из основных правил - вся конфиденциальная информация (например, данные о держателях карт) в публичной сети должны быть зашифрованы. У нас есть сети, в которых шифрование реализовано заранее, и это заманчиво, что данные зашифрованы, потому что используется соединение Wi-Fi или GSM. Но многие из таких соединения не обеспечивают достаточной защиты. CDMA полностью сломан и есть компании, предоставляющие коммерческие решения для перехвата данных. GSM в значительной степени.
Такая же ситуация. Шифрование A5 / 1 - взломано и может быть расшифровано энтузиастами.
Связь между банкоматами и процессинговым центром можно защитить разными способами.
Например, используя аппаратную или программную VPN, шифрование SSL / TLS, межсетевой экран или MAC-аутентификация, реализованная в протоколах xDC. Однако все эти меры часто оказываются сложными для банков, что они вообще не беспокоятся об использовании какой-либо сетевой защиты или могут быть реализованы ошибочно.
В «лучшем» случае в банке - банкомат подключается к VPN серверу и внутри такой частной сети подключается к процессинговому центру. Проблема в том, что банки часто используют соединение типа "сеть-сеть", где все банкоматы видят другие банкоматы. В такой ситуации банкоматы не подключаются физически, а становятся логически взаимосвязаны.
Либо с небезопасной беспроводной связью, либо путем создания частной сети с общим широковещательным доменом для разных банкоматов, может быть запущена атака MiTM, в результате которой злоумышленник получение данных, передаваемых между банкоматом и банком. Такая информация содержит данные карты и команды снять деньги в банкомате. Для этого требуется удаленный доступ к устройству, который обычно получается с помощью уязвимых сервисов, к которым можно получить доступ из Интернета, а также с помощью техники социальной инженерии. Физический доступ к сетевому оборудованию, включая Ethernet-кабель банкомата.
По дороге в настоящий процессинговый центр выскакивает фальшивая команда, которая отправляет команды программное обеспечение банкомата для выдачи банкнот. Снятие денег возможно с любой карты, даже с той, на которой истек срок действия или имеет нулевой баланс, пока фальшивый процессинговый центр «распознает» его. Поддельная центральная обработка может быть «самодельным» программным обеспечением, поддерживающим связь с банкоматом через xDC-протокол или симулятор центра обработки, изначально предназначенный для проверки сетевых настроек (еще один «Подарок» от продавцов злоумышленникам).
Команды выдачи банкнот из четвертой кассеты, отправленной из центра обработки фальшивок и хранятся в журналах программного обеспечения банкомата. Они выглядят почти как настоящие.
Где преступники находят банкоматы, которые можно атаковать через сеть? Сканируют ли они все близлежащие сети или покупать информацию на подпольных форумах?
Получается, что вам просто нужно ввести правильный запрос в поисковике.
- https://www.shodan.io/ ( этот сканер Интернета вещей хорошо известен специалистам). Данные собираемых этим сканером обычно достаточно для запуска таких атак.
Или вы можете просто присмотреться к банкоматам в торговых и бизнес-центрах. Иногда доступ к банкоматной системе можно получить, даже не открывая ее - все коммуникации расположены на за пределами.
Выводы
Производители банкоматов могут снизить риск атаки на банкоматы.
• Внедрить «аутентифицированную выдачу», чтобы исключить возможность атак через поддельные
обрабатывающие центры.
• Реализовать криптографическую защиту и контроль целостности данных, передаваемых между всеми аппаратные части и ПК внутри банкомата.
А что делать банкам? Им нужно действовать!
Поощряйте тех, кто продает банкоматы и программное обеспечение, сделать их безопасными. Производитель должен в кратчайшие сроки устраните уязвимости; об этом нужно как можно чаще рассказывать им.
Для предотвращения взлома банкоматов необходимо использовать все доступные средства защиты. А заполненная анкета для самооценки PCI DSS не является серебряной пулей и не защитит банкоматы от атаки или банки от финансовых и репутационных потерь. Проактивная защита, включает оценка безопасности обычного банкомата и тестирование на проникновение, лучше (и часто намного дешевле), чем инцидент безопасности и последующее расследование.
Авторы: Ольга Кочетова и Алексей Осипов
PDF с картинками: https://gsec.hitb.org/materials/sg2... Secrets - Olga Kochetova & Alexey Osipov.pdf
