Pentru a testa securitatea ATM-ului de testare, care a supraviețuit trei Zile pozitive de hack, a fost aleasă o regulă de control miniatural popular de Raspberry Pi. Aparatul este ușor de ascuns în interiorul corpului și nu atrage atenția asupra personalului tehnic care, de exemplu, schimbați hârtia în imprimantă încorporat și, prin urmare, are cheile de la zona de serviciu.
Găsirea documentației cu interfețe ATM nu este atât de dificilă, iar aceasta a fost scrisă de Alexei Lukatsky acum cinci ani în "Miturile securității informațiilor". Echipamente de ATM-uri și terminale de plată, indiferent de producător, are un API comun pentru accesarea și gestionarea diverselor module si ruleaza pe platforma Windows, în conformitate cu un standard unificat „extensii pentru servicii financiare» (XFS).
Cunoașterea API, puteți obține controlul computerului gazdă al ATM și controlul direct al diferitelor dispozitive periferice instalate în interiorul dulapului ATM, - .. cititor de carduri, o tastatura pentru tastarea PIN-, ecran tactil, dozatorul de bancnote, etc. Nu uita de asemenea, despre vulnerabilitățile de operare Sistemul ATM și sunt stocate în Windows pentru mulți ani înainte.
Locul slab
Înainte de a instala Raspberry Pi și de a conecta dispozitivul la porturile Ethernet, USB sau RS-232, bancomatul trebuie deschis. În partea de sus a ATM este o zonă de servicii. Aici se află computerul care gestionează dispozitive ATM, echipamente de rețea (inclusiv modemuri GSM / GPRS prost protejate). Zona de service nu este practic monitorizată, deoarece este utilizată de personalul de întreținere pentru diverse lucrări. Obțineți acces la acesta este mult mai ușor decât la seif cu banii aflați în partea de jos. Se poate deschide cu taste simple sau instrumente foarte simple.
Dar trebuie doar să deschideți un pic - trebuie să o faceți rapid și neobservat.
La conferinta Black Hat Technologies pozitive cercetatorii au demonstrat cât timp este nevoie atacatorilor pentru a seta microcomputer pentru zona de servicii ATM să-l folosească ca un sniffer - sniffer cod PIN și numărul cardului de credit - sau hardware-skimmer, care nu lasă urme pe formularul ATM extern. Au fost necesare două minute pentru a debloca cazul ATM-ului, a integra microcalculatorul, a deghiza-l și a-l conecta la Internet.
Pot să mă apăr
Nu este ușor să asigurăm securitatea ATM. Depinde mult de scenariul atacului. De exemplu, SEC „Securitate“ Ministerul Afacerilor Interne recomandă producătorilor să utilizeze generatorul de fum, cu ultrasunete barieră și xenon stroboscopul, iar specialiștii britanici LINK - să interzică încuietori standard, pentru accesul la zona de servicii și este utilizat în mod activ un webcam.
Cu toate acestea, problema principală, potrivit cercetărilor noastre - este abilitatea de a instala un ATM în orice dispozitiv sau program (până la Angry Birds), care este cauzată de o mare varietate de vulnerabilități critice în sistemele de operare. Situația ar putea schimba munca în echipă bancar producătorii de echipamente pe o nouă specificație deschisă, care asigură o comunicare sigură și autentificarea eficientă a componentelor ATM, pentru oricine, după achiziționarea cheia zonei de serviciu, ar putea să nu atât de ușor să se conecteze la sistemul de nimic.
[Total Voturi: 6 Media: 2.5 / 5]
Trimiteți-le prietenilor: