За проверка на сигурността на тест за банкомати, надживяла трима форум Положителни Hack Days, популярна миниатюрни контролер Raspberry Pi е избран. Устройството е лесно скрити вътре в организма и не привлича вниманието към техническия персонал, които, например, промените в хартиената вграден принтер и, следователно, има ключовете към сервизната зона.

Намери документация, описваща интерфейс банкомат не е толкова трудно, а това преди пет години, пише Алексей Lukatckiy в своите "Информационни Митове за сигурност". Оборудване банкомати и терминали за плащане, независимо от производителя, има обща API за достъп и управление на различните модули и пистите на платформата Windows, в съответствие с единен стандарт "разширения за финансови услуги» (XFS).

Познаването на API, можете да получат контрол над компютъра хост на банкомата и прекия контрол на различните периферни устройства, инсталирани в шкафа банкомат, - .. четец за карти, клавиатура за въвеждане на PIN-, сензорен дисплей, разпределителят на банкноти и т.н. Да не забравяме също така относно уязвимостите на операционната ATM системи, и те са прозорците на много години в магазин.

слабост

Преди да инсталирате Raspberry Pi и го свържете към Ethernet порт, USB или RS-232, банкомат, трябва да се отвори. Горната част е зона на обслужване по УВД. Той е тук, че е на компютъра, който контролира АТМ устройства, мрежови устройства (включително недобре защитени GSM / GPRS модеми). Служебната зона на практика не се контролира, като се използва от обслужващ персонал за различни работни места. Достъпът е много по-лесно, отколкото да се сейфа с парите на дъното. Можете да отворите това без усложнения за производство на ключове или много прости импровизирани средства.

Но просто отворете малко - трябва да го направим бързо и тихо.

По време на конференцията черна шапка Положителни технологии изследователите доказват, колко време е необходимо на атакуващите да зададете микрокомпютъра да обслужва район банкомат, за да го използвате като специално обучени - обучени ПИН-код и номер на кредитна карта - или хардуерен скимер, която не оставя следи върху външната форма на банкомат. Отне две минути, за да отключите заграждението банкомат, вграден микрокомпютър маска и да го свърже с интернет.

Възможно ли е да защитава

За да се гарантира сигурността на банкомати не е лесно. Много зависи от сценария на атака. Например, SEC "Сигурност" Министерството на вътрешните работи на препоръчва производителите да използват генератор дим, ултразвуковата бариера и ксенон светлинни ефекти, и британски специалисти LINK - да се забрани стандартни брави за достъп до зоната на обслужване и се използва активно уеб камера.

Въпреки това, основният проблем, според нашите изследвания - е възможността за инсталиране на банкомат в всяко устройство или програма (до Angry Birds), което е причинено от изобилие от критични уязвимости в операционните системи. Ситуацията може да се промени работата в екип банкови производители на оборудване на нова отворена спецификация, която осигурява сигурна комуникация и ефективно удостоверяване на компоненти банкомати, на никого, след доставката на ключа на сервизната зона, може да не е толкова лесно да се свърже с нещо на системата.

[Общо гласове: 6 средна стойност: 2.5 / 5]