ATM Hacking: Προηγμένες μέθοδοι για την εύρεση κενών ασφαλείας


Το ATM είναι ένα μηχάνημα που επιτρέπει στους πελάτες να πραγματοποιούν τραπεζικές συναλλαγές χωρίς να μπαίνουν στην τράπεζα.

Χρησιμοποιώντας ένα ΑΤΜ, ο χρήστης μπορεί να κάνει ανάληψη ή κατάθεση μετρητών, να έχει πρόσβαση στον τραπεζικό του λογαριασμό, να πληρώσει τους λογαριασμούς του, να αλλάξει το pin, να ενημερώσει τα προσωπικά του στοιχεία κ.λ.π.

Δεδομένου ότι το ΑΤΜ έχει να κάνει με μετρητά, έχει γίνει υψηλής προτεραιότητα στόχος hacker και ληστών. Τα τελευταία χρόνια, οι hacker έχουν βρει πολλούς τρόπους για να παραβιάζουν τα ATM. Οι hacker δεν περιορίζονται σε φυσικές επιθέσεις, όπως παγίδευση καρτών, skimming, κ.λ.π.

Εξερευνούν νέους τρόπους για να χακάρουν τα λογισμικά των ATM. Σε αυτό το άρθρο, θα δούμε λύσεις ασφαλείας που χρησιμοποιούνται για την ασφάλεια των ΑΤΜ.

atmrobbers 1

 

Προγράμματα ασφαλείας των ΑΤΜ

Τα περισσότερα από τα ΑΤΜ λειτουργούν με Windows XP και 7. Η επιδιόρθωση μεμονωμένων ΑΤΜ είναι μια αρκετά περίπλοκη διαδικασία. Δεδομένου ότι τα Windows XP δεν υποστηρίζονται πλέον από τη Microsoft, πολλοί προμηθευτές ATM χρησιμοποιούν λύσεις ασφαλείας για να μετριάσουν τις απειλές που σχετίζονται με τις επιθέσεις των ATM, όπως επιθέσεις που βασίζονται σε κακόβουλο λογισμικό και ευπάθειες σε επίπεδο λειτουργικού συστήματος.

Αυτές οι λύσεις ασφαλείας επιτρέπουν στην εφαρμογή των ATM να εκτελείται σε ένα αρκετά περιοριστικό περιβάλλον, με περιορισμένες υπηρεσίες και διαδικασίες.

Δύο από αυτές τις λύσεις ασφαλείας είναι η Mcafee Solidcore και η Phoenix Vista ATM.

Mcafee Solidcore:

Το McAfee Application Control αποκλείει τα μη εξουσιοδοτημένα εκτελέσιμα αρχεία στο λειτουργικό σύστημα των ATM.

Επιτρέπει την εκτέλεση μόνο εκείνων των εφαρμογών, διεργασιών και υπηρεσιών που περιλαμβάνονται στη λίστα των επιτρεπόμενων διενεργειών. Παρακολουθεί τις τροποποιήσεις (αλλαγές) στον κώδικα του προγράμματος και τις διαμορφώσεις μέσω του Integrity Monitor.

Προστατεύει τον κώδικα της εφαρμογής και τη διαμόρφωση από μη εγκεκριμένες αλλαγές με τον μηχανισμό ελέγχου αλλαγής που διαθέτει. Η εφαρμογή των ATM και τα σχετικά αρχεία μπαίνουν πρώτα στη λίστα επιτρεπόμενων και μετά εκτελούνται.

Phoenix Vista ATM:

Το Phoenix Vista ATM είναι προϊόν της Phoenix Interactive Design Inc που αποκτήθηκε από την Diebold.

Ενσωματώνεται στην ίδια την εφαρμογή που διαθέτουν τα ATM. Λειτουργεί με έλεγχο ακεραιότητας των αρχείων όπου οποιαδήποτε τροποποίηση/παραβίαση του κρίσιμου αρχείου που σχετίζεται με την εφαρμογή, θα έχει ως αποτέλεσμα τον τερματισμό λειτουργίας του συστήματος.

Αυτό δεν επιτρέπει σε οποιοδήποτε μη εξουσιοδοτημένο πρόγραμμα να τροποποιήσει το συγκεκριμένο αρχείο της εφαρμογής.

Η αρχιτεκτονική αποτελείται από 3 επίπεδα. OS <–> XFS <–> Vista ATM.

110116 0004 atmpenetrat3

Το XFS (EXtensions for Financial Services) παρέχει μια αρχιτεκτονική πελάτη-διακομιστή για τις οικονομικές εφαρμογές στην πλατφόρμα των Microsoft Windows, ειδικά σε περιφερειακές συσκευές όπως τα ΑΤΜ που είναι μοναδικά στον χρηματοοικονομικό κλάδο.

Είναι ένα διεθνές πρότυπο που προωθείται από την Ευρωπαϊκή Επιτροπή Τυποποίησης (γνωστό με το όνομα CEN, εξ ου και το CEN/XFS). Το XFS παρέχει ένα κοινό API για πρόσβαση και χειρισμό διαφόρων συσκευών χρηματοοικονομικών υπηρεσιών, ανεξάρτητα από τον κατασκευαστή.

Το Vista ATM επικοινωνεί με το επίπεδο XFS το οποίο δίνει εντολές στο πρόγραμμα, όπως ο διανομέας μετρητών του ΑΤΜ, να διανείμει τα μετρητά. Οποιαδήποτε μη εξουσιοδοτημένη τροποποίηση σε αρχεία XFS θα ενεργοποιήσει την εφαρμογή Vista ATM για να επανεκκινήσει αναγκαστικά το μηχάνημα. Το μηχάνημα επανεκκινείται 4-5 φορές και μετά μπαίνει σε λειτουργία συντήρησης που δεν επιτρέπει στον χρήστη να πραγματοποιήσει καμία συναλλαγή.

Παρακάτω θα δούμε μια λίστα με 26 ΑΤΜ, τα λογισμικά που χρησιμοποιούν, καθώς και το επίπεδο ασφαλείας τους.

 

screenshot 2021 11 15 at 08 18 19 atm vulnerabilities 2018 eng pdf

Διαδικασία Penetration Testing σε ΑΤΜ

Η προσέγγιση για τη δοκιμή της ασφαλείας των ATM παραμένει η ίδια. Ο τελικός στόχος είναι να αποκτήσετε πρόσβαση στο λειτουργικό σύστημα ή να ασχοληθείτε με το αρχείο που σχετίζεται με την εφαρμογή για να δείτε πώς συμπεριφέρεται η ίδια η εφαρμογή.

Ένας εισβολέας αφού αποκτήσει πρόσβαση στο λειτουργικό σύστημα, μπορεί να δημιουργήσει ένα κακόβουλο λογισμικό που μπορεί να δώσει την εντολή στο πρόγραμμα του συστήματος, χρησιμοποιώντας στοιχεία XFS.

Μερικές από τις περιπτώσεις δοκιμών που μπορούν να εξεταστούν είναι:

  • Δοκιμές που σχετίζονται με την πρόσβαση στο λειτουργικό σύστημα και το σχετικό αρχείο του συστήματος
  • Ελέγξτε εάν λειτουργία του USB είναι ενεργοποιημένη, κάντε εκκίνηση του USB χρησιμοποιώντας το ” Konboot “.
  • Συνδέστε το USB και εκκινήστε το σύστημα μέσω USB.
  • Δεδομένου ότι το μεγαλύτερο μέρος της δοκιμής έχει να κάνει με το λειτουργικό σύστημα, συνεχίστε να πατάτε το κουμπί “Shift” κατά την εκκίνηση. Αυτό θα σπάσει οποιαδήποτε ακολουθία που έχει ρυθμιστεί να εκτελείται κατά την εκκίνηση στο λειτουργικό σύστημα των ΑΤΜ. Αυτό θα έχει ως αποτέλεσμα να μεταβείτε απευθείας στα Windows.
  • Εάν γνωρίζετε ένα έγκυρο όνομα χρήστη, εισαγάγετε το και πατήστε το κουμπί “Enter”. Αυτό θα έχει ως αποτέλεσμα την άμεση πρόσβαση στο λειτουργικό σύστημα χωρίς κωδικό πρόσβασης.
  • Εάν δεν γνωρίζετε κάποιο έγκυρο όνομα χρήστη, δοκιμάστε να συνδεθείτε με το “Administrator”, καθώς πολλά ATM δεν απενεργοποιούν τον προεπιλεγμένο λογαριασμό του  διαχειριστή.
  • Ένας άλλος τρόπος είναι να κάνετε bootable USB χρησιμοποιώντας το Hiren boot . Εκκίνηση από USB, όπου αυτό θα δώσει πρόσβαση στο σύστημα αρχείων απευθείας χωρίς σύνδεση στα Windows.

Δοκιμή που σχετίζεται με την εξουσιοδότηση του προγράμματος: Ελέγξτε εάν το USB είναι ενεργοποιημένο, προσπαθήστε να εκτελέσετε κάποιο μη εξουσιοδοτημένο πρόγραμμα (αρχείο exe) απευθείας από το USB ή χρησιμοποιώντας τη δυνατότητα αυτόματης εκτέλεσης του USB.

Δοκιμή που σχετίζεται με την προστασία του προγράμματος: Ελέγξτε εάν τα αρχεία που σχετίζονται με την εφαρμογή μπορούν να μετακινηθούν σε άλλη τοποθεσία, να τροποποιηθούν ή να διαγραφούν.

Έλεγχοι που σχετίζονται με την τροποποίηση της όλης διαδικασίας: Μετονομάστε το μη εξουσιοδοτημένο αρχείο με μια έγκυρη και αποδεκτή ονομασία. Αυτό θα έχει ως αποτέλεσμα την εκτέλεση μη εξουσιοδοτημένου αρχείου κατά την εκκίνηση της εφαρμογής.

Απειλές που σχετίζονται με μη εξουσιοδοτημένη εκτέλεση μέσω του μητρώου : Ελέγξτε εάν κάποιο κρίσιμο κλειδί μητρώου μπορεί να τροποποιηθεί ή αν μπορεί να εκτελεστεί μη εξουσιοδοτημένο λογισμικό, διατηρώντας το στον φάκελο εκκίνησης των Windows. Τα εκτελέσιμα στον φάκελο εκκίνησης των Windows θα εκτελεστούν πρώτα κατά την επανεκκίνηση του συστήματος.

Καθώς ο αριθμός των ATM αυξάνεται, το μηχάνημα είναι επιρρεπές σε hacking επιθέσεις , ληστείες, απάτες, κ.λ.π. Τα περισσότερα τα ATM εξακολουθούν να χρησιμοποιούν Windows XP, γεγονός που καθιστά αυτά τα ATM εύκολο στόχο για τους χάκερ. Η ηλεκτρονική μεταφορά χρημάτων περιλαμβάνει τρία στοιχεία που είναι η σύνδεση επικοινωνίας, ο υπολογιστής και το τερματικό (ATM). Και τα τρία εξαρτήματα πρέπει να είναι ασφαλισμένα για να αποφευχθεί μια επίθεση. Θα εξετάσουμε τον τύπο αξιολόγησης που μπορούμε να πραγματοποιήσουμε για να αναλύσουμε τη συνολική ασφάλεια ενός ΑΤΜ.

1. Εκτίμηση ευπάθειας και penetration testing του δικτύου

Αυτές οι δύο δραστηριότητες είναι κοινές όταν ασχολούμαστε με την ασφάλεια των ATM.

Στο pentest ελέγχουμε για ευπάθειες σε επίπεδο δικτύου σε ένα ΑΤΜ. Εφόσον το ATM επικοινωνεί με τον διακομιστή υποστήριξης, πρέπει να είναι μέρος κάποιου δικτύου.

Λαμβάνοντας τη διεύθυνση IP του ΑΤΜ, μπορούμε να εκτελέσουμε μια pentest δοκιμή μέσα στο δίκτυο. Ως βέλτιστη πρακτική ασφάλειας, το δίκτυο ATM διαχωρίζεται από το κοινό δίκτυο της τράπεζας.

Επομένως, ο hacker πρέπει να είναι στο ίδιο δίκτυο που βρίσκεται και το ATM για να ανακαλύψει την IP του ATM και να εκτελέσει επιθέσεις.

Μόλις εισέλθουμε στο δίκτυο που βρίσκεται το ATM, μπορούμε να εκτελέσουμε μια σάρωση με το Nessus για να αναγνωρίσουμε τις ανοιχτές θύρες του, τις υπηρεσίες που εκτελούνται σε αυτές, καθώς και τις ευπάθειες που σχετίζονται με τις εκτελούμενες υπηρεσίες του. Μπορούμε να εκτελέσουμε μια πλήρη σάρωση με το NMAP για να αναγνωρίσουμε τις θύρες TCP και UDP και τις υπηρεσίες που εκτελούνται στο ATM.

Ο έλεγχος διαμόρφωσης ασχολείται με την ασφάλεια του λειτουργικού συστήματος. Το μεγαλύτερο μέρος του ATM εκτελεί το λειτουργικό σύστημα Windows. Το λειτουργικό σύστημα πρέπει να μην έχει κενά ασφαλείας, για να μειωθεί το εύρος επίθεσης του εισβολέα και να μην έχει πολλές επιλογές. Μερικοί από τους τομείς που μπορούμε να εξετάσουμε κατά την εκτέλεση του ελέγχου της διαμόρφωσης του λειτουργικού συστήματος των ΑΤΜ είναι:

  • Επιδιορθώσεις και ενημερώσεις: Έλεγχοι που σχετίζονται με τις πιο πρόσφατες ενημερώσεις του λειτουργικού συστήματος και της ασφαλείας.
  • Ασφάλεια συστήματος των αρχείων: Έλεγχοι που σχετίζονται με την πρόσβαση σε κρίσιμους φακέλους και σημαντικά αρχεία του συστήματος.
  • Πρόσβαση στο σύστημα και έλεγχος ταυτότητας: Έλεγχοι που σχετίζονται με την πολιτική κλειδώματος του κωδικού πρόσβασης και του λογαριασμού, την πολιτική δικαιωμάτων του χρήστη κ.λ.π.
  • Έλεγχος και καταγραφή: Έλεγχοι που σχετίζονται με τη λειτουργία του ΑΤΜ, αρχεία καταγραφής εφαρμογών και ασφάλειας, πολιτική ελέγχου, άδεια στα αρχεία καταγραφής συμβάντων κ.λ.π.
  • Διαμόρφωση λογαριασμού: Έλεγχοι που σχετίζονται με χρήστες από την ομάδα διαχείρισης, παρουσία προεπιλεγμένων χρηστών, λογαριασμό επισκέπτη, απαίτηση κωδικού πρόσβασης και λήξης.

2. Έλεγχος ασφάλειας εφαρμογής:

Μπορούμε να χωρίσουμε αυτή τη δραστηριότητα σε δύο κατηγορίες:

α). Thick client application penetration testing: Μερικές από τις περιπτώσεις δοκιμών που μπορούμε να εκτελέσουμε είναι:

  • Ευαίσθητες πληροφορίες σε αρχεία διαμόρφωσης των εφαρμογών, διαπιστευτήρια στο μητρώο, ευαίσθητες πληροφορίες, κωδικοποιημένες σε κώδικα
  • Ελέγξτε το traffic που πηγαίνει στον διακομιστή και προσπαθήστε να χειριστείτε/παραβιάσετε τις παραμέτρους ή αναζητήστε τυχόν ευαίσθητες πληροφορίες που περνούν μεταξύ της εφαρμογής και του διακομιστή
  • Ελέγξτε εάν η εφαρμογή και η βάση δεδομένων επικοινωνούν σε πρωτόκολλο καθαρού κειμένου (μη κρυπτογραφημένα αρχεία)
  • Προστασία από Reverse Engineering

β). Application Design Review: Σε αυτήν τη διαδικασία, μπορούμε να ελέγξουμε για πρακτικές ασφαλείας που ακολουθούνται στην ίδια την εφαρμογή. Μερικές από τις περιπτώσεις δοκιμής μπορεί να είναι:

  • Τύποι συμβάντων που καταγράφονται στο αρχείο καταγραφής
  • Τα δικαιώματα με το οποίο εκτελείται η εφαρμογή των ATM
  • Πρόσβαση στους φακέλους που σχετίζονται με την εφαρμογή
  • Η εφαρμογή επιτρέπει τη συναλλαγή χωρίς pin ή με παλιό pin
  • Επιτρέπει η εφαρμογή την πρόσβαση στο λειτουργικό σύστημα κατά την εκτέλεση
  • Επικοινωνία με back-end hardware
  • Αποτελεσματική απομόνωση δικτύου
  • Αποσύνδεση της κάρτας του πελάτη σε περίπτωση έστω και μίας μη έγκυρης δοκιμής pin
  • Υποχρεωτική η χρήση PIN για κάθε συναλλαγή
  • Το λογισμικό να μην εμφανίζει το pin κατά τη διαδικασία της εισαγωγής του στην οθόνη

Πρακτικές ασφάλειας που πρέπει να ακολουθούνται από τις τράπεζες

Οι τράπεζες μπορούν να εφαρμόσουν κάποιες πρακτικές ασφάλειας για να μειώσουν το εύρος επίθεσης για τον εισβολέα. Παρακάτω θα δούμε κάποιες παραμέτρους που θα πρέπει να δοθεί μεγάλη προσοχή:

Προστασία από φυσικές επιθέσεις:

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.

  • Ανίχνευση και προστασία από skimming της κάρτας.
  • Ανίχνευση και προστασία από παγίδευση καρτών και μετρητών.
  • Ανίχνευση έναντι παραβίασης του πληκτρολογίου.
  • Εφαρμογή κάμερας DVSS ενσωματωμένης στο ATM για την καταγραφή των χαρακτηριστικών του προσώπου του χρήστη μαζί με τις λεπτομέρειες συναλλαγής και τη χρονική σήμανση.
  • Προστασία θησαυροφυλακίου από πυρκαγιά, έκρηξη κ.λ.π.
  • Προστασία κλειδώματος και πάλι μη εξουσιοδοτημένη πρόσβαση σε τραπεζογραμμάτια ή λογαριασμούς.
  • Προστασία σημείων ηλεκτρικής ενέργειας και δικτύου.
  • Απενεργοποίηση αχρησιμοποίητου δικτύου καθώς και ηλεκτρικής θύρας.
  • Το ΑΤΜ πρέπει να είναι αρμολογημένο στο πάτωμα για να ασφαλιστεί από απειλές που σχετίζονται με τη ληστεία. Το ΑΤΜ μπορεί να τοποθετηθεί με αισθητήρα κραδασμών για την αναγνώριση της πρόσκρουσης και της κίνησης του μηχανήματος ΑΤΜ.
  • Τοποθέτηση κάμερας CCTV. Παρουσία φύλακα.

Προστασία από hacking επιθέσεις:

  • Προστασία από μη εξουσιοδοτημένη εκκίνηση χωρίς τη χρήση κωδικού και είσοδος στα BIOS. Τα περισσότερα ΑΤΜ έχουν διαμορφωμένο προεπιλεγμένο κωδικό πρόσβασης εκκίνησης.
  • Προστασία από USB και μη εξουσιοδοτημένη πρόσβαση στον σκληρό δίσκο.
  • Ασφαλή OS και πλήρη ενημερωμένο σε καθημερινή βάση.
  • Επιτρεπόμενη λίστα εφαρμογών, υπηρεσιών στο ATM.
  • Λειτουργία με λιγότερα προνόμια του χρήστη.
  • Έλεγχοι ακεραιότητας των αρχείων.
  • Ασφάλιση των αρχείων καταγραφής των συναλλαγών.
  • Χρήση ασφαλούς σύνδεσης για την επικοινωνία και τη συναλλαγή.
  • Διαμόρφωση βέλτιστων πρακτικών ασφαλείας στην εφαρμογή των ATM.
  • Προστασία από ιούς.
  • Διαχωρισμός δικτύου ATM με τα υπόλοιπα δίκτυα.
  • Προστασία από κακόβουλο λογισμικό όπως tyupkin, ploutus κ.λ.π.

Προστασία από επιθέσεις που βασίζονται στην απάτη:

  • Εφαρμογή geo-blocking. Σε αυτήν την εφαρμογή, η κάρτα μπορεί να χρησιμοποιηθεί μόνο σε χώρα ή περιοχή προέλευσης της κάρτας. Ο χρήστης πρέπει να λάβει άδεια χρήσης της κάρτας εκτός της χώρας προέλευσής της.
  • Εφαρμογή κάρτας που βασίζεται σε τσιπ pin based για τον μετριασμό της επίθεσης που βασίζεται σε αντιγραμμένες κάρτες και skimming card.
  • Εφαρμογή που θα εντοπίζει μια ασυνήθιστη συναλλαγή ως προς το ποσό, τον τόπο συναλλαγής, τη συχνότητα της συναλλαγής κ.λ.π.

Συμπέρασμα

Με την πρόοδο της τεχνολογίας, οι hacker βρίσκουν όλο και περισσότερους τρόπους για να παραβιάσουν ATM.

Στη μάχη για τη διατήρηση της ασφάλειας των ΑΤΜ και τη διατήρηση της εμπιστοσύνης των πελατών, οι τράπεζες πρέπει να παραμείνουν ένα βήμα πιο μπροστά από τους εγκληματίες, αναπτύσσοντας τις τελευταίες λύσεις ασφαλείας και μειώνοντας το εύρος επίθεσης όσο το δυνατόν περισσότερο.

Οι λύσεις που δίνονται σε αυτό το άρθρο θα σας βοηθήσει να κάνετε το ΑΤΜ πιο ασφαλές, ενισχύοντας τόσο τη φυσική όσο και τη λογική ασφάλεια.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news