msz_bankomatx

Защита банкоматов
Как это работает
Начнем, пожалуй, с общего представления о функционировании
банкоматов, их обслуживании, и связи с банками. Сам банкомат (или ATM
– Automated Teller Machine) представляет собой компьютер, совмещенный
с сейфом. Компьютер, как правило, оснащен устройством ввода, дисплеем,
кардридером (для чтения данных с пластиковой карты), презентером (для
выдачи кэша) и чековым/журнальным принтером. Едва ли не самым
дорогим устройством в банкомате является диспенсер - девайс,
предназначенный для взятия/подачи денежных купюр, их проверки на
подлинность и сортировки. Банкомат подключается к процессингу для
возможности обмена данными с банком.
Следующий важный момент - обслуживание и заправка банкоматов. По
способу обслуживания банкоматы делятся на два типа: с задней
загрузкой, при которой, соответственно, все обслуживание банкомата
производится сзади, и с передней загрузкой, при которой банкомат
обслуживается спереди. Время выезда инкассаторов всегда держится в
секрете, а сами инкассаторы получают пакеты с маршрутами
непосредственно перед выездом.
Взлом банкомат извне
Ознакомимся с внешней защитой банкоматов. Под внешней защитой
подразумеваются:




камеры видеонаблюдения;
GPS-маячки;
сигнализация;
корпус (включая сейф банкомата).
Камеры
Первым важным моментом в построении линии защиты являются системы
видеонаблюдения. Они делятся на внешние и внутренние. Внешние
устанавливаются независимо от банкомата и фиксируют в основном
обстановку в непосредственной близости от объекта. Внутренние
встраиваются в сам банкомат и зачастую не заметны для постороннего.
Нас интересуют прежде всего внутренние системы видеонаблюдения.
Одна из распространенных систем такого плана - WebATM. В общем виде
она состоит из камеры и интерфейсного кабеля. Внешняя аппаратная
часть представляет собой встраиваемый внутрь банкомата отдельный
миниатюрный системный блок компьютера. Таким
1
образом, WebATM включает в себя дополнительный системный блок,
камеру, интерфейсный кабель и сетевую карту. Отличительной
особенностью системы является ее автономность. При выходе из строя
банкомата система видеонаблюдения продолжает функционировать в
автономном режиме. Это позволяет производить съемку даже при попытке
злоумышленников нанести повреждения банкомату.
Кстати, любопытные параметры имеет конфигурационный файл
WebATM. Для примера я приведу небольшой кусочек с комментариями.
 archive_path – задает путь к архиву снимков. По этому пути будут
сохраняться снимки, полученные в процессе работы системы.
 log_path – полный путь и имя файла журнала.
 agent – задает имя банкомата. Служит для идентификации
банкомата. Имя может быть любым, количество символов в котором
не превышает 10-ти. Систему нумерации каждый банк может
выбирать сам. Имя указывается на каждом снимке в поле ID для
однозначной идентификации банкомата, на котором сделан снимок.
 shot_mask - маска для номера карточки. Если указана маска
«####********####», то на фотографии будет напечатан номер
карточки «1234********5678».
 card_event - включить (при значении > 0) съемку при событии
«Клиент вставил карточку»/«Клиент забрал карточку». 0 – выключить
реакцию на событие. Значение задает количество кадров для съемки,
то есть «events.card_event = 10» - камера сделает 10 кадров после
данного события. По умолчанию – 0.
 request_send – событие транзакции (запрос на съем денег или на
получение остатка по счету);
 amount – сумма транзакции, если таковая была.
Т.е. камера не просто делает снимки, но и помещает на снимок
информацию о транзакции: дату, сумму, номер карточки и т.д. При какихлибо махинациях с банковскими карточками такой снимок послужит
отличным доказательством в суде.. Однако WebATM - игрушка дорогая, и
далеко не все банки могут позволить себе ее установку.
GPS
GPS-маячок встраивается в банкомат с целью передачи координат своего
местоположения службе безопасности банка.
GPS - технология достаточно сложная, но чрезвычайно полезная. Хотя в
ней есть и свои недостатки. В первую очередь, это ограничения на места
эксплуатации. Там, где нет спутниковых сигналов (или они по каким-либо
причинам не доходят) устанавливать GPS-маячок бессмысленно.
Предположим, что после кражи банкомат помещен в глубокий подземный
погреб. При таких обстоятельствах GPS-навигация бессильна. Неприятная
2
ситуация прорисовывается и со зданиями. Качество сигнала, который
самым непосредственным образом влияет на полноценное
функционирование маячка, зависит от планировки, толщины стен и прочих
факторов. В принципе маячок можно попытаться самостоятельно извлечь
из корпуса банкомата, но тут есть небольшая загвоздка. Дело в том, что
старые модели банкоматов не предусматривали их оснащение GPSоборудованием.
Корпус
Еще одна существенная помеха на пути атакующих «в лоб» - корпус
банкомата, в частности, сейф. Во-первых, банкомат весит от 500кг до
2тонн, а во-вторых, толстые стенки корпуса сделаны из сверхпрочного
металла. При этом есть
• Укрепляющая дверцу пластина, затрудняющая взлом с помощью
кувалды и клина.
• Барьер, предотвращающий доступ к замку. Предотвращает попытки
срезать защелку замка передней дверцы с помощью газовой горелки.
• Усовершенствованное якорное крепление корпуса к фундаменту.
Предназначено для борьбы с попытками протаранить либо иными
средствами сдвинуть банкомат с места.
Пример: после кражи банкомата его обнаружили вместе со
злоумышленниками через 16 часов. За эти самые 16 часов удалось
прорезать болгаркой лишь 4 см толщины стенки сейфа, а ушло на это 15
дисков.
Помимо этого при вскрытии активизируются следующие системы:
 защищенные кассеты с наличностью, снабженные датчиками
попыток проникновения;
 система датчиков тревожной сигнализации;
 устройство окрашивания купюр несмываемой краской;
 Детектор сотрясений. Определяет наличие вибраций, возникающих
при интенсивном физическом воздействии на банкомат.
Описанные средства хороши против Похищения, Взлома, Вскрытия. Но
есть еще и другие пути внешнего взлома: подсмотреть, подменить и
прочее. Нельзя предусмотреть все, но самые очевидные варианты
предупреждены.
 Считыватель кредитных карт:
3





o интеллектуальный датчик,
o предохранительный болт,
o вибрационный механизм,
o находящаяся под контролем щель с защитной крышкой,
o конструктивная пригодность к работе вне помещений;
Безопасность пользования панелью ввода ПИН-кода:
o защищенные клавиши,
o тройное шифрование данных,
o защищающий от посторонних глаз козырек
o зеркало заднего вида для клиентов.
Усовершенствованное устройство выдачи с двойным запором,
Принтер квитанций:
o печать снизу вверх,
o автоматическая протяжка и обрезка.
Усиленный дисплей и панель ввода ПИН-кода.
Отдельные отсеки для вынимаемой и вставляемой кассет
Взлом банкомат изнутри
Список распространенных операционок для банкоматов выглядит
следующим образом:
1.
2.
3.
4.
IBM OS/2;
MSWinNT;
MS Win2000/XP;
Linux.
Суть идеи заключается в перехвате трафика между банкоматом и банком
во время совершения транзакции. Это позволит получить доступ к
банковским данным владельцев со всеми вытекающими отсюда
последствиями. В некотором виде, это напоминает атаку класса man-in-amiddle (человек посередине). С некоторыми особенностями:
повсеместное видеонаблюдение;
 сигнализация;
 шифрованный трафик.
Также стоит учитывать, что сеть может оказаться беспроводной. Первый
пункт мешает установить подключение непосредственно вблизи
банкомата/банка. Сигнализация также не сыграет на руку
злоумышленникам. Но если её обойти, то есть проверка линии (проводная
сеть) службой безопасности банка. Пусть даже подключение останется
незамеченным. Но тут возникает следующая проблема - шифрование
трафика. Все данные от банкоматов передаются в зашифрованном виде,

4
сейчас для этого повсеместно применяется 1024-битное шифрование.
Самой распространенной системой шифрования подобного рода является
DESATM. Все данные шифруются непосредственно на банкомате и весь
путь следования проходят зашифрованными. Расшифровываются они
непосредственно на сервере, который находится в защищенной сети в
непосредственной близости от контроллера банкомата. Однако если
подобные системы не используются, то в открытом виде чаще всего не
передается лишь PIN-код, а вся сопутствующая инфа (номер карточки,
данные владельца и т.д.) остаются незашифрованными. Кстати, в
Великобритании был случай, когда местный умелец прослушивал линии,
по которым передавалась информация в процессинговый центр, с
помощью обыкновенного mp3’шника. Ошибка банка заключалась в том,
что он не использовал на своих банкоматах дополнительное
криптографическое ПО. Так что шанс все же есть, хоть и небольшой.
Системы обработки транзакций требуют особого подхода к защите
Последние годы корпоративные решения в области защиты от
вредоносных программ принципиально оставались неизменными.
Классический сигнатурное обнаружение дополнялось проактивными
компонентами, такими как эвристика, эмуляция кода или поведенческий
анализ. С учетом того, что в вирусные лаборатории вендоров ежедневно
прибывают десятки тысяч новых образцов вредоносных программ,
традиционные технологии не в состоянии обеспечить надежный уровень
защиты для критически важных информационных систем, к каковым
относятся банковские системы.
Во-первых, злоумышленники всегда могут оттестировать свои
вредоносные программы на стандартных антивирусных средствах защиты,
чтобы обеспечить успешное проникновение в систему.
Во-вторых, специально написанные вредоносные программы из-за своей
уникальности могут очень долго оставаться незамеченными в системе
обработки транзакций, так как антивирусным вендорам просто неоткуда
будет получить образец для анализа и обеспечения детекта.
Очевидно, что в таких условиях необходим иной подход к защите,
полностью основанный на проактивной защите всех точек системы
обработки транзакций. Это становится возможным только благодаря
жесткому контролю над программным обеспечением в режиме реального
времени, гарантирующему, что в работу разрешенных приложений не
сможет вмешаться никто и ничто.
Только обеспечив безопасную работу приложений, можно гарантировать,
что система будет непрерывно находиться в исправном состоянии, будет
защищена от вмешательства в ее работу известных и новых вредоносных
программ и не станет жертвой утечки данных - случайной или
злонамеренно спровоцированной изнутри организации. Более того,
5
решение должно предоставлять все эти возможности без необходимости
непрерывного обновления, корректировки и перезагрузки для гарантии
работоспособности защиты.
Решением в полной мере отражающим такой новый подход является,
например, Safe'n'Sec TPSecure российской компании S.N.Safe&Software.
Это решение во многом является уникальным на рынке и специально
предназначено для защиты системы обработки транзакций, поэтому
хотелось бы остановиться на нем подробнее.
Safe'n'Sec TPSecure - защита банкоматов
Защита банкоматов с помощью Safe'n'Sec TPSecure осуществляется в
соответствии с политиками контроля активности приложений. Продукт
контролирует каждое действие в процессе работы системы, блокирует все
подозрительные действия и разрешает исполняться только доверенным
процессам из так называемого «белого» списка (списка доверенных
процессов). Именно такой подход, пожалуй, наиболее эффективен для
обеспечения защиты банкоматов, так как набор активных процессов в них
очень стабилен. При установленном Safe'n'Sec TPSecure запуск
неопознанных приложений невозможен до тех пор, пока пользователь с
соответствующими правами не укажет степень доверия к этому
приложению.
На самом деле Safe'n'Sec TPSecure - это не просто блокирование по
белым спискам. Он основан на технологии V.I.P.O. (Valid Inside Permitted
Operations), которая объединяет в себе адаптивное профилирование,
выполнение приложений в защищенной среде (sandbox - «песочница») и
подсистему поведенческого анализа.
Технология V.I.P.O. основана на перехвате вызовов системных функций на
уровне ядра операционной системы (Ring 0) и загружается раньше всех
остальных приложений. Она позволяет идентифицировать, анализировать
и, при необходимости, блокировать доступ к файловой системе, объектам
системного реестра, к запуску приложений и к другим операциям,
способным воздействовать на целостность защищаемых приложений.
Таким образом, технология V.I.P.O. создает защиту ядра операционной
системы для предотвращения запуска любого нежелательного кода.
После установки Safe'n'Sec TPSecure и его первоначальной настройки
оперативное администрирование больше не потребуется, так как решение
не нуждается в постоянном обновлении. Safe'n'Sec TPSecure будет
полностью автоматически блокировать все несанкционированные
действия, поскольку для восстановления оборудования и возобновления
его работы не потребуется перезагрузка системы.
6





Выполнения несанкционированного кода, пытающегося внедриться в
операционную систему, предотвращается при помощи изолированной
виртуальной среды - «песочницы». В ней код может выполняться
безопасно для вычислительной системы, не воздействуя на другие ее
части. На практике это означает, что вредоносная программа не может
получить доступ к операционной системе, разрешенным приложениям или
буферу обмена данными для внедрения перехватчиков, клавиатурных
шпионов и других нежелательных программ. Это также означает
невозможность изменить код и данные, принадлежащие другим процессам,
а также несанкционированно модифицировать исполняемые файлы.
Функциональные возможности Safe'n'Sec TPSecure:
Блокировка любой возможности несанкционированного подключения и
внедрения всякого рода ПО со стороны обслуживающего банкоматы
персонала.
Защита доступа к критически важным данным (владельцы карт, PIN-коды,
пароли).
Контроль всех событий в сети, событий в банкоматах и генерирует
консолидированный аналитический отчет с широкими возможностями
фильтрации с целью ретроспективного анализа и расследования
конкретного инцидента вторжения вредоносного кода.
Мобильная консоль централизованного управления (позволяет
существенно снизить временные затраты на развертывание системы
безопасности).
Автономная работы (без связи с сервером управления).
Secure Sockets Layer
Большинство нового оборудования поддерживает стандарт SSL (Secure
Sockets Layer), что позволяет шифровать конфиденциальную информацию
между банкоматом, и системой, обрабатывающей транзакции (HOST).
Архитектура SSL является общепризнанным стандартом безопасности и
позволяет заказчику использовать наилучшие решения от разных
производителей.
Компания Radware предлагает использование платформы ускорения
транзакций Radware AppXcel.
Схема применения решения
Для проведения онлайновой транзакции, терминал открывает TCPсоединение через локальную сеть (возможны варианты внедрения GPRS,
Bluetooth и пр.) на устройство AppXcel. Далее терминал устанавливает
7
SSL-сессию и посылает зашифрованные данные транзакции. Radware
AppXcel открывает TCP-соединение на хост и посылает расшифрованные
данные, а также шифрует и отправляет на терминал ответы хоста.
Установка без обеспечения отказоустойчивости
Установка с использованием резервного устройства AppXcel для
обеспечения отказоустойчивости
В данном варианте установки в банкоматах устанавливаются учетные
записи двух хостов. При отказе одного из них, банкомат или терминал
самостоятельно направляют запрос на резервный хост, что позволяет
достичь высокого уровня отказоустойчивости.
Высокопроизводительное решение, с возможностью
масштабирования и обеспечением отказоустойчивости всех
компонентов
При высоком уровне транзакций возможна установка балансировщика
нагрузки Radware AppDirector для обеспечения равномерного
распределения транзакций, мониторинга состояния сетевых элементов,
масштабирования и отказоустойчивости. При необходимости увеличения
масштабов обработки транзакций требуется лишь подключить
дополнительные устройства AppXcel, не меняя архитектуры решения.
Отказоустойчивость решения обеспечена резервированием
балансировщика нагрузки AppDirector и устройств AppXcel
8
Кража данных
Пользователь банкомата Bank of America в Калифорнии обнаружил
странное серебристое устройство из оргстекла, приделанное к слоту
приёма карт. Устройство напоминало специальную заглушку от воровства
карт.
Однако наш герой не растерялся и обратился в банк, в результате чего
было обнаружено ещё одно устройство: камера, работающая от батареек
и включаемая датчиком движения. Эта камера была спрятана в
специальную коробку и прикреплена к углу банкомата в месте, где можно
удобно наблюдать за вводимым ПИН-кодом.
Как выяснилось, на камеру злоумышленник получал изображение с
вводимым ПИН-кодом с привязкой ко времени, когда это произошло:
Одновременно, скиммер, установленный поверх оригинального слота для
введения карт, считывал данные и также привязывал их ко времени.
Полученные данные могут как хранится на карте, которую злоумышленник
со временем незаметно забирает, так и передаваться с помощью
простейшего WiFi или GPRS. Карта, кстати, может храниться в самой
камере. Кстати, описанная камера называется Camball-2, стоит около $200
в США и может работать в указанном режиме 48 часов.
9
Массовые атаки
Червь Slammer заблокировал в 2003 году работу 13.000 банкоматов Bank
of America, и все банкоматы канадского Imperial Bank of Commerce.
Ситуация повторилась с червем Welchia, когда также были поражены
банкоматы нескольких коммерческих банков, работающих под
управлением операционной системы Windows XP Embedded.
Зараженные банкоматы начинали активно искать другие машины, в
операционной системе которых имелась уязвимость RPC DCOM и в
результате, Welchia сначала выводил из строя систему банковской защиты
от внешних вторжений, а затем и вовсе отключал банкоматы.
Все дело в массовом переводе банкоматов с IBM OS/2 из-за окончания ее
поддержки со стороны вендора на модифицированные версии Microsoft
Windows. Это привело к тому, что банкоматы подобно обычным рабочим
станциям или домашним компьютерам стали уязвимы перед
вредоносными программами, использующими уязвимости базовых
компонентов Windows.
Кроме этого после установки банкоматы редко обновляются и плохо
управляются.
Быстрое увеличение доли Windows на рынке объясняется не только
ростом количества банкоматов, но и заменой старых по причине
несоответствия новым требованиям платежных систем Europay/Mastercard
и Visa, в частности поддержке встроенных компьютерных чипов, а также
требованиям законодательства развитых стран о равных возможностях
для инвалидов.
В итоге кассовые терминалы и банкоматы из-за использования в них
старых версий Microsoft Windows (как правило, это NT 4.0 и XP) становятся
в один ряд с простыми персональными компьютерами для потенциальных
атак злоумышленников.
Целевые атаки
Часто атаки на информационные системы банков проводятся через
халатно оставленные лазейки или элементарно непроработанной модели
рисков. Это могут быть недокументированные сетевые подключения,
открытые беспроводные сети, необновленное программное обеспечение,
незаблокированное подключение внешних устройств, отсутствие
регламента доступа к важной информации и т.п.
Хорошим примером целевой атаки является взлом платежной системы
RBS WorldPay в ноябре 2009 года, когда в банкоматах 280 городов мира
10
за 15 минут была украдена сумма, приблизительно равная 9 млн. долл.
США.
Но наиболее интересный случай был зафиксирован в марте 2009 года,
когда специалисты антивирусных компаний Sophos, «Доктор Веб» и
«Лаборатории Касперского» обнаружили троянскую программу
(Troj/Skimer-A, Trojan.Skimer и
Backdoor.Win32.Skimer.a соответственно), похищавшую информацию о
владельцах банковских карт прямо в банкоматах под управлением Diebold
Agilis.
Согласно опубликованной информации заражения банкоматов были
зафиксированы в сетях Росбанка, Бинбанка и «Петрокоммерца». По
данным самой компании Diebold, этот вирус был обнаружен в январе 2009
года, тогда же производитель внес необходимые изменения в ПО и
предупредил банки-клиенты. Никто доподлинно не знает, когда именно
были заражены банкоматы и сколько еще модификаций есть и будет у
этого банковского трояна.
Буквально через несколько месяцев, летом 2009 года, банковское
сообщество и его клиенты, снова была встревожена новостью об
обнаруженной в банкоматах Восточной Европы троянской программе.
Согласно исследованию аналитиков Trustwave, эти вредоносные
приложения считывают данные магнитных полос банковских карт, а также
PIN, и одновременно предоставляют преступникам удобный интерфейс
управления и возможность распечатать украденную информацию
посредством встроенного принтера для печати чеков.
В итоге 2009 год оказался черным для безопасности в банковской отрасли.
11