Hackelés ATM málna pi

A három pozitív hack napot túlélő teszt ATM biztonságának tesztelésére egy népszerű miniatűr vadaspark vezérlőt választottak. A készülék könnyen elrejti a ház belsejében, és nem vonzza a technikai személyzet figyelmét, amely például beépített nyomtatókat vált át, és ezért kulcsokat tartalmaz a szolgáltatási területről.

A dokumentáció megkeresése az ATM interfészekkel nem olyan nehéz, és Alexey Lukatsky öt évvel ezelőtt írt róla a "Mítoszok az információbiztonság" című könyvében. Berendezések ATM és fizetési terminálok, függetlenül a gyártótól, amely közös API elérését és kezelését a különböző modulok és fut a Windows platformon szerint egy egységes szabvány „kiterjesztés a pénzügyi szolgáltatások» (XFS).

Ismerve az API, akkor átveheti az irányítást a fogadó számítógép az ATM és a közvetlen irányítást a különböző perifériák helyezhető el az ATM szekrény, - .. kártyaolvasó, egy billentyűzet beírni a PIN-, érintőképernyős kijelző, az adagoló bankjegyek stb Ne felejtsük el továbbá a biztonsági rések az operációs ATM rendszert, és sok éven át tárolják a Windows rendszerben.

Gyenge hely

A Raspberry Pi telepítése és a készülék Ethernet, USB vagy RS-232 portok csatlakoztatása előtt az ATM-t ki kell nyitni. Az ATM tetején egy szolgáltatási terület. Itt található az ATM-eszközöket kezelő számítógép, hálózati eszköz (beleértve a rosszul védett GSM / GPRS modemet). A szolgáltatási területet gyakorlatilag nem felügyelik, mivel a karbantartó személyzet különböző munkákhoz használja. Hozzáféréshez könnyebb, mint az alján található pénzzel. Nyitható egyszerű kulcsokkal vagy nagyon egyszerű eszközökkel.

De nyisd ki egy kicsit - gyorsan és észrevétlenül kell csinálnod.

A konferencián Black Hat Pozitív Technologies kutatók bebizonyították, hogy meddig tart a támadók beállítani a mikroszámítógép szolgáló ATM területen használni, mint egy szippantás - szippantás PIN-kódot, és hitelkártya száma - vagy hardver-sikló, amely nem hagy nyomot a külső ATM formában. Két percbe telt az ATM-tok eltörlése, a mikroszámítógép integrálása, álcázása és az internethez való csatlakozás.

Megvédhetem magam

Nem könnyű az ATM biztonsága. Nagyon függ a támadás forgatókönyvétől. Például a SEC „Security” Belügyminisztérium javasolja a gyártóknak, használja a füst generátor, az ultrahangos gát és xenon stroboszkóp, és a brit szakemberek LINK - megtiltják szabvány zárak számára a szolgáltatási terület és aktívan használják a webkamera.

Azonban a fő probléma, a vizsgálat szerint a - az a képesség, hogy felszerel egy ATM bármilyen eszköz vagy program (legfeljebb Angry Birds), amely által okozott rengeteg kritikus sebezhetőséget az operációs rendszereket. A helyzet változhat, csapatmunka banki berendezések gyártói új nyílt specifikáció, amely biztosítja a biztonságos kommunikációt és hatékony hitelesítése ATM alkatrészek, bárkinek, miután beszerzése a legfontosabb a szolgáltatási terület, nem tudott olyan könnyen csatlakoztatható a rendszerhez semmit.

[Összes szavazat: 6 Átlag: 2.5 / 5]