27.03.2009 11:44
В рамках рубрики "Клуб экспертов" мы продолжаем публикацию книги А.В.Лукацкого "Мифы и заблуждения информационной безопасности"
Бытует мнение, что банкомат практически невозможно взломать. Этот миф базируется на ряде мнений, предпосылок и заблуждений:
1. Банкомат не подключен к Интернет.
2. Банкомат используют специализированную операционную систему.
3. Банкомат оснащен всевозможными датчиками и сенсорами, которые противодействуют физическому проникновению в мини-хранилище.
4. Описание действия, интерфейсов и API для разработчиков банкоматов держится под секретом и недоступно для посторонних.
Все это приводило к тому, что атаки на банкоматы осуществлялись, как правило, «физическим» путем - скимминг в различных его проявлениях и даже физическое выдирание банкомата тросом, прикрепленным к автомобилю. Но ситуация меняется и сегодня уже зафиксированы случаи взломов банкоматов с помощью высоких технологий. Посмотрим, как это делается. Но для начала прокомментирую первые 4 мнения относительно банкоматов.
Интернет - сегодня самый дешевый, а в ряде случаев и единственный способ подключения банкомата. Прокладывать собственные каналы до банкомата просто невыгодно в большинстве случаев; особенно, если банкомат расположен за пределами отделения банка, а установка радиомодема невозможна по техническим причинам. Нередки случаи использования обычных телефонных линий, защищенность которых несильно отличается от Интернет. Разумеется, банкомат не просто воткнут в Интернет - используются различные защитные механизмы. Как минимум, речь идет о шифровании канала связи (VPN) и регулярном обновлении операционной системы. Также производители банкоматов рекомендуют использование дополнительных средств защиты - антивирусов, персональных межсетевых экранов (например, решение Symantec Sygate Enterprise Protection на банкоматах Diebold), многофункциональных защитных систем (например, решение Cisco Security Agent на банкоматах Wincor Nixdorf) и т.п. Правда, желая сэкономить, используют их не все, что часто и приводит к временному выведению банкоматов из строя и даже краже денег с карточек ничего не подозревающих клиентов.
Специализированная операционная система для банкоматов - это тоже из разряда заблуждений. В прошлом веке действительно большинство банкоматов работало под управлением OS/2 компании IBM. Но после анонса IBM о завершении стандартной поддержки OS/2 в 2006-м году, свою деятельность активизировала компания Microsoft и сегодня по разным оценка около 70% всех банкоматов построено на базе ОС Windows различных модификаций (CE, XP, Embedded). Например, крупнейшие производители банкоматов Diebold и NCR перешли на Windows XP Embedded. К чему это может привести? Если не выполнять рекомендаций производителей банкоматов и экспертов по безопасности, последствия будут печальными - вирусные атаки, установка троянов, ворующих номера кредитных карт и PIN-коды и т.п. Чтобы не быть голословным можно привести пример с банкоматами Diebold, зараженным червем Nachi в далеком 2003-м году. В тот же год от червя Slammer пострадало 13000 банкоматов Bank of America и все банкоматы канадского Imperial Bank of Commerce. На территории постсоветского пространства случаев заражения известно не так много. Например, в том же 2003-м году от вируса Sobig пострадали многие латвийские банки (например, Latvijas Unibanka или Hansabank)
Теперь что касается невозможности посторонним написать вредоносный код для банкомата. А кто сказал, что это должен быть посторонний? Откуда такая уверенность в непогрешимости обслуживающего персонала? Особенно в условиях кризиса, когда сотрудников увольняют или урезают зарплаты и они вынуждены зарабатывать «как могут». Последний нашумевший случай - взлома банкоматов ряда российских банков. CNews называет троих - «Росбанк», «Петрокоммерц» и «Бин-Банк», но на самом деле их число больше - просто не обо всех случаях становится известно широкой общественности. Установленный на банкоматах троянец воровал номера карт и PIN-коды и сообщал их преступникам. Из трех названных банков, один (Бин-банк) отрицает заражение своих банкоматов, второй (Петрокоммерц) сделал официальное заявление на своем сайте о заражении только одного банкомата, а третий (Росбанк) на сайте новостей об этом не публиковал, но некоторые информационные агентства, ссылаясь на него, сообщили о заражении 4 банкоматов. Правда в этом сообщении говорится о том, что счета клиентов не пострадали; я же знаю, как минимум об одном случае, когда клиент Росбанка не досчитался своих денег и банк отказался их возвращать (почему, читайте ниже).
В России шумиху подняла компания Dr.Web, разработчик известного антивируса. Хотя, справедливости ради надо признать, что о троянце для банкоматов еще раньше публично заявила компания Sophos в своем блоге (русскоязычная новость), а сама Diebold (производитель уязвимых банкоматов) оповестила своих клиентов об этой угрозе еще в январе. Портал SecurityLab сообщает, что взлом произошел еще осенью прошлого года, однако банки долгое время не хотели признавать факт массового взлома. Пострадали банкоматы в местах массового скопления людей - метро. Сколько пострадало людей неизвестно, но то, что случаи неединичные - это точно. Достаточно сказать, что по собственным оценкам Diebold они занимают около 30% всего рынка банкоматов России.
Как это произошло? Банкоматы Diebold работают под управлением операционной системы Windows XP Embedded. Апологеты Linux или Open\FreeBSD начнут, наверное, лишний раз ссылаться на низкий уровень защищенности Windows и будут неправы. Проблема совершенно не в ОС - она кроется гораздо глубже. Как замечают эксперты, без помощи сотрудников банка, осуществить внедрение троянца практически невозможно, т.к. для этого требуется физический доступ к внутренностям банкомата, которые обычно оснащены различными сенсорными датчиками и видеокамерой, усложняющие жизнь преступникам. С другой стороны написание такого троянца тоже задача непростая. Как отмечают эксперты российской компании Positive Technologies сделать это можно, только имея представления о том, как работают банкоматы Diebold и их программное обеспечение, имея доступ к описанию API и другим техническим деталям. Таких людей в нашем Отечестве очень немного и делали они это не от хорошей жизни. Учитывая, что инциденты произошли только в России, я бы исключил возможность зарубежного «следа» в этом деле. Скорее всего, автор троянца либо был уволен, либо иным образом пострадал во время кризиса и нашел новое применение своим знаниям. Детальный анализ работы троянца лишний раз подтверждает это.
На самом деле троянца мог внести не только персонал, обслуживающий банкоматы. Это еще одно классическое заблуждение. В цепочке от производства банкоматов до начала их эксплуатации задействовано немало участников:
· Производитель банкомата
· Дистрибутор банкоматов
· Покупатель банкомата (банк)
· Организация, пишущая ПО для банкоматов.
· Организация, устанавливающая банкоматы
· Организация, обслуживающая банкоматы.
И не только каждый из этих участников потенциально может иметь нечистые помыслы, но и связи между этими лицами могут быть подвержены атакам. Например, осенью прошлого года в Великобритании и на материковой Европе были зафиксированы случаи установки в магазинах POS-терминалов, изначально содержащих закладки, направленные на перехват номеров карт и PIN-кодов и передающих из злоумышленникам с помощью встроенных GSM-модулей. Эксперты подозревают, что эти закладки были внесены преступниками либо еще на производстве в Китае, либо сразу после того, как банкоматы покинули заводскую территорию.
Сложно себе представить, чтобы преступный синдикат осуществил такую махинацию? Но факт есть факт! А теперь рассмотрим еще более простой случай. В 2006-м году в США ненайденный злоумышленник перепрограммировал банкомат Tranax Mini-Bank с помощью руководства, найденного в Интернет. В итоге банкомат стал вместо 5-тидолларовых купюр выдавать двадцатки. В найденном руководстве была приведена процедура перевода банкомата в диагностический режим и запрограммировать по своему усмотрению. Конечно, для этого надо было знать административный пароль. Но как оказалось банкомат использовать пароль, заданный по умолчанию, также указанный в руководстве. Можно ли после этого считать, что информация о доступе к функциям банкомата является секретной? Правда, в нашем случае, учитывая все факторы, я склонен считать, что червь был занесен все-таки обслуживающим персоналом.
Что делать в такой ситуации банкам? Сама Diebold дает следующие рекомендации по защите своих банкоматов:
· Не использовать административные пароли по умолчанию и регулярно их менять
· Отключить Windows Desktop
· Использовать персональный межсетевой экран от Symantec, который поставляется вместе с ПО от Diebold
· Использовать специально настроенную, защищенную ОС Windows, которую опять же предлагает Diebold своим клиентам.
Клиентам же порекомендовать что-то сложно. Не отказываться же от использования банковских карт. Кто-то рекомендует использовать карту только в отделениях своего банка и осуществлять все транзакции через операционистов, минуя банкоматы в принципе. Не самый удобный вариант, особенно, если вы в отпуске или командировке заграницей. Другая рекомендация - класть на карту минимально необходимые суммы. Тоже не всегда применимо; например, в случае с отпуском. Тем более что снять деньги злоумышленники могут и не сразу, а через несколько месяцев после воровства. Третья рекомендация достаточно проста - включить уведомление обо всех операциях через SMS. Парадокс, но не так уж и много людей пользуется этой возможностью. Видимо заплатить за эту услугу около 60 рублей в месяц для них дороже потери всех денег с банковской карты. Конечно, такая предосторожность не защитить вас от воровства PIN-кода и номера карты через взломанный банкомат, но поможет своевременно позвонить в банк и сообщить о мошенничестве. Это даст возможность банку заблокировать транзакцию и карту, чтобы ей больше не могли воспользоваться. Правда, потом вам придется письменно подтвердить свой звонок (по крайней мере, в моем банке требование такое).
Самое же неприятное в этой ситуации, что пострадавшие клиенты (даже в случае своевременного уведомления банка) могут и не вернуть обратно свои деньги. Дело в том, что почти в любом договоре на банковское обслуживание, которое мы подписываем не читая, есть пункты о том, что:
· банк не несет ответственности за любые действия третьих лиц
· банк не несет ответственности за несанкционированные действия с полученными вами PIN-кодом и картой (тоже касается и пароля, сеансовых ключей и ЭЦП в случае с Интернет-банкингом), а доказать их несанкционированность очень непросто
· вы признаете любые операции, произведенные по вашей карте.
Сложность в том, что если вы решите обратиться в суд, то даже прикрываясь законом о защите прав потребителей, вы, скорее всего, не найдете понимая у судьи. Как инициатор гражданского судопроизводства вы, а не банк, должны будете доказывать свою правоту. Свидетельств взлома банкомата у вас нет. Ссылки на то, что вы были в России, когда с вашей карты пытались снять деньги, например, в Лондоне или Загребе, судью не убедят, т.к. вы спокойно могли передать свою карту другу, который и снял деньги (таких случаев немало). А с другой стороны в договоре четко прописано, что вся ответственность лежит на вас. Такие неутешительные выводы подтверждает один из посетителей SecurityLab, а также вице-президент Транскредитбанка Андрей Крупцов.
Подробнее: http://bankir.ru/publikacii/s/mif-x211630-bankomat-nelzya-vzlomat-1856999/#ixzz28FJE8pSd
В рамках рубрики "Клуб экспертов" мы продолжаем публикацию книги А.В.Лукацкого "Мифы и заблуждения информационной безопасности"
Бытует мнение, что банкомат практически невозможно взломать. Этот миф базируется на ряде мнений, предпосылок и заблуждений:
1. Банкомат не подключен к Интернет.
2. Банкомат используют специализированную операционную систему.
3. Банкомат оснащен всевозможными датчиками и сенсорами, которые противодействуют физическому проникновению в мини-хранилище.
4. Описание действия, интерфейсов и API для разработчиков банкоматов держится под секретом и недоступно для посторонних.
Все это приводило к тому, что атаки на банкоматы осуществлялись, как правило, «физическим» путем - скимминг в различных его проявлениях и даже физическое выдирание банкомата тросом, прикрепленным к автомобилю. Но ситуация меняется и сегодня уже зафиксированы случаи взломов банкоматов с помощью высоких технологий. Посмотрим, как это делается. Но для начала прокомментирую первые 4 мнения относительно банкоматов.
Интернет - сегодня самый дешевый, а в ряде случаев и единственный способ подключения банкомата. Прокладывать собственные каналы до банкомата просто невыгодно в большинстве случаев; особенно, если банкомат расположен за пределами отделения банка, а установка радиомодема невозможна по техническим причинам. Нередки случаи использования обычных телефонных линий, защищенность которых несильно отличается от Интернет. Разумеется, банкомат не просто воткнут в Интернет - используются различные защитные механизмы. Как минимум, речь идет о шифровании канала связи (VPN) и регулярном обновлении операционной системы. Также производители банкоматов рекомендуют использование дополнительных средств защиты - антивирусов, персональных межсетевых экранов (например, решение Symantec Sygate Enterprise Protection на банкоматах Diebold), многофункциональных защитных систем (например, решение Cisco Security Agent на банкоматах Wincor Nixdorf) и т.п. Правда, желая сэкономить, используют их не все, что часто и приводит к временному выведению банкоматов из строя и даже краже денег с карточек ничего не подозревающих клиентов.
Специализированная операционная система для банкоматов - это тоже из разряда заблуждений. В прошлом веке действительно большинство банкоматов работало под управлением OS/2 компании IBM. Но после анонса IBM о завершении стандартной поддержки OS/2 в 2006-м году, свою деятельность активизировала компания Microsoft и сегодня по разным оценка около 70% всех банкоматов построено на базе ОС Windows различных модификаций (CE, XP, Embedded). Например, крупнейшие производители банкоматов Diebold и NCR перешли на Windows XP Embedded. К чему это может привести? Если не выполнять рекомендаций производителей банкоматов и экспертов по безопасности, последствия будут печальными - вирусные атаки, установка троянов, ворующих номера кредитных карт и PIN-коды и т.п. Чтобы не быть голословным можно привести пример с банкоматами Diebold, зараженным червем Nachi в далеком 2003-м году. В тот же год от червя Slammer пострадало 13000 банкоматов Bank of America и все банкоматы канадского Imperial Bank of Commerce. На территории постсоветского пространства случаев заражения известно не так много. Например, в том же 2003-м году от вируса Sobig пострадали многие латвийские банки (например, Latvijas Unibanka или Hansabank)
Теперь что касается невозможности посторонним написать вредоносный код для банкомата. А кто сказал, что это должен быть посторонний? Откуда такая уверенность в непогрешимости обслуживающего персонала? Особенно в условиях кризиса, когда сотрудников увольняют или урезают зарплаты и они вынуждены зарабатывать «как могут». Последний нашумевший случай - взлома банкоматов ряда российских банков. CNews называет троих - «Росбанк», «Петрокоммерц» и «Бин-Банк», но на самом деле их число больше - просто не обо всех случаях становится известно широкой общественности. Установленный на банкоматах троянец воровал номера карт и PIN-коды и сообщал их преступникам. Из трех названных банков, один (Бин-банк) отрицает заражение своих банкоматов, второй (Петрокоммерц) сделал официальное заявление на своем сайте о заражении только одного банкомата, а третий (Росбанк) на сайте новостей об этом не публиковал, но некоторые информационные агентства, ссылаясь на него, сообщили о заражении 4 банкоматов. Правда в этом сообщении говорится о том, что счета клиентов не пострадали; я же знаю, как минимум об одном случае, когда клиент Росбанка не досчитался своих денег и банк отказался их возвращать (почему, читайте ниже).
В России шумиху подняла компания Dr.Web, разработчик известного антивируса. Хотя, справедливости ради надо признать, что о троянце для банкоматов еще раньше публично заявила компания Sophos в своем блоге (русскоязычная новость), а сама Diebold (производитель уязвимых банкоматов) оповестила своих клиентов об этой угрозе еще в январе. Портал SecurityLab сообщает, что взлом произошел еще осенью прошлого года, однако банки долгое время не хотели признавать факт массового взлома. Пострадали банкоматы в местах массового скопления людей - метро. Сколько пострадало людей неизвестно, но то, что случаи неединичные - это точно. Достаточно сказать, что по собственным оценкам Diebold они занимают около 30% всего рынка банкоматов России.
Как это произошло? Банкоматы Diebold работают под управлением операционной системы Windows XP Embedded. Апологеты Linux или Open\FreeBSD начнут, наверное, лишний раз ссылаться на низкий уровень защищенности Windows и будут неправы. Проблема совершенно не в ОС - она кроется гораздо глубже. Как замечают эксперты, без помощи сотрудников банка, осуществить внедрение троянца практически невозможно, т.к. для этого требуется физический доступ к внутренностям банкомата, которые обычно оснащены различными сенсорными датчиками и видеокамерой, усложняющие жизнь преступникам. С другой стороны написание такого троянца тоже задача непростая. Как отмечают эксперты российской компании Positive Technologies сделать это можно, только имея представления о том, как работают банкоматы Diebold и их программное обеспечение, имея доступ к описанию API и другим техническим деталям. Таких людей в нашем Отечестве очень немного и делали они это не от хорошей жизни. Учитывая, что инциденты произошли только в России, я бы исключил возможность зарубежного «следа» в этом деле. Скорее всего, автор троянца либо был уволен, либо иным образом пострадал во время кризиса и нашел новое применение своим знаниям. Детальный анализ работы троянца лишний раз подтверждает это.
На самом деле троянца мог внести не только персонал, обслуживающий банкоматы. Это еще одно классическое заблуждение. В цепочке от производства банкоматов до начала их эксплуатации задействовано немало участников:
· Производитель банкомата
· Дистрибутор банкоматов
· Покупатель банкомата (банк)
· Организация, пишущая ПО для банкоматов.
· Организация, устанавливающая банкоматы
· Организация, обслуживающая банкоматы.
И не только каждый из этих участников потенциально может иметь нечистые помыслы, но и связи между этими лицами могут быть подвержены атакам. Например, осенью прошлого года в Великобритании и на материковой Европе были зафиксированы случаи установки в магазинах POS-терминалов, изначально содержащих закладки, направленные на перехват номеров карт и PIN-кодов и передающих из злоумышленникам с помощью встроенных GSM-модулей. Эксперты подозревают, что эти закладки были внесены преступниками либо еще на производстве в Китае, либо сразу после того, как банкоматы покинули заводскую территорию.
Сложно себе представить, чтобы преступный синдикат осуществил такую махинацию? Но факт есть факт! А теперь рассмотрим еще более простой случай. В 2006-м году в США ненайденный злоумышленник перепрограммировал банкомат Tranax Mini-Bank с помощью руководства, найденного в Интернет. В итоге банкомат стал вместо 5-тидолларовых купюр выдавать двадцатки. В найденном руководстве была приведена процедура перевода банкомата в диагностический режим и запрограммировать по своему усмотрению. Конечно, для этого надо было знать административный пароль. Но как оказалось банкомат использовать пароль, заданный по умолчанию, также указанный в руководстве. Можно ли после этого считать, что информация о доступе к функциям банкомата является секретной? Правда, в нашем случае, учитывая все факторы, я склонен считать, что червь был занесен все-таки обслуживающим персоналом.
Что делать в такой ситуации банкам? Сама Diebold дает следующие рекомендации по защите своих банкоматов:
· Не использовать административные пароли по умолчанию и регулярно их менять
· Отключить Windows Desktop
· Использовать персональный межсетевой экран от Symantec, который поставляется вместе с ПО от Diebold
· Использовать специально настроенную, защищенную ОС Windows, которую опять же предлагает Diebold своим клиентам.
Клиентам же порекомендовать что-то сложно. Не отказываться же от использования банковских карт. Кто-то рекомендует использовать карту только в отделениях своего банка и осуществлять все транзакции через операционистов, минуя банкоматы в принципе. Не самый удобный вариант, особенно, если вы в отпуске или командировке заграницей. Другая рекомендация - класть на карту минимально необходимые суммы. Тоже не всегда применимо; например, в случае с отпуском. Тем более что снять деньги злоумышленники могут и не сразу, а через несколько месяцев после воровства. Третья рекомендация достаточно проста - включить уведомление обо всех операциях через SMS. Парадокс, но не так уж и много людей пользуется этой возможностью. Видимо заплатить за эту услугу около 60 рублей в месяц для них дороже потери всех денег с банковской карты. Конечно, такая предосторожность не защитить вас от воровства PIN-кода и номера карты через взломанный банкомат, но поможет своевременно позвонить в банк и сообщить о мошенничестве. Это даст возможность банку заблокировать транзакцию и карту, чтобы ей больше не могли воспользоваться. Правда, потом вам придется письменно подтвердить свой звонок (по крайней мере, в моем банке требование такое).
Самое же неприятное в этой ситуации, что пострадавшие клиенты (даже в случае своевременного уведомления банка) могут и не вернуть обратно свои деньги. Дело в том, что почти в любом договоре на банковское обслуживание, которое мы подписываем не читая, есть пункты о том, что:
· банк не несет ответственности за любые действия третьих лиц
· банк не несет ответственности за несанкционированные действия с полученными вами PIN-кодом и картой (тоже касается и пароля, сеансовых ключей и ЭЦП в случае с Интернет-банкингом), а доказать их несанкционированность очень непросто
· вы признаете любые операции, произведенные по вашей карте.
Сложность в том, что если вы решите обратиться в суд, то даже прикрываясь законом о защите прав потребителей, вы, скорее всего, не найдете понимая у судьи. Как инициатор гражданского судопроизводства вы, а не банк, должны будете доказывать свою правоту. Свидетельств взлома банкомата у вас нет. Ссылки на то, что вы были в России, когда с вашей карты пытались снять деньги, например, в Лондоне или Загребе, судью не убедят, т.к. вы спокойно могли передать свою карту другу, который и снял деньги (таких случаев немало). А с другой стороны в договоре четко прописано, что вся ответственность лежит на вас. Такие неутешительные выводы подтверждает один из посетителей SecurityLab, а также вице-президент Транскредитбанка Андрей Крупцов.
Подробнее: http://bankir.ru/publikacii/s/mif-x211630-bankomat-nelzya-vzlomat-1856999/#ixzz28FJE8pSd
