В разных странах это происходит с разной скоростью, и зачастую производители железа и софта, а также ИБ-службы банков не успевают за хакерами. Об этом свидетельствуют инциденты прошлого года, произошедшие в странах Юго-Восточной Азии, когда миллионы долларов были похищены в ходе атак на целые сети из десятков и сотен банкоматов.

С чем может столкнуться банк, если хакеры вдруг решат атаковать его банкоматную сеть? 
Логические атаки можно разделить на три группы:

•  Атаки на ОС: когда злоумышленник получает доступ в сервисную зону банкомата, чтобы взаимодействовать с операционной системой (подключать свои устройства и пр.).
•  Сетевые атаки: когда злоумышленник получает доступ к сети. Это можно сделать, проникнув в сеть банка, а из нее – в сегмент процессинга или физически подключившись к сетевому кабелю банкомата. В случае использования беспроводных сетей можно подключиться к Wi-Fi или подсоединить GSM-модем к поддельной базовой ­станции.
•  Атаки на периферийное оборудование банкомата: используются недостатки защиты доступа к различным устройствам, например к картридеру. 

На практике многие атаки являются разноуровневыми: например, злоумышленник может подключиться по сети, а затем воспользоваться уязвимостями ОС для доступа к ней и повышения привилегий.

Атаки на ОС

Сервисная зона банкомата защищена гораздо хуже, чем сейф с деньгами: на форумах PHDays неоднократно показывалось, как она открывается менее чем за минуту. Но, получив к ней доступ, злоумышленник не увидит лежащую в пыли клавиатуру и бумажку с паролем администратора. Ему придется обойти режим киоска, который ограничивает возможности пользователя для работы с компьютером: отключены клавиатура и мышка, нет возможности запускать произвольные программы или нажимать произвольные клавиши, часто даже не видно курсора – все «заслоняет» главное окно банкоматного приложения. Плюс локальные политики безопасности: возможность писать или читать файлы и директории, запускать произвольные программы – все это часто запрещено ограниченному в правах пользователю.

Производители рекомендуют использовать средства защиты класса Application Control, разрешающие запускать приложения только из белого списка. Но в таких системах часто встречаются уязвимости, позволяющие обойти средство безопасности: это могут быть и уязвимости нулевого дня, и типовые недостатки настройки.

Так как получение максимальных прав в системе не является конечной задачей злоумышленника, ему еще придется научиться работать с периферийными устройствами. В данном случае через XFS. В хорошо настроенных устройствах должна обеспечиваться эксклюзивность доступа к железу как раз на таком уровне, чтобы какие угодно приложения не могли посылать различные команды.

Сетевые атаки

Подделка процессинга. Самые популярные атаки связаны с подделкой ответов от процессингового центра. Когда, например, злоумышленник вставляет карту без денег и просит банкомат выдать ему 10 купюр, заранее настроенный сервер, к которому подключается банкомат, должен подтвердить эту операцию. Для этого нужно физически вклиниться в сетевое соединение и представиться сервером либо организовать атаку класса Man In The Middle. Для успеха таких атак в банкомате не должно быть настроено никаких средств обеспечения целостности взаимодействия с процессингом – VPN, шифрования уровня приложения или других средств.

Атаки на сетевые службы. Тоже очень распространенный вид атак, учитывая процент уязвимых Windows XP в банкоматах. Если входящие подключения никак не ограничены межсетевым экраном, то это может закончиться очень плохо для всей сети банкоматов. MS08-067 и другие сетевые уязвимости никто не отменял. 

А отсутствие ограничений на исходящие соединения может использоваться для дальнейшего развития атаки – доставки «полезной нагрузки» или эксплуатации других уязвимостей. Стоит отметить, что, даже если используется VPN, запрещающий входящие соединения вне сетевого туннеля, остается вполне реальным риск проникновения хакеров внутрь банковской подсети процессинга – туда, где VPN-соединения уже терминируются и вся банкоматная сеть как на ладони.

Атаки на криптографию. Уже реализовано множество атак как на программные VPN с использованием устаревших шифров, так и на средства обеспечения целостности платежных данных, если банкомат использует устаревшие алгоритмы шифрования. Кроме того, при наличии доступа к ОС часть средств защиты достаточно легко отключить, чтобы в дальнейшем провести другие сетевые атаки на банкомат.

Физические атаки. Сюда можно отнести атаки на аппаратные VPN-решения и атаки на промышленные GSM-модемы. Чтобы провести атаку на модем, к нему нужно подключиться либо физически (чаще всего он находится в сервисной зоне банкомата), либо с использованием «глушилки» радиоэфира и собственной поддельной базовой станции. Далее необходимо подключиться к управляющему интерфейсу – чаще всего это веб-интерфейс со множеством уязвимостей. После этого остается только отключить шифрование трафика.

Атаки на периферийное железо

В большинстве случаев это blackbox-атаки на картридер, диспенсер или криптоклавиатуру. До недавнего времени устаревшие версии банкоматов не поддерживали шифрование и не обеспечивали целостность запросов между ОС и периферией, что в конечном счете позволяло посылать команды на устройства, не атакуя при этом операционную систему и обходя защиту. Несколько лет назад производители банкоматов, столкнувшись с этим классом атак, ввели шифрование в эти коммуникации и обновили прошивки периферии. А для тех устройств, где это было невозможно, сторонние вендоры предлагают свои программно-аппаратные комплексы: устройство помещается в сейф, на ОС устанавливается специальный драйвер, обеспечивающий шифрование, а на аппаратном модуле в сейфе происходит дешифровка сообщений. 

Таким образом, с атаками типа blackbox все ясно: главное – наличие шифрования. Однако остается еще взаимодействие с другой периферией: клавиатурами, мышками, внешними носителями, жесткими дисками, материнскими платами и BIOS. Все атаки на ОС банкомата могут быть совершены при условии возможности взаимодействия с ней – с использованием клавиатуры или хотя бы мышки. Еще один эффективный способ – вытащить жесткий диск из банкомата; если он не зашифрован, то никакое средство защиты не поможет, отключить средства защиты не составит труда. То же возможно при получении доступа к BIOS или обходе приоритета загрузки с жесткого диска.

Каков же вывод?

Для спасения банкоматов существует целый ряд средств защиты и компенсаторных мер, систем мониторинга инцидентов и анализа соответствия стандартам. Однако самый первый шаг к эффективной защите – правильно разработанные модели угроз и нарушителя, которые можно построить только по результатам практического аудита безопасности парка ­банкоматов.