מדוע קל כל כך לגרום לכספומט לקבל פקודות מהאקרים?

דף הבית >> חדשות אבטחה ועולם הסייבר >> מדוע קל כל כך לגרום לכספומט לקבל פקודות מהאקרים?

מדוע קל כל כך לגרום לכספומט לקבל פקודות מהאקרים?

מאת: מערכת Telecom News,כספומט 27.4.16, 17:26

התקפות קוד זדוני נגד כספומטים מתאפשרות בגלל  2 בעיות אבטחה מרכזיות. כיצד ניתן לעצור פריצות ל-ATM?

לכמעט כל מכשיר כספומט בעולם ניתן לגשת באופן בלתי חוקי ולגרום לו לפלוט מזומנים, עם או בלי סיוע של קוד זדוני. עפ"י מחקר, שביצעו מומחי מעבדת קספרסקי, הסיבה לכך היא השימוש הנפוץ בתוכנה, שאינה מעודכנת ומאובטחת, טעויות בהגדרות הרשת ומחסור באבטחה פיזית בחלקים חיוניים של הכספומט.

במשך שנים רבות האיום הגדול ביותר על לקוחות ובעלים של מכשירי כספומט היה מכשירי הונאה (Skimmers) – מכשירים מיוחדים המתחברים לכספומט כדי לגנוב נתונים מהפס המגנטי של כרטיס האשראי. אבל ככל שהטכניקות הזדוניות התפתחו, המכשירים הפכו לחשופים לסכנה גדולה יותר.

ב-2014, חשפו חוקרי החברה את Tyupkin – אחת מהדוגמאות הראשונות הנפוצות לקוד זדוני למכשירי כספומט, וב-2015 הם חשפו את כנופיית Carbanak, (וב-2016 את התרגילים החדשים והחקייניים שלה),שבין היתר, הייתה מסוגלת לפרוץ ולשלוף כסף מכספומט באמצעות חדירה לתשתית הבנק. 2 הדוגמאות להתקפה התאפשרו באמצעות ניצול מספר חולשות נפוצות בטכנולוגיה של הכספומט ובתשתית התומכת בו. זהו רק קצה הקרחון.

במאמץ למפות את כל בעיות האבטחה של מכשירי כספומט, ערכו מומחי בדיקות החדירה של החברה מחקר המתבסס על חקירה של התקפות אמיתיות ועל תוצאות של בדיקות הערכה, שבוצעו עבור מספר בנקים בינלאומיים.

כתוצאה מהמחקר, המומחים הראו, שהתקפות קוד זדוני נגד כספומטים מתאפשרות בגלל  2 בעיות אבטחה מרכזיות:

בעיות תוכנה
כל מכשירי ה-ATM הם מחשבים אישיים המריצים גרסאות ישנות מאוד של מערכות הפעלה כגון Windows XP. הדבר הופך אותם לפגיעים להדבקה בקוד זדוני למחשבים אישיים ולהתקפה באמצעות כלי פריצה. ברוב המקרים, התוכנה המיוחדת, שמאפשרת למחשב הכספומט לתקשר עם תשתית בנק ויחידות החומרה לסלוק מזומנים וכרטיסי אשראי, מבוססת על סטנדרט XFS. זו תצורה טכנולוגית ישנה ובלתי מאובטחת, שנוצרה במקור במטרה להשיג סטנדרטיזציה של תוכנת ATM. כך, שהתוכנה תוכל לפעול על כל ציוד ללא קשר ליצרן.

הבעיה היא, ש-XFS  אינה דורשת אישורים כדי לפקח על התהליכים. המשמעות היא, שכל אפליקציה המותקנת או מופעלת על מכשיר הכספומט יכולה להנפיק פקודות לכל יחידות חומרת ה-ATM, כולל קורא הכרטיסים ומוציא הכסף. במקרה וקוד זדוני מצליח להדביק את הכספומט, הוא מקבל יכולות כמעט בלתי מוגבלות מבחינת שליטה בכספומט: הוא יכול להפוך את קורא הכרטיסים והמקלדת ל"מכשיר הונאה" טבעי, או פשוט להוציא את הכסף המאוחסן במכשיר לחלוקה, על פי פקודה מההאקר.

אבטחה פיזית
במקרים רבים, שנבחנו ע"י החוקרים, עבריינים לא חייבים להשתמש בקוד זדוני כדי להדביק את הכספומט או הרשת של הבנק המחובר אליהם. הדבר מתאפשר בגלל המחסור באבטחה פיזית של הכספומטים עצמם – בעיה נפוצה מאוד במכשירים אלה.

לעיתים קרובות הכספומט מורכב ומותקן בדרך בה גורם חיצוני יכול בקלות להשיג גישה אל המחשב שבתוך הכספומט, או אל  כבלי הרשת המחברים את המכשיר אל האינטרנט. באמצעות גישה פיזית אל הכספומט, אפילו חלקית בלבד,  עבריינים מסוגלים:
  • להתקין מיקרו מחשב (המכונה קופסה שחורה) בתוך הכספומט, שמעניק לתוקפים יכולת לגשת מרחוק אל הכספומט.
  • לחבר מחדש את הכספומט למרכז עיבוד מזויף.
מרכז עיבוד מזויף הוא תוכנה, שמעבדת את נתוני התשלומים וזהה לזו של הבנק, מלבד העובדה, שהיא אינה שייכת לבנק. ברגע שהכספומט מחובר מחדש למרכז עיבוד מזויף, התוקפים יכולים להנפיק כל פקודה שהם רוצים, והכספומט יבצע.

החיבור בין הכספומט למרכז העיבוד ניתן להגנה במספר דרכים. לדוגמא, באמצעות שימוש ב-VPN בתצורת חומרה או תוכנה, הצפנת SSL/TLS, פיירוול או אימות MAC, הטמעה של פרוטוקול xDC. אמצעים אלה אינם מוטמעים לעיתים קרובות. כאשר הם כן מוטמעים, לעיתים קרובות הם מוגדרים בצורה לא נכונה ופגיעה, ולעיתים הדבר יכול להתגלות רק במהלך בקרת אבטחה של הכספומט. כתוצאה בכך, עבריינים אינם צריכים לטפל בחומרה, הם פשוט צריכים לנצל נקודות חולשה בהגנה על תקשורת הרשת בין הכספומט לתשתית הבנק.

כיצד לעצור פריצה ל-ATM?
למרות שבעיות האבטחה המוזכרות לעיל משפיעות כנראה על מכשירי כספומט רבים ברחבי העולם, אין הדבר אומר, שלא ניתן לתקן את המצב. יצרני כספומטים יכולים להקטין את הסיכון להתקפה על מכונות מזומנים באמצעות הפעלת האמצעים הבאים:
  • מעל לכל, הכרחי לבחון את סטנדרט XFX עם דגש על אבטחה. יש להציג אימות דו שלבי בין מכשירים ותוכנה לגיטימית. הדבר יסייע להפחית את הסבירות למשיכות מזומנים בלתי מורשות באמצעות טרויאנים וגישה ישירה של תוקפים אל יחידות הכספומטים.
  • שנית, הכרחי להטמיע "משיכה מורשית" כדי לבטל את האפשרות של תקיפה באמצעות מרכזי עיבוד מזויפים.
  • שלישית, הכרחי להטמיע הצפנה ו-integrity control על מידע המשודר בין חומרת היחידות והמחשבים בתוך כספומטים.
אולגה קוחטובה, מומחית אבטחה במחלקת בדיקות חדירה של מעבדת קספרסקי: "התוצאות של המחקר מראות, שלמרות שספקים מנסים כעת לפתח כספומטים עם מאפייני הגנה חזקים, בנקים רבים עדיין משתמשים במודלים ישנים ובלתי מאובטחים. כתוצאה מכך, הם אינם ערוכים אל מול פעילות עבריינית המאתגרת את אבטחת המכשירים האלה.

זו המציאות כיום הגורמת לבנקים וללקוחותיהם הפסדים פיננסים עצומים. מנקודת המבט שלנו זו תוצאה של אמונה ישנה, שעברייני סייבר מעוניינים בהתקפה נגד בנקאות מקוונת בלבד. הם מעוניינים גם בהתקפות אלה, אבל גם מגלים בהתמדה את הערך בניצול פרצות בכספומטים - התקפות ישירות נגד מכשירים אלה מקצרות מאוד את הדרך לקבלת כסף אמיתי".

 
פריצה לכספומט



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקיםתוכנות לפרטיים ותוכנות לעסקיםתוכנות לצילום ותמונות, הכל בחינם.


ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

12/12/17 - Video Trends For 2018 Conference   

29-31/1/18 - CybertechTLV 2018  

8/2/18 - Beyond Agile 

13-14/2/18 - Muni Expo 

5/3/18 - GoforIsrael Investment Conference 

13-14/3/18 - NOAH Tel Aviv 2018 

19/3/18 - כנס Teleco 2018    

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לנובמבר 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים לציבור - כאן

כל מה שלא מספרים לכם בנוגע לחקירת "פרשת בזק-YES" ולמה ביבי לא בעניין - כאן

סיכום ביקור בסיליקון ואלי - למה 3 הגדולות משקיעות ומפתחות באותם תחומים - כאן

פרשת "השחלת הסיבים" בתשתיות בזק ע"י סלקום ופרטנר - הולכת ומסתבכת - כאן

 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
מידע
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Ruckus
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים