מדוע קל כל כך לגרום לכספומט לקבל פקודות מהאקרים?

דף הבית >> חדשות אבטחה ועולם הסייבר >> מדוע קל כל כך לגרום לכספומט לקבל פקודות מהאקרים?

מדוע קל כל כך לגרום לכספומט לקבל פקודות מהאקרים?

מאת: מערכת Telecom News,כספומט 27.4.16, 17:26

התקפות קוד זדוני נגד כספומטים מתאפשרות בגלל  2 בעיות אבטחה מרכזיות. כיצד ניתן לעצור פריצות ל-ATM?

לכמעט כל מכשיר כספומט בעולם ניתן לגשת באופן בלתי חוקי ולגרום לו לפלוט מזומנים, עם או בלי סיוע של קוד זדוני. עפ"י מחקר, שביצעו מומחי מעבדת קספרסקי, הסיבה לכך היא השימוש הנפוץ בתוכנה, שאינה מעודכנת ומאובטחת, טעויות בהגדרות הרשת ומחסור באבטחה פיזית בחלקים חיוניים של הכספומט.

במשך שנים רבות האיום הגדול ביותר על לקוחות ובעלים של מכשירי כספומט היה מכשירי הונאה (Skimmers) – מכשירים מיוחדים המתחברים לכספומט כדי לגנוב נתונים מהפס המגנטי של כרטיס האשראי. אבל ככל שהטכניקות הזדוניות התפתחו, המכשירים הפכו לחשופים לסכנה גדולה יותר.

ב-2014, חשפו חוקרי החברה את Tyupkin – אחת מהדוגמאות הראשונות הנפוצות לקוד זדוני למכשירי כספומט, וב-2015 הם חשפו את כנופיית Carbanak, (וב-2016 את התרגילים החדשים והחקייניים שלה),שבין היתר, הייתה מסוגלת לפרוץ ולשלוף כסף מכספומט באמצעות חדירה לתשתית הבנק. 2 הדוגמאות להתקפה התאפשרו באמצעות ניצול מספר חולשות נפוצות בטכנולוגיה של הכספומט ובתשתית התומכת בו. זהו רק קצה הקרחון.

במאמץ למפות את כל בעיות האבטחה של מכשירי כספומט, ערכו מומחי בדיקות החדירה של החברה מחקר המתבסס על חקירה של התקפות אמיתיות ועל תוצאות של בדיקות הערכה, שבוצעו עבור מספר בנקים בינלאומיים.

כתוצאה מהמחקר, המומחים הראו, שהתקפות קוד זדוני נגד כספומטים מתאפשרות בגלל  2 בעיות אבטחה מרכזיות:

בעיות תוכנה
כל מכשירי ה-ATM הם מחשבים אישיים המריצים גרסאות ישנות מאוד של מערכות הפעלה כגון Windows XP. הדבר הופך אותם לפגיעים להדבקה בקוד זדוני למחשבים אישיים ולהתקפה באמצעות כלי פריצה. ברוב המקרים, התוכנה המיוחדת, שמאפשרת למחשב הכספומט לתקשר עם תשתית בנק ויחידות החומרה לסלוק מזומנים וכרטיסי אשראי, מבוססת על סטנדרט XFS. זו תצורה טכנולוגית ישנה ובלתי מאובטחת, שנוצרה במקור במטרה להשיג סטנדרטיזציה של תוכנת ATM. כך, שהתוכנה תוכל לפעול על כל ציוד ללא קשר ליצרן.

הבעיה היא, ש-XFS  אינה דורשת אישורים כדי לפקח על התהליכים. המשמעות היא, שכל אפליקציה המותקנת או מופעלת על מכשיר הכספומט יכולה להנפיק פקודות לכל יחידות חומרת ה-ATM, כולל קורא הכרטיסים ומוציא הכסף. במקרה וקוד זדוני מצליח להדביק את הכספומט, הוא מקבל יכולות כמעט בלתי מוגבלות מבחינת שליטה בכספומט: הוא יכול להפוך את קורא הכרטיסים והמקלדת ל"מכשיר הונאה" טבעי, או פשוט להוציא את הכסף המאוחסן במכשיר לחלוקה, על פי פקודה מההאקר.

אבטחה פיזית
במקרים רבים, שנבחנו ע"י החוקרים, עבריינים לא חייבים להשתמש בקוד זדוני כדי להדביק את הכספומט או הרשת של הבנק המחובר אליהם. הדבר מתאפשר בגלל המחסור באבטחה פיזית של הכספומטים עצמם – בעיה נפוצה מאוד במכשירים אלה.

לעיתים קרובות הכספומט מורכב ומותקן בדרך בה גורם חיצוני יכול בקלות להשיג גישה אל המחשב שבתוך הכספומט, או אל  כבלי הרשת המחברים את המכשיר אל האינטרנט. באמצעות גישה פיזית אל הכספומט, אפילו חלקית בלבד,  עבריינים מסוגלים:
  • להתקין מיקרו מחשב (המכונה קופסה שחורה) בתוך הכספומט, שמעניק לתוקפים יכולת לגשת מרחוק אל הכספומט.
  • לחבר מחדש את הכספומט למרכז עיבוד מזויף.
מרכז עיבוד מזויף הוא תוכנה, שמעבדת את נתוני התשלומים וזהה לזו של הבנק, מלבד העובדה, שהיא אינה שייכת לבנק. ברגע שהכספומט מחובר מחדש למרכז עיבוד מזויף, התוקפים יכולים להנפיק כל פקודה שהם רוצים, והכספומט יבצע.

החיבור בין הכספומט למרכז העיבוד ניתן להגנה במספר דרכים. לדוגמא, באמצעות שימוש ב-VPN בתצורת חומרה או תוכנה, הצפנת SSL/TLS, פיירוול או אימות MAC, הטמעה של פרוטוקול xDC. אמצעים אלה אינם מוטמעים לעיתים קרובות. כאשר הם כן מוטמעים, לעיתים קרובות הם מוגדרים בצורה לא נכונה ופגיעה, ולעיתים הדבר יכול להתגלות רק במהלך בקרת אבטחה של הכספומט. כתוצאה בכך, עבריינים אינם צריכים לטפל בחומרה, הם פשוט צריכים לנצל נקודות חולשה בהגנה על תקשורת הרשת בין הכספומט לתשתית הבנק.

כיצד לעצור פריצה ל-ATM?
למרות שבעיות האבטחה המוזכרות לעיל משפיעות כנראה על מכשירי כספומט רבים ברחבי העולם, אין הדבר אומר, שלא ניתן לתקן את המצב. יצרני כספומטים יכולים להקטין את הסיכון להתקפה על מכונות מזומנים באמצעות הפעלת האמצעים הבאים:
  • מעל לכל, הכרחי לבחון את סטנדרט XFX עם דגש על אבטחה. יש להציג אימות דו שלבי בין מכשירים ותוכנה לגיטימית. הדבר יסייע להפחית את הסבירות למשיכות מזומנים בלתי מורשות באמצעות טרויאנים וגישה ישירה של תוקפים אל יחידות הכספומטים.
  • שנית, הכרחי להטמיע "משיכה מורשית" כדי לבטל את האפשרות של תקיפה באמצעות מרכזי עיבוד מזויפים.
  • שלישית, הכרחי להטמיע הצפנה ו-integrity control על מידע המשודר בין חומרת היחידות והמחשבים בתוך כספומטים.
אולגה קוחטובה, מומחית אבטחה במחלקת בדיקות חדירה של מעבדת קספרסקי: "התוצאות של המחקר מראות, שלמרות שספקים מנסים כעת לפתח כספומטים עם מאפייני הגנה חזקים, בנקים רבים עדיין משתמשים במודלים ישנים ובלתי מאובטחים. כתוצאה מכך, הם אינם ערוכים אל מול פעילות עבריינית המאתגרת את אבטחת המכשירים האלה.

זו המציאות כיום הגורמת לבנקים וללקוחותיהם הפסדים פיננסים עצומים. מנקודת המבט שלנו זו תוצאה של אמונה ישנה, שעברייני סייבר מעוניינים בהתקפה נגד בנקאות מקוונת בלבד. הם מעוניינים גם בהתקפות אלה, אבל גם מגלים בהתמדה את הערך בניצול פרצות בכספומטים - התקפות ישירות נגד מכשירים אלה מקצרות מאוד את הדרך לקבלת כסף אמיתי".

 
פריצה לכספומט



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

15.5.17 - Bynet Expo 2017

18/5/17 - Israel's Annual Programmatic Video conference 

15/6/17 - CRYPTODAY 2017 

25-29/6/17 - Cyber Week 2017  

3/7/17 - 2017 Afeka Conference for Speech Processing  

15-17/8/17 - אליפות ישראל לספורט אלקטרוני 2017  

2/11/17 - 28/10/17 - German Tel Aviv Week 2017  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לאפריל 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

התרגיל לחיסול "השוק הסיטונאי" כבר כמעט מוכן, קוראים לו Vectoring - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

הפלופ הבא של "השוק הסיטונאי" שירות SLU (שבלעדיו הנוטשים יחזרו לבזק) - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

האם נטפליקס זקוקה לרישיון כדי לפעול, לשדר ולמכור שירותים בישראל? - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

20 המובילים ומקבלי הצל"ש בשנת 2016 בעולם התקשורת וההייטק הישראלי - כאן
 
זרקור חברות
 
TLV-Generator
 
TLV-Generator
 
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
TLV-Generator
 
TLV-GENERATOR
 
טלי וייס
 
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים