מדוע קל כל כך לגרום לכספומט לקבל פקודות מהאקרים?
מאת:
מערכת Telecom News, 27.4.16, 17:26
התקפות קוד זדוני נגד כספומטים מתאפשרות בגלל 2 בעיות אבטחה מרכזיות. כיצד ניתן לעצור פריצות ל-ATM?
לכמעט כל מכשיר כספומט בעולם ניתן לגשת באופן בלתי חוקי ולגרום לו לפלוט מזומנים, עם או בלי סיוע של קוד זדוני. עפ"י מחקר, שביצעו מומחי מעבדת קספרסקי, הסיבה לכך היא השימוש הנפוץ בתוכנה, שאינה מעודכנת ומאובטחת, טעויות בהגדרות הרשת ומחסור באבטחה פיזית בחלקים חיוניים של הכספומט.
במשך שנים רבות האיום הגדול ביותר על לקוחות ובעלים של מכשירי כספומט היה מכשירי הונאה (
Skimmers) – מכשירים מיוחדים המתחברים לכספומט כדי לגנוב נתונים מהפס המגנטי של כרטיס האשראי. אבל ככל שהטכניקות הזדוניות התפתחו, המכשירים הפכו לחשופים לסכנה גדולה יותר.
ב-2014, חשפו חוקרי החברה את
Tyupkin – אחת מהדוגמאות הראשונות הנפוצות לקוד זדוני למכשירי כספומט, וב-2015 הם חשפו את כנופיית
Carbanak, (וב-2016 את התרגילים
החדשים והחקייניים שלה),שבין היתר, הייתה מסוגלת לפרוץ ולשלוף כסף מכספומט באמצעות חדירה לתשתית הבנק. 2 הדוגמאות להתקפה התאפשרו באמצעות ניצול מספר חולשות נפוצות בטכנולוגיה של הכספומט ובתשתית התומכת בו. זהו רק קצה הקרחון.
במאמץ למפות את כל בעיות האבטחה של מכשירי כספומט, ערכו מומחי בדיקות החדירה של החברה מחקר המתבסס על חקירה של התקפות אמיתיות ועל תוצאות של בדיקות הערכה, שבוצעו עבור מספר בנקים בינלאומיים.
כתוצאה מהמחקר, המומחים הראו, שהתקפות קוד זדוני נגד כספומטים מתאפשרות בגלל 2 בעיות אבטחה מרכזיות:
בעיות תוכנה
כל מכשירי ה-
ATM הם מחשבים אישיים המריצים גרסאות ישנות מאוד של מערכות הפעלה כגון
Windows XP. הדבר הופך אותם לפגיעים להדבקה בקוד זדוני למחשבים אישיים ולהתקפה באמצעות כלי פריצה. ברוב המקרים, התוכנה המיוחדת, שמאפשרת למחשב הכספומט לתקשר עם תשתית בנק ויחידות החומרה לסלוק מזומנים וכרטיסי אשראי, מבוססת על סטנדרט
XFS. זו תצורה טכנולוגית ישנה ובלתי מאובטחת, שנוצרה במקור במטרה להשיג סטנדרטיזציה של תוכנת
ATM. כך, שהתוכנה תוכל לפעול על כל ציוד ללא קשר ליצרן.
הבעיה היא, ש-
XFS אינה דורשת אישורים כדי לפקח על התהליכים. המשמעות היא, שכל אפליקציה המותקנת או מופעלת על מכשיר הכספומט יכולה להנפיק פקודות לכל יחידות חומרת ה-
ATM, כולל קורא הכרטיסים ומוציא הכסף. במקרה וקוד זדוני מצליח להדביק את הכספומט, הוא מקבל יכולות כמעט בלתי מוגבלות מבחינת שליטה בכספומט: הוא יכול להפוך את קורא הכרטיסים והמקלדת ל"מכשיר הונאה" טבעי, או פשוט להוציא את הכסף המאוחסן במכשיר לחלוקה, על פי פקודה מההאקר.
אבטחה פיזית
במקרים רבים, שנבחנו ע"י החוקרים, עבריינים לא חייבים להשתמש בקוד זדוני כדי להדביק את הכספומט או הרשת של הבנק המחובר אליהם. הדבר מתאפשר בגלל המחסור באבטחה פיזית של הכספומטים עצמם – בעיה נפוצה מאוד במכשירים אלה.
לעיתים קרובות הכספומט מורכב ומותקן בדרך בה גורם חיצוני יכול בקלות להשיג גישה אל המחשב שבתוך הכספומט, או אל כבלי הרשת המחברים את המכשיר אל האינטרנט. באמצעות גישה פיזית אל הכספומט, אפילו חלקית בלבד, עבריינים מסוגלים:
- להתקין מיקרו מחשב (המכונה קופסה שחורה) בתוך הכספומט, שמעניק לתוקפים יכולת לגשת מרחוק אל הכספומט.
- לחבר מחדש את הכספומט למרכז עיבוד מזויף.
מרכז עיבוד מזויף הוא תוכנה, שמעבדת את נתוני התשלומים וזהה לזו של הבנק, מלבד העובדה, שהיא אינה שייכת לבנק. ברגע שהכספומט מחובר מחדש למרכז עיבוד מזויף, התוקפים יכולים להנפיק כל פקודה שהם רוצים, והכספומט יבצע.
החיבור בין הכספומט למרכז העיבוד ניתן להגנה במספר דרכים. לדוגמא, באמצעות שימוש ב-
VPN בתצורת חומרה או תוכנה, הצפנת
SSL/TLS, פיירוול או אימות
MAC, הטמעה של פרוטוקול
xDC. אמצעים אלה אינם מוטמעים לעיתים קרובות. כאשר הם כן מוטמעים, לעיתים קרובות הם מוגדרים בצורה לא נכונה ופגיעה, ולעיתים הדבר יכול להתגלות רק במהלך בקרת אבטחה של הכספומט. כתוצאה בכך, עבריינים אינם צריכים לטפל בחומרה, הם פשוט צריכים לנצל נקודות חולשה בהגנה על תקשורת הרשת בין הכספומט לתשתית הבנק.
כיצד לעצור פריצה ל-ATM?
למרות שבעיות האבטחה המוזכרות לעיל משפיעות כנראה על מכשירי כספומט רבים ברחבי העולם, אין הדבר אומר, שלא ניתן לתקן את המצב. יצרני כספומטים יכולים להקטין את הסיכון להתקפה על מכונות מזומנים באמצעות הפעלת האמצעים הבאים:
- מעל לכל, הכרחי לבחון את סטנדרט XFX עם דגש על אבטחה. יש להציג אימות דו שלבי בין מכשירים ותוכנה לגיטימית. הדבר יסייע להפחית את הסבירות למשיכות מזומנים בלתי מורשות באמצעות טרויאנים וגישה ישירה של תוקפים אל יחידות הכספומטים.
- שנית, הכרחי להטמיע "משיכה מורשית" כדי לבטל את האפשרות של תקיפה באמצעות מרכזי עיבוד מזויפים.
- שלישית, הכרחי להטמיע הצפנה ו-integrity control על מידע המשודר בין חומרת היחידות והמחשבים בתוך כספומטים.
אולגה קוחטובה, מומחית אבטחה במחלקת בדיקות חדירה של מעבדת קספרסקי: "התוצאות של המחקר מראות, שלמרות שספקים מנסים כעת לפתח כספומטים עם מאפייני הגנה חזקים, בנקים רבים עדיין משתמשים במודלים ישנים ובלתי מאובטחים. כתוצאה מכך, הם אינם ערוכים אל מול פעילות עבריינית המאתגרת את אבטחת המכשירים האלה.
זו המציאות כיום הגורמת לבנקים וללקוחותיהם הפסדים פיננסים עצומים. מנקודת המבט שלנו זו תוצאה של אמונה ישנה, שעברייני סייבר מעוניינים בהתקפה נגד בנקאות מקוונת בלבד. הם מעוניינים גם בהתקפות אלה, אבל גם מגלים בהתמדה את הערך בניצול פרצות בכספומטים - התקפות ישירות נגד מכשירים אלה מקצרות מאוד את הדרך לקבלת כסף אמיתי".