Tyupkin - Windows XP-s ATM-ek kirámolását segítő malware-t fedezett fel a Kaspersky Lab

Titkosítás, biztonság, privát szféra

Pénzügyi szervezetek megbízásából a Kaspersky Lab szakértői nyomozásba kezdtek egy kelet-európai ATM-eket érintő cybertámadással kapcsolatban. A vizsgálat során egy malware-re bukkantak, amelynek segítségével támadók számára lehetővé vált az ATM-ek pénzkazettájának kiürítése.

A vizsgálat időpontjában több mint 50 kelet-európai ATM-en volt aktív a malware. A VirusTotal-ra felküldött fájlok alapján a Kaspersky gyanítja, hogy a malware eljutott már a világ más részeire - az Egyesült Államokba, Kínába, Indiába - is.

A Kaspersky által felfedezett új ATM malware a Backdoor.MSIL.Tyupkin nevet kapta. A malware az egyik legnagyobb ATM gyártó 32 bites Windows XP-t futtató ATM-eit veszélyezteti. A malware detektálást nehezíti, hogy számos rejtőzködő technikát alkalmaz.

A részletek itt olvashatók.

( kajla17 | 2014. 10. 08., sze – 11:16 )

Sose értettem miért fut rajta Windows XP, mikor itt a biztonság fontos, szóval inkább valami egyedi, zárt rendszert fejlesztenék rájuk.

A security by obscurity is olyan, mint a tobbi: csak akkor mukodik, ha rendesen csinalod.
Ha rateszel valami kihalas szelen allo OS-t, az ilyen tamadasokat megnehezitheted annyira, hogy ketszer-haromszor tobb ido legyen osszerakni - na bumm, ettol meg nem lesz veszteseges a buli. Cserebe a sajat fejleszteseid is kb. ugyanennyivel dragabbak lesznek.
Ha megcsinalod az egeszet 1 db bazinagy, szenne obfuszkalt binarisba, az mar egesz mas - csak ahhoz, hogy ez megerje, meg nagyonsok lovet kell ellopni az ATM-ekbol.

--
"You're NOT paranoid, we really are out to get you!"

Mindenesetre, én csináltam egyszer egy tesztet egy nagypofájú "szakértővel". Odaültettem egy Sun Enterprise 450 (SPARC) elé, adtam neki egy Solaris telepítő CD-t, hogy indítsa el a telepítést. Elmentem ebédelni. Addig jutott el, hogy be tudta tenni a CD-t a gépbe. A boot-ot azóta is keresi.

AS400. Nem a levegőből szoptam. Mi szállítottunk ilyen gépeket pénzváltókba. Esküdtek rá. Azt is mondták, hogy drága, de megéri, mert a szoftverkarbantartási igénye zéró a windowsos verziókhoz képest.

Értem én, hogy azért van ezeken háztartási operációs rendszer, mert az olcsó. Csak ne csodálkozzanak akkor, ha a háztartási operációs rendszeren quake-zik az ügyfél addig, amíg az kiadja a lóvét.

--
trey @ gépház

Az sem feltetlen megoldas, legalabbis amig "eredeti" formajaban:

"Obfuscation. Roughly speaking, program obfuscation aims to make a computer program “unintelligible” while preserving its functionality. The formal study of program obfuscation was initiated by Barak, Goldre-
ich, Impagliazzo, Rudich, Sahai, Vadhan, and Yang [BGI + 01, BGI + 12]. Unfortunately, they showed that the most natural simulation-based formulation of program obfuscation (a.k.a. “black-box obfuscation”) is impossible to achieve for general programs, in a very strong sense: They showed that there exist unobfuscatable functions – a family of functions {f s } such that given any circuit that implements f s , an efficient procedure can extract the secret s; however, any efficient adversary given only black-box access to f s cannot guess even a single bit of s with non-negligible advantage. Indeed, such unobfuscatable function families exist with very low circuit complexity (i.e. in TC 0 under widely believed intractability assumptions), so one cannot hope for general purpose obfuscators achieving a natural simulation-based definition of obfuscation even for very low complexity classes.
Faced with this impossibility result, Barak et al. [BGI + 01, BGI + 12] suggested another notion of program
obfuscation called indistinguishability obfuscation: An indistinguishability obfuscator iO for a class of circuits C guarantees that given two equivalent circuits C 1 and C 2 from the class, the two distribution of obfuscations iO(C 1 ) and iO(C 2 ) should be computationally indistinguishable."

"Implementing Cryptographic Program Obfuscation." Daniel Apon, Yan Huang, Jonathan Katz, Alex J. Malozemoff. Cryptology ePrint Archive 2014/779. https://eprint.iacr.org/2014/779

https://github.com/amaloz/ind-obfuscation
http://www.simonsfoundation.org/quanta/20140130-perfecting-the-art-of-s…

( seferbt v | 2014. 10. 08., sze – 11:31 )

Ne legyenek illúzióid. :) A banknak így olcsó, márpedig mindig az számít, ami a banknak a legolcsóbb. Bizttonság? muhahaha...
A 2000-es évek környékén hányszor felhívtam a megboldogult Postabank ügyfélszolgálatát, mert az ATM-en a Windows NT restartolt, az ATM alkalmazása meg nem indult el, úgyhogy ott nézett velem szemben a Windows NT login screen kompletten egérmutatóval együtt. Az ügyfélszolgálatos meg baromira nem értette, hogy miről beszélek... :D Volt a dolognak egy ironikus bája... A meg nem nevezett gyártó ugye nem az NCR? :D

( KoGa v | 2014. 10. 08., sze – 11:46 )

Fel merül bennem a kérdés, ez hogy a fenébe kerül rá a gépekre? Nincsenek ezek zárt, fizikailag szeparált hálózaton? Ha nem, miért nem?

Kösz, bevallom, nem olvastam el a cikket, csak az itteni hir kapcsán vetődött fel bennem kicsit naivan. Én is üzemeltettem ATM-et, azokban mind sima PC jellegű cucc volt, tehát ha már az ATM belsejébe bejutottál, rég rossz. Azt hiszem, leszögezhetjük, a fizikai hozzáférés ellen semmi sem véd.

Nem mindegy azonban, hogy mennyi idő alatt fér hozzá és mi van a belében.

Ez az egész egy szar konstrukció, kezdve a hardverrel (ide beleértve a készülékházat is), amihez hozzá lehet férni kívülről rövidebb idő alatt, mint hogy a beavatkozó-elfogócsoport a riasztásra kiér, folytatva a a "PC"-vel, amit csak úgy újra lehet indítani, illetve az OS-sel, ami teljes mértékben alkalmatlan erre a feladatra. Megfelelő célhardverrel és céloperációs rendszerrel meg lehetne oldani, hogy a támadó 5-10 perc alatt ne jusson el a kirámolásig. Annyi idő alatt a biztonsági csoport kiér a helyszínre.

--
trey @ gépház

Hint: A szervízben is hozzáférnek a PC-hez. Egyébként az OS-választás a célszoftver fejlesztési költségeinek a kordában tartása miatt sem mindegy, lehet, hogy egy cél OS-sel, (vagy egy fél OS-sel (a'la IBM)) kevesebb támadási lehetőség lenne fizikai hozzáférés esetén - viszont az alkalmazást fejleszteni, bővíteni, módosítani meg drágább.

Azért azzal tisztában vannak, hogy az nem úgy megy, hogy "Kedves Ügyfelünk! Valaki kirabolt minket, ezért minden ügyfelünktől levonunk X USD-t/EUR-t/HUF-ot! További szép napot kívánunk, XY az Ön bankja". Ez egy borítékolt balhé lenne. De ha "fű alatt" beépítik az áraikba (számlavezetés, készpénzfelvétel, ATM használat, stb.), akkor simán kifizeted, és fel sem tűnik. Egy bank tipikusan nem jótékonysági intézmény, hogy egy ilyen buktát bevállaljon. Szóval ráterhelik a számládra a bukta költségét, csak nem direktben, hanem indirektben.

A légi közlekedésről is azt hinné az ember, hogy az aztán biztonságos. Ha megnézel pár részt a Légikatasztrófákból, akkor kiderül, hogy a profit az első. Az, hogy néha elhullik pár száz ember, mert elspórolták a karbantartást, bele van kalkulálva, ez az üzlet ára. Egy bank is valahogy így működik, csak ott a pénzed bánja, nem az életed.

Szerintem ez az egész ATM biztonság téma túl van misztifikálva a laikus informatikusok részéről. Mivel az itt kommentelők 99,99%-a sohasem látott még ATM-et belülről, azt képzelik h. az valami földönkívüli technológiával védett valami. Aki meg tudja mennyire gányolt kókanyolt szarokból van összeépítve, az meg nem teheti meg h. kiteregesse a tróger eszköz gyártók és tróger bankok szennyesét, mert ha kiderül a személye, a házát is elperlik. Közben pedig a valóság sokkal kiábrándítóbb: nincs itt semmilyen UFO technika, az átlagember azért hiszi ezeket a szarokat biztonságosnak, mert nem volt esélye közel kerülni hozzá h. tanulmányozhassa.

Szerintem ahhoz nem kell semmilyen szakértőnek lenni, hogy valaki megállapítsa, erre nem egy általános célú operációs rendszer az igazi választás. Ahhoz sem, hogy megállapítsa, amihez kívülről úgy hozzá lehet férni, hogy utána CD-ről rá lehessen bootolni, az nem a biztonság csúcsa.

Az lehet, hogy ez a legolcsóbb, de hogy nem ez a legjobb, az hétszentség.

--
trey @ gépház

Nem kell a legjobb, elég ha eljutunk a jobb-ig. Egyébként leírtam. Annyira legyen a rendszer egésze biztonságos, hogy az elfogócsoport kiérkezéséig bírja ki. Az már csak az én műszaki szépérzékemnek nem tetszik, hogy egy olyan OS van rajta, amin Juci néni otthon a receptjeit olvassa.

--
trey @ gépház

Ez jól hangzik, de. Ha jól vettem ki a leírásból, CD-ről kell bootolnod, hogy telepítsd a programod. Nem láttam hivatkozást arra, hogy tudna máshogy terjedni, tehát minden géphez amire pakolni akarod fizikailag hozzá kell férned. Feltételezem ennek is köszönhető, hogy szerintem elég alacsony a fertőzött gépek száma. Azaz a kérdés nem az, hogy mi van bent, hanem milyen egyszerű a belsejéig eljutni. Lehet az ötven fertőzött gép valahol bantu külsőn volt a puszta közepén, ahol simán hozzá lehet férni. De ha van erről részletesebb infó, érdekelne.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

( Rill | 2014. 10. 08., sze – 14:01 )

Alapjáraton a nem fizikai dolgokkal szemben bizalmatlan vagyok (folyószámla, tőzsde, ...), mivel a pusztán "jóakarat" miatt nem adják ki a balance=0.
Otthon paplan alatt viszont ugyan az a helyzet mint OS szinten csak fizikai formában.

Felmerül ilyen eseteknél bennem az a kérdés, hogy vajon hol és milyen formában tarthatnám a vérszopás útján összekapart jövedelmem maradékát.
-.-'

Nekem kb 12 éve volt olyan az OTP-nél, hogy a folyószámlán a tételeket levezetve nem jött ki az egyenleg, az utolsó 10 tételnél valahol érthetetlenül elcsúszott. Negyed órás vita a pultoskisasszonnyal majd a számlavezető fiók vezetőjével ("ilyennemlétezik de mi sem értjük"), végül felvették a panaszt, aztán pár nappal később helyére került az egyenleg. Nem kommentálták semmivel.

Valahol ott gondoltam először arra, hogy a bankban is olyan emberek dolgoznak mint máshol, akik úgy tűnik, hogy még a legfontosabb rendszereiknél is hibázhatnak.

( batyu v | 2014. 10. 08., sze – 14:34 )

A maradék ATM-eken amennyire tudom, többnyire QNX fut. Az elvben jó választás lehet, de azért arról is rémlik valami, hogy a titkosítását feltörték. Bár jó régről rémlik, gondolom már javítva van.