Malware-rel fertőzött ATM automatákat találtak Kelet-Európában biztonsági szakemberek

Titkosítás, biztonság, privát szféra

A hitelkártya iparban biztonsági szakértőként tevékenykedő Trustwave munkatársai malware-rel fertőzött bankjegykiadó automatákat fedeztek fel, miközben ATM betörési eseteket vizsgáltak ki Oroszországban és Ukrajnában. A vállalat szerint körülbelül 20 olyan malware-rel fertőzött automatát fedeztek fel, amelyek az ügyfelek adataihoz, PIN-jéhez próbáltak hozzáférni.

A Trustwave által felfedezett fertőzött automaták mindegyike Windows XP-t futtatott. A malware telepítéshez a támadónak fizikai hozzáféréssel kellett rendelkeznie. A támadás nem egy, hanem több ATM gyártó termékei ellen irányul.

A kelet-európai hatóságokat értesítették a helyzetről. A támadások nem korlátozódnak kizárólag Kelet-Európára. A biztonsági cég szerint bizonyítékok vannak arra, hogy a csalás terjed át a világ más részeire - például az Egyesült Államokra - is.

A részletek itt.

( zsirmo v | 2009. 06. 04., cs – 19:10 )

Szukseges volt lecserelni a franko OS/2 -es ATM-eket! :P

szerintem az orosz crackerek leleményességét ismerve az sem lett volna akadály. OS/2 PC összerakása nem nagy munka. ha x86 helyett valami egzotikus platform, mondjuk MIPS cpuval és netbsd rendszerrel lenne az atmben, az is csak kicsivel adna több munkát nekik. MIPS computert csak nem lehet minden sarkon kapni:) de mivel fizikai hozzáférésük volt a terminálokhoz ez sem megoldás. plusz gondolom ott is vannak atm automaták terepjárós kitépésére szakosodott bandák, ha épp nem lenne otthon tesztcomputerük:)
a megoldás az lenne, ha az atm kapcsolaton keresztül töltődne le az operációs rendszer közvetlenül az atm automata dram memóriájába, természetesen titkosított kapcsolaton, amelynek hitelességét a bios/firmware ellenőrizné. a bios egyszer írható prom chipben kellene tárolni, és körbe kellene önteni epoxy gyantával az egész alaplapot. mégiscsak orosz crackerekről van szó:)
ez már talán eléggé biztonságos lenne egy darabig;)

az nem annyira egyszerű. először is már a boot folyamat alatt lebuktathatja a hw keyloggert. egy standard pc bios is ellenőrzi a billentyűzet meglétét, és képes érzékelni az alternatív kiegészítőket. módosított firmware esetében van lehetőség, a hw integritás sérülésének az érzékelésére. továbbá egy ilyen lehallgató eszköz szabad szemmel látható. egy ellenőrző vagy másik karbantartó team bepillant a terminálba, már szemrevételezés útján láthatja a fizikailag is létező keylogger eszközt. egy eldugott kód, mint amiről cikkben szó van, sokkal észrevehetetlenebbül megbújik.
egyébként le kellene már szokni a mágnescsík használatáról. az atm terminálokban kellene betiltani elsőként. a smartchip összehasonlíthatatlanul biztosabb, és már szinte minden kártyán megtalálható. smartcard adatforgalmát, ha le is hallgatják a crackerek, akkor sem tudnak mit kezdeni vele.
ha crack hardvert raknának az automatába, akkor nem a billentyűzetet vagy a mágnescsík olvasó adatforgalmát lenne érdemes lehallgatni. termináltól teljesen független hw sokkal veszélyesebb lehet, és azt a terminál sem képes érzékelni. csak a szemrevételező ellenőrzés buktatná le. de nem adok ötleteket. ezért is fontos a gyakori, egymástól független és egymást sem ismerő ellenőrzőcsoportok alkalmazása.

( igiboy | 2009. 06. 04., cs – 19:11 )

"A malware telepítéshez a támadónak fizikai hozzáféréssel kellett rendelkeznie." Ahol a rendszergazda telepíti a malware-t, ott már gondok lehetnek.

( nagy_peter v | 2009. 06. 04., cs – 19:30 )

Linux bankautomaták nincsenek amúgy piacon? Vagy csak nincs velük gond, azért nem hallani róluk?

( tiger | 2009. 06. 04., cs – 19:55 )

gondolom egy allul fizetett szerelo a ludas
---
/* No comment */
Ketchup elementál megidézése a sajt síkra

( Hunger | 2009. 06. 04., cs – 21:32 )

A malware telepítéshez a támadónak fizikai hozzáféréssel kellett rendelkeznie.

Erre nem vennék mérget...

( TomJoad | 2009. 06. 04., cs – 21:37 )

Azt, hogy bemegyek aláírni néhány papírt árgus szemekkel figyeli a magát már-már szétunó biztonsági ember, de hogy a két sarokkal arrébb lévő bankautomata egyáltalán meg van-e még, az nem is érdekli a bankot...

Még csak az sem igazán kell, hogy a gyártónál kerüljön rá...
A lakóhelyemen lévő atm -ha jól tudom- egy sima,
a távhívó körzetünkben domináns szolgáltató által üzemeltetett
dialup , vagy adsl vonalon lóg.
Szolgáltató ismeretében az ip szegmens egy whois alapján
behatárolható és csekély további ügyeskedés és gondolkodás
alapján pontosítható is.
A szegmens ismeretében nmap segítségével kiszűrhetők
az online gépek, és a keresés szűkíthető
a konkrét atm-re, ami elméletileg távfelügyelhető is...
Az XP mint OS jól ismert, az ATM API dokumentációja pedig beszerezhető.
Azt hiszem, ennél több elméleti magyarázat nem szükséges.
Paradoxon...a pénz -mint teljes intézményrendszer- legnagyobb mozgatórugója
és egyben legnagyobb ellensége is egyaránt az emberi kapzsiság.
-
"Attempting to crack SpeedLock can damage your sanity"

( tomsolo | 2009. 06. 04., cs – 23:48 )

És ha bankártyán van malware? :) Ami megpróbál hozzáférni a PIN kódjához?

No rainbow, no sugar

( whitehawk v | 2009. 06. 05., p – 02:01 )

Két nagy gyártónak a Dieboldnak és az NCRnak is itt van gyára Magyarországon. Csak a Dieboldnál voltam, vicces hely.. Szerintem ott biztos fel lehetne tolni egy-két mókát a windowsra ha az a cél...

Kiváncsi vagyok, hogy lesz-e magyar szál, mert elég kényelmes lenne a tetteseknek itt csinálnia ahol a gyárak vannak.

Software is like sex, it's better with a penguin. :D (r)(tm)(c) آكوش