Come può qualcuno sfruttare il sistema operativo in cui è in esecuzione uno sportello automatico?

20

Come sono sicuro che molti di voi hanno sentito, la fine del supporto per Windows XP è supposto apocalypse per ATM in tutto il mondo. Sono consapevole del fatto che ciò garantisce che non vengano emesse più patch e che le banche debbano prendere sul serio tale minaccia. Sto attraversando un periodo difficile per identificare i potenziali vettori di attacco e mi sembra che questo sia sensazionalizzato.

Sappiamo che la maggior parte degli attacchi contro gli ATM sono contro l'ambiente dell'ATM (es. Card Skimming) e non con il software stesso. Questa minaccia potrebbe non essere mai completamente sradicata. Detto questo, qualcuno può far notare come il software che esegue il software possa servire da exploit?

Forse sono ingenuo, tuttavia la macchina stessa offre interfacce fisiche limitate da sfruttare: nessuna porta USB o di altro tipo, accesso a una porta seriale, ecc. La rete è (teoricamente) bloccata con mezzi esterni al sistema operativo in esecuzione sull'ATM, e l'unico vettore che ho visto potrebbe essere sfruttato è lo slot per schede stesso.

Come qualcuno potrebbe sfruttare il sistema operativo su cui è in esecuzione l'ATM?

    
posta DKNUCKLES 19.03.2014 - 16:45
fonte

8 risposte

13

Beh, ci sono un paio di potenziali vettori di attacco che potrebbero essere rilevanti.

Prime porte. Sorprendentemente alcuni ATM hanno effettivamente porte USB e sono stati attaccati tramite loro (maggiori informazioni qui come esempio e anche questo presentazione CCC sull'infezione di bancomat con malware). Tuttavia, spero che i bancomat abbiano una sicurezza fisica decente per aiutare a mitigare quella classe di rischio.

Poi c'è un attacco sulla rete. Uno degli aspetti negativi di Windows XP è che i servizi come SMB sono in esecuzione e praticamente impossibile da disattivare senza complicare la gestione del sistema. Ovviamente è possibile disattivare il firewall dagli sportelli automatici, ma è necessario disporre di una connessione di rete per la gestione e per la trasmissione delle transazioni.

Ora ti auguro che la rete ATM di tutti sia fisicamente separata e non raggiungibile da qualsiasi altra rete, ma l'idea che le aziende manterranno un buon air-gapping non dovrebbe contenere il 100% del tempo nel mondo reale (guarda a tutti i problemi SCADA che la gente pensava non sarebbe accaduto a causa di tutti i sistemi SCADA che venivano sottoposti ad Air-gapped!)

Quindi la risposta è che il software ATM verrà attaccato allo stesso modo degli altri sistemi Windows XP, potrebbe essere più difficile da eseguire ma non impossibile.

    
risposta data 19.03.2014 - 17:44
fonte
9

Personalmente non credo che il supporto di Windows XP sia un grande vantaggio per i sistemi embedded come gli ATM. Ho dato una risposta abbastanza dettagliata a questo qui . Però sicuramente è importante per il mercato consumer.

Per quanto riguarda la tua domanda su come sfruttare queste cose, fai riferimento a questo post di blog per alcuni esempi del passato. Penso che abbia ragione affermando che è difficile elaborare schemi che attaccano direttamente gli sportelli automatici. Non hanno nulla, ma la tastiera con cui interagire e non penso che tu possa raggiungerli direttamente attraverso l'Internet pubblica.

La maggior parte degli attacchi ha almeno una sorta di componente sociale (ad esempio, personale di manutenzione impersonato) o riguarda le carte di schiumatura e così via. Quest'ultimo potrebbe persino essere prevenuto nella maggior parte dei casi usando esplicitamente sistemi basati su chip piuttosto che una sorta di banda magnetica.

    
risposta data 19.03.2014 - 16:52
fonte
2

La fine del supporto per XP non è una grande preoccupazione per la sicurezza ATM perché è la mancanza di supporto generale per il sistema operativo. In questo momento, quando un produttore di ATM incontra un problema con XP che non è in grado di risolvere, può chiamare il fornitore e ottenere assistenza, una volta che XP è scaduto, Microsoft può semplicemente rifiutare tale aiuto. I produttori di ATM che cercano di introdurre nuove funzionalità potrebbero essere limitati da tale mancanza di supporto.

Questo non vuol dire che non ci siano problemi di sicurezza, come Ploutus Spettacoli. Ploutus è un malware utilizzato dai ladri che possono tagliare in uno sportello automatico e accedere a una porta USB. È iniziato in Messico, ma ora è stato visto in Europa . Sfrutta una vulnerabilità XP che verrà riparata mentre esiste il supporto per il sistema operativo. Una volta che il supporto è andato a buon fine, qualsiasi vulnerabilità trovata rimarrà aperta, quindi i produttori di ATM non riceveranno alcun aiuto.

    
risposta data 19.03.2014 - 18:31
fonte
1

Tornare indietro dai dettagli e osservare la domanda più ampia:

È possibile sfruttare un programma per computer che accetta input?

La risposta a questa domanda è sempre sì. Sempre sempre sempre.

Non significa che accadrà e non significa che sarebbe facile ma esiste il potenziale per lo sfruttamento.

Anche un programma estremamente semplice scritto in una lingua ben definita è rischioso perché deve essere eseguito attraverso un compilatore o un interprete (che è probabilmente complicato) ed essere eseguito da un sistema operativo (che è probabilmente complicato) ed eseguito su una CPU (che è probabilmente complicata).

Con questo in mente, torna alla domanda specifica ...

Gli ATM funzionano su sistemi operativi creati su codice ed eseguono applicazioni scritte in codice. Quel codice è stato scritto da persone che sono fallibili.

Ecco un possibile scenario di attacco: manomettere l'alimentazione per lo sportello automatico e spegnere l'host e quindi riaccenderlo. A volte, quando i sistemi si riavviano, ti danno la possibilità di avviarsi in una modalità single-user o recovery. In questo stato, premendo i tasti sul tastierino ATM, passerai all'host come input da tastiera?

    
risposta data 19.03.2014 - 23:16
fonte
1

"Interfacce fisiche limitate" non sono un limite. Ad esempio, questo video mostra qualcuno che riprogramma completamente un videogioco per console (Super Mario World) usando solo il gioco controller.

    
risposta data 20.03.2014 - 04:54
fonte
0

Inoltre, la carta stessa potrebbe anche essere un vettore di attacco. Ricorda che i dati sulla carta devono essere letti dallo sportello automatico e verranno analizzati mediante codice potenzialmente sfruttabile.

EDIT: ha rimosso commenti errati sul formato dei dati sulle carte bancarie.

    
risposta data 19.03.2014 - 19:34
fonte
0

We know that the majority of attacks against ATM's are against the environment of the ATM (ie Card Skimming) and not with the software itself. This threat may never completely be eradicated. That said, can someone point out how the software running the software could serve as an exploit?

Ci sono attacchi contro il software ATM, ma quelli sono diversi da quelli di attacco sul sistema operativo. Quando si parla di card skimming o splicing nell'hardware, si tratta di problemi separati dal sistema operativo. Una patch di sicurezza del sistema operativo in genere affronta cose come l'escalation dei privilegi, l'accesso alla memoria protetta, ecc. Dal momento che l'ATM è essenzialmente un computer con touchscreen e un lettore di schede, se si può prendere il computer e forzarlo a eseguire il codice non è inteso che si può modificare i dati, acquisire dati, cambiare il modo in cui il programma funziona. Quindi, se il sistema non è dotato di patch, forse ora posso eseguire comandi arbitrari con i privilegi più elevati e forzare il software ATM a fare qualcosa di diverso.

Penso che potresti essere in grado di romanticizzare la complessità e la sicurezza dei roll out bancari della Banca. Gli sportelli automatici non possono essere su reti pubbliche, ma sono spesso accessibili alle reti aziendali interne. Se devi risolvere un problema con una scatola, caricare software, ecc. Probabilmente non vuoi inviare una Tech sul campo. Quindi, se si compromette la rete della Banca, è possibile ruotare la rete ATM potenzialmente. Dovresti considerare che i malintenzionati della Banca sfruttano i difetti del sistema.

Dal punto di vista fisico, è possibile eseguire il software ATM sull'hardware di base. Se un tecnico esce sul campo, può ovviamente collegare apparecchiature, tastiera, ecc. Un utente malintenzionato potrebbe fare lo stesso. Alcune banche dispongono di bancomat integrati nella parte anteriore del negozio, dove è possibile accedere alla parte posteriore dall'interno del negozio. Ho visto esempi in cui c'è un semplice lucchetto per proteggerlo all'interno. Non sarebbe difficile ottenere un accesso fisico.

Ecco un esempio: Supponiamo che tu abbia approfittato di qualcosa come ms12-053 e sviluppato un vero e proprio exploit. Il PC verrà indirizzato a destinazione all'interno della rete aziendale, o forse non sta crittografando il proprio traffico e si giunge fisicamente o in altro modo al livello di accesso a livello locale / fisico. Se è possibile eseguire codice arbitrario, forse si installano malware o strumenti di reporting remoto. Se sei un crimine organizzato, forse hai un exploit specifico da eseguire contro il software ATM o una versione malevola e sostituisci il vero software ATM.

Alla fine della giornata, non è diverso da se non hai patchato un pc o un server. La differenza è che se riesci a compromettere questo sistema, hai un cambio di denaro migliore, furto d'identità, ecc.

    
risposta data 19.03.2014 - 23:38
fonte
0

Non è raro che ATM si trovi nello stesso segmento ethernet dei PC locali. Spesso usano la sicurezza 802.1X / port per "proteggere" la rete, ma è facilmente aggirabile aggiungendo un hub semplice alla porta (almeno le configurazioni più distribuite).

Quindi ecco uno scenario di attacco: potresti entrare di nascosto nella banca e installare un hub e un sistema minuscolo / integrato + modem GSM, quindi accedere al tuo sistema da remoto e attendere che la porta dello switch venga sbloccata dal personale delle banche . Dopo, hai una backdoor in banca. Ora è solo questione di sfruttare bug in Windows XP che non dovrebbe essere così difficile.

Dato il design della rete, puoi semplicemente provare a ottenere l'accesso via wifi o ottenere una backdoor su un PC dipendente. Ci sono molte opzioni.

La cosa è: tutti richiedono che tu sia lì di persona per recuperare i soldi, suppongo che sia così che spesso non vediamo tali attacchi.

    
risposta data 20.03.2014 - 13:46
fonte

Leggi altre domande sui tag