atm 攻击者再次罢工:你有风险吗?

美国国家ATM委员会最近发布了有关一系列的信息 ATM攻击 使用盗贼网络设备。罪犯开设了ATM的上半部分并安装了该设备,最有可能进入以太网交换机。然后,该设备拦截了ATM的网络流量,并改变了银行的“退出拒绝”响应,以“退出批准”,可能只是针对罪犯的卡。

对于许多读者来说,攻击的成功可能是令人惊讶的。然而,IBM X-Force Red已经警告我们这类攻击的客户。成功是由于忽略了几种,既定的安全原则 - 良好的锁,网络加密和流氓设备检测。

锁不仅仅是运河

在我八年前开始测试ATM之前,我认为他们的物理安全将很大。实际上,ATM上的外部锁通常是挑选的。在今年夏天的ATM测试上,我和一个技术人员在网络和应用程序测试中熟练的同事,但从未尝试过锁定。他看到我们的其余团队打开锁并想要尝试。我在耙子和张力扳手上给了他一分钟的课程,让他松动。他能在20秒内开设ATM - 这是他第一次尝试挑选锁!

持有现金的内部安全性通常受到卓越锁的保护,但保险箱实际上是USB连接的现金分配器。控制它位于ATM机箱的上半部分的计算机。网络设备通常是一个小型路由器/交换机组合,通常在计算机旁边。

SS - 什么?

可以说是世界上最受欢迎的加密协议,SSL在20多年前发布。它在互联网上普遍存在,其继任者TLS。 X-Force Red始终建议应用程序使用SSL加密。即使应用程序使用某种数据字段加密方法,它通常往往容易受到共享加密密钥和网络重放攻击等问题的影响。我们听到的更常见的参数之一是该应用程序仅旨在用于可信网络。

在ATM世界中,“可信”网络的定义往往有点广泛。 ATM可以以各种方式连接到后端服务器。有些人使用传统电话线(锅)连接。使用手机网络连接了许多现代。并且相当多的是使用以太网连接连接到组织的部署的站点。

在我们执行的一个特定的ATM测试期间,我们发现ATM不会加密现场单元和后端处理器之间的任何数据。我们将其指出为一个发现,服务提供商争辩说该设备部署在可信环境中,并且没有人能够访问系统或网络线路。不幸的是,我们已经看到了据说“安全”网络连接的时间和时间由工作人员毫不忽视。每个人都认为那些看起来像服务技术人员的人已经被别人验证,并且显然属于那里。 “私人”网络在公众可达的区域,但受保护。

一些供应商将争辩说,因为它们是危害该方法安全的通信方法的方法的unware。不幸的是,犯罪世界非常符合最新技术,并且擅长以迅速的方式部署它们。我们建议任何设计平台以使用为此目的实现的审阅库部署自己的加密。根据手机网络的完整性,他们可能是一个远离灾难的漏洞。

流氓设备

它很难跟踪合法的设备,更不用说恶意。网络壁橱和ATM围栏通常是混乱的,让它温和。

 ATM攻击者

Rogue设备也可以非常紧凑。在过去的五年中,有小型现成计算机的扩散。下面的50美元设备约为一个立方英寸(16.4立方厘米),几乎比RJ-45端口大。它运行Linux,具有存储的MicroSD卡,以及用于远程检索的Wi-Fi。它可以从USB端口,外部电池或供电以太网交换机提供电源。除非有人专门寻找流氓设备,否则可以很容易地错过。

 ATM攻击者

网络访问控制(例如,802.1x)可以使攻击者引入未批准的设备更加困难。然而,攻击者有时会在NAC周围找到方法,实现它可能是非常昂贵的。无论您的网络上是否有哪些访问控件,假设攻击者最终最终可以访问。

不仅仅是ATM

Rogue设备的风险远远超出ATM。许多组织经常在其内部网络上使用纯文本网络协议。 “但它不会超过互联网”是典型的防御。这可能是真的,但你知道你的环境有多好?网络越大,某人可以访问它的越突出。作为Janitors,送货人员或求职者造成的,可以向员工办公桌犯罪。它可能只需要几秒钟来介绍一个没有人会看到它的攻击装置。

什么银行机构应该知道

验证显然对安全至关重要。 X-Force Red建议定期测试处理敏感数据的所有系统和网络。

自动取款机尤为重要,因为它们存储实际现金,处理财务数据,并且可以用作内部网络的海滩头。 X-Force Red推荐以下最佳实践ATM测试:

  • 对ATM的物理安全控制,电子硬件,软件,OS硬化,网络通信和后端系统进行深入的,手动渗透测试。
  • 在现场执行内部网络渗透测试,或者更频繁地使用允许远程访问的虚拟设备,但是模拟物理访问。
  • 使用像徽章尾随,社会工程甚至锁定等技术进行物理访问内部网络。
分享这个