8月17日,BSides曼徹斯特信息安全大會上,美女安全科學家李安妮·蓋洛威友情提示:重達800公斤的二手獨立式自動取款機——帶計算機的保險箱,簡直是購買物流和研究人員的噩夢。
李安妮·蓋洛威
蓋洛威,Positive Technologies 公司安全恢復主管,探索了各種購買ATM的方法,包括通過看起來已取消的eBay拍賣,和很快就放棄了的從莫斯科拉來一臺租賃機器的計劃——英國常規市場上弄一臺還更容易些。供應商習慣于成批發售給銀行,但只要買家建立了信貸額度,也不是不可以賣給普通公司。
蓋洛威的物流問題,在她以2600英鎊(稅前)購買了一臺NCR “Personas 77”型ATM后出現。大多數快遞公司不愿搬動,而 Positive Technologies 在英國的4層辦公樓只有一臺載重量600kg的電梯。“這些設備的安全性部分存在于其不可移動性。”蓋洛威解釋道,“它們本來就被設計成安置在一處地方后就靜止不動的。”
世界上每5臺ATM機里就有4臺還在運行 Win XP 或 Win XP Embedded。
這位安全研究員的房子是倉庫改建的。ATM機剛拿來的時候,裹著防水襯墊放在外面,搬動時還刮壞了她的地板。后來這臺機器就落戶 Positive Technologies 辦公樓外面的一個停車場了。
在兩個位置上,鄰居們都紛紛詢問這機器什么時候能用。
為了讓ATM機更便于運輸,蓋洛威和同事們用角磨機切掉了它的基座。這大家伙通常是鋼筋混凝土做的,用工業級設備切掉后,研究團隊成功將ATM重量減半了。
ATM有機會被入侵,用于吐鈔、刮取銀行卡信息,甚至感染銀行網絡。從機器前面板接入后,罪犯可訪問機器內的USB端口,進行各種攻擊,比如迫使機器吐出現金,安裝惡意軟件獲取銀行卡信息等。
涉及惡意軟件的ATM邏輯攻擊始于2009年,用的是“Skimer”木馬。此后數年間,更為復雜的惡意軟件被開發了出來。
案犯通常會盯上可以合法接觸ATM機的人群,比如銀行職員或負責ATM維護的承包商,賄賂他們染指機器并安裝上惡意軟件。一旦必要的ATM被感染,罪犯就可以進入到提現階段。錢騾必須親身去ATM那里拿走現金。
也有攻擊是致力于整體繞過ATM的計算機的,因此,計算機與吐鈔器之間必須加密。雖然最近6年制造的ATM機都有了加密,但2011年前出廠的機器——至今仍有許多在用。這些應加裝“售后市場”設備監視吐鈔器與PC間數據流的異常。這些設備零售價一般在150英鎊一臺。
銀行應安裝并合理配置應用控制軟件以監視軟件完整性,只允許運行那些在白名單中通過未授權修改檢查的程序。
盡管蓋洛威稱她從該項目中學到很多,為她的公司贏得了與Wincor的安全顧問合約,她仍然不建議其他人這么做——物流問題和總體麻煩太醉人。操練完了,蓋洛威還得為這設備負責。“ATM是生活中用的,不僅僅用來研究信息安全。”
京公網安備 11010502049343號