מעבדת קספרסקי: מדוע קל כל כך לגרום לכספומט לקבל פקודות מהאקרים

לכמעט כל מכשיר כספומט בעולם ניתן לגשת באופן בלתי חוקי ולגרום לו לפלוט מזומנים, עם או בלי סיוע של קוד זדוני. על פי מחקר שביצעו מומחי מעבדת קספרסקי, הסיבה לכך היא השימוש הנפוץ בתוכנה שאינה מעודכנת ומאובטחת, טעויות בהגדרות הרשת ומחסור באבטחה פיזית בחלקים חיוניים של הכספומט.
במשך שנים רבות האיום הגדול ביותר על לקוחות ובעלים של מכשירי כספומט היה מכשירי הונאה (Skimmers) – מכשירים מיוחדים המתחברים לכספומט במטרה לגנוב נתונים מהפס המגנטי של כרטיס האשראי. אבל ככל שהטכניקות הזדוניות התפתחו, המכשירים הפכו לחשופים לסכנה גדולה יותר. ב- 2014, חוקרי מעבדת קספרסקי חשפו את Tyupkin – אחת מהדוגמאות הראשונות הנפוצות לקוד זדוני למכשירי כספומט, וב- 2015 חשפו מומחי החברה את כנופיית Carbanak, אשר בין היתר הייתה מסוגלת לפרוץ לשלוף כסף מכספומט באמצעות חדירה לתשתית הבנק. שתי הדוגמאות להתקפה התאפשרו באמצעות ניצול מספר חולשות נפוצות בטכנולוגיה של הכספומט ובתשתית אשר תומכת בו. זהו רק קצה הקרחון.
במאמץ למפות את כל בעיות האבטחה של מכשירי כספומט, מומחי בדיקות חדירה של מעבדת קספרסקי ערכו מחקר המתבסס על חקירה של התקפות אמיתיות ועל תוצאות של בדיקות הערכה שבוצעו עבור מספר בנקים בינלאומיים.
בעיות תוכנה
כתוצאה מהמחקר, המומחים הראו כי התקפות קוד זדוני כנגד כספומטים מתאפשרות בגלל שתי בעיות אבטחה מרכזיות:
• כל מכשירי ה- ATM הם מחשבים אישיים המריצים גרסאות ישנות מאוד של מערכות הפעלה כגון Windows XP. הדבר הופך אותם לפגיעים להדבקה בקוד זדוני למחשבים אישיים ולהתקפה באמצעות כלי פריצה. ברוב המקרים, התוכנה המיוחדת שמאפשרת למחשב הכספומט לתקשר עם תשתית בנק ויחידות החומרה, לסלוק מזומנים וכרטיסי אשראי, מבוססת על סטנדרט XFS. זוהי תצורה טכנולוגית ישנה ובלתי מאובטחת, שנוצרה במקור במטרה להשיג סטנדרטיזציה של תוכנת ATM, כך שהתוכנה תוכל לפעול על כל ציוד ללא קשר ליצרן. הבעיה היא ש- XFS אינה דורשת אישורים כדי לפקח על התהליכים. המשמעות היא שכל אפליקציה המותקנת או מופעלת על מכשיר הכספומט יכולה להנפיק פקודות לכל יחידות חומרת ה- ATM, כולל קורא הכרטיסים ומוציא הכסף. במקרה וקוד זדוני מצליח להדביק את הכספומט, הוא מקבל יכולות כמעט בלתי מוגבלות מבחינת שליטה בכספומט: הוא יכול להפוך את קורא הכרטיסים והמקלדת ל"מכשיר הונאה" טבעי, או פשוט להוציא את הכסף המאוחסן במכשיר לחלוקה, על פי פקודה מההאקר.
אבטחה פיזית
במקרים רבים שנבחנו על ידי חוקרי מעבדת קספרסקי, עבריינים לא חייבים להשתמש בקוד זדוני כדי להדביק את הכספומט או הרשת של הבנק המחובר אליהם. הדבר מתאפשר בגלל המחסור באבטחה פיזית של הכספומטים עצמם – בעיה נפוצה מאוד במכשירים אלה. לעיתים קרובות הכספומט מורכב ומותקן בדרך בה גורם חיצוני יכול בקלות להשיג גישה אל המחשב שבתוך הכספומט, או אל כבלי הרשת המחברים את המכשיר אל האינטרנט. באמצעות גישה פיזית אל הכספומט, אפילו חלקית בלבד, עבריינים מסוגלים:
• להתקין מיקרו מחשב (המכונה קופסה שחורה) בתוך הכספומט, אשר מעניק לתוקפים יכולת לגשת מרחוק אל הכספומט.
• לחבר מחדש את הכספומט למרכז עיבוד מזויף
מרכז עיבוד מזויף הוא תוכנה אשר מעבדת את נתוני התשלומים וזהה לזו של הבנק, מלבד העובדה שהיא אינה שייכת לבנק. ברגע שהכספומט מחובר מחדש למרכז עיבוד מזויף, התוקפים יכולים להנפיק כל פקודה שהם רוצים, והכספומט יבצע.
החיבור בין הכספומט למרכז העיבוד ניתן להגנה במספר דרכים. לדוגמא, באמצעות שימוש ב- VPN בתצורת חומרה או תוכנה, הצפנת SSL/TLS, פיירוול או אימות MAC, הטמעה של פרוטוקול xDC. אמצעים אלה אינם מוטמעים לעיתים קרובות. כאשר הם כן מוטמעים, לעיתים קרובות הם מוגדרים בצורה לא נכונה ופגיעה, ולעיתים הדבר יכול להתגלות רק במהלך בקרת אבטחה של הכספומט. כתוצאה בכך, עבריינים אינם צריכים לטפל בחומרה, הם פשוט צריכים לנצל נקודות חולשה בהגנה על תקשורת הרשת בין הכספומט לתשתית הבנק.
כיצד לעצור פריצה ל- ATM
"התוצאות של המחקר שלנו מראות כי למרות שספקים מנסים כעת לפתח כספומטים עם מאפייני הגנה חזקים, בנקים רבים עדיין משתמשים במודלים ישנים ובלתי מאובטחים. כתוצאה מכך הם אינם ערוכים אל מול פעילות עבריינית המאתגרת את אבטחת המכשירים האלה. זוהי המציאות כיום אשר גורמת לבנקים וללקוחותיהם הפסדים פיננסים עצומים. מנקודת המבט שלנו זוהי תוצאה של אמונה ישנה כי עברייני סייבר מעוניינים בהתקפה נגד בנקאות מקוונת בלבד. הם מעוניינים גם בהתקפות אלה, אבל גם מגלים בהתמדה את הערך בניצול פרצות בכספומטים – התקפות ישירות נגד מכשירים אלה מקצרות מאוד את הדרך לקבלת כסף אמיתי", אמר אולגה קוחטובה, מומחית אבטחה במחלקת בדיקות חדירה של מעבדת קספרסקי.
למרות שבעיות האבטחה המוזכרות לעיל משפיעות כנראה על מכשירי כספומט רבים ברחבי העולם, אין הדבר אומר כי לא ניתן לתקן את המצב. יצרני כספומטים יכולים להקטין את הסיכון להתקפה על מכונות מזומנים באמצעות הפעלת האמצעים הבאים:
• מעל לכל, הכרחי לבחון את סטנדרט XFX עם דגש על אבטחה. יש להציג אימות דו שלבי בין מכשירים ותוכנה לגיטימית. הדבר יסייע להפחית את הסבירות למשיכות מזומנים בלתי מורשות באמצעות טרויאנים וגישה ישירה של תוקפים אל יחידות הכספומטים.
• שנית, הכרחי להטמיע "משיכה מורשית" כדי לבטל את האפשרות של תקיפה באמצעות מרכזי עיבוד מזויפים.
• שלישית, הכרחי להטמיע הצפנה ו- integrity control על מידע המשודר בין חומרת היחידות והמחשבים בתוך כספומטים.
קרא יותר אודות בעיות אבטחה במכשירי כספומט במאמר של אולגה קוחטובה ב- Securelist.com

דילוג לתוכן