Berta Sándor

Szinte az összes bankautomata feltörhető 20 perc alatt

Erre világított rá több szakértő átfogó tesztje.

A szakemberek kiderítették, hogy a megfelelő ismeretek birtokában még 20 percbe sem telik egy ATM feltörése. A tesztek során az NCR, a Diebold Nixdorf és a GRGBanking berendezéseit vették górcső alá. A tapasztalatokat összegző 22 oldalas dokumentumban a szakértők kiemelték, hogy a tesztelt bankautomaták 85 százaléka lehetővé tette a támadók számára, hogy hozzáférjenek a rendszerükhöz. Mindez vagy az Ethernet-kábel manipulációjának vagy a vezeték nélküli kapcsolatok elfogásának köszönhetően valósult meg.

Az ATM-ek 27 százalékánál pedig lehetőség volt a berendezés és a központ közötti kommunikáció manipulálására. Az eszközök 58 százalékánál voltak olyan hiányosságok a hálózati komponenseknél vagy a szolgáltatásokban, amelyeket távoli hozzáférés keretében ki lehetett használni. A bankautomaták 23 százalékát lehetett megtámadni a hálózaton belüli másik eszköz, például egy GSM-modem vagy router manipulálásával. Mindezek a módszerek azt eredményezték, hogy minden biztonsági mechanizmust ki lehetett játszani és a pénzkiadást is befolyásolni lehetett. Egy tipikus hálózati támadás általában kevesebb, mint 15 percig tartott.

Az úgynevezett feketedobozos támadások esetében ugyanez az idő csak kereken 10 perc. Ezeknél az akcióknál egy lyukat fúrnak az ATM-ekbe, hogy hozzáférjenek ahhoz a kábelhez, amelyek a számítógépet összekötik a berendezés azon részével, amely a pénzkiadásért felel. A kábelhez csatlakoztatják a feketedobozt, ami ezekben az esetekben egy olyan eszközt jelent, amely a bankautomatákat arra készteti, hogy kiadják a pénzt. A kutatók közölték, hogy az ATM-ek 69 százaléka sebezhető, míg 19 százaléka teljesen védtelen volt az ilyen támadásokkal szemben.


Egy harmadik lehetőség az úgynevezett kioszk-üzemmódból való kilépés és hozzáférés szerzése a használt operációs rendszerhez. Ez többnyire úgy lehetséges, hogy külső készüléket csatlakoztatnak az USB- vagy a PS/2-porthoz. A bankautomaták 92 százaléka volt sebezhető annak a módszernek az esetében, amelynél kikerülik a berendezések integrált merevlemezét és ahelyett egy külső adattárolóról bootol be. Ez azáltal vált lehetővé, hogy az ATM-eknél vagy egyáltalán nem használtak BIOS-jelszavakat, vagy azok nagyon egyszerűen megfejthetők voltak. Egy másik lehetőség a biztonságos üzemmódban való bootolás, hogy utána megfertőzzék a készüléket. Ez a lehetőség a berendezések 42 százalékánál használható ki.

Végül a szakemberek hangsúlyozták, hogy nagyon sok esetben tudták elfogni az egyes bankautomaták között, az ATM-ek és a központ között, vagy a berendezéseken belül a kártyaolvasó és számítógép között létrejött kommunikációt. Az utóbbi minden tesztelt termék esetében lehetséges volt. Miután pedig a bankok hajlamosak arra, hogy ugyanazt a beállítást alkalmazzák számos bankautomatánál, így egy nagyobb támadás is sikeres lehet.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Lapajka #8
    20 évvel ezelőt is kizárt volt ilyen réseket hagyni német bankban ahol dolgoztam. Pont így tesztelgettük, ezekkel a módszerekkel, kb etikus hekkerként, és addig kellett nyüstölni, amíg szinte teljesen kizártuk a problémát... tehát pl primiítv bios jelszó hát egy bankban egy pénzzel teli automatánál ne hülyéskedjünk már azonnal a teljes üzletág összes vezetője repült volna az aligazgatóig... vagy hogy a wifin bárhogyis be lehet jutni, az meg a másik abszolút triviális lyuk, ilyet ahol profi IT-, még csak nem is mérnök, hanem technikus csapat van, teljesen kizárt... A bankautomata jobb helyken, úgy van beépítve, hogy szabotázs védelmes, tehát elkezded furkálni azonnyomban riaszt, továbbá baromi fúrásálló fémből van, tehát akármivel fúrja valaki vídiás gyémánt heggyel, akkor is vért hugyozik, mire átüti a gép falát, ha egyáltalán odafér (általában úgy van beépítve hogy ne férjen inyen ponthoz), tehát mire sikerül, már nem csak a rendőrség ér oda, hanem még légvédelem és a katasztrófavédelem is, sőt a nyugdíjasok országos tanácsa is... Ezt a felmérést nem tudom milyen országban csinálták, de szerintem valami Kína, Malayzia jellegű helyen... euroatlanti civlizáció fejlett országaiban komoly bankoknál ezek képtelenségek...
  • Steel #7
    Ez az én szememben akkor is felelőtlenség. Meg persze igazságtalan, hogy az ügyfelek fizetik meg a biztonsági károkat.
    Lentebb már te is leírtad, hogy egy jól beállított VPN hálozattal elég biztonságos kommunikációt ki lehet építeni.
    Ráadásul egy VPN-en a remote szolgáltatások is biztonságosak, patch-elés, reboot, minden.
  • kvp #6
    "Online rendszereknél (pl. ATM) az ilyen hozzáállás pedig eleve a szoftver halálos ítélete."

    Az ATM-eknek is van termekciklusuk. Ez altalaban 10 ev, utnna az adott tipus kuka, meg akkor is ha egyebkent a gepek egy resze meg birna. A bankok megengedhetik maguknak (akar gyakrabban is) a csereket. Ha egyszer mukodik valami, akkor altalaban csak nagyon nehezen nyulnak hozza, meg biztonsagi resek eseten is. Itt sokszor a megbizhato folyamatos uzem fontosabb mint az a penz amit esetleg ellopnak beloluk, elvegre utobbit ugyis be tudjak szedni az ugyfelektol, felteve hogy mukodnek a gepek.
  • Steel #5
    Offline beágyazott rendszereknél nem indokolt, de ettől még én pl. update párti vagyok.
    Azért mert egy termékcsalád HMI-je még mfc-ben indult annak idején, tartani kéne a lépést a korral.
    Aztán csodálkoznak, hogy biztonsági okokból lehet nyugdíjba küldeni az egykor büszkén mutogatott remekműveket, mert már nem éri meg a szotfver legalsó szintjére lemenni és az egészet újraírni.

    Online rendszereknél (pl. ATM) az ilyen hozzáállás pedig eleve a szoftver halálos ítélete.
  • Csatabika #4
    Igen csicso, 2010-ben lettek cserélve a régi win2000-k XP-re ;-)
    De ez ne lepje meg senkit, a beágyazott rendszereknél nem szokás a hétköznapi életben elterjedt folyamatos upgrade/update.
    A jó öreg XP szolgál ki pl. számos kasszarendszert nagy kereskedelmi cégeknél.
  • csicso82 #3
    Úgy tudom még XP van ezekben az ATM-ekben.
  • kvp #2
    Ez igazabol telepitesi gond, mivel az automatak halozati hozzaferese onmagaban nem biztonsagos. Ha rendesen moge raknak a beszereleskor a megfelelo vpn gateway-t, lehetoleg meg a vedett hazreszen belulre, akkor semmi gond nem lenne veluk. Csak az valamivel dragabb lenne, meg tobb munka es akkor azt is karban kell tartani.

    Igazabol azert fontos a nyilvanossag, mert igy a bankok ugyfelei, de meginkabb reszvenyesei tudnak nyomast gyakorolni a sajat bankjukra, hogy csinaljon valamit.
  • T_I #1
    Tanítsuk csak az embereket! :( Mert ez KIZÁRÓLAG csak a gyártókra és forgalmazókra tartozna!