安全聚焦:危机四伏的ATM取款机

| 2009年3月30日星期一

  【IT专家网独家】随着攻击技术的日新月异,针对自动取款机的攻击事件已不再是新闻:我们见到过使用嗅探器攻击ATM,还有使用伪造身份(钓鱼攻击)成功进入ATM,甚至有人利用物理手段攻击ATM。但是最近一种新的针对ATM的攻击方式(ATM机器插入盗取信息的恶意代码),引起了所有人对 ATM安全的关注。

  Sophos最近研究发现,Diebold ATM机器中装有能够窃取用户信息的木马程序,Diebold公司在一月份针对其windows系统的Opteva ATM机发布了一项新的安全更新,当时已经表示在俄罗斯发现部分机器被物理性攻击并被渗透木马软件。

  Diebold公司发言人表示,"我们立即通知全球范围内的客户关于该恶意软件的风险,并发布了风险防范软件更新,我们意识到俄罗斯发生的事件的危险性,攻击者通过在ATM所在位置物理进入ATM机器,然后让拥有专业黑客技术的攻击者安装恶意软件。"

  Sophos的资深技术顾问Graham Cluley表示,"攻击者十分精通ATM取款机内部软件,能够精通到这种程度确实让人刮目相看,他们知道API调用,了解现金机器的运行方式,攻击者的精心准备让我们颇为意外。"

  "这不是一般攻击者能够达到的水平,"他补充说,"他们首先需要真正进入到ATM机器中,需要有人在里面处理这些设备以进入系统并安装软件。"

  目前还不清楚攻击者怎样进入取款机内部的,但是安全专家表示,这代表着一种对银行机器的全新攻击方式,而且这个可能只是整个攻击的皮毛而已。可能有许多地方的ATM被安装了这种类型的恶意隐藏木马。

  Diebold公司在其对ATM机器的安全更新中对客户表示,攻击者已经被抓获,正在进行调查。一旦攻击者能够进行ATM机器内部,他们就能够植入恶意软件和拦截敏感数据。当windows管理密码被获取或者内置防火墙禁用时,这种攻击的风险就会增加。

  与此同时,Solidcore公司一月份时从其ATM客户处初次了解到Diebold攻击,Solidcore公司的OEM解决方案首席技术官 Kishore Yerrapragada表示,攻击者去年年底通过IP连接感染机器的,攻击者们非常熟悉ATM机器内部和外部的构造以及运行方式。

  专家表示,攻击者将机器转换到所谓的"维修或者系统模式",这时候安全保护和加密就因为调试或者系统维护而被关闭,只有对系统内部非常了解的人才可能做到这一点,这能够使黑客通过木马获取ATM机器的数据。

  此次发现的木马软件能够收集PIN码以及所谓的Track 2加密数据(存储在ATM卡的磁条上),这能够使攻击者复制真正的ATM卡。然后攻击者会插入自己特质的卡到被木马感染的ATM机器进入帐户系统,取款机就会通过机器系统打印出被窃取的信息。

  SophosCluley谈到攻击时说,"这种攻击方式的最大优势在于,你不能发现ATM机器被动过手脚,完全是在内部进行的。"

  这种攻击与近日发生在欧洲的攻击相类似,大型连锁超市的几个结账读卡器被发现内置了嗅探器,攻击者在生产过程中就进行了安装,因此从外面根本看不出来被破坏了。专家透露,这些被攻击超市包括位于英国Asda的沃尔玛超市。

  然而,这种有针对性的ATM攻击不可能取代低成本、即插即用、全网络钓鱼攻击窃取银行帐户的攻击方式。大多数犯罪分子无法进入ATM机器内部,虽然这种方式十分诱人。

  这些攻击也暴露了这些取款机的安全弱点,Network Box的安全分析专家Simon Heron表示,"我希望看到ATM机器向支付处理器发送信息时通过SSL VPN加密或者某种VPN连接加密。这些ATM机器同样还需要更多的硬件保护,包括IDS/IPS防火墙等。"

  ATM机器中通常都会有运行时间和变化控制工具来检测可疑活动,因此系统不能只是进行周边防护,需要加强另一层防护以防止对系统的更改。

  Sophos公司的Cluley说道,"这次的ATM攻击事件对于ATM制造商来说应该是一次警醒,所有生产ATM设备或者银行设备的厂商在创造和生产这些设备的时候需要确保这些系统是安全的,必须确保全过程没有被交换或者修改过。

0 评论: