банкоматы
Буквально на днях мы обсуждали проблему встроенного (или встраиваемого) ПО, остающегося без поддержки производителя. В первую очередь, она коснулась тех компаний, чей бизнес связан с использованием банкоматов и платёжных терминалов.
Огромное количество этих устройств и сегодня продолжают работать под управлением Windows XP, системы, которая уже никогда не будет обновляться. А это означает, что все её ещё не обнаруженные уязвимости останутся навсегда, ставя под вопрос защищенность компаний, эксплуатирующих эти устройства и полагающихся исключительно на встроенные механизмы безопасности Windows XP Embedded.
Поближе к деньгам
Несколько лет назад эксперты «Лаборатории Касперского» спрогнозировали, что киберпреступники будут всё чаще атаковать банкоматы и платёжные терминалы напрямую. Предположение оправдалось в полной мере: сначала наши эксперты выявили атаку Tyupkin, причем зловред, который в ней использовался активен до сих пор — совсем недавно мы обнаружили очередную преступную группу, ATM-Infector, действующую при помощи свежей модификации этого троянца. Также, за последние два года были зарегистрированы многочисленные случаи заражения точек продаж в крупных торговых сетях, которые оканчивались скандальными утечками платежных данных. Самыми громкими из них были утечки в торговых сетях Target, Wendy’s и сети отелей Hilton.
Происходит это потому, что банкоматы и точки продаж являются весьма удобной мишенью для злоумышленников. У них часто «хромает» и киберзащита, и физическая безопасность.
Как известно, банкоматы по сути представляют собой обычные x86-совместимые компьютеры, дополненные специализированным оборудованием и программным обеспечением. То же самое справедливо и для точек продаж. Для этих устройств выпускаются специализированные версии операционных систем с жестко ограниченной функциональностью. Оставлены только те инструменты, которые нужны сервисному устройству. Но этим отличия от «обычной» Windows и ограничиваются.
Характерной особенностью таких устройств является то, что они всегда географически удалены от сервисных подразделений, но при этом располагаются во внутренних сетях компаний и часто имеют прямое подключение к интернету. Почти все работают с персональными данными или финансовыми транзакциями.
Актуальность проблемы
Безусловно, существует стандарт безопасности PCI DSS, который регулирует большое число технических требований и параметров для систем, принимающих платежные карты. Однако эти требования сегодня направлены, в первую очередь, на широкое покрытие рисков заражения стандартными вирусами. По сути, они не учитывают всю специфику таких устройств, как банкоматы и точки продаж, равно как и особенности атак на них. А принимая во внимание используемое в таких устройствах устаревшее железо, неактуальные операционные системы и отсутствие надёжных каналов передачи данных (хотя бы средних по пропускной способности) – использование традиционных антивирусов является неэффективным, а зачастую и вовсе невозможным.
На сегодняшний день злоумышленники имеют крайне широкий набор инструментов для взлома банкоматов. Причем как контактного, то есть, связанного с доступом к конкретному устройству, так и для удаленного взлома.
Вариантов удалённой атаки может быть несколько. Чаще всего расследования инцидентов нашими специалистами выявляют либо несанкционированный доступ через доверенную сеть (например, при заражении одного банкомата путем физического доступа и дальнейшего распространения вредоноса через внутреннюю сеть), либо последствия успешной таргетированной атаки непосредственно на банк, либо использование уязвимостей VPN.
Результат во всех случаях один: злоумышленники получают возможность красть деньги или собирать данные кредитных и дебетовых карт, оставаясь незамеченными. Иногда — чрезвычайно долго.
Платёжные терминалы также регулярно оказываются вектором утечки личных данных. Согласно отчету Verizon от 2015 года, до трети таких инцидентов происходят именно в результате взлома точек продаж.
Причины этому чаще всего заключаются в том, что приложения, управляющие терминалами, пишутся без учёта требований информационной безопасности в принципе, а, следовательно, могут содержать уязвимости, через которые их несложно инфицировать. И то, что они бывают подключены к интернету (для доступа к различным базам), только облегчает работу злоумышленникам. Заражение платежных терминалов Target произошло именно из-за того, что они оказались в одной сети системами управления проектами, к которым киберпреступники получили доступ через одного из подрядчиков, занимавшихся сервисным обслуживанием системы кондиционирования.
И нельзя сказать, что инцидент с Target — исключение. Большая часть заражений происходит именно по вине сервисных подразделений или обслуживающих компаний с легитимным доступом к устройствам (будь то удаленно или через порты USB). Причем далеко не всегда речь идет о невнимательности. Сотрудники таких организаций зачастую используют свое служебное положение для намеренного заражения терминалов. Благо, кроме них этого практически никто не сможет заметить — ведь для клиента сервис остается работоспособным.
Контрмеры
Что мы можем предложить в качестве способа решения этих проблем? Очевидно, что в данном случае необходим дополнительный слой защиты. Специально для обеспечения безопасности встраиваемого оборудования мы разработали решение под названием Kaspersky Embedded Systems Security. В нем используются современные защитные технологии, но при этом оно может эффективно работать на машинах с ограниченной функциональностью и крайне низкой производительностью. Банкоматы и точки продаж чаще всего работают именно на устаревшем «железе», да и их программная начинка обновляется крайне редко.
В Kaspersky Embedded Systems Security реализованы технологии, позволяющие бороться с характерными способами атак на эти виды устройств. Благодаря режиму «Запрет по умолчанию» (Default Deny) в системе могут использоваться только те файлы, драйверы и библиотеки, которые явно разрешены администратором. Причем механизмы добавления приложений, скриптов и драйверов в список исключений не требуют радикального вмешательства в процесс обслуживания устройств, а, следовательно, не создают дополнительную нагрузку на сервисную службу. Это дает возможность обезопасить банкоматы и платежные терминалы от сложных целенаправленных угроз на уровне конечных устройств.
В решении также имеется функция «Контроль устройств», позволяющая блокировать попытки физического подключения неавторизованных USB-накопителей. Таким образом закрывается одна из главных уязвимостей, регулярно используемых киберпреступниками для получения доступа к системе.
Продукт полностью совместим со всеми актуальными версиями Windows, а также Windows XP Embedded, Windows Embedded 8.0 Standard и Windows 10 IoT. Системные требования минимальны — от 256 Мб оперативной памяти и 50 Мб места на диске.
Узнать больше о решении Kaspersky Embedded Systems Security можно на сайте http://www.kaspersky.ru/enterprise-security/embedded-systems.
Советы