ENGINEERINGNET - Deze kwetsbaarheid is het gevolg van verouderde en onveilige software, fouten in de netwerkconfiguratie en gebrek aan beveiliging van essentiële hardware.
De skimmer (een speciaal apparaatje dat aan een geldautomaat wordt bevestigd om gegevens van bankpassen te stelen) stond jarenlang bovenaan de zwarte lijst van klanten en eigenaren van geldautomaten.
Ook de ontwikkeling van kwaadaardige technologieën staat echter niet stil en er zijn inmiddels talloze gevaren bijgekomen. In 2014 ontdekten onderzoekers van Kaspersky Lab Tyupkin, een van de eerste voorbeelden van wijdverspreide malware in geldautomaten.
Vervolgens werd in 2015 de Carbanak-bende ontmaskerd, die onder andere bancaire infrastructuren misbruikte om automaten leeg te halen. Beide gevallen bleken mogelijk door slim gebruik te maken van een aantal tekortkomingen in de technologie van betaalautomaten en de ondersteunende infrastructuur. En dit is slechts het topje van de ijsberg.
In een poging om alle veiligheidsvraagstukken voor geldautomaten in kaart te brengen, hebben de ‘penetration testing specialists’ van Kaspersky Lab onderzoek gedaan op basis van strafrechtelijk onderzoek naar recente aanvallen en de security assessments van diverse internationale banken. Hierbij kwamen twee belangrijke beveiligingskwesties naar voren: software en fysieke beveiliging.
Software
Alle geldautomaten zijn in feite pc’s die draaien op zeer oude versies van besturingssystemen als Windows XP. Dit maakt de systemen kwetsbaar voor pc-malware en aanvallen via exploits.
De software die de pc met de bancaire infrastructuur en de hardware-units laat communiceren en de creditcards en bankbiljetten verwerkt is in de meeste gevallen gebaseerd op de XFS-standaard.
Deze oude en onveilige standaard is ooit ontwikkeld om alle software voor geldautomaten te standaardiseren, zodat het op alle gebruikte platformen zou werken.
Het probleem is dat de XFS-standaard geen autorisatie vereist voor de te verwerken commando's, wat betekent dat elke app die op de pc wordt losgelaten commando’s naar alle hardware-eenheden kan sturen, met inbegrip van de kaartlezer en de unit die de bankbiljetten uitbetaalt.
Bij succesvolle infectie neemt de malware het systeem vrijwel volledig over: het PIN-toetsenbord en de kaartlezer kunnen worden getransformeerd tot een ‘native’ skimmer en de hacker kan met één commando al het opgeslagen geld opnemen.
Fysieke beveiliging
In veel gevallen kwam er helemaal geen malware aan te pas om in het netwerk van de bank te komen. Een probleem van veel betaalautomaten is namelijk dat fysieke beveiliging geheel ontbreekt.
Vaak zijn de automaten dusdanig geconstrueerd en geïnstalleerd dat derden gemakkelijk toegang kunnen krijgen tot de pc of de netwerkkabel die de automaat verbindt met internet.
Zelfs gedeeltelijke fysieke toegang kan genoeg zijn om een zogenaamde black box aan de automaat te koppelen, een speciaal geprogrammeerd computertje dat de criminelen op afstand toegang tot de automaat verschaft.
Of de automaat kan worden aangesloten op een ‘rogue processing center’ - software die betalingsdata verwerkt en identiek is aan de software van de bank. Zodra de betaalautomaat wordt doorgesluisd naar deze valse software, kunnen de aanvallers iedere opdracht geven die ze maar willen, en de automaat zal gehoorzamen.
Verbinding met zo’n valse processing center kan op verschillende manieren worden voorkomen, bijvoorbeeld door een hardware- of software-VPN, SSL/TLS-codering, een firewall of MAC-authenticatie, geïmplementeerd in XDC-protocollen.
Dikwijls worden deze maatregelen echter niet genomen, en als het wel gebeurt, dan worden ze niet zelden verkeerd geconfigureerd en is de automaat nog even kwetsbaar.
Oplossingen
- Allereerst is het noodzakelijk om de XFS-standaard te herzien, met de nadruk op beveiliging, en two-factor-authenticatie tussen hardware en legitieme software te introduceren. Dit zal de kans op ongeautoriseerde geldopnames met behulp van Trojaanse paarden verkleinen, alsook het verkrijgen van volledige controle over de geldautomaten door criminelen.
- Vervolgens moet er ‘authenticated dispensing’ worden geïmplementeerd, om de valse processing centers buitenspel te zetten.
- Tenslotte moet er op de datatransmissies tussen alle hardware-eenheden en pc’s in de geldautomaat cryptografische beveiliging en integriteitscontrole worden toegepast.
(bron en infographic: Kaspersky Lab)