Категории: ОСи

ОСи в банкоматах и их баги

Любой банкомат, где бы он ни находился, соединен с вычислительным центром (процессингом), который осуществляет управление данной сетью банкоматов. Сеть может принадлежать как конкретному банку, так и независимому поставщику услуг. Когда вы вставляете в банкомат карту, вводите свой пин-код и выбираете требуемую операцию, запрос посылается в процессинг, который перенаправляет его в соответствующий банк или финансовое учреждение, выпустившее вашу карточку. Если вы хотите снять деньги, то процессинг осуществляет электронный перевод требуемой суммы с вашего банковского счета на свой. Как только перевод осуществлен, вычислительный центр посылает банкомату команду на выдачу денег.

Таким образом, схема работы банкоматов в целом аналогична предоставлению услуг Интернета. Когда вы хотите получить доступ в Интернет, то соединяетесь с сервером провайдера, который, в свою очередь, перенаправляет вас на другие сервера, хранящие необходимую вам информацию. Подобно компьютерам, подключенным к Интернету, для связи банкомата с процессингом используются либо простые телефонные линии, подключение к которым производится через модем, либо выделенные. Первый вариант обычно встречается в том случае, если сеть банкоматов и нагрузка на них относительно небольшая, второй предпочтительнее для обширных и загруженных сетей.

Кроме того, есть банки, которые используют в качестве средства связи радиомодемы. В вычислительный центр банкомат передает не только запросы клиентов, но и все сведения о своей работе, которые отслеживаются оператором. Во-первых, банкомат заблаговременно предупреждает процессинг о необходимости обслуживания — скажем, в машине закончились деньги или произошел сбой в работе системы. Во-вторых, в вычислительный центр поступают все сообщения об ошибках. В этом случае процессинг определяет, носит ли ошибка фатальный характер и работу банкомата следует немедленно прекратить, или же неисправность можно «обойти». Например, если сломался чековый принтер, то банкомат может вывести на экран сообщение об отсутствии бумаги и предложить клиенту продолжить выполнение операции.

Защита и безопасность банкоматов

Защита банкоматов состоит из двух компонентов — защиты физической и защиты информационной. Основные составляющие информационной защиты:

  • Защищенная среда передачи и шифрования данных, в том числе выделенные каналы связи (банкомат–банк); встроенные (или наложенные) средства VPN; шифрование данных на уровне «банкомат–процессинговый центр» приложения банкомата.
  • Межсетевое экранирование и средства контроля целостности ПО банкомата.

Также должное внимание необходимо уделять штатному обслуживанию прикладного ПО и операционной системы банкомата. К сожалению, известны случаи, когда банкоматы, по сути, являющие собой персональные компьютеры на базе платформы Intel + Windows, не обслуживались должным образом — банк–владелец не устанавливал обновления операционной системы и программные «патчи». В случае, когда такие банкоматы доступны из сети интернет, например через GPRS-канал, установить контроль над таким банкоматом может даже дилетант. Приведенные меры (в первую очередь использование VPN в связке с межсетевым экраном) позволят полностью обезопасить устройство от захвата злоумышленниками и перехвата потока данных.

В стандартной комплектации в банкомате устанавливаются: моторизованный гибридный картридер; EPP-клавиатура с возможностью шифрования; мониторы с антивандальным покрытием и фильтрами защиты от подглядывания; сейфы разных классов защиты; презентеры; различного рода датчики — открывания, ударов и т.д. Для изготовления банкомата используются вандалоустойчивые материалы. Специальная автономная охранная система на основе датчика типа «Шорох» фиксирует любые механические воздействия на банкомат. Она является автономной, и поэтому угрозы для работоспособности банкомата не возникает. Сигнал же о возникновении угрозы сразу поступает на пункт охраны.

Очень важна и система антискимминга в банкоматах Wincor Nixdorf. Она позволяет фиксировать попытки внедрения в банкомат различных механических (скрепки, гвозди и т.п.) и электронных мошеннических устройств (сканеров). Значительно повысить безопасность использования банкомата также помогает сертифицированное программное обеспечение. Многие разработчики сейчас используют передовые технологии обработки EMV-карт. Данный тип карт по умолчанию имеет большую степень защиты по сравнению с карточками с магнитной полосой.

Большую роль в обеспечении безопасности играет и система видеонаблюдения сетей банкоматов. Здесь важен психологический аспект: человек, зная, что ведется видеонаблюдение, не станет нарушать общепринятые нормы. Кроме того, система позволяет фиксировать все события, происходящие перед банкоматом. Видеофрагменты будут являться основой при разборе конфликтных ситуаций (мошенничество, вандализм, неправильное использование оборудования).

В банкомате имеются чековый и журнальный принтеры. Первый принтер предназначен для выдачи вам чеков, а на ленте второго фиксируется все, что происходит с банкоматом. Владелец банкомата обязан хранить эту информацию в течение двух лет.

Также в верхней части банкомата расположен защитный модуль, устройство, кодирующее информацию, так как передача пин-кода карточки в процессинговый центр осуществляется только в закодированном виде. В случае несанкционированного проникновения внутрь сейфа в кассете может происходить разбрызгивание чернил, окрашивающих купюры.

Чтобы обслужить банкомат, инкассаторы, кроме кода доступа к сейфу, должны иметь при себе специальный ключ (ключ оператора) для доступа к интерфейсной программе, так как вынуть и вставить кассеты, не дав соответствующей команды компьютеру, нельзя. Функции, доступные обслуживающему персоналу при наличии этого ключа, строго ограничены. Доступом собственно к операционной системе с возможностью менять настройки банкомата имеет только программист, обладающий своим собственным ключом.

Сегодня банки не отрицают уязвимости кредитных карт с магнитной полосой, поскольку полным ходом идет их замена на смарт-карты, несравненно лучше защищенные благодаря встроенному чипу. Преступники могут использовать разные возможности для мошенничества: копирование данных с банковской карты, похищение карты или непосредственный доступ к наличным. Последний способ возможен при взломе сейфа, похищении всего банкомата (известны и такие случаи) или же открытом грабеже, когда мошенники вырывают деньги из рук владельцев, только что получивших или планирующих депонировать средства в банкомат. 

Отдельную категорию составляют «продвинутые» махинации, связанные со считыванием информации с помощью специальных устройств, в основном устанавливаемых в картридеры. Преступники все шире используют специальные рамки-накладки, копирующие содержимое кредитных карт, вставленных в банкомат, и миниатюрные телекамеры над клавиатурой, регистрирующие нажатие клавиш при вводе секретного PIN-кода. В зоне видимости клиента иногда устанавливают так называемые камеры-муляжи. В этом случае они выполняют психологическую роль. Мошенник знает, что его действия фиксируются и, как следствие, не совершает каких-либо правонарушений. Интересно, что системы видеонаблюдения служат для выявлений не только действий злоумышленников и вандалов, но и для борьбы с нечестными действиями самих владельцев карт.

Уже неоднократно фиксировались случаи, когда владельцы карт обращались в банки, опротестовывая факты снятия денег с их карт. Эти проблемы решались просто. Портретная видеокамера, установленная внутри банкомата, фиксировала лицо человека, который инициировал спорную транзакцию. При этом специальное программное обеспечение банкомата запоминало на жестком диске компьютера банкомата не только само видеоизображение, но и дополняло его датой, временем, а также номером транзакции. По предъявлении этих видеоданных владельцы карт узнавали на них ближайших родственников, которые тайком снимали деньги со счетов владельцев карт. Известно, что банкоматы осуществляют выдачу в виде пачки банкнот. Некоторые недобросовестные владельцы карт извлекали из пачки часть банкнот и после этого обращались в банк с требованием вернуть им якобы не забранные деньги. Эксперт компании «Дельта-Системы» рассказал, что банки выходили из такой ситуации следующим образом: «Вторая камера (шаттерная), размещенная в области шторки выдачи, фиксировала момент забора денег. Тем самым сотрудники кредитных организаций выявляли своих недобросовестных клиентов, не путая их с просто рассеянными личностями, которые забывали вовремя вытащить предложенную пачку банкнот».

Следует подчеркнуть, что важной особенностью таких видеокамер является их специальная установка, которая гарантирует невозможность фиксации камерами пин-кодов. Кроме того, еще одной характерной и значимой особенностью систем видеонаблюдения является фиксация ими видеоизображений не в непрерывном режиме, а в момент наступления определенного ряда событий. Например, факт установки карты в картридер или момент, когда банкомат выдал деньги. При этом видеоизображения, полученные портретной камерой, дополняются данными по самой транзакции, что делает возможным отслеживание ее полной «истории». Что касается железа, то только самые приличные банкоматы компаний NCR,  Wincor Nixdorff и Diebold имеют UPS.

А вот мноиге электронные киоски оплаты представляют собой простой компьютер с Windows 2000 или XP: В автоматах системы «Новоплат» установлены обычная мать внутри, винт ATA100 ан 80 ГБ и память DDR:

ОС для БАГоматов — «опиум для народа»

В2005 году в мире начитывалось около 1.4 млн банкоматов, большая часть которых использует «старую добрую» операционную систему OS/2, разработанную компанией IBM. Срок поддержки OS/2 истекает в 2007 году, и IBM рекомендует корпоративным пользователям этой операционной системы переходить на Linux. Однако, по всей видимости, вероятность того, что этим советам будут следовать, весьма мала.

Крупные американские банки с многочисленными филиалами — последний бастион OS/2 — вынуждены мигрировать на Windows, поскольку именно так поступают основные производители банкоматов, заменяя в них OS/2 на ОС Microsoft. Однако Дэвид Керр, директор по развитию отраслевых решений подразделения IBM WebSphere, выступает против установки Windows на компьютеры кассиров, электронные банковские киоски и банкоматы, утверждая, что это «закрытый» подход, сдерживающий конкуренцию. Керр убежден в том, что клиенты IBM, которые внедрят Linux взамен OS/2, получат функциональность, сравнимую с Windows-системами. А платформу Sun J2EE (Java 2 Enterprise Edition) можно использовать для интеграции Linux-систем с ныне применяемыми в банках внутренними системами обработки данных. «У Linux есть немало привлекательных черт: низкая стоимость, гибкость, поддержка со стороны IBM и иных производителей первого эшелона. Однако в банках с большими сетями филиалов все диктуется тем, какие операционные системы используются в банкоматах».

Крупнейшие производители банкоматов — компании NCR и Diebold — остановили свой выбор на Windows XP Embedded в качестве замены использовавшейся ими ранее OS/2. Существуют и другие причины, заставляющие банки переходить на операционную систему Windows. По его словам, в настоящее время банкам необходимо провести модернизацию значительной части используемых ими банкоматов для того, чтобы позволить им в полной мере реализовывать те преимущества, которые способны обеспечить новые модификации кредитных карт Europay, Mastercard и Visa, оснащенные специальным чипом вместо традиционной магнитной полосы. По данным компании Trend Micro, именно ОС Windows будет применяться в 75% новых банкоматов. И «миграция» на Windows уже началась: ежегодно на новые модели заменяется примерно 10% от общего числа находящихся в эксплуатации банкоматов. Вообще же срок службы банкомата в современных условиях составляет до 10 лет, а если учесть, что массовая замена началась 5 лет назад, то уже недалеко то время, когда абсолютное большинство банкоматов будет работать под управлением «окошек». Надо сказать, что часть банкоматов NCR работает под управлением Windows NT 4.0 А вот здесь еще используется OS/2:

Вирусы для банкоматов

Переходя с использования в своих банкоматах OS/2 на применение Windows, банки, соответственно, в корне меняют систему подключения банкоматов к своим информационным сетям. Во многих случаях это означает, что банкоматы и обычные офисные компьютеры банков оказываются подключенными к одним и тем же вычислительным сетям. Как следствие банкоматы могут быть заражены компьютерными вирусами, попавшими в эти сети. Кроме того, нельзя полностью исключать атаку изнутри — сознательный саботаж со стороны недобросовестного персонала или же действия по недомыслию, по некомпетентности. В мире зафиксировано уже как минимум 4 инцидента, когда крупные сети банкоматов под управлением Windows выходили из строя благодаря компьютерным вирусам. Во всех случаях банкоматы оказывались отключенными на несколько часов из-за компьютерных вирусов, попавших в локальные вычислительные сети банков, устанавливавших эти банкоматы. Так, в январе 2003 года вирус Slammer заставил прекратить работу сразу 13.000 банкоматов Bank of America, а также всех банкоматов канадского Imperial Bank of Commerce. Не помогло даже то, что большинство сетей формально функционирует изолированно от Интернета. Как показывает практика, злонамеренные коды проникают в такие сети либо через «левое», недокументированное подключение к Интернету, либо через ноутбуки обслуживающего персонала, уже инфицированные какой-нибудь сетевой заразой. В августе того же года сети банкоматов двух французских банков были выведены из строя на несколько часов в результате атаки вируса Welchia. Так называемый «гуманитарный» червь Worm.Win32.Welchia поразил изготовленные компанией Diebold банкоматы, работающие под управлением операционной системы Windows XP Embedded. Зараженные банкоматы начинали активно искать другие машины, в операционной системе которых имелась уязвимость RPC DCOM. Именно этот недостаток Windows использовали при создании своих программ авторы Welchia и Lovesan. В результате повышенной сетевой активности Welchia сначала выводил из строя систему банковской защиты от внешних вторжений, а затем и вовсе отключал банкоматы. Указанный инцидент произошел в августе 2003 г. сразу в двух финансовых учреждениях, названия которых представители Diebold приводить отказались. Отключение банкоматов Diebold — не первый случай вредного воздействия червя Welchia, который его авторы позиционируют как «противоядие» от Lovesan. Осенью в результате активности «гуманитарного червя» на несколько часов была парализована работа всех консульских представительств США. В том же 2003 году сетевой червь Nachi нарушил работу по меньшей мере двух сетей в США, где использовались банкоматы фирмы Diebold. Эти аппараты построены на основе ОС Windows XP Embedded, а потому имеют в защите те же дыры, что и ПК, пострадавшие от Nachi. Самый известный взломанный через MS Paint банкомат: Фотографии ошибок банкоматов  можно посмотреть здесь

[Посещений: 1 603, из них сегодня: 1]

Смотреть комменты

Свежие посты

Процессы зомби, демоны и сироты в Linux

Процессы и программы Программа в Unix — это последовательность исполняемых инструкций на диске. Вы можете…

12 октября 2024

Изучаем сертификаты, приватные ключи и keystore

Существует большое разнообразие форматов, в которых создаются сертификаты и приватные ключи для них. Часто они…

20 июля 2024

Восстановление доступа к Docker Hub

Все известно, что Докерхаб закрыл доступ для пользователей из санкционных стран, включая РФ и РБ.…

30 мая 2024

Как посмотреть сертификат хоста через командную строку

Зачастую бывает необходимо проверить, а какой SSL сертификат отдает тот или иной хост на определенном…

21 февраля 2024

Использование choco через прокси

Choco - лучший пакетный менеджер для Windows. Чтобы использовать его в корпоративной среде за прокси,…

21 февраля 2024

Обзор SSD диска XrayDisk

В России становится все больше малоизвестных китайских товаров, поэтому сегодня у нас на обзоре китайский…

3 декабря 2023