Обложенные банкоматом
АрхивБанкоматы, избавившие людей от необходимости носить с собой наличные деньги, конечно, удобны, однако неприкосновенности вашему кошельку они гарантировать не могут.
Банкоматы, избавившие людей от необходимости носить с собой наличные деньги, конечно, удобны, однако неприкосновенности вашему кошельку они гарантировать не могут. Поэтому о преимуществах этих устройств банки трубили на всех углах, а вот о рисках предпочитали умалчивать, порой ради сохранения тайны действуя весьма жестко.
Так, известному английскому эксперту-криптографу Россу Андерсону (Ross Anderson), попытавшемуся лет десять назад привлечь внимание общественности к слабенькой защите информации в банкоматах и кредитных картах с магнитной полоской, разгневанные банкиры пригрозили уголовным преследованием за разглашение коммерческих тайн. Будучи под большим впечатлением от того, сколь эффективно удается перекрывать каналы для распространения его отчета даже в Интернете, Андерсон разработал распределенную систему хранения файлов Eternity — прообраз нынешних пиринговых сетей.
Впрочем, это дела давно минувших дней. Сегодня банки не отрицают уязвимости кредитных карт с магнитной полосой, поскольку полным ходом идет их замена на смарт-карты, несравненно лучше защищенные благодаря встроенному чипу. Кое-кто даже отваживается сообщать о динамике роста преступлений в области подделки банковских карт, что, как правило, является тайной финансовых институтов, хранящейся за семью печатями. В частности, APACS, британская Ассоциация платежных и клиринговых сервисов (Association of Payment Clearing Services), опубликовала данные, из которых следует, что количество махинаций с банкоматами всего лишь за год возросло почти вдвое (точнее, на 85%) и принесло убытков на 61 млн. фунтов стерлингов. Главную причину столь быстрого роста таких преступлений эксперты APACS видят в технической оснащенности мошенников. Преступники все шире используют специальные рамки-накладки, копирующие содержимое кредитных карт, вставленных в банкомат, и миниатюрные телекамеры над клавиатурой, регистрирующие нажатие клавиш при вводе секретного PIN-кода. Огласить сведения о масштабах такого рода преступлений сочли возможным, вероятно, по той причине, что из 42 млн. владельцев банковских карточек в Великобритании примерно 25 млн. уже получили новые карты с чипом, а полная замена карт с магнитной полоской должна завершиться до конца 2005 года.
Но кроме изобретательных воров — врага, так сказать, внешнего, в последнее время появился еще и внутренний враг. Многие годы базовой операционной системой большинства банкоматов была OS/2 от корпорации IBM, но поскольку жизнь этой системы в компьютерном мире не задалась, ее поддержка прекратилась, а для новых машин пришлось выбирать и новую ОС, которой стала, к сожалению, Microsoft Windows.
Почему «к сожалению», думаю, объяснять не нужно. Достаточно сказать, что главная напасть Интернета — разного рода черви и вирусы — теперь проникает и в сети банкоматов. Хотя банки пытаются эти факты скрыть, доподлинно известно, что в 2003 году сетевой червь Nachi нарушил работу по меньшей мере двух сетей в США, где использовались банкоматы фирмы Diebold. Эти аппараты построены на основе ОС Windows XP Embedded, а потому имеют в защите те же дыры, что и ПК, пострадавшие от Nachi. Несколько иным образом червь Slammer вывел из строя примерно 13 тысяч банкоматов сети Bank of America, заразив серверы баз данных. Не помогло даже то, что большинство сетей формально функционирует изолированно от Интернета. Как показывает практика, злонамеренные коды проникают в такие сети либо через «левое», недокументированное подключение к Интернету, либо через ноутбуки обслуживающего персонала, уже инфицированные какой-нибудь сетевой заразой.
Эта проблема столь остра, что международная ассоциация GASA (Global ATM Security Alliance), объединяющая финансовые круги и правоохранительные органы разных стран, опубликовала в ноябре специальный документ — первое руководство по обеспечению кибербезопасности банкоматов (ATM cyber security best practices). На всякий случай этот документ не стали делать общедоступным, ограничившись объявлением о том, что он поможет финансовым институтам и изготовителям оборудования противостоять кибератакам.