Архивы: по дате | по разделам | по авторам

Вирусы в банкоматах: заключение

АрхивСтатьи
автор : Алексей Стародымов   31.03.2009

Уязвимыми оказались только банкоматы американской фирмы Diebold, широко используемые банками России и некоторых других стран СНГ. Чем ещё знаменит этот производитель, и чего на самом деле стоит опасаться нашим согражданам?

Почти неделю тому назад компания "Доктор Веб" - известный разработчик антивирусного ПО - сообщила о появлении трояна, способного заражать банкоматы и, что особенно важно, получать информацию о проведенных через них транзакциях. Атаке этого вируса может подвергнуться далеко не каждое устройство такого типа: уязвимыми оказались только банкоматы американской фирмы Diebold, широко используемые банками России и некоторых других стран СНГ.

Надо заметить, что продукция данного производителя уже не в первый раз оказывается в центре повышенного внимания общественности: в августе 2003 года в США несколько банкоматов Diebold, работающих под управлением ОС Windows XP Embedded, оказались поражены вирусом Welchia. Впрочем, никакого заметного вреда он не принес: вредоносная программа лишь генерировала трафик, пытаясь заразить другие подключенные к сети машины. В итоге из-за перегрузки каналов связи некоторое количество банкоматов временно вышло из строя.

Вирус использовал дыру в функции удаленного вызова процедур (RPC) интерфейса DCOM. Этот компонент Windows в 2003 году стал одной из самых популярных мишеней для хакеров. Патчи для затыкания дыр в данном модуле Microsoft выпускала несколько раз, в том числе и для XP Embedded. Компания Diebold распространила его среди своих клиентов, однако во избежание повторения подобных инцидентов начала оснащать банкоматы встроенным брандмауэром.


Банкомат Diebold, первая версия

Что же касается трояна, обнаруженного "Доктором Вебом", то он на первый взгляд гораздо опаснее: если ранее вирусы могли, в худшем случае, привести к некорректной работе банкоматов, то новое детище хакеров теоретически способно нанести ущерб клиентам банков.

Однако вернемся к Diebold. Эта компания выпускает не только банкоматы, но и машины для электронного голосования, несколько десятков тысяч которых используются в различных государственных учреждениях США. Самое удивительное, что и эти устройства уже не раз подвергались критике за ненадлежащий подход их создателей к вопросам безопасности!

В 2006 году активистам некоммерческой организации Black Box Voting, позиционирующей себя в качестве защитника прав граждан на выборах, удалось взломать машину для подсчета голосов производства Diebold всего за четыре минуты. Оказалось, что для замены карты памяти, содержащей накопленную в ходе выборов информацию, не нужно иметь ни специального оборудования, ни особых навыков, а обнаружить следы подмены очень сложно.


Банкомат Diebold, вторая версия

В 2007 году в американском штате Огайо была проведена проверка систем для электронного голосования различных производителей, в том числе и Diebold; в конечном итоге во всех машинах были обнаружены критические уязвимости, которые могут негативно повлиять на точность и честность результатов выборов. По словам специалистов, все эти системы не отвечают стандартам компьютерной безопасности и снабжены очень слабой системой защиты, причем речь идет не только о продукции Diebold, но и о машинах компаний Sequoia, Hart Intercivic, Election Systems и некоторых других.

Считаем голоса

Следует заметить, что скандалы вокруг "электронных голосовалок" то и дело вспыхивают в различных штатах до сих пор, а их модернизацией и усовершенствованием на общегосударственном уровне почему-то никто не занимается.

Интересно, почему? Ведь властям заставить производителей систем для голосования всерьез заняться безопасностью своих продуктов – пара пустяков! Тяжело судить о причинах такого невнимательного отношения к этому вопросу, однако один небезынтересный факт привести всё же стоит. В докладе за авторством аспирантов и профессора Университета штата Калифорния в Беркли, выпущенном в 2004 году, утверждается, что Джордж Буш мог получить в штате Флорида порядка 260 тысяч голосов, которые ему не предназначались. В ходе исследования результатов выборов, авторы доклада проанализировали ряд переменных, от которых зависел исход этого мероприятия, в том числе количество голосовавших, их средний доход, расовую принадлежность, возрастные категории и изменения в явке избирателей между 2000 и 2004 годами. Исходя из этих данных, авторы доклада сравнили результаты выборов 1996, 2000 и 2004 годов по Флориде.

Выяснилось, что в тех 15-ти округах штата, где использовались сенсорные терминалы для электронного голосования, Буш получил существенно больше голосов, чем ожидалось. А вот в тех округах, где голосование осуществлялось каким-то иным путем, прогнозы полностью совпали с окончательными результатами. Общее количество "подозрительно лишних" голосов может составлять от 130 до 260 тысяч, утверждается в докладе. Более того, аномалия затронула как раз те округи, где сильнее всего были позиции демократов.

Ещё имеются многочисленные свидетельские показания сбоев машин для голосования: на экране предварительного просмотра люди, голосовавшие за Керри, много раз видели фамилию Буша, и им приходилось голосовать заново. А во время подсчета голосов некоторые машины зависали, и как минимум 40 из 798 не смогли вывести на печать окончательные результаты.

Ко всему вышесказанному стоит добавить, что в 2003 году анонимному хакеру удалось взломать защиту сервера Diebold и похитить порядка двух гигабайт конфиденциальных данных. В общем, очевидно, что с безопасностью у компании давно наблюдаются серьёзные проблемы, причем они касаются большинства направлений её деятельности. Мы связались с банками "Петрокоммерц" и "Росбанк", банкоматы которых уже успели пострадать от вируса. (Напомним, что с комментарием "Лаборатории Касперского" по этому вопросу можно ознакомиться здесь.)

По словам Евгении Евмененко, руководителя управления PR и рекламы ОАО Банк "Петрокоммерц", инцидентов, связанных с данным видом мошенничества, повлекших незаконное снятие средств клиентов через банкоматы, не было. Банк полностью контролирует ситуацию и принимает все меры по предупреждению угроз безопасности для своих клиентов. Проблема, связанная с распространением нового вируса в сети банкоматов российских банков, является комплексной и касается абсолютно всех банков, соответственно, банковское сообщество должно разработать единую стратегию и комплекс методов по противодействию данным фактам.

В банке "Петрокоммерц" данная проблема выявлена на ранней стадии и оперативно были приняты меры для её устранения: на всех банкоматах банка было установлено специальное обновление программного обеспечения, предоставленное фирмой-поставщиком (а именно Diebold), которое позволяет блокировать использование данного вируса, в том числе и при попытках нового "заражения". Этот факт позволяет нам говорить о том, что данная проблема локализована, и банком приняты все возможные меры для предотвращения возможных потерь клиентов.


Банкомат Diebold, третья версия

Ольга Царегородцева ("Росбанк") рассказала, что вирус не передается по сети, а внедряется в ПО каждого конкретного банкомата. Соответственно, его массовое распространение невозможно. Платежные системы и банки были предупреждены о возможной атаке ещё в середине декабря. Вирус был выявлен и устранен системой безопасности "Росбанка" на начальном этапе. Троян был создан в расчете на банкоматы компании Diebold, которые составляют треть всего банкоматного парка России.

Олеся Карпова, руководитель направления маркетинга Diebold в России

Diebold знает о существовании компьютерного вируса, созданного для банкоматов. Безопасность - один из главных приоритетов Diebold, наши инженеры постоянно работают над решением возникающих проблем и усовершенствованием защиты наших банкоматов, поэтому компания предприняла все меры для того, чтобы в кратчайшие сроки нейтрализовать возникшую угрозу.

В январе 2009 года, как только оперативно проведенное тестирование выявило единичные случаи заражения, компания проинформировала об этом своих клиентов. С целью минимизации риска несанкционированного доступа к банкоматам банкам предоставлена специально разработанная компонента ПО, которая препятствует возможности внедрения вируса в банкомат, а также подробная инструкция по безопасности.

Для того чтобы внедрить вредоносное ПО мошенники должны иметь физический доступ к <начинке> конкретного банкомата. Такого рода аспекты безопасности банкоматов, как ограничение доступа к ним, смена обязательном порядке заводского пароля, установка видеокамер и т.д. находятся в компетенции банков. Поэтому Diebold также усиленно напоминает своим клиентам о необходимости следовать таким общепринятым в индустрии нормам безопасности как ограничение физического доступа к банкоматам, установка видеонаблюдения, управление паролями и обновление ПО с целью минимизировать подверженность банкоматов действиям злоумышленников. Чтобы противодействовать мошенникам, необходимы совместные усилия всех заинтересованных сторон.

По сведениям, которыми располагает компания Diebold, речь идет о единичных случаях заражения конкретных банкоматов, на данный момент случаев получения доступа к базам данных банковских клиентов не зафиксировано.

Что касается машин для электронного голосования, то это подразделение давно выведено в отдельную компанию, деятельность которой не связана с производителем банкоматов Diebold Inc.

Проблема троянов для банкоматов должна больше волновать их производителей, банки и писателей антивирусного софта, стремящихся освоить новый рынок, а вот простых пользователей в настоящее время она вряд ли затронет: судя по имеющейся информации, случаев, когда вирус действительно нанес вред клиенту банка, пока ещё не было. И ещё: кто знает, возможно, отечественным банкам уже не раз приходилось сталкиваться с вредоносным ПО применительно к банкоматам, однако оно обнаруживалось и ликвидировалось на самых ранних стадиях распространения, а информации об этом так и не удавалось просочиться в Сеть.

Куда реальнее в наших широтах напороться на скиммер. Что это такое? Устройство, которое вешается злоумышленниками на слот для пластиковых карточек в банкомате и позволяет считывать информацию с их магнитных лент, а затем и изготавливать дубликаты. Обычно скиммер дополняется специальной малозаметной накладкой на клавиатуру банкомата, или же миниатюрной видеокамерой – эти приспособления должны "без шума и пыли" украсть ваш пин-код.


Банкомат до и после установки скиммера

Банкоматы с установленными скиммерами находят на просторах СНГ в завидным постоянством, однако излишне драматизировать ситуацию также не стоит: подключайте систему смс-уведомлений о совершенных вами же транзакциях (лучше лишний раз прочитать и удалить скучное сообщение, чем лишиться накоплений за полгода, ведь так?), не пользуйтесь банкоматами на вокзалах и прочих слишком людных местах, а ещё хорошенько присматривайтесь к их внешнему виду – если наблюдается что-нибудь подозрительное, то лучше поискать в окрестностях другую "машину для съёма денег".

Но перед этим обязательно позвоните в банк и сообщите о своей "находке" – контактный телефон обычно написан прямо на пластиковой карточке. Помните: этот звонок позволит многим менее внимательным и компетентным людям сохранить их деньги и, вполне возможно, даже приведет к обнаружению и задержанию мошенников… Банки ведь старательно оберегают свою репутацию.

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.