Amikor a Microsoft leállította a Windows XP támogatását, sokan kezdtek aggódni az ATM-ek biztonsága miatt, mivel a pénzkiadó automaták nagy része a kifutott operációs rendszert futtatta. Még 2015-ben is az európai ATM-ek 95 százalékán futott az Embedded XP. Bár az XP-s automaták aránya azóta csökkent, de ezeknek a berendezéseknek az életciklusa hosszú, akár 10-15 évig is üzemben maradhatnak. Kézenfekvő lenne az operációs rendszer cseréje, de az sem olyan egyszerű, mivel az ATM-ek mögött működő szoftverek egy részénél kompatibilitási problémák lennének.

De nem csak a kifutott Windows okoz problémát. Egy friss kutatás további biztonsági kockázatokat is azonosított. A Positive Technologies 46 különféle típusú (többe között NCR-, Diebold Nixdorf-, GRGBanking-gyártmányú) ATM-et vizsgált meg biztonsági szempontból [PDF]. Még mindig volt közöttük sok XP-s, de Windows 7-es és Windows 10-es rendszer is. A szakértők több forgatókönyvet is kipróbáltak az ATM-ek feltörésére.

Az elavult operációs rendszer csak egy – és nem is a legelterjedtebb – sérülékenység az elemzés szerint. A Positive Technologies hat olyan biztonsági problémát azonosított, melyek legalább azt ATM-ek négyötödét veszélyeztetik.

A legáltalánosabb veszélyforrás (az automaták (96 százalékánál tapasztalták), hogy nem védik megfelelően az adatforgalmat. A második helyre futott be a nem megfelelően frissített operációs rendszerek és alkalmazások kockázata (92 százalék). Az ATM-ek 88 százalékát veszélyezteti a helytelenül konfigurált alkalmazásvezérlés, 85 százalékát a nem kellően szigorú helyi biztonsági házirend, valamint az ún. kiosk mód nem elégséges felügyelete. Az ATM-ek 81 százalékánál pedig az okoz gondot, hogy engedélyezik rajtuk az USB és PS/2 interfészű perifériák használatát.

Forgatókönyveket is végigjátszottak

A kutatók felvázoltak forgatókönyveket is, hogy miként lehet kihasználni a legfontosabb sérülékenységeket.

Mindössze tíz perc alatt kirámolható black box technikával az ATM-ek 69 százaléka. Mivel a legtöbb ATM előlapjához fizikailag hozzá lehet férni, a bűnözők egy abba fúrt lyukon keresztül hozzáférhetnek a bankjegyadagoló vezérlőjének kábeléhez, és azon keresztül egy saját programozott céleszközzel, amit például egy RaspBerry Pi-ből építenek (ez a black box), készpénzkiadási parancsokat tudnak kiadni, miközben letiltják a hozzáférés jogszerűségét ellenőrző segédprogramokat.

Kicsit hosszabb idő, 15 perc kell a hálózat felől végrehajtott támadásokhoz. Ez összességében az ATM-ek 85 százalékát veszélyezteti. Ha van beépített ember a banknál vagy az internetszolgáltatónál, akkor távoli hozzáférés is megoldható, ellenkező esetben itt is kell a helyszíni jelenlét. Úgynevezett közbeékelődéses (man-in-the-middle) támadásokat lehet így végrehajtani. A vizsgált ATM-ek több mint negyedénél például megszemélyesítéses támadásokat hajtható végre, vagyis a közbeékelt eszköz azt hazudhatja, hogy az ő számítógépe a banki rendszer, így a tranzakciók engedélyezhetővé válhatnak. Emellett a készülékek 58 százalékánál találtak a hálózati szolgáltatásokban olyan sérülékenységet, amit szintén ki lehet használni támadásra.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A tanulmány külön foglalkozik az ún. a kiosk mód kockázataival. Ennek a módnak kellene biztosítania azt, hogy az ügyfél csak azzal az egyetlen alkalmazással kommunikálhat, ami az ATM kijelzőjén megjelenik. Az ATM-ek háromnegyedében (76 százalék) azonban nem tiltották le olyan billentyűkombinációk, mint amilyen az Alt+F4, a Win+Ctrl, az Alt+Tab vagy az Alt+Shift+Tab. Így ha a támadónak sikerül hozzáférnie az automata USB vagy PS/2 portjához, egy emulált billentyűzet segítségével kiléphet a kiosk módból, és onnantól lényegében szabad az út az ATM rendszeréhez. Egy ilyen támadás végrehajtásához is elegendő 15 perc.

Kasszafúró is kell hozzá

Az viszont jó hír, hogy a forgatókönyvek többségének végrehajtásához fizikailag is hozzá kell férni az automatákhoz. A bankok ugyan törekszenek a fizikai védelem megerősítésére (speciális, ellenálló  anyagok használata, kamerarendszerek stb.) Ezek azonban csak akkor működnek, ha megfelelő riasztási rendszerrel is párosulnak. Az olyan, hálózaton keresztül végrehajtott támadásokon viszont ez sem segít, amikor a bűnözők egy beépített emberen keresztül, távolról használják ki az automaták sérülékenységeit. További kockázatot jelent, hogy a bankok az azonos típusú automatáikat jellemzően ugyanolyan konfigurációval használják, így ha a támadók egyet már feltörtek, és azt sikerült titokban tartaniuk, akkor a többi azonos típushoz már sokkal könnyebben hozzáférnek.

A teljes tanulmány itt érhető el PDF-ben.