Information Security
IT systems testing
Antivirus protection
IT Infrastructure
Comments 49
+5
некая личность вскрывает верхний отсек (зону обслуживания), подключает к банкомату «волшебный ящик», закрывает верхний отсек и уходит.
какого фига доступ к зоне обслуживания такой легкий? там нет замков? это же должен быть сейф а не просто дверца с удобной ручкой!?

p.s. считаю что любой факт обслуживания банкомата должен поднимать алерт и если он не совпадает с запланированным, паниковать. Сколько лет банкоматам, а такой простой вещи нет?
+2

Ну вот до сих пор защищают только нижнюю часть, где находятся кассеты с купюрами. Очень часто видел банкоматы, где у верхней части замок отперт так, что передняя часть с экраном и пинпадом выезжала на салазках, либо открывалась в бок, как дверка. Стараюсь на таких скомпрометированных банкоматах не выполнять операции с картой.

0
Это халатность обслуги. Которая забыла защелкнуть замки после обслуживания… Или второй вариант — вы застали как раз момент обслуживания.
+2

Вы, конечно, считаете совершенно правильно. Так оно и должно быть. По идее, при любом вскрытии корпуса такого девайса, как банкомат, сотрудники банка об этом будут оповещены. А в критической ситуации банкомат должен уметь уничтожать весь запас денег внутри. (Типа, залить их краской). Но это только "по идее".
А на практике… вспоминаем классику советского кино:


-Что может спасти на от ревизии?
-Не нас, а вас!
-От ревизии нас может спасти только кража.
-Со взломом? 8 лет. Не пойдет.
-Красть ничего не надо, все уже украдено до вас.


Так вот, это все хорошо "по идее", а на практике злоумышленники запросто могут действовать в сговоре с сотрудниками банка… И вполне возможно, с высокопоставленными сотрудниками.
Думаю, дальше все должно быть очевидно.

+1
Так вот, это все хорошо «по идее», а на практике злоумышленники запросто могут действовать в сговоре с сотрудниками банка… И вполне возможно, с высокопоставленными сотрудниками.
Думаю, дальше все должно быть очевидно.
Высокопоставленный сотрудник коммерческого банка отдает приказание не запирать зону обслуживания банкоматов и это остаётся незамеченным?
+1
да, и почему пинпад и обмен с ним весь такой защищенный, а устройство выдачи банкнот можно без проблем задействовать снаружи, не оставляя следов. Пусть и с ним обмен будет защищенным.
+2

Защищенность пинпада регулируется требованиями платежных систем. Банк на нем не сможет сэкономить, в отличие от устройств хранения и выдачи банкнот.

0
нет… это не правда. блок стоит под охраной… не нужно считать сотрудников банков идиотами которые сэкономили 1 доллар на датчик открытия дери…
+2
Как показывает практика, банки — те ещё жмоты. Если чего-то нет в регламентах, то сотрудники лишнюю трату ленятся обосновать. А методологи эти регламенты хорошо если раз в год обновляют. Хорошо, хоть от платежных систем mandatory changes 2 раза в год приезжают, это заставляет шевелиться, а не покрываться мхом.
0
Нету такого. Стоят эти двери под охраной. Что сейф, что блок управления. так что нереальная ситуация.
+1
Да, простенький замок. Еще сигнализация и видеонаблюдение, если не поленились/не зажабили их ставить, а вся безопасность в сейфе для кассет. А если учесть, что большинство банкоматов для банков убыточны, то и банки не хотят вбухивать в них еще прорву бабла на безопасность.
+2
Ну я никогда не видел банкоматов, у которых бы не стояло датчиков на открытие управляющего модуля… это надо быть реально очень решительным человеком, чтобы такое сделать.
Так же как и пустить связь по незащищенному каналу, без шифрования…
А имея физический доступ внутрь банкомата можно и уже и не особо напрягаться с его взломом…
+1
Так же как и пустить связь по незащищенному каналу, без шифрования…

До сих пор можно встретить банкоматы, работающие по сырому X.25 без всякого тунельного шифрования. Пинблок зашифрован, данные MAC-ируются, а остальное — «и так сойдёт».
0
Ну считается, что прямое модемное соединение точка-точка достаточно защищенно… С какого перепугу — я не знаю… Но могу сказать, что я такой банкомат в последний раз видел лет 15 назад… После — только по IP
+1

Не все банки тратятся на постановку банкомата на пультовую охрану. Некоторые рассчитывают на охранные меры торгового центра и страховку. Датчик открытия сработает, но проверять его в реальном времени и выезжать на место — нет выделенных сотрудников.
Ключ от сервисного отсека — вообще универсальный на все банкоматы конкретного производителя.
Во время обслуживания банкомата редкий сотрудник охраны подойдет и поинтересуется полномочиями.
Таким образом не понимаю удивления комментаторов выше — немного экономии со стороны банка, немного халатности охраны + социальная инженерия и программно-аппаратные средства. Да, подготовки это требует, но точно не как в 11 друзьях Оушена.

0
Ну если банк потратив 10 тыс у.е. на банкомат еще какоето количество чтобы его постаить, оплатил аренду и решил сэкономть 200 на установку охраны — то флаг в руки тому банку… Правда я думаю что и налички в том банкомате будет кот наплакал…
+2
Знали бы вы, какие чудеса творит спецовка и светоотражающая жилетка на охранников и прочих, даже САБовцы иногда умудряются проворонить такое, что уж говорить об охраннике в ТЦ. Ну и на закуску (хотя может и постановка была) на BBC была программа The Real Hustle, в одной из серий которой одетые в липовую форму работников банка жулики тупо увезли банкомат из магазина на тележке.
0
Если контора, которая ставит сигнализацию прикрепит блок охранный не на стену рядом с банкоматом, а на банкомат, то да, такой казус может случиться…
0
А еще экономят и на защите. По пальца можно пересчитать установку антивирусов на банкоматные сети, хотя это и требуется тем же PCI DSS
+1
Ну когда пришел петя, то антивирус не помог… так что и тут он не сильно поможет. Тем более что на банкоматах как правило виндовс ну очень сильно порезанный.
Во время профилактики да, надо прогонять им… на всякий…
+2
Петя это эпичный и отдельный случай. Софт, через который тот распространялся, конфликтовал со всеми антивирусами и прямо на сайте были инструкции для каждого антивируса, как его отключить.
На банкоматах может быть IoT версия. Но очень часто ставят и обычную Windows. И кстати на IoT антивирус тоже может работать. Там больше ограничение по требуемой оперативной памяти — она на всех устройствах по минимуму
+1
Петя это эпичный и отдельный случай.

Случай эпичный, да. Только этого петю словили не только те компы, на котором тот медок стоял… И антивирус не помог остальным компам.
На банкоматах не ставят по причине того что антивирус может решить что коннекты от процессинга — это вирус и тупо обрубить связь с процессингом (и это далеко не нулевая вероятность). Или просто тупо портить пакеты между процессингом и банкоматом. А так как в нормальных банках банкоматы стоят в отдельной сети и удаленное управление у них как правило отрубленно, то прийдется ехать к этому банкомату и делать обрезание этому антивирусу. А это — простой в работе и немалый. Особенно если банкомат находится гдето на краю галлактики.
Так что тут еще бабка на дове сказала, что лучше — поставить антивирус (который не факт что словит вирус), но может положить связь или не ставить его и просто банкомат должны обслуживать не идиоты, чтобы не занесли туда чего-то…
0
Насколько я понимаю, вы все же в данном случае говорите про файрвол? Не помню требуется ли он по PCI DSS. Антивирус требуется, а вот насчет файрвола не уверен
+1
Конкретно — касперский антивирус может конкретно жизнь попортить.
Майкрософтовский антивирус как правило стоит везде, где нет нормального антивируса, но он сам по себе отдельно обновляться не может, без обновления виндовса. Что резко уменьшает его полезность, которая и так так себе…
По поводу требований установить антивирус — не знаю текущее состояние этого вопроса… слава Богу меня эти вопросы уже не касаются :)
+2
любой антивирус может жизнь попортить увы. Вопрос что желательнее — ехать в глухомань поднимать банкомат, зашифрованный случайно попавшим трояном или проверять заранее обновления антивируса

А в стандарте как было так и есть требования антивируса
+1
Оба явления вероятны. И уже на соотношении этих вероятностей можно делать вывод о том что ставить или нет.
банкомат, зашифрованный случайно попавшим трояном

В правильно подключенный банкомат случайно троян не попадет. Только если его обслуживают некомпетентные люди. И принесут на своей флешке вирусню.
Это как раз случай с петей и доказал…
0
В нормативке совсем не описывается, что нужно защищаться от неизвестного вредоносного ПО. И не защищаются
0
неизвестного вредоносного ПО

Так это и есть вирус :) И основная задача для антивируса :)
+2
Проблема в том, что миф гласит, что есть антивирус который знает 100% вредоносных программ в момент проникновения. А это невозможно даже теоретически. Но именно из расчета этого мифа и строится защита. Не закладываются методы на случай если антивирус не знает новую угрозу. Даже не спец созданную, а просто перегенеренный известный троян, но не распознаваемый по существующим записям
+1
Ну я о том и говорю, что антивирус не факт что защитит, и факт что может навредить. И чтобы такое оборудование работало без сбоев нужно не просто антивирус накатать… он не панацея и совсем не обязательный в определенных условиях…
0
Естественно. Те же ложные срабатывания никто не отменял. Обновления антивируса нужно тестировать до распространения.
+2
А проприетарные протоколы, по которым периферия и хост взаимодействуют, не требуют авторизации
При этом всеми силами пытаются зашифровать видео, которое передётся из кодека на монитор, чтобы его не даё бог не скопировали (привет DRM). Сразу видно, где настоящие деньги…
0
Вроде как это DRMо уже сломали методом «спиратить ключи у производителя чипов».
0
Не суть (хотя сей факт не может не радовать). Речь о том, что на эту хрень тратится уйма усилий, вместо того, чтобы решить вполне прикладную проблему.
-2
Я так понимаю, они через USB подключают свои ОС. Получается, что USB в биосе не отключен?
+1
1. Все деньги в сейфе банкомата застрахованы. Банк при таком грабеже не пострадает никак.
2. Верхний отсек действительно очень просто открывается, но уже многие банки стали ставить сигнализации и так просто без шума открыть банкомат не выйдет.
3. Сетевой обмен с процессингом тоже как правило уже шифруется, ставится либо cisco с ipsec, либо иные аппаратные средства. Увы не у всех банков так, но у многих крупных.

Но всегда найдется паршивая овца в стаде, пренебрегающая каким то из 3-х пунктов и на этом играют мошенники.
+2
Все деньги в сейфе банкомата застрахованы.

Да кто сказал, что это так? Стандартное клише из телевизионных фильмов. Кто потерял деньги, тот сам и виноват, никто не обязывает страховать. Есть резервы, навязанные сверху со стороны ЦБ и АСВ, но это не тоже самое, что страховка.
+1
Я вам говорю, проработал в банке 10 лет и занимался как раз банкоматами и терминалами. Может я некорректно выразился, но страхуется банкомат от факта взлома и выемки денег. Но что мне вам рассказывать, вы же сами все «знаете».
0
«Кроилово ведёт к попадалову».
Чем больше поток клиентов у банкомата, тем чаще его обслуживание. Невозможно каждую замену бумаги проводить в присутствии сотрудника безопасности. Опять же, банки как тут уже упоминали, несут с банкоматов убытки и не стремятся увеличивать траты на обслуживающий персонал, переводя обслуживание на аутсорсинг.
Судя по виду blackbox'а, подвесить его на системный блок не составит труда, и даже при сработке сигнализации, наряд скорее всего, не успеет приехать на УС, а когда приедет застанет ATM в рабочем состоянии и всё будет списано на ложную тревогу.
+1
что несет автор? куда он собрался подключаться? нет никаких там разъемов
+2
Cutlet Maker — к уязвимым банкоматам подключался мимо штатного открытия верхней зоны, тупо отдиралась панель с камерой и далее в глубине был USB порт. Гугл думаю найдет чуть-ли не FAQ как сделать котлет из банкомата
0
У нас в городе скорее ему отдерут задницу, чем от отдерет что-либо от банкомата.
0
Норматив на подрыв банкомата, если мне склероз не изменяет порядка 20-30 секунд. Примерно столько же на взлом
0
чувак, банкоматы не в лесу располагаются, поэтому нормативы тут не работают
0
Это была статистика от одного из банков. Соответственно норматив на время реагирования
+2
чувак, банкоматы не в лесу располагаются, поэтому нормативы тут не работают

Нужно мне как то было заявку закрыть, дозвониться до безопасников я не мог, я банкомат открыл, сделал свою работу (не 20 секунд) и никто кто ко мне приехал.
0
В каких только глубенях эффективные менеджеры не понаставят банкоматов. есть даже в чистом поле рядом с контейнером-будочкой сторожа. Строить завод еще не начали, а банкомат, чтобы строители снимали зп уже поставили
0
В каких только глубенях эффективные менеджеры не понаставят банкоматов. есть даже в чистом поле рядом с контейнером-будочкой сторожа. Строить завод еще не начали, а банкомат, чтобы строители снимали зп уже поставили

У нас распилили банкомат на территории закрытой ВЧ, и через месяц туда поставили новый, «усилив безопасность» ещё двумя железными дверьми. Угадаете что с ним стало =)?
Only those users with full accounts are able to leave comments., please.