Fare jackpot al bancomat: malware e altri metodi utilizzati dai cybercriminali per arricchirsi illecitamente

Contenuti

ATM, ATM attacks, Cybercrime

Le macchine in grado di erogare banconote sono entrate a far parte stabilmente della nostra vita a partire dal 1967, quando in una filiale della banca Barclays, a Londra, veniva installato il primo esemplare di sportello ATM (Automated Teller Machine). Attualmente, milioni di persone, in tutto il mondo, utilizzano ogni giorno gli apparecchi bancomat per il prelievo automatico di denaro contante, per ricostituire gli account collegati alle carte di credito, oppure per il pagamento dei servizi più disparati. La gente, tuttavia, fa uso dei bancomat senza pensare in alcun modo al complesso hardware che essi contengono, alle caratteristiche del software di cui tali sistemi sono provvisti, e alle relative tematiche di sicurezza. Purtroppo, i produttori degli apparecchi bancomat, così come gli utilizzatori diretti di questi ultimi, ovvero le banche, non prestano le dovute attenzioni alle problematiche inerenti alla protezione informatica dei dispositivi ATM. Questo viene confermato dal crescente numero dei furti di denaro contante realizzati presso gli sportelli bancomat per mezzo di metodi non distruttivi – senza l’utilizzo di appositi attrezzi per tagliare il metallo o sostanze esplosive.

Per capire i motivi per cui avviene tutto questo, andiamo a vedere, innanzitutto, che cosa è, esattamente, un bancomat.

L’hardware

Di fatto, l’ideatore del sistema, e proprietario del noto marchio, è l’omonimo Consorzio BANCOMAT®. Le società produttrici dell’apparecchio ATM, da parte loro, realizzano il dispositivo dotando lo stesso di vari componenti, quali il dispenser adibito all’erogazione dei contanti, il lettore di card, ed altri moduli, costruiti da varie aziende. I moduli vengono collocati all’interno di un case, che si compone, in genere, di due parti: la parte superiore, denominata “cabinet” o “zona di servizio”, e la parte inferiore, che ospita la cassaforte.

Il cabinet contiene moduli quali l’unità di sistema (sì, una normale unità di sistema, a volte persino situata in un case del tutto simile a quello abitualmente utilizzato per un tipico computer domestico); la tastiera dotata di apposito sistema crittografico (EPP o PIN pad criptato); il lettore di card, ed altri ancora. Nella cosiddetta zona di servizio viene in pratica riunito tutto quello che, secondo il produttore dell’apparecchio bancomat, non offre la possibilità di giungere direttamente al denaro. Probabilmente, è proprio per tale motivo che la copertura del cabinet è in plastica; per contro, l’unica protezione nei confronti di un’eventuale penetrazione non autorizzata all’interno della zona di servizio è rappresentata da una semplice serratura. Tra l’altro, sia le serrature montate, sia le relative chiavi possono essere facilmente acquistate su Internet, visto che ogni produttore installa, sui propri dispositivi, serrature identiche, mentre la maggior parte delle banche, di solito, non pensa alla sostituzione delle stesse con serrature uniche.

La cassaforte viene protetta in modo decisamente migliore: si tratta, in pratica, di un solido blocco (una sorta di “sandwich”) di acciaio e calcestruzzo, provvisto di due tipi di serratura, con codice (elettronica o a combinazione meccanica; talvolta se ne trovano di elettromeccaniche) e con chiave; in quest’ultimo caso, in genere, viene montata una serratura Chubb. Nella zona riservata alla cassaforte vengono ugualmente collocati i dispositivi direttamente correlati al denaro: il dispenser, utilizzato per erogare le banconote, ed il modulo preposto alla ricezione del denaro contante (cash-in module).

Tutti i dispositivi risultano collegati all’unità di sistema – quest’ultima, nella circostanza, svolge la funzione di host (ed è con tale denominazione che la indicheremo in seguito) – attraverso apposite porte USB o RS232 (spesso definite porte COM). Le porte in questione, talvolta, vengono collocate direttamente sull’unità di sistema; in caso di eventuale carenza di porte si ricorre, poi, all’utilizzo di uno splitter USB/COM. Sui vecchi modelli di bancomat, che, a dire il vero, si possono tuttora incontrare, veniva utilizzato un sistema di collegamento diverso, tramite bus SDC.

Il software

L’insieme dei programmi installati, in pratica, su ogni apparecchio ATM, può essere rapidamente descritto; esso si compone, in genere, dei seguenti elementi:

  • sistema operativo;
  • software per la gestione dei moduli di cui è provvisto il bancomat;
  • software utilizzato per interagire con l’utente (cliente del bancomat od operatore);
  • software per comunicare con il centro di elaborazione (preposto a fornire il supporto tecnologico ed informatico necessario per lo svolgimento della transazione);
  • antivirus o software per monitorare l’integrità del sistema.

In linea di massima, tutto questo è sufficiente affinché il bancomat possa espletare tutte le funzioni dirette per le quali è previsto; alcune banche, tuttavia, per qualche motivo, installano sull’apparecchio Acrobat Reader versione 6.0, Radmin, TeamViewer ed altri programmi non necessari, i quali, in alcuni casi, possono persino rivelarsi pericolosi.

In qualità di sistema operativo, la stragrande maggioranza dei bancomat utilizza, tuttora, … Windows XP! E questo nonostante Microsoft abbia interrotto, già dal mese di aprile 2014, la release degli aggiornamenti di sicurezza per tale OS. Così, ovviamente, tutte le vulnerabilità 0-day individuate riguardo al sistema operativo in questione rimangono aperte. I tecnici che eseguono la manutenzione dei bancomat ritengono, spesso, che se l’apparecchio funziona, sia meglio “non toccarlo” (leggi “non aggiornarlo”). Di conseguenza, su alcune “cash machine” può essere tuttora rilevata la vulnerabilità critica MS08-067, non ancora “patchata”, la quale consente l’esecuzione di codice da remoto.

I moduli del bancomat vengono implementati tramite microcontrollori con sistemi operativi real-time (RTOS); questo “rattrista” in particolar modo coloro che utilizzano il disassembler IDA Pro, visto che l’analisi statica risulta davvero poco applicabile nei confronti di tali sistemi.

Ebbene, in linea di principio, tali informazioni possono rivelarsi sufficienti, per eventuali malintenzionati, per avviare l’operazione di hacking.

Il malware

Nell’anno 2009, il mondo degli apparecchi bancomat veniva scosso dalla comparsa del Trojan denominato Backdoor.Win32.Skimer: si trattava, di fatto, del primo programma nocivo appositamente sviluppato per colpire tali dispositivi. Skimer attaccava i bancomat di uno specifico produttore, uno dei leader del mercato. Servendosi del malware in causa, i cybercriminali svuotavano il dispenser di banconote e, allo stesso tempo, ottenevano i dati sensibili presenti sulle carte di credito, elaborati dallo sportello bancomat infetto. Da quel momento in poi, gli apparecchi bancomat prodotti da vari costruttori sono risultati sottoposti, ripetutamente, alle attività dannose condotte attraverso i software nocivi.

Lo schema che riassume le fasi principali dell’attacco abitualmente condotto mediante l’utilizzo di programmi malware, allo scopo di realizzare il furto del denaro custodito nei bancomat, comprende 4 punti ben distinti:

  1. Il malintenzionato ottiene l’accesso alla macchina, localmente o da remoto.
  2. Viene effettuata l’iniezione di codice dannoso nel sistema informatico dell’apparecchio bancomat.
  3. In genere, all’infezione segue il riavvio del bancomat. Il sistema esegue quindi il reboot, apparentemente in modalità normale, ma, allo stesso tempo, si trova ormai sotto il controllo del programma nocivo, vale a dire dei criminali.
  4. La fase finale, ovvero il preciso scopo dell’intera azione nociva, è costituita dal furto del denaro.

Ottenere l’accesso alle parti interne dell’ATM non è poi un’impresa così difficile, come hanno dimostrato gli esperti al Positive Hack Days, noto forum internazionale sulla sicurezza informatica. Anche il processo di infezione, più o meno, risulta chiaro: può essere infatti eseguito del codice arbitrario su un sistema non protetto (o non sufficientemente protetto). Per quel che riguarda, infine, l’ottenimento furtivo del denaro, sembrerebbe che non vi siano quesiti particolari: l’interfaccia del malware, di solito, si apre premendo determinate combinazioni di tasti sul pin pad, oppure inserendo la “propria” carta, per poi riempirsi agevolmente le tasche di banconote.

Ci concentreremo, qui di seguito, sulle modalità attraverso le quali il programma nocivo è in grado di sottomettere il bancomat alla propria “volontà”.

Lo standard XFS

Gli attacker, quindi, hanno infettato l’unità di sistema di cui è dotato l’apparecchio bancomat. E in seguito, cosa avviene?

Qui, occorre di nuovo una breve spiegazione. Come abbiamo accennato in precedenza, il bancomat viene gestito attraverso un’applicazione software basata sull’OS Windows. Generalmente, il compito svolto da quest’ultima consiste nell’organizzare l’interazione dell’utente (cliente o personale di servizio) con il centro di elaborazione – il quale provvede ad inviare i comandi all’apparecchio ATM – e con le apparecchiature che eseguono tali comandi. Lo scambio dei messaggi con il processing center avviene sulla base di protocolli Direct Connect (NDC o DDC); gli utenti, da parte loro, hanno la possibilità di interagire con la relativa GUI (interfaccia grafica utente); il funzionamento di ognuno dei moduli di cui è provvisto il bancomat è infine garantito dai corrispondenti service provider (una sorta di gateway per tali moduli). Per trasmettere i comandi ai service provider e, in seguito, alle apparecchiature, così come per restituire i messaggi di stato, viene utilizzato un particolare standard, denominato XFS Manager – secondo il concetto WOSA.

Fare jackpot al bancomat: malware e altri metodi utilizzati dai cybercriminali per arricchirsi illecitamente

Schema generale relativo al funzionamento del bancomat nel contesto dello standard XFS

XFS (CEN/XFS, in precedenza WOSA/XFS), oppure eXtensions for Financial Services, è uno standard in grado di fornire un’architettura client-server per l’interazione delle applicazioni finanziarie, sulla piattaforma Windows, con determinati dispositivi, ed in particolar modo le periferiche utilizzate nell’ambito degli apparecchi bancomat. Lo standard in questione viene impiegato allo scopo di armonizzare l’operatività del software con qualsiasi apparecchiatura, indipendentemente dal produttore della stessa; XFS fornisce, a tal fine, un’API comune.

In questo modo, qualsiasi applicazione sviluppata tenendo in considerazione lo standard XFS è in grado di gestire oggetti di livello inferiore, operando esclusivamente con la logica descritta in tale standard. Può essere ad esempio ritenuta, a pieno titolo, un’applicazione del genere la backdoor Tyupkin, oppure qualsiasi altro programma malware con caratteristiche analoghe.

Quali sono, in concreto, le opportunità fornite da XFS?

Il dispenser, ad esempio, di sicuro il dispositivo di maggior interesse per i malintenzionati, può erogare denaro senza alcuna autorizzazione. In alcuni modelli di bancomat, poi, per mezzo dell’XFS, tramite apposita programmazione, è possibile aprire la cassaforte e sbloccare le cassette.

[youtube https://www.youtube.com/watch?v=Uxd0TRdE6sw&w=560&h=315]

Esempio di sfruttamento della vulnerabilità MS08_067, la quale consente l’esecuzione di codice arbitrario. Il video è stato mostrato dagli esperti nel corso di Black Hat Europe 2014.

Per quel che riguarda il lettore di card, XFS permette di leggere e registrare i dati contenuti nella banda magnetica della carta di credito, e persino di ottenere lo storico delle transazioni memorizzate sul chip della carta EMV.

Non si può non menzionare, poi, la tastiera dotata di apposito sistema crittografico – il PIN pad criptato (EPP). Si ritiene che il codice PIN non possa essere intercettato, in quanto lo stesso viene inserito attraverso il PIN pad dello sportello bancomat, per poi essere direttamente convertito in unità PIN all’interno dell’apposito modulo di cifratura (per tale motivo la tastiera criptata EPP contiene delle chiavi: una coppia di esse viene custodita nel modulo hardware di sicurezza della banca). Lo standard XFS, tuttavia, ci consente di utilizzare il PIN pad in due modalità diverse:

  1. Open Mode – per l’inserimento dei valori numerici, ad esempio la somma che si desidera prelevare;
  2. Secure Mode – modalità alla quale passa la tastiera criptata EPP per l’inserimento del codice PIN e delle chiavi di codifica.

Questa particolare caratteristica consente di realizzare un attacco informatico di tipo “Man-in-the-Middle” (MitM). Nella circostanza, occorre semplicemente intercettare il comando proveniente dall’host e diretto al PIN pad EPP, relativo al passaggio in modalità sicura (Secure Mode), e comunicare al dispositivo che l’operazione prosegue in Open Mode. Attraverso il messaggio di risposta, il PIN pad EPP trasmetterà la sequenza dei tasti premuti, sotto forma di semplice testo; questo, nello specifico, è proprio ciò che occorre al malfattore in agguato.

E per quel che riguarda, invece, la procedura di autenticazione e l’accesso esclusivo? Le specifiche inerenti allo standard, permettono di realizzare tutto questo?

L’architettura XFS, purtroppo, non prevede tali peculiarità. Lo standard in causa, di fatto, non contempla alcun tipo di autenticazione, mentre l’accesso esclusivo ai service provider risulta sì implementato, ma non per fini di sicurezza. Si tratta, riguardo a quest’ultimo, solo ed esclusivamente di una funzione che permette l’invio dei comandi tramite un unico flusso, allo scopo di non danneggiare, casualmente, le delicate infrastrutture, tramite l’invio parallelo di due comandi identici.

Capito bene? Il suddetto standard, in sostanza, è destinato alle applicazioni utilizzate nella sfera finanziaria; sembrerebbe, tuttavia, che in esso non vi sia nulla riguardo alla sicurezza. Dove si possono reperire le relative specifiche, per convincersi definitivamente di quanto sopra descritto? La risposta è semplice: in qualsiasi motore di ricerca, inserendo la query “ATM XFS”; il risultato che si desidera ottenere comparirà, in effetti, ai primi posti dell’elenco di URL restituito dal search engine.

Software per il controllo dell’integrità

Alcuni istituti bancari, a volte, utilizzano per i propri apparecchi bancomat appositi strumenti software adibiti al controllo dell’integrità, i quali promettono di impedire l’esecuzione di codice non autorizzato, sulla base di una specifica whitelist; a questo si aggiungono il controllo delle connessioni dei dispositivi e delle memorie, così come ulteriori metodi atti a contrastare, in teoria, eventuali attacchi.

Non bisogna tuttavia dimenticare che si tratta, in primo luogo, di un software ed esso, al pari di qualsiasi altro software, non rappresenta, nella circostanza, la soluzione ideale. Infatti, il software in questione può rivelarsi vulnerabile nei confronti di attacchi quali, ad esempio, quelli condotti esternamente al perimetro dell’apparecchio, con l’intento di bypassare quest’ultimo; la potenziale vulnerabilità si estende ugualmente al bypassing delle whitelist, al buffer overflow, all’eventuale innalzamento dei privilegi sino al livello di utente SYSTEM, e ad altro ancora. Come si può facilmente immaginare, le vulnerabilità esistenti consentono spesso ai malintenzionati di ottenere l’accesso al sistema operativo, per poi compiere azioni illecite.

Funzionalità non documentate

I cyber criminali possono avvalersi anche di utility modificate, originariamente previste dagli sviluppatori o dagli stessi produttori degli apparecchi ATM per verificare il corretto funzionamento dei dispositivi. Una delle funzioni svolte dalle utility in causa è rappresentata dal testare l’operatività del dispenser, incluso il processo di erogazione delle banconote. Per condurre tale test, il tecnico dovrà innanzitutto dar prova della propria legittimità, aprendo la porta della cassaforte, oppure eseguendo una manovra qualsiasi a livello di cassette del dispenser. La logica è molto semplice: se sei in grado di aprire la cassaforte, questo significa che sei in possesso della relativa chiave e, pertanto, sei un tecnico autorizzato, oppure una persona ufficialmente incaricata del ritiro e del trasporto degli incassi. Tuttavia, sostituendo solo un paio di byte dell’utility con quelli “giusti”, si potrà “testare” l’emissione del denaro senza dover sottostare ad alcun controllo preventivo.

Esiste poi un ulteriore metodo nocivo per arricchirsi illecitamente: modificare il valore nominale delle banconote erogate dal bancomat: anche in tal caso, i malintenzionati ricorrono ad una utility di diagnostica. Il risultato di tutto ciò è che l’attacker riceverà, dalla cassetta, banconote di grosso taglio (ad esempio banconote da 100 dollari o 100 euro), mentre il software del bancomat “penserà”, erroneamente, che in quel momento stia erogando i tagli più piccoli (da cinque o dieci). In questo modo, con una carta il cui saldo ammonta, ad esempio, ad alcune centinaia di euro, si potranno ottenere banconote per un corrispettivo di alcune migliaia di euro.

Gli attacchi “black box”

Un altro tipo di attacco, di cui si occupano sempre più spesso i mass media e la stampa specializzata, è rappresentato dal cosiddetto attacco “black box”. Le registrazioni effettuate dai sistemi di videosorveglianza mostrano che l’attacco in questione avviene così: l’attacker apre, “fisicamente”, la zona di servizio dell’apparecchio bancomat, collega a quest’ultimo la propria “scatola magica”, richiude il cabinet e si allontana. Subito dopo, giungono nei pressi dello sportello bancomat persone che, in apparenza, hanno l’aspetto di clienti ordinari, le quali ricevono dall’apparecchio ATM notevoli quantità di denaro, davvero ingenti. Ovviamente, i malintenzionati non lasciano poi sul posto il loro “prezioso” dispositivo; una volta raggiunto lo scopo, infatti, se lo riprendono, senza alcuna esitazione. Il risultato di tutto questo, in genere, si vede dopo qualche giorno: il personale della banca, vedendo le cassette svuotate, e non trovando i relativi log, si mette letteralmente le mani nei capelli, tentando di capire cosa sia successo.

Ma non vi è alcuna magia, in tutto questo; semplicemente collegando al dispenser, in sostituzione dell’host, un microcomputer appositamente programmato, i cyber criminali bypassano qualsiasi misura di sicurezza implementata a livello di host: antivirus, eventuali strumenti per il controllo dell’integrità, incluso la codifica completa del disco, etc.

Comunicazioni non sicure

Come abbiamo detto in precedenza, in qualità di canale per la trasmissione dei dati tra unità di sistema e dispositivi, possono essere utilizzati i protocolli USB, RS232 o SDC. Il fatto è che, tuttavia, nulla impedisce ai criminali di inviare i comandi a loro occorrenti direttamente alla porta del dispositivo, bypassando, così, il relativo service provider. Le interfacce sono standard; spesso poi, per le stesse, non occorre alcun driver specifico. Allo stesso modo, non è prevista alcuna procedura di autorizzazione; questo, in pratica, rende tali protocolli proprietari, non protetti, un facile bersaglio, del tipo “just sniff and replay”. Il risultato di tutto ciò si riassume nel controllo diretto dei moduli del bancomat, nell’utilizzo di funzionalità non documentate (avendo ad esempio modificato il firmware di cui sono provvisti i moduli). Inoltre, i malintenzionati possono fare uso di un analizzatore software o hardware del traffico, dopo aver installato lo stesso direttamente sulla porta dell’apparecchiatura presa di mira – ad esempio il lettore di card – allo scopo di carpire i dati trasmessi. Di fatto, risulterà piuttosto difficile e complicato rilevare la presenza di un simile analizzatore.

Assumere il controllo diretto del dispenser consente, in pratica, di poter svuotare le cassette del bancomat; nella circostanza, a livello di log (attività normalmente eseguita dal software presente nell’apparecchio ATM), non rimarrà alcuna traccia dell’operazione illecita compiuta.

Fare jackpot al bancomat: malware e altri metodi utilizzati dai cybercriminali per arricchirsi illecitamente

Un tipico pacchetto, relativo al comando impartito per l’erogazione di una banconota dalla prima cassetta del dispenser

Per un profano, tutto questo può apparire come una sorta di magia. Questa “magia”, come ogni “gioco di prestigio” che si rispetti, si compone di tre diversi atti, o azioni: la raccolta del denaro presente nelle cassette del bancomat; l’apertura dello shutter (la “tendina”, o fessura, attraverso la quale compaiono le banconote); la presentazione del denaro al cliente.

[youtube https://www.youtube.com/watch?v=ksEmXuV324I&w=560&h=315]

Esempio di attacco “black box” nei confronti di un apparecchio ATM; il video è stato preparato dagli esperti, per essere poi mostrato nel corso della conferenza Black Hat Europe 2014

Gli skimmer hardware, ormai, sono roba del secolo scorso. Il collegamento diretto, in sostanza, consente di leggere e registrare i dati presenti sulla banda magnetica della carta di credito. In qualità di connessione diretta, possono essere utilizzati anche analizzatori software del traffico pronti all’uso, facilmente reperibili su Internet. Un mio amico ha raccontato che in una banca di non piccole dimensioni tutti i bancomat venivano utilizzati, in pratica, come skimmer: i cyber criminali, avendo individuato una vulnerabilità nella rete informatica dell’istituto bancario, avevano installato sugli apparecchi bancomat un’utility sniffer USB, tramite la quale avevano poi raccolto, sotto forma di semplice testo, tutti i dati contenuti nelle carte di credito dei clienti; e questo per ben cinque anni di fila! Chissà, forse anche la vostra carta di credito è transitata da quelle parti.

Fare jackpot al bancomat: malware e altri metodi utilizzati dai cybercriminali per arricchirsi illecitamente

Dati intercettati, relativi al Track 2 della carta di credito

La rete

La connessione tra apparecchi ATM ed il centro di elaborazione può essere protetta in vari modi. Ad esempio, tramite una VPN hardware o software, oppure mediante l’utilizzo della codifica SSL/TLS; attraverso un apposito firewall, ed anche per mezzo dell’autenticazione MAC, implementata su protocolli xDC. Tutte queste misure di sicurezza, tuttavia, sembrano talvolta apparire così complesse, alle banche, al punto che non viene fatto ricorso ad alcuna protezione della rete.

In questi casi, un malintenzionato può eseguire un attacco di tipo “Man-in-the-Middle” (MitM), a seguito del quale il cybercriminale potrà ottenere sia i dati relativi alle carte di credito, sia tutto il denaro custodito nel bancomat. Per realizzare tale assalto informatico, è necessario disporre dell’accesso remoto al dispositivo. Esso viene ottenuto, di solito, utilizzando eventuali servizi vulnerabili, accessibili da Internet, così come strumenti di ingegneria sociale. Nella circostanza, può rivelarsi ugualmente utile, per tali scopi nocivi, l’accesso fisico all’hardware di rete, incluso il cavo Ethernet del bancomat.

Sul cammino che conduce al centro di elaborazione “autentico” si inserisce, quindi, un “processing center” fasullo, anch’esso in grado di inviare comandi al software del bancomat, per l’erogazione delle banconote. Inoltre, si può prelevare denaro utilizzando qualsiasi carta, anche scaduta, anche se quest’ultima presenta un saldo pari a zero; l’importante è che il falso centro di elaborazione la “conosca bene”. In veste di processing center fasullo possono essere utilizzati sia un prodotto “fatto in casa”, in grado di supportare le comunicazioni con l’apparecchio bancomat tramite protocolli xDC, sia appositi simulatori dei centri di elaborazione, preposti, originariamente, al controllo delle impostazioni di rete (un ulteriore “regalo” ai malintenzionati da parte del vendor).

Fare jackpot al bancomat: malware e altri metodi utilizzati dai cybercriminali per arricchirsi illecitamente

Comandi relativi all’erogazione di 40 banconote dalla quarta cassetta, trasmessi attraverso un processing center fasullo e registrati nei log prodotti dal software utilizzato per l’apparecchio bancomat. Sembrano quasi autentici

I cybercriminali, però, dove trovano gli sportelli bancomat che possono essere attaccati attraverso la rete? Eseguono forse la scansione di tutte le reti situate nelle loro vicinanze, oppure acquistano le informazioni direttamente sui forum underground?

A quanto pare, si può semplicemente inoltrare la giusta richiesta al motore di ricerca www.shodan.io (gli esperti sanno bene che si tratta del noto scanner per l’Internet delle Cose). I dati raccolti attraverso tale scanner, in genere, si rivelano sufficienti per poter condurre attacchi del genere.

Esiste poi un’ulteriore variante: si possono semplicemente scrutare con attenzione i bancomat situati nei centri commerciali e nei negozi.

Fare jackpot al bancomat: malware e altri metodi utilizzati dai cybercriminali per arricchirsi illecitamente

A volte, per ottenere l’accesso al sistema ATM, non occorre nemmeno aprire l’apparecchio: le connessioni per comunicare, in effetti, sono addirittura situate all’esterno

Di chi è la colpa? Cosa fare, quindi?

Questa, di solito, è la parte più “dolorosa”; ecco perché.

Quando, nel corso del processo di analisi del livello di protezione che caratterizza gli apparecchi bancomat, vengono da noi rilevate delle vulnerabilità, ci premuriamo, ovviamente, di trasmettere al vendor un’apposita notifica, con la descrizione delle carenze individuate e, al tempo stesso, dei metodi da applicare per risolvere tali problematiche. Spesso, le risposte ottenute suscitano notevoli perplessità (abbiamo qui di seguito mantenuto la “stesura” originale):

“The vulnerabilities are essentially normal specifications of the card readers and not unexpected. As long as the ATM is running within normal parameters, these problems cannot possibly occur.”
(Traduzione: “Le vulnerabilità fanno parte, essenzialmente, delle normali caratteristiche possedute dai lettori di card; non sono quindi inattese. Nella misura in cui l’ATM opera entro i normali parametri di funzionamento, questi problemi, presumibilmente, non possono verificarsi)

“However this vulnerability is inherent in the USB technology and is expected be mitigated by the use of appropriate physical controls on access to the ATM top box.”
(Traduzione: “Tuttavia, questa vulnerabilità è insita nella tecnologia USB e dovrebbe essere mitigata mediante l’utilizzo di adeguati controlli fisici per quel che riguarda l’accesso alla top box dell’ATM.”)

“We regret informing you that we had decided to stop producing this model more than 3 years ago and warranties for our distributors been expired.”
(Traduzione: “Siamo spiacenti informarvi del fatto che abbiamo deciso di interrompere la produzione di questo modello più di 3 anni fa; le garanzie per i nostri distributori sono quindi scadute.”)

In effetti, perché mai i vendor dovrebbero essere preoccupati per il fatto che apparecchi bancomat non più in garanzia vengono tuttora utilizzati da banche situate in tutto il mondo, e che la sicurezza fisica di questi ultimi lascia spesso a desiderare? Purtroppo, la realtà è tale per cui i costruttori sono esclusivamente interessati alla vendita di nuovi prodotti, e non all’eliminazione delle carenze riscontrate nei sistemi attualmente in uso; le banche, da parte loro, non sono in grado di venire a capo, in maniera autonoma, dei problemi esistenti, a causa della mancanza delle necessarie e specifiche competenze.

Per fortuna, alcuni produttori comprendono bene quanto sia pericolosa la possibilità di un uso non autorizzato degli sportelli bancomat, e rilasciano, quindi, i necessari aggiornamenti di sicurezza. In qualità di misure atte a contrastare gli attacchi portati nei confronti dei dispenser, si ricorre all’utilizzo dell’autenticazione a due vie e alla crittografia (occorre ricordare che non si tratta, nella circostanza, di un tipo di crittografia qualsiasi, bensì di un sistema crittografico correttamente implementato).

Tuttavia, come dimostra la realtà, le misure compensative attualmente esistenti sono in grado di salvaguardare l’apparecchio bancomat nei confronti del malware, mentre si rivelano impotenti contro gli attacchi “black box” o gli attacchi di rete. L’enorme quantità di carenze riscontrate a livello di sicurezza, e l’elevato numero di vulnerabilità individuate – per sfruttare le quali non è di fatto richiesta alcuna conoscenza specifica – rendono le macchine adibite all’erogazione automatica del denaro contante un bersaglio particolarmente appetibile per coloro che intendono arricchirsi con mezzi illeciti.

Una via di uscita, comunque, esiste

I produttori di apparecchi bancomat, tuttavia, hanno la possibilità di ridurre i rischi derivanti dagli attacchi condotti nei confronti di tali macchine.

  • In primo luogo, occorre rivedere lo standard XFS, ponendo un’attenzione particolare alle tematiche di sicurezza; si rende ugualmente necessaria l’introduzione dell’autenticazione a due vie, tra i vari dispositivi ed il software legittimo; questo consentirà di ridurre le probabilità che possano verificarsi l’erogazione non autorizzata di denaro attraverso l’utilizzo di programmi Trojan ed il controllo diretto dei moduli del bancomat da parte dei malintenzionati.

  • In secondo luogo, occorre implementare l’erogazione “autenticata”, per escludere la possibilità di eventuali attacchi in cui si prevede la sostituzione del processing center.

  • In terzo luogo, si rende necessario implementare la protezione crittografica, così come il controllo dell’integrità dei dati trasmessi fra tutti i dispositivi presenti nel bancomat..

    E le banche, da parte loro, cosa dovrebbero fare? La risposta è semplice: agire!

    Obbligare, quindi, coloro che vendono gli apparecchi bancomat ed il relativo software a rendere gli stessi ben sicuri e protetti. Le vulnerabilità esistenti devono essere eliminate, da parte del costruttore, nel più breve tempo possibile; quest’ultimo, quindi, dovrà essere necessariamente informato, a tal riguardo, con una frequenza ancora maggiore. In qualità di misura atta a contrastare la violazione degli apparecchi ATM da parte di malintenzionati senza scrupoli, occorre attivare tutti gli strumenti di protezione disponibili. L’intero elenco delle prescrizioni e dei requisiti previsti a livello di standard PCI DSS non può essere considerato come una sorta di arma “magica” e, di fatto, non proteggerà in maniera specifica i bancomat nei confronti di possibili attacchi, né le banche che subiscono tali attacchi da eventuali danni finanziari e conseguenti perdite di reputazione. Una protezione proattiva, che includa una frequente analisi del livello di protezione di cui effettivamente dispongono i bancomat, e l’esecuzione di appositi penetration test, sono di sicuro migliori (e si rivelano spesso molto meno costose) rispetto al fatto di dover poi registrare seri incidenti di sicurezza ed indagare, di conseguenza, su di essi, in maniera approfondita.

    Ricordatevi, il nemico è sempre in agguato.

    Mantenetevi quindi bene al sicuro!

    PS: durante la preparazione di questo articolo non è stato preso di mira alcun apparecchio bancomat.

    PPS: la rassegna effettuata riguardo alle problematiche inerenti al grado di protezione di dispositivi impiegati nella sfera finanziaria, non costituisce, in alcun modo, una sorta di guida, manuale, tutorial o materiale “didattico” in senso lato.

  • Post correlati

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *