Pull to refresh

Comments 40

Главные вопросы остались без ответа!

1) Где стоят такие банкоматы?

2) Как подключиться к их USB порту?

Без этих ответов статья будет бесполезна для всех нас, читателей Хабра.

По usb посмотрите второе видео, станет понятнее. А где банкоматы стоят - тут уж извините. Обращайтесь к вендору.

UFO just landed and posted this here

Если вы хотите сравнить срок vs. сумма, то лучше не надо.

суммы загружаемые в банкомат, не такие уж и большие, мы грузили до 10 мнл руб и то на праздники и в проходных местах. Потом ликвидность банкоматов понизили и суммы стали еще меньше, на длинные праздники не хватало даже на половину дней.

Не знаю как сейчас но 10 лет назад в Украине практически повсеместно стояли банкоматы, при доступе к клавиатуре или мыши в которых, можно было получить полный доступ к деньгам в диспенсере.
Диспенсер раньше был довольно тупым устройством в плане управления (механика — да есть нюансы и сложности, но не протоколы управления). Сейчас конечно могло что-то поменяться.

Сейчас повсеместное шифрование и другие техники применяются

Ну вот не знаю, пару лет назад был в Украине, кое-где стоят все те же старые банкоматы. Я понимаю, что могли внутри поменять диспенсер на более новую модель, или добавить какую-то умную плату управления, но слабо верится, учитывая как это все работало раньше, классическое Security through obscurity.


Шифрование было и раньше, но вот когда дело доходило до выдачи — это тупые команды в ком-порт и все. И также не представляю как производить тех обслуживание и ремонт без прямого доступа из компа к диспенсеру.


P.S. Речь не о диболдах, а о сименсах и пару других.

Хотя насколько я понял сейчас винкор объединился с диболдом, так что все это одни и теже банкоматы сейчас

Если речь идёт о диспенсерах cmd v4 или azm ng - то таки да. Но на v5 или v6 банкоматы никто апгрейдить не будет - дорого и бессмысленно, т.к. там нужен совсем другой софт, который в свою очередь может не запуститься на системном блоке. Проще новый банкомат купить. Плюс банки предпочитают использовать ресурс банкоматов на все сто, пока позволяют обстоятельства. Знаю пару рабочих аппаратов, в которых в системнике стоит PIII 600MHz, и банку ок.

Плюс банки предпочитают использовать ресурс банкоматов на все сто, пока позволяют обстоятельства. Знаю пару рабочих аппаратов, в которых в системнике стоит PIII 600MHz, и банку ок.

вот я и о чем же :)
Так что в статье все только о более менее новых моделях, а со старыми, которых все еще подавляющее большинство все намного проще — тупые команды в компорт, для удобства вообще сервисной прогой легко выдать все кассеты, к примеру максимальный номинал в первую очередь

Интересно, когда трафик управления диспенсером (как минимум) начнут полностью пробрасывать в банк?

Пока диспенсер остаётся USB/COM-устройством, а банкомат - не монолитом, смысла в отношении защиты от описанной атаки не будет

А можно для далёких от банкоматной темы парой слов общий сценарий атаки? Злодею всё-таки необходимо сначала физически вскрыть верх банкомата, но дальше можно не трогать верхний ПК (дабы не наследить в нём) и «порулить» диспенсером напрямую?

Во втором видео, которое в конце статьи, об этом рассказано. Советую посмотреть. Также, была статья по NCR на хабре, где в коментах этот момент уже обсуждали.

Если можно, то я немножко придерусь к автору статьи.

  1. Статья написана про оборудование Diebold/Wincor - на фото представлен конкурент NCR.

  2. Принцип работы диспенсора описан так же NCR-овский, он в сильно отличается от Wincor. В NCR вакуумная система забора купюр из кассет при помощи "тех самых присосок", в Wincor система ременная.

  3. Ключей от сейфа у инженера никогда не было - ключи от каждого сейфа уникальные и находятся только у службы инкасации. Единственное куда может попасть инженер самостоятельно - это кабинет, где расположена периферия: системник, принтер, кардридер, монитор клиентский.

КДПВ точно винкор. Про присоски - описывался лишь общий принцип для многих банкоматов, чтобы показать, зачем атакуют диспенсер. Про ременную систему и ключи - спасибо, поправлю.

тоже хотел об этом написать, но насчет 2-х последних пунктов был не уверен, т.к. уже давно не в этой сфере и мог ошибаться

Лет этак 15 назад я как инженер и возил ключи к банкомату. Инкассаторы только за кассеты с деньгами отвечали :)

Есть вещи, о которых в деталях лучше не говорить никогда, даже ради собственного пиара.
Вы только что поспособствовали рождению новой генерации мошенников, разложив по полочкам что и как в открытом доступе. Раньше надо было шариться по спец. ресурсам для этого.
Жизненный цикл банкоматов очень длинный и далеко не всегда будут менять диспенсер или даже системный блок. Так что уязвимость вживую остается много где. Есть производители других фирм. там подобная может уязвимость быть и не закрыта.

Несмотря на то, что про блэкбокс атаки известно давно, тем не менее мерами физической безопасности (сигнализация, датчики сверления) до сих пор оборудуются далеко не все банкоматы, вернее большая часть не оборудована, т.к. экономят.

Вендор был уведомлен об уязвимости в 2018-м году, к тому же с момента исправления прошло 2 года. За это время обновления получили, уверен, практически все.

Цель статьи не побудить злоумышленников, а привлечь к проблеме защищённости банкоматов специалистов по безопасности, других вендоров.

А так, дилемма общая для всех статей по уязвимостям: публикуя, ты говоришь о деталях, чтобы другие могли сравнить как у них, не публикуя - ты не освещаешь проблему, и разработчики различных систем будут и дальше плевать на безопасность.

в отличие от уязвомстей ОС общего назначения, которыми пользуются все граждане, банкоматы - это дело исключительно банка и вендора по обслуживанию банкоматов. Службы безопасности банков и вендоры давно в курсе. Кто-то отреагировал, кто-то в процессе, а кто-то просто принимает риски или страхует их. В любом случае клиентов банка этот вопрос не касается напрямую никак, а значит и привлекать внимание общественности нет смысла, кроме пиара.
В итоге, вытащив грязное белье в общий доступ по факту реальный эффекта - стимулирование появления нового поколения будущих подопечных для киберполиции.

Вы не правы. Инициатором становятся не такие статьи, а инциденты, точно также как и с малварью. Попавший на камеру злоумышленник с ноутбуком у банкомата, после которого пропали все деньги, зарегистрированная APT-активность, похаканный Asure, и т.д. Только после них, чаще всего, начинают разбираться, а как же так, каким образом (зиродей, инсайдер и т.д.), находят проблему и фиксят её. И лишь после этого выходит статья.

Чем больше уязвимостей находится в рамках проектов, тем меньше их достаётся злоумышленникам.

Я уверен, банки как-нибудь с этим справятся. Точнее уже справились. За 2 года. А те кто нет - их проблемы. Клиенты банков от обновления банкоматов тоже только выиграют.

Ну вреда от статьи точно не будет учитывая насколько много людей работающих в банках знают о банкоматах и это совсем не очень небольшое и ограниченное количество специалистов по поддержке банкоматов, это и инкассаторы и простые работники отделений. А учитывая что часто стоят значительно более старые модели, где нет понятия взлома описанного в статье, т.к. выдача через комп сервисной прогой — это by design, то существование уязвимости описанной в статье это просто самая незначительная проблема безопасности из существующих.

Помню лет 20 назад был "скандал" когда производитель ATM оставлял доступ в сервисное меню с клавиатуры банкомата.

99% покупателей не меняли пароли. Кто то догадался внимательно почитать user manual и перепрограммировал аппарат на выдачу 100$ вместо 1$...

Выглядит реально, но есть некоторые нюансы... Хотя я сужу из своей практики, хз как оно там 20 лет назад было

чтобы программировать кассеты нужна сервисная карта же и щелкнуть переключатель внутри, чтобы АТМ перешел в сервисный режим

какой жизнерадостный чуви:)
но совершенно не понятно - зачем он залёг рядом на поле, когда там было бетонное укрытие?
мне было реально страшно за него - если это не монтаж конечно

Поделитесь мелодией с пищалки, пожалуйста )

Брал из этого проекта. Адаптировал под вывод частоты, задержки и продолжительности, под формат, который принимает контроллер диспенсера.

Хуже не закрытого от чтения микроконтроллера дыр нет.

Диспенсер так просто нельзя переключить в режим self-test, он в него переключается только при открытой двери сейфа. Да, вероятно модифицировав прошивку это можно обойти, хотя на месте вендора я бы не полагался в чистом виде на прошивку, а отдал такое дело электронике, которую так просто не обманешь.

Так было и здесь. Но селф-тест в случае, описанном в статье, не использовался для выдачи. Он использовался лишь чтобы понять, как из кода обращаться к нужным компонентам диспенсера.

Кстати, в NCR имелся тумблер на самой плате, который можно было переключать вместо аутентификации по кассетам. Очевидно, сделано было для разработчиков во время отладки платы. Но и воспользоваться тумблером извне сейфа никак и не выйдет.

На самом деле подобного рода атаки, да и большинство других становятся бесполезны как только банкомат ставиться на сигнализацию. Другое дело, что не все банки это делают в виду увеличения расходов, но это было в прошлом. Сейчас я думаю большинство банков ставят сигналку, так что даже сдвинуть с места банкомат не получится, как минимум завоет сирена, как максимум через N минут приедут маски-шоу. Правда были случаи когда банкомат полностью воровали (физически увозили с места), уж не знаю чем это заканчивалось, но видео сия процедуры я видел.

Байка про то как офис переезжал на новое место: грузчики выносят всю мебель, последний стол выносят, на нем прикреплена тревожная кнопка. Грузчик и нажал ее. Через минуту приезжает вооруженный наряд подымаются на этаж, а там голые стены. :)

История из не очень далёкого прошлого: закрывается "ТРЦ", расположенный в бывшем здании кинотеатра, предназначенном под снос (с последующим строительством более современного здания); на первом этаже стоит банкомат - администрация всячески пытается связаться с банком-владельцем о его демонтаже, но банкомат продолжает стоять... проходит какое-то время, здание обесточивают и начинают снос; бригадиру "деструкторов" даётся чёткое указание - демонтировать всё оборудование (водопровод, отопление, вентиляцию, электрику по возможности) и вместе с отделкой отправить на свалку; на следующий день в СБ банка звонят из полиции со словами "тут ваш банкомат на свалке нашли" - отправляют на свалку "бригаду УХ", и они обнаруживают практически целёхонький банкомат... с наличкой в кассетах.

Почему никто не среагировал на "пропажу активности от банкомата" (мне в своё время уже минут через 15 после аварии на подстанции начали названивать из банка, чей банкомат стоял в нашем здании), почему перед снятием банкомата с охраны его не инкассировали, да вообще, почему его не демонтировали в разумные сроки (банкомат, если он актуальной модели, стоит не пять копеек) - история умалчивает. Но эту историю я слышал как "тру-стори прошлого года" от спеца СТП того банка, который обслуживал "наш" банкомат.

Автор, а расскажите про банкоматы NCR и новые китайские, которые сбер закупает по дешёвке :)
В Диболдах даже ключ от сервисной зоны весьма специфический, имхо прощу банкомат украсть совсем)

Sign up to leave a comment.