DrMefistO Aug 10 2018 at 16:00

Низкоуровневый взлом банкоматов NCR

5 min

43K

Positive Technologies corporate blogInformation Security*Assembler*Reverse engineering*

+81

Comments 44

VBKesha Aug 10 2018 at 17:49

Спасибо, было интересно!

mphys Aug 10 2018 at 18:19

Вопрос, допустим я нашел такой баг в Тинкоффских новых банкоматах, обратился в тинькофф, обратился в поддержку, сказал им что есть баг, такой-то такой-то. Предоставил техникам всю информацию как его воспроизвести — могут меня потом запрячь по статье? Вот просто так, чисто формально по русски, за то что знаю и умею.

DrMefistO Aug 10 2018 at 18:23

В теории, если подписать NDA, и соблюсти пункты, то нет. Но, конечно, зависит от вендора.

-2

foxyrus Aug 10 2018 at 21:57

в свое время сообщал об уязвимостях в инет банке, поблагодарили 5000 милями на карту AA

lostpassword Aug 10 2018 at 22:19

А что за уязвимость была, если не секрет?

foxyrus Aug 27 2018 at 11:47

Можно было дергать API подставляя ID операции любого клиента

UFO just landed and posted this here

lostpassword Aug 10 2018 at 19:18

Интересная статья, спасибо!
Но ведь чтобы провернуть такую атаку, нужно просверлить в банкомате дырку!
Разве там нет датчиков объёма / давления, которые подадут сигнал тревоги?

DrMefistO Aug 10 2018 at 19:36

Верхнюю часть защищают не так сильно, как нижнюю, но защита есть.

Выедут за атакующим в любом случае — вопрос лишь во времени на выполнение сценария.

zbsh Aug 11 2018 at 06:25

Почему не поместить всё в камеру с герметичными выводами, там же нет таких вычислительных мощностей, которые требуют активное охлаждение? За пределами камеры оставить только механические устройства с подвижными элементами. Чтобы при первом включении записывалось значение давления с датчика, а при любом изменении свыше установленного порога всё аппаратно блокировалось до физической замены какого-нибудь элемента или вообще всё сжигалось мощным импульсом по шинам питания. Не герметичные узлы проклеить трубкой и подключить к камере с контролируемым давлением. Вроде звучит дёшево и от физического доступа защищает.
Нечто подобное используется в авиации: крупные литые детали и всяческие нагруженные элементы снабжаются полостями, куда накачивается газ. При образовании трещины камера сообщается с атмосферой, давление газа меняется и срабатывает сигнализация. Предельно недорогое и надёжное решение, дешевле и легче настоящих датчиков объема.

denis-19 Aug 10 2018 at 21:11

Там на атм же бортовые камеры и все дырки будет видно как делает персонаж для взлома.

MaestrO_998 Aug 10 2018 at 21:32

Провинциальные банкоматы в небольших поселках, при всем желании охрана подоспеет, когда уже будет поздно

Alexsey Aug 10 2018 at 23:04

Скажу так — приходилось мне видеть NCR'ы одного крупного банка изнутри. Камера есть, но не подключена.

tutam Aug 11 2018 at 06:53

Камера разве снимает все время? Насколько я знаю, она только делает фотографию при выставлении карты и при выполнении операции.

Dare Aug 11 2018 at 12:36

По моему опыту работы в банковском IT: Решение о записи (реальной, по событию или фейковой) принимает отдел безопасности. Причем как правило даже не ИБ а те дядьки что отвечают за физическую безопасность. И решение принимается сугубо индивидуально: в тц может делать просто фото, а в сельпо писать постоянно.

PjPj May 4 2019 at 01:37

Камера может и снимать постоянно, только никто не видит онлайн эти записи. Потом уже приедут посмотрят интересное кино :)

pnetmon Aug 10 2018 at 21:58

А почему не сделают небольшую коробочку которая будет находится в сейфе и которая будет и с банком обмениваться в зашифрованном виде и диспенсером управлять, а вся остальная периферия пусть остается на системном блоке вне сейфа.

DrMefistO Aug 10 2018 at 22:05

Т.е. всё равно из верхней сервисной зоны у компьютера должно быть общение с той коробочкой.

pnetmon Aug 11 2018 at 10:27

Коробочка приняв данные с с карты (или информацию с системного блока) обменивается с банком информацией, принимает решение и управляет диспенсором. Зачем для этого целый виндос непонятно. По мощностям и системный блок возможно уже не нужен, да и порядочно времени устройств с малым тепловыделением.
Хотя давно делают ноутбуки, но их (без экрана) в сейф почему-то не прячут.

vinny496 Aug 11 2018 at 05:32

Слишком инвазивно. Банкоматы нынче вроде через беспроводной интернет работают — в пору создавать имитатор мобильной соты и доступа к интернету/банковским серверам, вставлять карточку-болванку с произвольно записанной информацией, давать беспроводное подтверждение и «снимать фантики». Ну конечно предварительно мониторить эфир, ловить и декодировать пакеты, глушить и подменять сигнал — но в результате полная неинвазивность и банкомат останется тот же, а если и другой — принцип работы и оборудование уже готовы.

-2

Zolg Aug 11 2018 at 08:15

По вашему они по открытому каналу общаются?

vinny496 Aug 11 2018 at 15:54

Данные-то в эфир передают, а не по проводу — при особом упорстве можно проанализировать (они же не используют нестандартные физические принципы связи).

-2

Zolg Aug 11 2018 at 15:59

т.е. вскрывать современную криптографию вы уже умеете?
зачем вам тогда об банкомат руки марать ?

vinny496 Aug 13 2018 at 00:51

Нет, мне было бы интересно почитать про техническую реализацию беспроводной части.

Zolg Aug 13 2018 at 11:24

Не поверите — обычный сотовый модем.
А иногда и обычный проводной ethernet, когда есть такая возможность. Через обычную незащищенную сеть владельца объекта.

vinny496 Aug 13 2018 at 12:01

Под «технической реализацией беспроводной части» следует понимать не оборудование банкомата, а всё остальное для неинвазивного взлома.

really4g Aug 11 2018 at 10:42

Так там поверх "воздушного" канала vpn поднимается. Чего там подменять будете? К тому же при потере связи он и в ребут и полная инициализация. Банкоматы мониторы, если часто будет уходить по связи — приедут проверять, там могут и видео глянуть.

vinny496 Aug 11 2018 at 16:01

А то что нужно подменить мобильную соту и кусок интернета не смущает?
MITM тоже никто не отменял.
Если банкомат так просто ребутнуть — тоже уязвимость (даже если не взломать для получения денег, то просто глушилку сотовой сети с направленной антенной = постоянный ребут, успешный саботаж системы).

-1

pnetmon Aug 11 2018 at 17:03

Вы хотите украсть денег или просто саботировать работу банкомата? Саботирует простейшая бумажка на экране — Банкомат не работает.

vinny496 Aug 13 2018 at 00:49

Я не хочу делать ничего незаконного, но теоретически задача интересная.

Зачем бумажка, когда за ней светится монитор и видно, что всё работает?

Zolg Aug 13 2018 at 11:28

www.google.ru/search?q=подавитель+сотовой+связи&oq=подавитель+сотовой+связи
Или еще проще — из розетки выньте.

vinny496 Aug 13 2018 at 11:58

А то я подавителей ни разу типа не видел. Нет бы ссылку на фемтосоту с подменой CellID, для которой бы предварительно снифили мобильный траффик несколькими HackRF…
Например habr.com/company/securitycode/blog/280886

Вынимание из розетки вызывает писк, как и отключение электричества, и всё это не относится к беспалевным неинвазивным методам (без попадания в камеры наблюдения).

Zolg Aug 13 2018 at 12:14

Вы что хотите в конечном итоге получить? Саботировать работу банкомата? Или иметь возможность им удаленно управлять?
Для первого имитатор базовой станции не нужен (см. про розетку. ничего там не пищит, кстати).
Для второго — бесполезен, если вы не умеете как минимум взламывать ipsec. А если вдруг умеете — банкомат далеко не самый интересный объект применения таких умений.

vinny496 Aug 13 2018 at 12:34

В первом моём комментарии написано — в статье слишком инвазивный метод, нужен беспалевный.

[сарказм]Ну да, не пищит. Сигнализации просто так висят, а при отключениях это не писк, это послышалось, или нет, свистит трансформатор в бесперебойнике...[/сарказм]

Не управлять, а произвольно менять данные.

-2

pnetmon Aug 13 2018 at 14:44

Зачем бумажка, когда за ней светится монитор и видно, что всё работает?

Вы бумажек на работающих банкоматах не видели? Покажу Обращать внимание на нормальный экран рабочего банкомата.

pnetmon Aug 12 2018 at 19:00

А вот пресса зажигает
https://www.kommersant.ru/doc/3708881
10.08.2018
Эксперты Positive Technologies выявили уязвимость и сообщили о ней в головной офис NCR. 6 февраля 2018 года NCR на своем сайте www.ncr.com вывесила пресс-релиз об устранении уязвимости, выпуске обновления и дала рекомендации его установить. Российские банки, которые используют эти банкоматы, узнали об уязвимости от корреспондента “Ъ”, и по их словам не получили и обновления программного обеспечения для ее устранения.

По словам директора исследовательского центра компании Digital Security Романа Бажина… К тому же чтобы ее исправить, необходимо устанавливать обновление программного обеспечения вручную на каждый банкомат. «Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределенность банкоматов»,— подчеркнул эксперт.

gerasimenkoao Aug 13 2018 at 10:14

Все это прекрасно, но грабители обычно выбирают более легкие цели и методы.

У меня товарищ работает в сети терминалов приема платежей.

Казалось-бы столичный супермаркет, рядом охранник магазина — заходят ребята в спецовках — за 5 минут аккуратно, не вызывая подозрений, вскрывают замок аппарата и берут деньги.

Мониторы так снимали — при этом еще нагло заявляют охране, что забирают на сервис.

В общем, механическая защищенность этих терминалов куда хуже, не говоря уже о электронике.

Самые упоротые выдирали уличный терминал, бросали в ВАЗ-универсал, угнанный рядом и ищи-свищи.

MrRitm Aug 15 2018 at 12:03

Если сейчас глупость скажу, сильно не ругайтесь, а подскажите где не прав. На счет неинвазивности такая идея: берем диспенсер и даем ему команду на формирование некоторой пачки денег параллельно записывая электрический сигнал на выходе. Далее «проигрываем» сигнал в сторону живого банкомата с применением направленной антенны и магнитрона (так вроде та штука из микроволновки называется). Если удастся создать в проводах такую же последовательность электрических импульсов как при формировании пачки, то может и тут все сформируется?..

pnetmon Aug 15 2018 at 22:02

Если такое возможно, то почему автор не просто подключился к проводам от диспенсера в сейф? Может сигнал от диспенсера все время специфический зашифрованный определенным ключем (хотя автор заостряет внимание на передачу по USB от системного блока в диспенсер)?

MrRitm Aug 16 2018 at 10:06

Не, именно от диспенсера в сейф. Думаете там тоже шифрованный сигнал?.. Я думал там просто тупая исполнительная железка которая управляется диспенсером. Но если и там шифрование — тогда да. Явно ничего не выйдет. Но какова идея! «Стельнул» ЭМИ в банкомат, а он тебе в ответ пачку денег :-)

DrMefistO Aug 19 2018 at 07:45

Диспенсер находится в сейфе.

SergeyPerm May 4 2019 at 01:38

Однажды фотографировал помещение с банкоматом райфайзена (с потолка ручьем текло) для уведомления банка об этом. Так все двери заблокировали, банкомат отключили. Сидел ждал ГБР. Помещение было изолированное с отдельным входом с улицы.

Другой случай, это я попробовал активировать карты сбера жены в отделении банка. Не получилось. Оператор сказала «у вас лицо мужское, а карта на женщину зарегистрирована». Ну дела…

Я к тому, что за некоторыми банкоматами следят живые люди онлайн.

korsarer May 4 2019 at 01:38

Никакой магии не применялось: только ноутбук, мозг и USB-шнурок.

А где у банкомата USB-разъем нашли? Если для этого пришлось проделать в нем отверстие, то я считаю это аналогичным проделыванию отверстия в отсеке хранения денег. Вы скажете — «Отсек хранения денег в бронированном ящике из 15 мм титана», тогда кто мешает сделать переднюю панель банкомата такой же бронированной, чтобы вы не смогли продырявить её и докопаться до USB-разъема?

jeltiiuxa May 4 2019 at 01:38

было актуально год назад. заплатки стоят уже