kochetova+osipov atm how_to_make_the_fraud__final_jp-pr
TRANSCRIPT
ATM 詐欺の仕組み
オルガ・コチェトワ(Olga Kochetova)アレクセイ・オシポフ(Alexey Osipov)
Kaspersky Lab
root@root:~# whoamiKaspersky Lab ペネトレーションテスト部門所属
• @_Endless_Quest_、@GiftsUngiven
• ATM および POS のセキュリティ評価
• ペネトレーションテスト
• フォレンジック調査
多くのITイベントでの講演
複数の記事、リサーチ&アドバイザリの著述
概要すべきこと
大人向けのレゴ
• 上部 – サービスゾーン• PC
• カードリーダー
• PIN パッド
• その他
• 下部 – 金庫 • 現金引き出しモジュール(ディスペンサー)
• 現金投入モジュール(預金ユニット)
• リサイクリングモジュール(引き出しおよび投入)
ソフトウェア
• ホスト(コンピューター)• MS Windows
• GUI およびデバイスコントロール
• アンチウイルスまたは整合性管理ソフトウェア
• ビデオ監視
• Radmin または TeamViewer などのリモート操作ソフトウェア
• デバイス• RTOS を備えた一部のマイクロコントローラ
冗談かと思うような事実
仕組み
1990 年代からの技術
攻撃手法
• 物理的側面
• ハードウェア
• ソフトウェア
• ネットワーク
現金を保護するための措置
現金管理のために多くの要素が連鎖
サービスプロバイダ
現金 カセット 現金装置 通信
現金保護システム
XFS
整合性管理アプリ
オペレーティングシ
ステム
ハードウェア VPN
オフィスコンピュー
ター
処理センター
ソフトウェア VPN
GUIWindowsベー
スアプリ
ATM 管理者
ネットワーク
ネットワーク
サービスゾーン
bla
• bla
現金破壊されるのではない。盗まれるのである。
宝箱
錠前ではなく、鎖を破壊
現金装置現金は金庫にある。だからといって安全ではない。
落とし穴は何か
• マイクロコントローラ
• ファームウェア
非常に高度な持続的標的型脅威
• ファームウェア• 変更
• アップデート
• 現金装置• 管理
• 総合管理
偽物の現金を預け入れ
• 偽物の現金を投入 • 本物の現金を引き出す
1 ドルを 100 ドルに換金
カードリーダー現金ではないが、最終目的は現金
カードリーダーの悪用
• プレーンテキストの機密データ
• ハードウェアスニファ
本人認証を欺く
出典:https://media.ccc.de/v/31c3_-_6450_-_de_-_saal_1_-_201412272030_-
_ich_sehe_also_bin_ich_du_-_starbug#video
• ID の乗っ取り
通信
解析
• RS…(例:232、485)
• SDC
• USB
典型的な形式
• ASCII ベース
• バイナリ
• 暗号化、難読化
ハッカー関連のもの
ビデオ - 新たな悪質USB(BlackBox)
サービスゾーン現金がないのは本当か。
侵入方法
• 「マスターキー」
• スクリュードライバー
• 「特殊」ツール
ビデオ - 侵入方法
私たちのサービスゾーンは安全 ©
本当に信頼できるのか?
サービスプロバイダ
次世代のマルウェア
• 攻撃者は XFS マネージャーとのやり取りを回避
• 特定の ATM ベンダーソフトウェアによって使用される
すべての機能をフック
• XFS ベースのマルウェアに比べ、
最も重要な情報を攻撃者に付与:• クリアテキストのネットワークデータを傍受
• EMV 取引を傍受
• USB/COM 通信を傍受
次世代のマルウェア
ビデオ – マルウェアに関する NG 事項
マルウェア:XFS ベース
• 実行されるすべてのウィンドウは、XFSマネージャーへの
コマンドを発行することが可能
• マルウェアはほとんどの ATM で実行可能
• ATM セキュリティの関係者であれば
誰でもその事実をほぼ承知
DevOpsSec の連鎖
• バッファオーバーフロー
• キオスクモードの回避
• 機密データの漏洩
サードパーティ製のセキュリティソフトウェアもう 1 つの扉• バッファオーバーフロー
• キオスクモードの回避
• 機密データの漏洩
• リモート管理
オペレーティングシステム MS08-067 が再び登場
すぐ先には
• 旧バージョン
• アップデートされていない
• 脆弱性
• 標準サービス
Shodan を使ってみる
ハードウェアユニット
ビデオ – ネットに従う
VPNが適切ではない場合がある理由
• ソフトウェア• OS へのアクセスによって無効化される可能性
がある• ファイアウォール機能が常に提供されるわけで
はない• VPN 接続が遮断された場合、それ以降の全
データはクリアテキストで送信されることがある
• ハードウェア• 物理的アクセスに対して保護されない• ホストコンピューターに関係なく動作する• 金属/プラスチック製のモノであるため、手でつ
かむことができる
処理センター
諸刃の剣
• 不正な処理センター(ATMを攻撃)• 現金の引き出し
• 不正な ATM(処理センターを攻撃)• 偽の現金を預け入れ
• クレジットカードアカウントの不正アクセス
• 支払サービス/システムの攻撃
• tcpdump
• 「tcpreplay」
ビデオ – 不正処理
ATM 管理者
人は非常に怠惰である
人は非常に社交的である
人はとても愚か、侵害されている
侵害の対象
• 管理システム
• アップデートサーバー
• ログサーバー
まとめ
万能な解決策
セキュリティは一連の過程である
協力してくれた方々
• アレクサンドル・トリヤポフ(Alexander Tlyapov)@_Rigmar_
• アルチョーム・コンドラチェンコ(Artem Kondratenko)@artkond
• アレクサンドル・ザイツェフ(Alexander Zaytsev)@arbitrarycode
• その他の皆様
ご清聴ありがとうございました
オルガ・コチェトワ[email protected]
@_Endless_Quest_
アレクセイ・オシポフ[email protected]
@GiftsUngiven