Почему банкоматы и точки продаж нуждаются в защите и что мы для этого сделали

Буквально на днях мы обсуждали проблему встроенного (или встраиваемого) ПО, остающегося без поддержки производителя. В первую очередь, она коснулась тех компаний, чей бизнес связан с использованием банкоматов и платёжных терминалов.

Буквально на днях мы обсуждали проблему встроенного (или встраиваемого) ПО, остающегося без поддержки производителя. В первую очередь, она коснулась тех компаний, чей бизнес связан с использованием банкоматов и платёжных терминалов.

Огромное количество этих устройств и сегодня продолжают работать под управлением Windows XP, системы, которая уже никогда не будет обновляться. А это означает, что все её ещё не обнаруженные уязвимости останутся навсегда, ставя под вопрос защищенность компаний, эксплуатирующих эти устройства и полагающихся исключительно на встроенные механизмы безопасности Windows XP Embedded.

Поближе к деньгам

Несколько лет назад эксперты «Лаборатории Касперского» спрогнозировали, что киберпреступники будут всё чаще атаковать банкоматы и платёжные терминалы напрямую. Предположение оправдалось в полной мере: сначала наши эксперты выявили атаку Tyupkin, причем зловред, который в ней использовался активен до сих пор — совсем недавно мы обнаружили очередную преступную группу, ATM-Infector, действующую при помощи свежей модификации этого троянца. Также, за последние два года были зарегистрированы многочисленные случаи заражения точек продаж в крупных торговых сетях, которые оканчивались скандальными утечками платежных данных. Самыми громкими из них были утечки в торговых сетях Target, Wendy’s и сети отелей Hilton.

Происходит это потому, что банкоматы и точки продаж являются весьма удобной мишенью для злоумышленников. У них часто «хромает» и киберзащита, и физическая безопасность.

Как известно, банкоматы по сути представляют собой обычные x86-совместимые компьютеры, дополненные специализированным оборудованием и программным обеспечением. То же самое справедливо и для точек продаж. Для этих устройств выпускаются специализированные версии операционных систем с жестко ограниченной функциональностью. Оставлены только те инструменты, которые нужны сервисному устройству. Но этим отличия от «обычной» Windows и ограничиваются.

Характерной особенностью таких устройств является то, что они всегда географически удалены от сервисных подразделений, но при этом располагаются во внутренних сетях компаний и часто имеют прямое подключение к интернету. Почти все работают с персональными данными или финансовыми транзакциями.

Актуальность проблемы

Безусловно, существует стандарт безопасности PCI DSS, который регулирует большое число технических требований и параметров для систем, принимающих платежные карты. Однако эти требования сегодня направлены, в первую очередь, на широкое покрытие рисков заражения стандартными вирусами. По сути, они не учитывают всю специфику таких устройств, как банкоматы и точки продаж, равно как и особенности атак на них. А принимая во внимание используемое в таких устройствах устаревшее железо, неактуальные операционные системы и отсутствие надёжных каналов передачи данных (хотя бы средних по пропускной способности) – использование традиционных антивирусов является неэффективным, а зачастую и вовсе невозможным.

На сегодняшний день злоумышленники имеют крайне широкий набор инструментов для взлома банкоматов. Причем как контактного, то есть, связанного с доступом к конкретному устройству, так и для удаленного взлома.

Вариантов удалённой атаки может быть несколько. Чаще всего расследования инцидентов нашими специалистами выявляют либо несанкционированный доступ через доверенную сеть (например, при заражении одного банкомата путем физического доступа и дальнейшего распространения вредоноса через внутреннюю сеть), либо последствия успешной таргетированной атаки непосредственно на банк, либо использование уязвимостей VPN.

Результат во всех случаях один: злоумышленники получают возможность красть деньги или собирать данные кредитных и дебетовых карт, оставаясь незамеченными. Иногда — чрезвычайно долго.

Платёжные терминалы также регулярно оказываются вектором утечки личных данных. Согласно отчету Verizon от 2015 года, до трети таких инцидентов происходят именно в результате взлома точек продаж.

Причины этому чаще всего заключаются в том, что приложения, управляющие терминалами, пишутся без учёта требований информационной безопасности в принципе, а, следовательно, могут содержать уязвимости, через которые их несложно инфицировать. И то, что они бывают подключены к интернету (для доступа к различным базам), только облегчает работу злоумышленникам. Заражение платежных терминалов Target произошло именно из-за того, что они оказались в одной сети системами управления проектами, к которым киберпреступники получили доступ через одного из подрядчиков, занимавшихся сервисным обслуживанием системы кондиционирования.

И нельзя сказать, что инцидент с Target — исключение. Большая часть заражений происходит именно по вине сервисных подразделений или обслуживающих компаний с легитимным доступом к устройствам (будь то удаленно или через порты USB). Причем далеко не всегда речь идет о невнимательности. Сотрудники таких организаций зачастую используют свое служебное положение для намеренного заражения терминалов. Благо, кроме них этого практически никто не сможет заметить — ведь для клиента сервис остается работоспособным.

Контрмеры

Что мы можем предложить в качестве способа решения этих проблем? Очевидно, что в данном случае необходим дополнительный слой защиты. Специально для обеспечения безопасности встраиваемого оборудования мы разработали решение под названием Kaspersky Embedded Systems Security. В нем используются современные защитные технологии, но при этом оно может эффективно работать на машинах с ограниченной функциональностью и крайне низкой производительностью. Банкоматы и точки продаж чаще всего работают именно на устаревшем «железе», да и их программная начинка обновляется крайне редко.

В Kaspersky Embedded Systems Security реализованы технологии, позволяющие бороться с характерными способами атак на эти виды устройств. Благодаря режиму «Запрет по умолчанию» (Default Deny) в системе могут использоваться только те файлы, драйверы и библиотеки, которые явно разрешены администратором. Причем механизмы добавления приложений, скриптов и драйверов в список исключений не требуют радикального вмешательства в процесс обслуживания устройств, а, следовательно, не создают дополнительную нагрузку на сервисную службу. Это дает возможность обезопасить банкоматы и платежные терминалы от сложных целенаправленных угроз на уровне конечных устройств.

В решении также имеется функция «Контроль устройств», позволяющая блокировать попытки физического подключения неавторизованных USB-накопителей. Таким образом закрывается одна из главных уязвимостей, регулярно используемых киберпреступниками для получения доступа к системе.

Продукт полностью совместим со всеми актуальными версиями Windows, а также Windows XP Embedded, Windows Embedded 8.0 Standard и Windows 10 IoT. Системные требования минимальны — от 256 Мб оперативной памяти и 50 Мб места на диске.

Узнать больше о решении Kaspersky Embedded Systems Security можно на сайте http://www.kaspersky.ru/enterprise-security/embedded-systems.

Советы