بواسطة آرافيندا كورالا وكيت باترسون (من KAL)
بدعم من مايكل مولتكي (FortConsult) وأليكس غيمان
8 يناير 2018
لطالما كانت هجمات “Meltdown” و“Spectre” من ضمن الأخبار الرئيسية منذ الثالث من يناير لعام 2018. فهي تنشأ من نقاط الضعف الأمنية بالأجهزة في رقائق Intel و AMDو ARMوقد طرحها في البداية آندرز فوغ في موقع إلكتروني سيبراني ألماني في شهر يوليو من العام الماضي تقريبًا وذلك باعتبارها تهديدًا محتملاً، لكن ثبت علنًا بالبراهين في الأسبوع الماضي كونها تشكّل تهديدًا حقيقيًا. أما الأخبار السارة فهي أن هذه المعلومات قد أتيحت لأول مرة سرًا لموردي نظام التشغيل (OS) الرئيسيين مما أتاح لهم تصحيح أنظمتهم التشغيلية ومكنّهم من استعجال الإصلاحات للمساعدة في تأمين أجهزة الكمبيوتر والهواتف.
إذًا ما هو الموقف بالنسبة لماكينات الصرّاف الآلي؟ هل يحتمل أن تكون ماكينات الصرّاف الآلي عرضة لتلك الهجمات؟ الإجابة المختصرة هي نعم، ولكن لا يوجد داعٍ بعد للذعر.
إن التهديد المباشر ليتمثل في هجمة Meltdown. فوسيلة الهجوم هذه تتيح للبرنامج الضار احتمال قراءة أي عنصر من عناصر البيانات على جهاز كمبيوتر يعمل بنظام Windows بما في ذلك؛ ذاكرة Windows kernel وأي ذاكرة فعلية وأي ذاكرة تعود إلى العمليات الأخرى على نفس جهاز الكمبيوتر. وغالبًا ما تكون عامة ماكينات الصرّاف الآلي مدمجة في أجهزة كمبيوتر مؤمنة بعناية تعمل بنظام Windows. الآن دعونا نحلل المخاطر والخطوات التي يجب اتخاذها للحد من تلك المخاطر المتعلقة بماكينات الصرّاف الآلي.
يضم العالم حوالي 3 ملايين ماكينة صرّاف آلي تتبع المصارف ومعظمها يستخدم نظام تشغيل Windows 7 أو Windows XP. فجميع أنواع ماكينات الصرّاف الآلي معرضة للخطر لأن الخلل يكمن في رقاقة الجهاز ذي الصلة وليس بسبب ضعف نظام التشغيل. وفي هذه المقالة سنركز على ماكينات الصرّاف الآلي التابعة للمصارف والتي تستخدم Windows 7 أو Windows XP.
دعونا نبدأ بالأخبار الجيدة.
إن صناعة ماكينات الصرّاف الآلي لا تلجأ إلى تخزين أسرار معالجة المعاملات خاصتها داخل الذاكرة الأساسية لجهاز كمبيوتر ماكينة الصرّاف الآلي - فبدلاً من ذلك، يتم تخزينها داخل ألواح رقم التعريف الشخصي للتشفير بالجهاز (EPPs). وهذا يعني أن مفاتيح التشفير التي تعتمد عليها ماكينات الصرّاف الآلي لإجراء المعاملات يتم الاحتفاظ بها بشكلٍ آمن داخل EPP وبالتالي فإنها لا تتأثر بوسائل الهجوم الجديدة. ولا يقتصر الأمر على مجرد حماية هذه المفاتيح بداخل EPP، ولكن وسيلة إدخال تلك المفاتيح عن بعد في EPP باستخدام ما يعرف باسم "تحميل المفتاح عن بعد" تعد وسيلة مؤمنة كذلك من وجهة نظرنا من التعرض لهجمة Meltdown. كما تضم EPP بيئة داخلية مؤمنة ليست معرضة لخطر وجود هجمات من هذا النوع.
ومع ذلك، فإن هذا وحده لا يعني زوال الخطر الذي قد تتعرض له ماكينات الصرّاف الآلي تمامًا. فإذا تمكن المهاجم من إدخال البرنامج الضار إلى ماكينة الصرّاف الآلي، فمن المحتمل أن يتمكن من الوصول إلى معلومات حساسة (مثل؛ رقم الحساب المدرج على بطاقة العميل) وربما أنواع محددة من كلمات السر مثل؛ كلمة السر الخاصة بتسجيل دخول مشرف ماكينة الصرّاف الآلي والتي قد يتم الاحتفاظ بها في الذاكرة بشكلٍ عابر. إذًا فالسؤال هو – هل بإمكان الهاكر إدخال برنامج ضار جديد بسهولة في ماكينة الصرّاف الآلي؟
إن معظم ماكينات الصرّاف الآلي لتتمتع بحماية جيدة من البرامج الضارة. فالمعيار الذهبي يتمثل في الاستعانة بتقنية تدعى " Whitelisting" تحول تلقائيًا دون قيام ماكينة الصرّاف الآلي بتشغيل برامج ومكتبات ونصوص غير معروفة. حيث تقوم تقنية Whitelisting تلقائيًا بحظر تطبيق أي برنامج ضار جديد على ماكينة الصرّاف الآلي وتأتي بمثابة خط دفاعي أول ممتاز.
ومع ذلك، فإنه لا يتم الاستعانة بتقنية whitelisting في ماكينات الصرّاف الآلي بجميع المصارف. فبعض المصارف تستخدم برامج مضادة للفيروسات في حين أن غيرها لا تستخدم أي وسائل حماية من البرامج الضارة على الإطلاق (وهو ما يبدو غير منطقي بالطبع). علمًا بأن البرامج المضادة للفيروسات (AV) لا تعد الحل الأمثل لحماية ماكينات الصرّاف الآلي على الإطلاق وهو ما يبرز بوضوح تام من خلال هذا التهديد تحديدًا. وبما أن هذا التهديد جديد تمامًا، فإن البرامج المضادة للفيروسات لا تحوي التوقيعات اللازمة للتعرف على هذا التهديد. فعلى الأقل يجب أن يتم تحديث توقيعات البرامج المضادة للفيروسات على ماكينات الصرّاف الآلي، إلا أن ذلك يعد صعبًا أيضًا نظرًا لأن، كما ذكرنا، البرنامج الضار الفعلي المستخدم لتنفيذ هذه التهديدات لم يتم التعرف عليه بعد. لكن الأسوأ أنه يُعتقد حاليًا أن البرنامج الضار الذي يستعين بهذه التقنية قد يبدو مماثلاً كثيرًا "للبرنامج العادي" وعليه سيكون من الصعب تمييزه.
وتوجد مفارقة أخيرة تتعلق بالمصارف التي تستعين بالبرامج المضادة للفيروسات في ماكينات الصرّاف الآلي. فقد اتضح أن التصحيح الأمني الخاص بمايكروسوفت لهجمة Meltdown سيتعرض فعليًا للعرقلة من خلال العديد من البرامج المضادة للفيروسات الخاصة بجهات خارجية نظرًا لأن هذه البرامج تقوم بالدخول على وحدة المعالجة المركزية بطرق تطفلية تؤدي إلى إنهاء التصحيح الجديد. إذًا يوجد درس مستفاد هنا للمصارف فيما يتعلق بحماية ماكينات الصرّاف الآلي، فالبرامج المضادة للفيروسات لم تكن أبدًا الحل الأمثل لتأمين ماكينات الصرّاف الآلي، وفي هذه الواقعة، فإن البرامج المضادة للفيروسات قد تجعل ماكينات الصرّاف الآلي خاصتك أكثر عرضة للخطر فعليًا. وعليه فإننا ننصح المصارف باستبدال ماكينات الصرّاف الآلي خاصتها على الفور بماكينات تستعين بتقنية whitelisting.
ومع ذلك، ليست هذه هي المهمة الملحة الوحيدة في حماية ماكينات الصرّاف الآلي الخاصة بالمصرف، حيث يجب على المصارف، لتوفير الحماية من Meltdown، أن تقوم كذلك بتوزيع تصحيح أمني جديد لمايكروسوفت فيما يتعلق بنظام تشغيل Windows بتاريخ "1801." فقد ثارت بعض المخاوف الأولية حول صدمة الأداء من وراء هذا التصحيح، لكن قياسات الأداء لا تعزز ذلك. فبالرغم من أن تقنية whitelisting وحدها بإمكانها توفير الحماية من أي برنامج ضار جديد، إلا أننا نوصي كذلك بتصحيح "1801" كخط دفاعي ثانٍ لأسباب عديدة، منها؛ "الهجمات الداخلية". حيث يمكن اختراق Whitelisting من خلال موظفي المصرف الداخليين المحتالين والذين يمكنهم تعديل إعدادات whitelisting. لذا توصي KAL دائمًا بعدم منح أي شخص على الإطلاق إمكانية الدخول كمسؤول على ماكينات الصرّاف الآلي، لكن لسوء الحظ، هناك العديد من المصارف التي تسمح للموظفين بإمكانية الدخول كمسؤول على ماكينات الصرّاف الآلي. فهذا قرار تأميني تتخذه المصارف، لكن Meltdown سيسمح باختراق برنامج ماكينات الصرّاف الآلي بسهولة بالاستعانة بامتيازات المسؤول.
وبالتالي فإن ثاني توصية منا للمصارف هي عدم إتاحة إمكانية الدخول كمسؤول على ماكينات الصرّاف الآلي لأي موظف. فهذا ليس ضروريًا فحسب. كما أنه يمكن القيام بجميع إجراءات الصيانة السارية على ماكينة الصرّاف الآلي بالاستعانة بالامتيازات العادية، حيث يمكن بالفعل لأي عضو بطاقم العمل يتمتع بإمكانية الدخول على ماكينة الصرّاف الآلي تثبيت أي برنامج ضار وتشغيله عليها بسهولة – وليس Meltdown فحسب.
كما توجد الحالة التي لم نأتي لذكرها بعد – فبعض المصارف لا تزال تستعين بنظام Windows XP في ماكينات الصرّاف الآلي خاصتها. فرسميًا، لم تعد مايكروسوفت تقوم بإجراء أي تصحيحات أمنية أخرى لنظام تشغيل Windows XP. فإذا كنت من المصارف التي تستعين بنظام XP في ماكينات الصرّاف الآلي خاصتك، فإنه سيتعين عليك أن تطلب من مايكروسوفت أن تصدر تصحيح على الفور للتغلب على إمكانية التعرض للخطر هذه.
أما الأخبار الجيدة فهي أن تصحيح نظام Windows 10 المخصص لهجمة Meltdown متوفر بالفعل لإصدارات أنظمة التشغيل المدعومة والمدرجة هنا.
بشكل إجمالي، في الوقت الذي يجب فيه أخذ هجمات Meltdown و Spectre على محمل الجد، إلا أنه من المهم أيضًا أن تتذكر أن هناك مجموعة كبيرة من الأوجه الفريدة لتأمين ماكينة الصرَاف الآلي. فبالتركيز على ما هو مهم وتطبيق جميع أفضل تقنيات التأمين بنشاط، من الممكن أن تظل بمنأى عن التهديدات حتى عندما تظهر تهديدات جديدة مماثلة لتلك المذكورة.
حول KAL
KAL هي شركة رائدة متخصصة في برامج ماكينة الصرّاف الآلي والمورّد المفضل للمصارف العالمية الضخمة مثل؛ Citibank و UniCredit و INGو Westpacو China Construction Bank. وتمنح برامج KAL للمصارف إمكانية التحكم بالكامل في شبكة ماكينات الصرّاف الآلي خاصتها وخفض التكاليف والوفاء بجميع الاحتياجات الأمنية وتعزيز التنافسية. بادر بالاتصال بنا على رقم +44 131 659 4900 أو راسلنا عبر البريد الإلكتروني على
حول FortConsult
تشكل FortConsult جزءًا من NCC Group وتضم واحدًا من أكثر فرق استشاريي أمن تكنولوجيا المعلومات خبرة على مستوى العالم. فبالإضافة إلى NCC Group، يوجد لدينا ما يزيد عن 1000 استشاري يعتبرون من المستشارين الموثوقين لما يربو عن 15000 عميل على مستوى العالم. علمًا بأنه يوجد لدينا أكثر من 35 موقعًا لمكاتبنا في جميع أرجاء العالم ونقدم المشورة للعملاء في مجموعة كبيرة من الصناعات حول أي مسائل تتعلق فعليًا بأمن تكنولوجيا المعلومات.