Aravinda Korala e Kit Patterson (KAL), con il supporto di Michael Moltke (Fortconsult) e Alex Gherman
8 gennaio 2018
Il 3 gennaio 2018, la notizia degli attacchi dei bug di sicurezza “Meltdown” e “Spectre” ha scosso l’intera industria informatica. Questi bug derivano dalle vulnerabilità di sicurezza degli hardware che coinvolgono i dispositivi basati sui chip di Intel, AMD e ARM, inizialmente ipotizzate a luglio dell’anno scorso da Anders Fogh su un cyberspazio tedesco. La minaccia postulata da Fogh è stata confermata pubblicamente la scorsa settimana. La notizia è stata inoltrata prima di tutto ai fornitori dei principali Sistemi Operativi, così permettendo loro di aggiornare i propri sistemi operativi e di immettere immediatamente correzioni di bug sul mercato per aumentare la sicurezza di PC e smartphone.
E gli ATM: sono vulnerabili a questi attacchi? Si...ma niente panico!
Gli exploit di Meltdown rappresentano la minaccia più imminente. Il metodo di attacco di Meltdown consente ai malware di accedere potenzialmente a qualsiasi dato su un PC con sistema operativo Windows, dalla memoria kernel di Windows a qualsiasi memoria fisica o appartenente ad altri processi sullo stesso PC. La maggior parte degli ATM in tutto il mondo sono costituiti da PC integrati e protetti con sistema operativo Windows. Analizziamo i rischi e le precauzioni da prendere.
Tutti i tipi di ATM sono a rischio, poiché il malfunzionamento è legato al chip dell’hardware e non è causato da una vulnerabilità del Sistema Operativo. Tuttavia, il presente articolo si concentra sugli ATM con gateway di pagamento che girano su Windows 7 o Windows XP (circa 3 milioni presenti in tutto il mondo).
Prima di tutto, iniziamo dalle buone notizie. Il settore degli ATM non archivia i segreti di elaborazione delle transazioni all'interno del PC-core dell-ATM, ma all’interno dei Pin Pad Criptati (EPPs). Questo significa che le chiavi di autenticazione utilizzate dagli ATM per portare a termine le transazioni sono contenute in modo sicuro all’interno dell Pin Pad Criptato e non risentono dei nuovi metodi di attacco. Oltre ad essere protette all’interno del Pin Pad Criptato, queste chiavi sono introdotte in maniera remota al suo interno tramite il “Remote Key Loading”, un metodo che a nostro parere è al sicuro da un attacco Meltdown. I Pin Pad Criptati hanno un ambiente interno sicuro isolato che non è a rischio di attacchi di questo tipo.
Ciononostante, quanto sopra non mette gli ATM completamente in salvo. Se un utente malintenzionato riesce ad introdurre un malware all’interno di un ATM, potrebbe ottenere l’accesso a informazioni sensibili (come il numero di conto sulla carta dei clienti), e a certi tipi di password, come la password di login dell’ATM supervisor che potrebbe essere contenuta momentaneamente all’interno della memoria. Un altro punto di domanda sorge riguardo la sicurezza di un ATM contro l’accesso di nuovi malware.
La maggior parte degli ATM è ben protetta dai malware. Generalmente si utilizza una tecnologia chiamata “Whitelisting”, che impedisce automaticamente all’ATM di eseguire programmi, librerie e script non riconosciuti. Il Whitelisting blocca automaticamente l’esecuzione di qualsiasi nuovo malware su un ATM, ed è un’ottima prima linea di difesa, ma non tutte le banche utilizzano questa tecnologia.
Alcune banche utilizzano software Antivirus (AV), mentre altre addirittura non utilizzano alcuno strumento di protezione contro i malware. L’uso di un antivirus non è mai stata la soluzione giusta per la protezione degli ATM, ma questa minaccia in particolare evidenzia ancora più chiaramente come gli antivirus garantiscono ben poca protezione. Poiché la minaccia è sorta molto recentemente, il software AV non possiede le autenticazioni necessarie per identificarla. Queste autenticazioni dovrebbero essere aggiornate almeno sugli ATM, ma ciò risulterebbe difficile poiché il malware utilizzato per implementare queste minacce non viene identificato. Inoltre, al momento si pensa che il malware che utilizza questa tecnica potrebbe sembrare troppo simile a un software “normale” e, di conseguenza, sarebbe difficile da distinguere.
Un’altro fattore negativo riguardo l’utilizzo di Antivirus su un ATM riguarda i Security patch di Windows. Apparentemente l’utilizzo di questi verrà bloccato da molti prodotti Antivirus forniti da terzi, che accedono la CPU in maniera intrusiva che verrà bloccata dal nuovo patch di protezione. Dunque le banche devono tenere bene in mente quanto segue: gli Antivirus non sono mai stati adatti alla protezione degli ATM, e in questo caso in particolare il software Antivirus potrebbe rendere gli ATM ancora più vulnerabili. Consigliamo alle banche di utilizzare la tecnologia whistelisting su tutti i loro ATM immediatamente.
Tuttavia, questo non è l’unico compito urgente per proteggere gli ATM. Al fine di proteggere gli ATM contro Meltdown, le banche devono provvedere a distribuire il nuovo patch di sicurezza di Microsoft per Windows con numero di serie “1801”. Nonostante le perplessità iniziali sulla performance di questo patch, gli standard di riferimento mostrano il contrario. Sebbene il Whitelisting da solo potrebbe proteggere contro qualsiasi nuovo malware, raccomandiamo il patch “1801” come seconda linea di difesa per diverse ragioni, tra queste la minaccia di “attacchi interni". Il Whitelisting è una tecnologia che può essere compromessa dal personale bancario in grado di modificare le impostazioni di whitelisting. Il consiglio di KAL è di non garantire l’accesso ai dati dell’ATM a livello amministratore ma, sfortunatamente, molte banche tutt’ora permettono ai propri impiegati di accedere. Le banche ritengono che l’accesso a livello amministratore non presenti una minaccia alla sicurezza, ma Meltdown comprometterebbe il software ATM utilizzando proprio questi privilegi.
Per questo raccomandiamo alle banche di non garantire mai l’accesso a livello amministratore ai dati degli ATM a nessun impiegato, poiché non è necessario. Tutte le azioni di manutenzione su un ATM possono essere effettuate utilizzando privilegi standard, perciò qualsiasi impiegato con accesso a livello amministratore ai dati di un ATM può installare qualsiasi malware – non solo Meltdown - con facilità.
Ulteriormente, gli ATM di alcune banche tuttora girano su Windows XP. Ufficialmente Microsoft non sta creando più patch di protezione per Windows XP. Se i vostri ATM tutt’oggi girano su XP, dovreste richiedere a Microsoft di produrre un patch per correggere immediatamente la vulnerabilità.
Il patch di Windows 10 per Meltdown è già disponibile per i sistemi operativi supportati - le versioni supportate sono disponibili qui.
Complessivamente, mentre Meltdown e Spectre dovrebbero essere presi seriamente, bisogna tenere in mente che ci sono molti altri aspetti che incidono sulla sicurezza degli ATM. È possibile stare al passo con questo tipo di minacce mettendo in atto tutte le migliori tecniche di sicurezza.
KAL
KAL è un’azienda leader a livello mondiale specializzata in software per ATM. Molte banche in tutto il mondo hanno scelto il software di KAL per le loro reti ATM, tra queste Citibank, UniCredit, ING, Westpac e China Construction Bank. Il software di KAL dà visibilità, conoscenza e controllo dall'intera rete ATM, permettendo alle banche di ridurre i costi, migliorare la concorrenza e rispondere alle esigenze di sicurezza.
Telefono: +44 131 659 4900 Email:
FortConsult
FortConsult fa parte del Gruppo NCC e il suo team di esperti in materia di sicurezza informatica [ uno dei migliori al mondo. Insieme al Gruppo NCC, abbiamo più di 1.000 esperti ai quali si affidano più di 15.000 clienti in tutto il mondo. Abbiamo più di 35 sedi in tutto il mondo e diamo consigli ai nostri clienti provenienti da una vasta gamma di industrie riguardo qualsiasi problema relativo alla sicurezza informatica.