kal logo mobile russian

Защита банкоматов от Meltdown и Spectre

Авторы: Аравинда Корала (Aravinda Korala) и Кит Паттерсон (Kit Patterson), Kalignite,
при участии Михаэля Молтке (Michael Moltke, FortConsult) и Алекса Германа (Alex Gherman)

8 января 2018 г.

Информация об угрозах Meltdown и Spectre попала в заголовки СМИ 3 января 2018 г. и с тех пор так и не покидала новостные ресурсы. Атаки основаны на уязвимостях в процессорах Intel, AMD и ARM. Впервые принципиальную возможность подобных эксплойтов обозначил исследователь Андерс Фог (Anders Fogh) на немецком веб-сайте, посвященном кибербезопасности, в конце июля прошлого года. Тогда угроза считалась лишь потенциальной, но на прошлой неделе другие исследователи продемонстрировали ее вполне реальный характер широкой публике. К счастью, сначала информацию об уязвимостях без лишнего шума довели до сведения крупнейших производителей операционных систем, что дало им время выпустить патчи, а также ускорить внедрение мер по защите компьютеров и смартфонов.

А как обстоят дела с защитой банкоматов? Уязвимы ли банковские устройства самообслуживания для таких атак? Если коротко — да, но не стоит паниковать раньше времени.
Более актуальной является угроза Meltdown. Этот метод теоретически позволяет вредоносным программам считывать любые данные с компьютера, использующего Windows, включая память ядра, физическую память и память любых программ, приложений и процессов. А большинство банкоматов по всему миру работают на основе особо тщательно защищенных компьютеров с Windows. Давайте проанализируем риски в сфере безопасности банковских терминалов самообслуживания и рассмотрим необходимые превентивные меры.

В мире более трех миллионов банкоматов, принадлежащих финансовым учреждениям. Почти все они работают на Windows 7 или Windows XP, и все без исключения попадают в зону риска, поскольку проблема находится в микропроцессоре и не зависит от операционной системы. В этой статье мы поговорим именно о банкоматах с названными ОС.

Начнем с хорошей новости. Банкоматы не сохраняют секретные данные, связанные с обработкой транзакций, в самом компьютере и памяти ядра: эта информация содержится в защищенной EPP-клавиатуре. То есть новым зловредам никак не подобраться к ключам шифрования, которые находятся в памяти EPP-клавиатуры, а без них банкомат транзакцию не проведет. По нашему мнению, с помощью атаки Meltdown не удастся скомпрометировать и процесс удаленной загрузки этих ключей в EPP по соответствующему протоколу. Внутренняя среда EPP-клавиатуры полностью изолирована, в нее нельзя проникнуть, пользуясь уязвимостью в ЦП.

Однако это не означает полной безопасности банкоматов. Если злоумышленнику удастся заразить терминал вредоносной программой, он сможет извлечь другую конфиденциальную информацию (например, номер счета клиентской карты), а возможно, даже некоторые виды паролей — скажем, логин и пароль учетной записи контролера могут временно храниться в памяти устройства. Поэтому вопрос лучше поставить иначе: насколько легко хакеру заразить банкомат?
Большинство терминалов довольно неплохо защищено от кибератак. Самым надежным методом считается использование так называемых белых списков: банкомат отказывается запускать любые программы, библиотеки и коды, которые в его списке не перечислены. Белые списки хороши как первая линия обороны, поскольку позволяют автоматически блокировать любое новое потенциально опасное ПО.

Однако далеко не все банки применяют этот способ защиты банкоматов. Некоторые используют антивирусное ПО, другие — хоть в это и трудно поверить — обходятся вовсе без средств безопасности. Однако антивирусы не способны адекватно защитить банкомат, и текущая угроза показала это особенно наглядно. Из-за новизны атаки Meltdown у антивирусов еще нет необходимых сигнатур для ее распознавания. К тому же эти сигнатуры пришлось бы загружать на банкоматы дополнительно — непростая задача хотя бы потому, что, как мы уже сказали, пока не удалось обнаружить ни одного образца вредоносного кода, использующего эти уязвимости. Более того, пока считается, что вредоносное ПО, разработанное с учетом новой техники атаки, может почти не отличаться от «нормального» ПО, а значит, его будет очень трудно распознать.

У антивирусной защиты банкоматов есть и еще один недостаток, оцените иронию: оказалось, что исправления безопасности Microsoft для Meltdown блокируются многими сторонними антивирусами, поскольку эти продукты довольно агрессивно используют ресурсы ЦП — а новый патч блокирует такую возможность. В общем, банкам следует сделать определенные выводы относительно антивирусов: они не подходят для защиты банкоматов, а в этом случае даже могут сделать их более уязвимыми. Мы советуем всем банкам немедленно перевести свои АТМ на использование белых списков.

Однако для защиты терминалов необходимо принять и другие срочные меры. Чтобы обезопасить себя от Meltdown, банки должны установить на всех своих устройствах самообслуживания новое исправление безопасности Microsoft для Windows, обозначенное цифрами «1801». Поначалу были опасения, что этот патч может повлиять на производительность, однако сравнительные исследования их не подтвердили. Одних белых списков может быть достаточно для защиты от любого нового вредоносного ПО, но мы все же рекомендуем установить обновление «1801» в качестве второй линии обороны. На то есть несколько причин. Одна из них — инсайдерские атаки. Если служащие банка решат преступить закон, они могут несанкционированно изменить настройки белых списков.

Kalignite рекомендует не давать доступа уровня администратора к банкоматам никому из сотрудников, но, к сожалению, этому совету следуют далеко не все банки. Разумеется, вопрос безопасности банки для себя решают сами, однако им нужно учитывать, что Meltdown позволяет легко скомпрометировать ПО банкомата с помощью прав администратора.

Поэтому наш третий настоятельный совет — никогда не давать этих прав никому из обычных сотрудников. Без этого легко можно обойтись, поскольку для любых санкционированных операций по обслуживанию банкоматов достаточно стандартного уровня доступа. А вот при наличии возможностей администратора сотрудник без труда установит и запустит на терминале любое вредоносное ПО — не только использующее уязвимость Meltdown.

Не стоит закрывать глаза и на то, что некоторые банки до сих пор используют банкоматы с Windows XP. Официально Microsoft больше не выпускает обновлений безопасности для этой операционной системы. Если ваши банкоматы работают на XP, вам необходимо немедленно запросить у Microsoft исправление безопасности, которое залатает новую уязвимость.

А вот для поддерживаемых версий Windows 10, к счастью, исправления уязвимости Meltdown уже готовы — их можно загрузить здесь.

Итак, Meltdown и Spectre — серьезные угрозы, против которых необходимо принять надежные меры. Однако не стоит забывать и об особенностях защиты банкоматов. Правильно расставляя приоритеты и активно применяя рекомендованные методы, вы можете обезопасить свои устройства самообслуживания от любых появляющихся угроз.

О компании Kalignite

Компания Kalignite — мировой лидер в области разработки ПО для банковских устройств самообслуживания. Продукцию компании выбирают крупнейшие мировые банки, такие как Citibank, UniCredit, ING, Westpac и China Construction Bank. Решения компании Kalignite удовлетворяют всем требованиям к безопасности финансовых учреждений, позволяя банкам полностью контролировать сеть банкоматов, снижать свои издержки и повышать конкурентоспособность. Вы можете связаться с нами по телефону +44 131 659 4900 или по электронной почте Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..

О компании FortConsult

Компания FortConsult входит в группу NCC и предлагает своим клиентам услуги ведущих мировых консультантов в области ИТ-безопасности. Штат NCC составляют более 1000 опытнейших специалистов, которые завоевали доверие свыше 15 000 клиентов по всему миру. Свыше 35 филиалов в разных регионах консультируют организации из множества отраслей по любым вопросам, связанным с ИТ-безопасностью

FaLang translation system by Faboba

Upcoming Events