โดย Aravida Korala และ Kit Pattersom (จาก KAL)
สนับสนุนโดย Michael Moltke (FortConsult) และ Alex Gherman
วันที่ 8 มกราคม 2561
การโจมตีของ “Meltdown” และ “Spectre” กลายเป็นข่าวใหญ่ตั้งแต่วันที่ 3 มกราคม 2561 ที่เกิดจากช่องโหว่ด้านความปลอดภัยด้านฮาร์ดแวร์ของชิป intel AMD และ ARM ซึ่งได้รับการตั้งสมมติฐานครั้งแรกโดย Anders Fogh ในเว็บไซต์ของ German cyber เมื่อเดือนกรกฎาคมในปีที่ผ่านมาในฐานะภัยคุกคามที่สามารถเกิดขึ้นได้ ซึ่งได้รับการพิสูจน์ต่อสาธารณะว่าเป็นเรื่องจริงในภายหลังเมื่อสัปดาห์ที่ผ่านมา ข่าวดีคือได้มีการส่งข้อมูลนี้อย่างลับ ๆ ไปยังผู้จัดจำหน่ายระบบปฏิบัติการ (OS) รายใหญ่เพื่อให้พวกเขาสามารถแก้ไขระบบปฏิบัติการและช่วยให้เร่งแก้ไขปัญหาเพื่อช่วยรักษาความปลอดภัยพีซีและโทรศัพท์ได้
ถ้าเช่นนั้นสถานการณ์สำหรับเครื่องเอทีเอ็มจะเป็นอย่างไร? เครื่องเอทีเอ็มจะมีความเสี่ยงจากการโจมตีเหล่านี้หรือไม่? คำตอบสั้น ๆ คือมีความเสี่ยง แต่อย่าเพิ่งตกใจจนเกินไป
ภัยคุกคามทันทีคือการโจมตีของ Meltdown วิธีการโจมตีตือจะอนุญาตให้มัลแวร์สามารถอ่านรายการข้อมูลใด ๆ ในพีซีที่ใช้วินโดวส์รวมถึงหน่วยความจำเคอร์เนลของวินโดวส์ หน่วยความจำกายภาพ และทุกหน่วยความจำที่เป็นของกระบวนการอื่นในเครื่องพีซีเดียวกัน เครื่องเอทีเอ็มทั่วโลกส่วนใหญ่จะสร้างบนพื้นฐานของพีซีที่ใช้วินโดวส์ซึ่งมีการเตรียมรับสถานการณ์ที่รัดกุมอยู่แล้ว เรามาลองวิเคราะห์ความเสี่ยงและสิ่งที่จะต้องทำเพื่อลดความเสี่ยงเหล่านี้ที่เครื่องเอทีเอ็ม
โลกนี้มีเครื่องเอทีเอ็มในระดับสำหรับธนาคารอยู่ประมาณ 3 ล้านเครื่องซึ่งส่วนใหญ่ทำงานด้วยวินโดวส์ 7 หรือวินโดวส์ XP เครื่องเอทีเอ็มทุกเครื่องมีความเสี่ยงจากข้อบกพร่องที่เกี่ยวกับชิปฮาร์ดแวร์และไม่ได้มีสาเหตุจากช่องโหว่ของระบบปฏิบัติการ ในบทความนี้เราจะมุ่งเน้นไปที่เครื่องเอทีเอ็มที่ทำงานด้วยวินโดวส์ 7 หรือวินโดวส์ XP
มาเริ่มต้นด้วยข่าวดี
อุตสาหกรรมเครื่องเอทีเอ็มไม่ได้จัดเก็บความลับการประมวลผลทางธุรกรรมไว้ภายในแกนของพีซีในเครื่องเอทีเอ็ม-แต่ได้จัดเก็บไว้ในฮาร์ดแวร์ Encrypting Pin Pads (EPPs) แทน ซึ่งหมายความว่าคีย์การเข้ารหัสซึ่งใช้ในการทำธุรกรรมของเครื่องเอทีเอ็มจะได้รับการรักษาไว้อย่างปลอดภัยภายใน EPP และเพราะฉะนั้นข้อมูลจะไม่ได้รับผลกระทบจากวิธีการโจมตีแบบใหม่ ไม่ใช่เฉพาะคีย์เหล่านี้เท่านั้นที่ได้รับการป้องกันภายใน EPP วิธีการป้อนคีย์เหล่านี้จากระยะไกลเข้าไปใน EPP จะใช้วิธีการที่เรียกว่า “Remote Key Loading” ซึ่งมีความปลอดภัยจากการโจมตีของ Meltdown ในมุมมองของเรา และ EPPs ยังมีสภาพแวดล้อมภายในที่ปลอดภัยแยกส่วนไว้ซึ่งไม่ได้รับความเสี่ยงต่อการโจมตีประเภทนี้
อย่างไรก็ตาม เหตุผลเพียงเท่านั้นไม่ได้ทำให้เครื่องเอทีเอ็มปลอดภัยอย่างเต็มที่ หากผู้โจมตีสามารถนำมัลแวร์เข้าไปในเครื่องเอทีเอ็มได้ มีความเป็นไปได้ในการเข้าถึงข้อมูลที่สำคัญของลูกค้า (เช่น หมายเลขบัญชีในบัตรของลูกค้า) และรหัสผ่านที่มีความสำคัญบางประเภท เช่น รหัสผ่านเข้าระบบผู้ดูแลเครื่องเอทีเอ็มซึ่งอาจมีการจัดเก็บไว้ชั่วคราวในหน่วยความจำ คำถามคือ – แฮคเกอร์สามารถนำมัลแวร์เข้าไปในเครื่องเอทีเอ็มได้อย่างง่ายดายจริงหรือ?
เครื่องเอทีเอ็มส่วนใหญ่จะได้รับการป้องกันจากมัลแวร์เป็นอย่างดี มาตรฐานทองคำคือการใช้เทคโนโลยีที่เรียกว่า “Whitelisting” ซึ่งจะป้องกันเครื่องเอทีเอ็มจากการใช้งานโปรแกรม ไลบรารี และสคริปต์ที่ไม่รู้จักโดยอัตโนมัติ Whitelisting จะทำการกีดกันมัลแวร์ใหม่จากการดำเนินการในเครื่องเอทีเอ็มโดยอัตโนมัติและถือเป็นการป้องกันชั้นแรกที่ดีเยี่ยม
อย่างไรก็ตาม ไม่ใช่ทุกธนาคารที่ใช้ระบบ Whitelisting ในเครื่องเอทีเอ็ม บางธนาคารจะใช้ซอฟต์แวร์แอนตี้ไวรัสและบางแห่งจะไม่มีการป้องกันมัลแวร์เลย (ซึ่งแน่นอนว่าไม่สมเหตุสมผล) แอนตี้ไวรัส (AV) ไม่ใช่คำตอบที่ถูกต้องในการป้องกันเครื่องเอทีเอ็มและถือเป็นภัยคุกคามเฉพาะที่ชัดเจนอย่างยิ่ง ในฐานะภัยคุกคามที่ใหม่มาก ซอฟต์แวร์ AV จะไม่มีลายเซ็นที่ใช้ในการระบุภัยคุกคามประเภทนี้ได้ อย่างน้อยที่สุดจะต้องมีการอัปเดตลายเซ็นในเครื่องเอทีเอ็ม แต่เป็นสิ่งที่ทำได้ยาก ดังที่เราได้กล่าวไว้ว่ามัลแวร์ที่ได้รับเขียนขึ้นมาแท้จริงเพื่อทำให้เกิดภัยคุกคามเหล่านี้ยังไม่ได้รับการระบุ แต่ที่แย่ไปกว่านั้น มีแนวคิดในปัจจุบันที่ว่ามัลแวร์จะใช้เทคนิคที่ทำให้ดูคล้ายกับ “ซอฟต์แวร์ปกติ” และทำให้ยากต่อการแยกแยะ
มีการแจ้งเตือนครั้งสุดท้ายสำหรับธนาคารที่ใช้ AV ในเครื่องเอทีเอ็ม มีการเปิดเผยว่าจะมีการปิดกั้นแพทช์รักษาความปลอดภัยของ Microsoft สำหรับ Meltdown โดยทางผลิตภัณฑ์ AV หลายบริษัทเนื่องจากผลิตภัณฑ์เหล่านี้จะเข้าถึง CPU ด้วยวิธีการล่วงล้ำซึ่งแพทช์ใหม่จะปิดลง มีบทเรียนจากตรงนี้ไปสำหรับธนาคารต่าง ๆ เกียวกกับการป้องกันเครื่องเอทีเอ็ม AV ไม่ใช่คำตอบที่ถูกต้องในการรักษาความปลอดภัยเครื่องเอทีเอ็ม และในสถานการณ์นี้ ซอฟต์แวร์ AV ยังสร้างความเสี่ยงให้กับเครื่องเอทีเอ็มมากขึ้นด้วย คำแนะนำของเราสำหรับธนาคารต่าง ๆ คือทำการเปลี่ยนเครื่องเอทีเอ็มไปใช้ระบบ whitelisting โดยทันที
อย่างไรก็ตาม นั่นยังไม่ใช่งานเร่งด่วนในการป้องกันเครื่องเอทีเอ็มของธนาคาร เพื่อป้องกันจาก Meltdown ธนาคารต้องแจกจ่ายแพทช์รักษาความปลอดภัยของ Microsoft สำหรับสินโดวส์ลงใน “1801” มีข้อกังวลเบื้องต้นบางอย่างเกี่ยวกับประสิทธิภาพที่ได้รับจากแพทช์นี้ แต่เกณฑ์การทดสอบมาตรฐานยังไม่มีความชัดเจนในเรื่องนี้ แม้ว่า whitelisting เพียงอย่างเดียวจะสามารถป้องกันมัลแวร์ใหม่ ๆ ได้ เราขอแนะนำแพทช์ “1801” เป็นแนวป้องกันที่สองด้วยหลายเหตุผล หนึ่งในเหตุผลเหล่านั้นคือ “การโจมตีภายใน” อาจมีการบุกรุก Whitelisting โดยเจ้าหน้าที่ธนาคารภายในที่ทุจริตซึ่งสามารถแก้ไขการตั้งค่าของ whitelisting ได้ KAL ได้ให้คำแนะนำมาโดยตลอดว่าไม่ควรมีใครได้รับสิทธิการเข้าถึงผู้ดูแลระบบไปยังเครื่องเอทีเอ็ม แต่น่าเสียดายที่หลายธนาคารยังมอบสิทธิการเข้าถึงผู้ดูแลระบบไปยังเครื่องเอทีเอ็มให้กับพนักงาน นี่คือการตัดสินใจของธนาคารเพื่อความปลอดภัย แต่ Meltdown จะทำให้สามารถใช้ซอฟต์แวร์เอทีเอ็มได้โดยง่ายโดยใช้สิทธิพิเศษของผู้ดูแลระบบ
ดังนั้นคำแนะนำที่เข้มแข็งลำดับที่สองสำหรับธนาคารต่าง ๆ คือห้ามมอบสิทธิการเข้าถึงผู้ดูแลระบบไปยังเครื่องเอทีเอ็มให้กับพนักงานใด ๆ ไม่ใช่เป็นเพียงเรื่องจำเป็น การดำเนินการบำรุงรักษาที่ทำได้ทั้งหมดในเครื่องเอทีเอ็มสามารถกระทำได้โดยใช้สิทธิมาตรฐาน และพนักงานที่มีสิทธิการเข้าถึงผู้ดูแลระบบไปยังเครื่องเอทีเอ็มยังสามารถติดตั้งและใช้งานมัลแวร์ต่าง ๆ ได้อย่างง่ายดาย – ไม่ใช่เพียงแค่ Meltdown
มีเรื่องใหญ่อีกเรื่องที่เรายังไม่ได้กล่าวถึง – บางธนาคารยังคงใช้งานวินโดวส์ XP ในเครื่องเอทีเอ็ม Microsoft ได้ประกาศอย่างเป็นทางการที่จะไม่สร้างแพทช์รักษาความปลอดภัยอีกต่อไปสำหรับวินโดวส์ XP หากคุณคือธนาคารที่ยังใช้วินโดวส์ XP ในเครื่องเอทีเอ็ม คุณต้องติดต่อ Microsoft ให้ออกแพทช์เพื่อแก้ไขช่องโหว่นี้โดยทันที
ดังนั้นในภาพรวม ในขณะที่เราให้ความสำคัญอย่างจริงจังกับ Meltdown และ Spectre เป็นเรื่องสำคัญที่ต้องจำว่ามีความหลากหลายของความเสี่ยงที่ไม่ซ้ำกันกับการรักษาความปลอดภัยของเครื่องเอทีเอ็ม โดยการมุ่งเน้นไปยังสิ่งที่สำคัญและกระตือรือร้นที่จะใช้เทคนิคด้านความปลอดภัยที่ดีที่สุดทั้งหมด ก็จะสามารถก้าวผ่านภัยคุกคามต่าง ๆ แม้จะมีภัยใหม่ ๆ เกิดขึ้นก็ตาม
เกี่ยวกับ KAL
KAL เป็นบริษัทซอฟต์แวร์เครื่องเอทีเอ็มชั้นนำของโลกและซัพพลายเออร์ที่ได้รับความไว้วางใจจากธนาคารขนาดใหญ่ เช่น Citibank, UniCredit, ING, Westpac และ China Construction Bank ซอฟต์แวร์ของ KAL ช่วยให้ธนาคารสามารถควบคุมเครือข่ายเอทีเอ็มของตนได้อย่างเต็มที่ ลดค่าใช้จ่าย ตอบสนองทุกความต้องการด้านความปลอดภัยและเพิ่มขีดความสามารถในการแข่งขัน ติดต่อเราได้ที่ +44 131 659 4900 หรืออีเมลที่
เกี่ยวกับ FortConsult
FortConsult เป็นส่วนหนึ่งของ NCC Group และมีทีมงานที่มีประสบการณ์มากมายด้านการให้คำปรึกษาด้านความปลอดภัยของระบบ IT สูงสุดทีมหนึ่งของโลก การทำงานร่วมกับ NCC Group เรามีผู้ให้คำปรึกษามากกว่า 1000 คนและเป็นที่ปรึกษาที่เชื่อถือได้ของลูกค้ากว่า 15,000 รายทั่วโลก เรามีสำนักงานมากกว่า 35 แห่งทั่วโลกและให้คำแนะนำแก่ลูกค้าในหลากหลายอุตสาหกรรมในเกือบทุกเรื่องที่เกี่ยวกับความปลอดภัยด้านไอที