Анализ защищенности банкоматов (АТМ)

Пентест банкомата: что это?

Оценка безопасности банкоматов или пентест банкомата — стандартная услуга для организаций, использующих автоматические кассовые аппараты (ATM), интерактивные кассовые аппараты (ITM), виртуальные кассовые аппараты (VTM) или депозитные кассовые аппараты (CDM).

Этапы оценки защищенности банкомата

В рамках проводимых работ анализируется:

Физическая безопасность

В рамках работ формируется вектор атаки на конкретную модель банкомата, с учетом используемых механизмов защиты, таких как сигнализация, отключение функций и пр. Реализация атаки документируется и предоставляется заказчику (фото, видео и пр.)

В большинстве случаев планируется и осуществляется взлом замков, а также создание отверстий для доступа к оборудованию банкомата.

Безопасность окружения

Важна не только безопасность самого банкомата, но и то, насколько легко взломать другие устройства, используемые для поддержки функционирования ATM.

Анализируется подключение банкомата к локальной сети в отделении банка или торговом центре, в том числе легко ли доступны маршрутизаторы/межсетевые экраны или настроены ли они с использованием стандартных учетных данных, возможно ли подменить или подключить иное оборудование.

Безопасность операционной системы

Проверяется безопасность используемой операционной системы в конкретном банкомате и/или  образа операционной системы, который используется в банке в качестве стандартного.

Безопасность промежуточного программного обеспечения / фреймворков

Обычно в банкоматах используется промежуточное программное обеспечение, которое скрывает все сложности банковских операций и обеспечивает взаимодействие между различными производителями, например XFS, но могут использоваться и другие, менее распространенные фреймворки.

Любое слабое место в этом уровне облегчит автоматизацию атаки и ее тиражирование на различные устройства, а также использование проблем, позволяющих выполнять привилегированные команды. Безопасность коммуникаций между банкоматом и BDCM

Безопасность взаимодействия банкомата и бэкенда

Коммуникации между ATM и внутренним устройством также могут быть уязвимыми.

В этом случае злоумышленник может совершить кражу личных данных, похитить деньги из банкомата или раскрыть конфиденциальные данные.

Безопасность периферийных устройств

Банкомат содержит различные периферийные устройства, подключаемых к главному компьютеру.

К таким периферийным устройствам относятся, например:

• Картридер
• Диспенсер для выдачи наличных
• Валидатор банкнот
• Другое

Эти элементы представляют собой угрозу безопасности всей системы, так как если злоумышленнику удастся взаимодействовать с ними и использовать какую-либо уязвимость, то он сможет осуществить успешную атаку.

Одним из важных моментов при оценке защищенности банкомата или аналогичных банковских устройств является легкость доступа злоумышленника к внутренним устройствам.

1. Использование USB или аналогичных интерфейсов для подключения несанкционированных устройств
2. Возможность обойти механизм защиты от несанкционированного доступа, чтобы избежать отключения функций или генерации сигналов тревоги

Вот два примера вопросов, которые будут проанализированы консультантами.

Форматы тестирования безопасности банкомата

Пентест банкомата по «черному ящику»

Для проведения тестирования необходимо предоставить банкомат на нашу площадку в г. Москве или г. Воронеж, либо предоставить банкомат в отдельном помещении на площадке Заказчика в полнофункциональном режиме, без наличия денежных знаков Банка России в кассетах, а также без ограничений по шуму в помещении.

Важно понимать, что в случае выбора Заказчиком оценки физической безопасности, банкомату будут нанесены повреждения.

Пентест банкомата по «белому ящику»

Данный вариант тестирования возможен на реально функционирующей банкоматной сети, однако наличие дополнительно выделенного банкомата для физических тестов повысит объективность результатов.

Также данный вариант позволяет провести анализ образа операционной системы и приложений в лабораторных условиях, что также повысит объективность.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Имеем опыт анализа уязвимостей программно-аппаратных комплексов, в том числе банкоматы и POS-терминалы
• Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 683-П, 719-П, 747-П, 757-П для российских банков, некредитных финансовых организаций, а также платежных систем
• Поддерживаем самую обширную линейку услуг в тематике тестирования на проникновение и анализа уязвимостей
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты