Windows cu malware, acum si pe automatele bancare

Până acum mă îngrijoram pentru cardul meu bancar doar la tranzacțiile pe Internet și-mi imaginam că bancomatele sunt relativ sigure (atâta vreme cât evit zonele ferite în care este posibil ca băieții cu inițiativă să fi dotat aparatul cu o tastatură nouă și un dispozitiv de captură în loc de fanta în care se introduce cardul). Ei bine, m-am înșelat.

Conform unui raport Trustwave de luna trecută, preluat și disecat în detaliu în revista New Scientist din 20 iunie, un număr de aproximativ 20 de bancomate din Ucraina și Rusia au fost descoperite ca fiind infectate cu un malware foarte interesant. Deghizat ca executabilul lsass.exe din Windows, programul recunoaște atunci când în bancomat sunt introduse niște carduri “speciale” și lansează o interfață de control cu ajutorul căreia “operatorul secret” poate efectua tot soiul de activități interesante. În funcție de versiunea malware-ului, posesorului cardului “cu schepsis” poate lista datele tuturor cardurilor care au trecut recent prin bancomat, inclusiv PIN-ul de identificare, folosind imprimanta pentru chitanțe a bancomatului. Anumite modele de bancomate pot să-și golească întreaga rezervă de bani la comanda deținătorului cardului special.

Notă: imaginile sunt doar ilustrative și nu capturi reale ale bancomatelor cu probleme. Nu am găsit în nici o sursă că ar fi vorba de bancomate de tip NCR, fie ele mai vechi sau mai recente.

Windows pe bancomat

Malware-ul a fost programat în Delphi și nu denotă o măiestrie ieșită din comun a autorilor, în afară de optimizarea foarte bună care a redus mărimea executabilului la 50 Kb și de tertipul interesant de a printa datele cardurilor criptat. Astfel, stăpânii operațiunii pot trimite “oameni de paie” la bancomate ca să le aducă recolta de PIN-uri, fără să le fie teamă că trepădușii îi vor fura.

Doi factori au fost decisivi pentru facilitarea acestei scheme. Primul, faptul că securitatea slabă a acestor bănci a permis unor angajați să instaleze programe neautorizate pe bancomate, acestea neavând acces la Internet deci neputând fi infectate din exterior. Al doilea factor agravant major este utilizarea Windows XP pentru un soft bancar, ce a facilitat extrem de mult realizarea unui malware de către programatori cu pregătire minimă.

Steve Gibson, cunoscut expert și autor a numeroase tool-uri de securitate, a afirmat în podcastul său Security Now! că folosirea unui sistem de operare de tip consumer cum ar fi Windows XP este o greșeală foarte gravă. “Pentru sistemele critice din bănci, medicină sau transporturi este o dovadă de iresponsabilitate să nu utilizezi unul din sistemele de operare de calitate industrială de pe piață. Multă lume confundă ușurința de programare/utilizare cu cât de bun este un produs software, ori pentru un sistem critic trebuie să ai cu totul alt sistem de referință.”

Windows pe bancomat

Ar fi interesant de știut pe ce platforme software rulează bancomatele diferitelor bănci românești. Rog pe oricine poate da astfel de informații să lase un comentariu.

This entry was posted in Security and tagged , , , , , , . Bookmark the permalink.

27 Responses to Windows cu malware, acum si pe automatele bancare

  1. Mihai Brehar says:

    La Banca Transilvania se foloseste Windows, insa nu stiu ce versiune.

    Stiu sigur ca e Windows deoarece bancomatele de la BT au un ecran in partea din spate – vizibil din interiorul bancii.

    Cateodata, pe deskptop se pot vedea diverse patch-uri :)

  2. Oribilul says:

    Si la noi tot Windows. Se pare ca e sistemul de operare cel mai popular si folosit de banci in bancomate.

    Cu cativa ani in urma am vazut la o banca din centrul Bucurestiului doua bancomate care afisau ecranul de shutdown din Windows.

  3. aurelian says:

    wild guess: windows nt

  4. Vio says:

    La ATM-urile BRD aveau Windows XP

  5. NCR says:

    O tampenie… PIN-ul nu are legatura cu Windows-ul. Acesta pleaca criptat din tastatura.

  6. @NCR: atentie la vocabular si trebuia sa fi citit mai cu grija referintele.

    Uite ce zice New Scientist: “That PIN data gets encrypted when it is transmitted through to the bank,” explains Henwood, “but inside the machine it’s in the clear. So this little bugger just sits there stealing all the card data.”

    Ar fi frumos si logic daca ar fi cum spui tu, eventual criptat cu cheia publica a bancii (sau ma rog, a aplicatiei). Poate mecanismul o fi diferit in functie de tipul de bancomat? Ce zici?

  7. N5344663 says:

    CRed ca in primul rand ar trebui discutat cu NCR, producatorul acestor bancomate. In lumea intreaga NCR detine peste 85% din numarul de instalari de bancomate, iar acestea ruleaza pe diverse platforme de Windows.
    Problema nu este neaparat ca este Windows Xp sau o alta versiune – orice versiune de OS este vulnerabila, inclusiv UNIX, orice versiune de OS poate fi securizata serios, inclusiv Windows XP.
    Cu tot respectul, dar nu am reusit sa gesesc acel citat din Steve Gibson – daca a spus intr-adevar asa ceva atunci are probleme mari in a intelege securitatea sistemelor informatice. Si ar trebui sa le spuna si celor de la Reuters si de Bloomberg ca instalarile lor de Windows folosite in Trade Room-urile bancilor n-ar trebui sa fie pe Windows.
    Haideti sa fim seriosi. Este in primul rand vorba despre angajatii minune ai acelor banci care cu buna stiinta au instalat software-ul respectiv pe bancomate. Ma mir ca cei de la NCR le-au permis acest lucru, de obicei procedura este mai complicata si nu este efectuata chiar de catre oricine – deci, in principiu, se poate depista cine a fost cel care a introdus acest Trojan in bancomatele respective.

  8. N5344663 says:

    @Adrian Spinei – comment #6
    In versiunile “moderne” de bancomat, chiar de la NCR, dar si de la alti producatori, PIN-ul este deja incriptat si nu mai este tinut “clear” in masina respectiva.
    Comentatorul NCR are dreptate, PIN-ul nu are nici o legatura cu OS masinii pe care este bancomatul – este doar o problema de algoritmi si de Business Logic al aplicatiei care “prefera” sau nu sa incripteze PIN-ul.

  9. @N5344663 citatul este aproximativ din Security Now!, gasesti cateva cuvinte dure si in podcastul spre care am dat eu link, dar discutia e mai veche si dureaza de cateva saptamani. Dar cum nu exista transcripturi exacte, va trebui sa cauti, nu te pot ajuta mai mult…

    Gibson nu spune ca XP nu se poate securiza, ci doar ca are mult mai multe gauri decat sisteme de operare cu un codebase de 100 de ori mai mic care face de 100 de ori mai putine chestii. E firesc. Si chiar nu cred ca omul are vreo problema de intelegere a securitatii, iti recomand sa-i asculti podcasturile.

    PS Nu cred ca incriptarea PIN-ului ar trebui sa fie optionala.

    PPS Am corectat Bloomberg si “nu”.

  10. Marius says:

    As vrea s-o vad si p-asta – un hacker programand bancomatul din carduri, haha, ca pe vremuri cu cartele compostate.
    E buna observatia de mai sus, bancile respective au o grava problema de securitate din pricina angajatilor.

  11. N5344663 says:

    @Adrian Spinei #9
    In acest caz nu prea inteleg relevanta celor spuse de Gibson in legatura cu ATM-urile. Intru-cat, dupa stiita mea umila, OS din ATM-uri sunt doar “bazate” pe un OS de larga circulatie (in acest caz XP). Toate aceste OS sunt de o constructie speciala, dedicata aplicatiei si producatorului de ATM-uri.
    Si tot pentru domnul Gibson, in caz ca nu stia”: Sisteme;e critice din banci sunt puse de masini cu OS foarte bine securizate. Dar asta nu rezolva totul – si aplciatiile trebuiesc securizate, altfel tot efortul este in zadar.

    Daca voi avea timp voi incerca sa vad mai pe indelete cum este cu podcast-urile acelea, insa nu cred ca voi avea mult timp si daca nu ma convinge in mai putin de 5 minute nu ma va mai interesa. Podcast-urile sunt facute in general de diversi oameni deoarece sunt platiti pentru a face asta, nu datorita marinimiei lor deosebite – iar cand vine vorba de securitate, well, la fel ca la fotbal si politica, toata lumea se pricepe si stie

  12. N5344663 says:

    @Adrian Spinei
    Multumesc pentru corecturi – interesante discutii, pana urma.

  13. Ca sa iau si eu o parte din vina … In ’98 am lucrat la o aplicatie bancara, nu stiu ce rulau ei (o banca franceza) efectiv pe bancomate dar eu am programat un serviciu Windows NT cat se poate de normal din care accesam direct o baza de date Oracle din agentie, cu IP-ul intr-un fisier de configurare :) Ma rog, erau de unica folosinta deci o data folosit PIN-ul cardul se retinea in aparat asa ca nu puteai face tampenii.

    Stiu ca scuza cu eram proaspat intrat in campul muncii nu ține :) poate daca era QNX puneau un om mai experimentat la treaba

  14. nea caisa says:

    Semi off-topic: cunoscatorii stie*

    http://www.falken.pl/bankomat/

  15. OS says:

    Nu e vorba de Windows, UNIX sau QNX. Bancomatele ar trebui sa foloseasca un soft dedicat, nu sisteme de operare de tip “consumer”, prea bine cunoscute de hackeri.

  16. DigitalScribe says:

    Cam toate bancomatele folosesc de la Windows NT incoace. NT 4.0 la inceput, o vreme 5.0 (adica Win2000) si acum 5.1/5.2 (adica XP cu diferitele lui service pack-uri).

    Deci cam 99% folosesc XP acum. Nu trebuie sa intrebati pe nimeni special.

  17. Alex says:

    Banca Transilvania foloseste Windows XP. La BCR cred ca mai sunt inca bancomate care ruleaza ceva soft dedicat facut de IBM, bazat pe Unix

  18. T says:

    Poate xp embedded ?

  19. Teniescu says:

    Si la CEC se foloseste tot Windows XP. Mai are pe langa el si ceva soft pe nume Agilis (parca), probabil ca asta e folosit de mai multe banci.

  20. cash rulez. Intotdeauna. De ce tre’ sa stie toata lumea (lumea ‘avizata’, desigur) cand si cati bani ai avut nevoie???

  21. zuzu says:

    am fost la un seminar, era acolo un tip de la visa … si foarte bucuros a declarat ca au doar 5% frauda …

    daca sa ei la bani marunti … cred ca se poate sparge usor orice bancomat, ca peste tot totul se bazeaza ca il prinde daca ceva … si il baga la puscarie

    omu pana la urma va cheltui undeva banii, se va lauda la prieteni ca uite sparge bancomate de aici si-a cumparat el BMW

  22. radu says:

    Windows XP e folosit si pe bancomatele ING, l-am vazut cum s-a resetat din cauza unei pene de curent, evident cu cardul meu inauntru…totusi nu cred ca alegerea SO tine de banca, ci de furnizorul de ATM-uri.

  23. Marius Delaepicentru says:

    Mda! E un thriller de lumea a III-a.

  24. aza says:

    Mie mi s-a intamplat sa dau peste bancomatul raiffesen de la unirii intr-un ciclu de reboot. si da folosea windows xp :)

  25. Jeno says:

    Imaginea spune totul (bancomat BCR din Romania)

  26. Jeno says:

    imaginea pentru comentariul anterior: http://img2.pict.com/b6/81/7d/1405566/0/800/pict0013.jpg (blogul a cenzurat linkul)

  27. Bogdan Maxim says:

    In general in bancomate (si in multe dispozitive) nu se foloseste XP Professional/Home (varianta de consumer) ci XP Embedded (o varianta configurabila de XP). Din cate stiu, exista tot felul de module pentru aceasta varianta de windows care te ajuta sa “configurezi” destul de bine si usor zonele in care poate fi scris pe disk, poti sa verifici daca intr-adevar un fisier este cel original, etc.
    Ce s-a intamplat in Rusia, ma duce cu gandul doar la producatorul de bancomate.. nu la bancile care le folosesc

Comments are closed.