211service.com
Une faille ouvre les guichets automatiques aux pirates
Barnaby Jack, chercheur en sécurité chez le géant des réseaux informatiques Genévrier , avait prévu de pirater un guichet automatique bancaire (ATM) en direct sur scène lors de la Black Hat Security Conference à Las Vegas plus tard ce mois-ci. Mais sa présentation, conçue pour démontrer l'insécurité de divers guichets automatiques, a attiré l'attention du secteur financier ainsi que des professionnels de la sécurité, et sous la pression des fabricants de guichets automatiques, Juniper a annulé la présentation la semaine dernière, craignant que les vulnérabilités impliquées n'aient toujours pas été fixé.
La vulnérabilité dont Barnaby devait discuter a des conséquences de grande envergure, non seulement pour le fournisseur de DAB concerné, mais aussi pour d'autres fournisseurs de DAB et, en fin de compte, le public, a écrit Brendan Lewis, directeur des relations avec les médias sociaux d'entreprise pour Juniper dans une déclaration publiée sur le site de l'entreprise. blog officiel la semaine dernière. Divulguer publiquement les résultats de la recherche avant que le fournisseur concerné ne puisse atténuer correctement l'exposition aurait potentiellement mis ses clients en danger. C'est quelque chose que nous ne voulons pas voir se produire.
La présentation aurait porté sur l'exploitation des vulnérabilités des appareils exécutant le système d'exploitation Windows CE, y compris certains guichets automatiques, selon une source proche des détails. Alors que la présentation a été annulée pour laisser plus de temps aux fabricants pour corriger les vulnérabilités, Juniper avait initialement notifié la société il y a près de huit mois, a déclaré la source, qui a demandé à ne pas être nommée.
D'autres experts en sécurité ne sont pas surpris que les vulnérabilités soient là pour trouver. Les défauts importants dans les distributeurs automatiques de billets et les réseaux ATM sont nombreux, déclare Nicholas Percoco, vice-président senior de TrustWave , une société de sécurité de l'information et de conformité qui a évalué la sécurité des terminaux de point de vente, des kiosques et des réseaux ATM. Il est très, très rare qu'un appareil arrive dans nos laboratoires - en fait, je ne pense pas que cela se soit produit - que nous ne trouvions pas de vulnérabilité, dit Percoco.
Les guichets automatiques ont également fait l'objet d'un certain nombre d'incidents de sécurité très médiatisés au cours des 12 derniers mois. En novembre 2008, des voleurs ont volé près de 9 millions de dollars dans plus de 130 distributeurs automatiques de billets en quelques heures à l'aide de fausses cartes de paie. Le stratagème, qui a eu lieu dans 49 villes du monde, s'appuyait sur des pirates informatiques pénétrant le réseau de la société financière RBS WorldPay et rechargeant des cartes afin qu'ils puissent retirer en moyenne 90 000 $ par compte.
En janvier de cette année, le deuxième plus grand fabricant de guichets automatiques, Diebold, a averti les clients dans un avis que certains distributeurs de billets en Europe de l'Est étaient chargés de logiciels malveillants capables de voler des informations financières et les codes PIN secrets des clients effectuant des transactions aux guichets automatiques. Le logiciel furtif, qui a infecté au moins 20 guichets automatiques, a permis aux criminels d'imprimer les détails de la carte sur les reçus des guichets automatiques et d'éjecter la cartouche de billets des guichets des guichets automatiques, selon une analyse du logiciel effectuée par TrustWave.
Une fois que les attaquants pénètrent dans les systèmes dorsaux, ils campent essentiellement, explique Percoco. C'est de l'argent liquide, donc c'est de l'argent réel ; ce n'est pas comme s'ils facturaient une carte de crédit et devaient vendre les marchandises.
Parmi les recommandations à ses clients, Diebold a demandé que les banques et les propriétaires de guichets automatiques modifient périodiquement les mots de passe des administrateurs des kiosques et s'assurent que les pare-feu sont actifs. Diebold pense que les attaquants devaient avoir un accès physique aux systèmes pour charger le logiciel malveillant en premier lieu. À la connaissance de l'entreprise, il s'agit du premier incident concernant une attaque physique et l'installation de logiciels illégaux au sein de l'unité ATM, a déclaré Diebold dans un communiqué publié à l'époque.
NCR, le premier fournisseur mondial de distributeurs automatiques de billets, a adopté une approche à plusieurs niveaux pour sécuriser ses distributeurs de billets. La société utilise une technologie, connue sous le nom de Solidcore, qui empêche l'exécution de code non autorisé sur ses systèmes Windows, et elle recommande aux clients de verrouiller le système d'exploitation Windows XP en utilisant le pare-feu intégré et le réseau privé virtuel. D'autres caractéristiques de sécurité incluent des mesures physiques pour indiquer si un fraudeur attache un appareil pour voler des informations de carte au guichet automatique, un mécanisme pour empêcher ces appareils de lire facilement les cartes bancaires et de l'encre qui tache l'argent volé.
Cependant, les représentants de NCR et de Diebold ont nié que l'une de leurs machines soit au centre de la démonstration de Juniper.
Le système d'exploitation utilisé dans le système concerné, Windows CE, constitue un obstacle à une solution rapide. Microsoft recommande que Windows CE soit utilisé pour les guichets automatiques bas de gamme, tandis que Windows XP Embedded et Windows XP Professionnel sont utilisés sur des guichets automatiques plus complets, selon un livre blanc sur les plates-formes du système d'exploitation des kiosques et des guichets automatiques émis par le fabricant du logiciel. Windows XP Embedded, dont la dernière version est Windows Embedded Standard 2009, et Windows XP Professionnel sont plus sécurisés car ils sont plus faciles à mettre à jour, selon le géant du logiciel. Un représentant de Microsoft a déclaré que le géant du logiciel ne disposait d'aucune information spécifique liée à la conférence annulée de Black Hat ou de Juniper.
Selon le Groupe de la tour , un cabinet de conseil financier. Les périphériques restants exécutent un système d'exploitation plus ancien, l'OS/2 d'IBM, et n'ont généralement pas de connexion réseau. Étant donné que les guichets automatiques durent généralement une décennie ou plus, les anciennes machines basées sur OS/2 resteront utilisées jusqu'en 2012 environ, explique Nicole Sturgill, directrice de recherche pour les canaux de livraison chez TowerGroup.
Sturgill s'attend à ce que les cybercriminels trouvent de nouveaux moyens d'attaquer les distributeurs de billets. C'est un jeu continu du chat et de la souris, dit-elle. Peu importe à quel point vous l'avez : les guichets automatiques seront toujours un endroit pour accéder à l'argent liquide, donc les criminels seront toujours intéressés à trouver un nouveau trou dans les guichets automatiques.