Воскресенье, 19.08.2018

ИнвестАрена. Доступный сервис онлайн-инвестиций на мировых финансовых рынках. Читать о финансах и тут же зарабатывать.

В банкоматах обнаружилось новое уязвимое место

- -
8
Аа +

В самых популярных на российском рынке банкоматах NCR обнаружена серьезная уязвимость, которая позволяет изымать наличность через сейфовую часть устройства. Производитель банкоматов NCR устранил дефект еще полгода назад, однако российские банки обновления не получили, а узнали об уязвимости только от корреспондента “Ъ”. Пользователи банкоматов в случае успешной атаки могут требовать возмещение от его производителя. Если только их не остановят репутационные риски, связанные с появлением публичной информации об успешной хакерской атаке на банк.

Вчера на конференции по информационной безопасности Black Hat в Лас-Вегасе эксперты Positive Technologies сообщили о выявленной компанией уязвимости наиболее популярных в России банкоматов производства американской компании NCR. Проблема заключается в том, что хакер может установить на контроллер диспенсера (сейфовой части банкомата для выдачи купюр) устаревшее и менее защищенное ПО с использованием технологии Black Box. А именно — подключить одноплатный компьютер к диспенсеру, используя недостатки защиты сервисной зоны банкомата, и отправить команду на снятие наличных. Уязвимости связаны с недостаточной защитой механизма записи памяти в двух моделях диспенсеров — S1 и S2.

По словам директора исследовательского центра компании Digital Security Романа Бажина, банкоматы NCR являются одними из самых распространенных в России. Только на сервисном обслуживании компании «Эн. Си. Ар., NCR A/O» находятся более 40 тыс. банкоматов (по данным ЦБ, общее количество банкоматов различных производителей на 1 апреля составляло около 200 тыс. шт.). При этом подавляющее большинство из них имеют диспенсер S1, банкоматы с диспенсером S2 распространены менее широко. По словам господина Бажина, выявленная уязвимость является очень серьезной.

К тому же чтобы ее исправить, необходимо устанавливать обновление программного обеспечения вручную на каждый банкомат. «Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределенность банкоматов»,— подчеркнул эксперт.

Эксперты Positive Technologies выявили уязвимость и сообщили о ней в головной офис NCR. 6 февраля 2018 года NCR на своем сайте www.ncr.com вывесила пресс-релиз об устранении уязвимости, выпуске обновления и дала рекомендации его установить. Российские банки, которые используют эти банкоматы, узнали об уязвимости от корреспондента “Ъ”. Естественно, что они не получили и обновления программного обеспечения для ее устранения. Результат — резкий рост атак на банкоматы весной этого года. Только в апреле с использованием технологии Black Box было атаковано десять устройств; для сравнения, за весь 2017 год — 21.

В ряде атак злоумышленники использовали именно выявленную уязвимость. «В апреле-мае мы зафиксировали несколько попыток атак на наши банкоматы с использованием техники Black Box,— рассказал директор департамента информационной безопасности МКБ Вячеслав Касимов.— Скорее всего, данная уязвимость использовалась в этих атаках». Атаки на банкоматы NCR с использованием Black Box наблюдаются c 2015 года, отметил эксперт, при этом политика подготовки исправлений у производителя не всегда позволяла эффективно справляться с угрозой. Банку удалось отбить атаки, пояснил Вячеслав Касимов, в МКБ для защиты применяются сторонние специализированные аппаратные средства защиты от Black Box, а также круглосуточный мониторинг и оперативное реагирование.

Однако неизвестно, насколько успешными были отражения атак в других кредитных организациях, чьи банкоматы злоумышленники пытались взломать с использованием технологии Black Box. По словам Романа Бажина, информация об успешных атаках тщательно скрывается банками, так как несет репутационные риски. В Банке России на вопрос “Ъ” о количестве атак на банкоматы с использованием технологии Black Box и их результативности отвечать отказались.

В NCR заявили, что сотрудничали с Positive Technologies в ходе расследования. При этом в компании утверждают, что «обнаруженные уязвимости были устранены и обновления были предоставлены». Помимо информирования об обновлениях в начале года, компания обновила их в августе «с учетом последней информации». Однако в NCR не ответили на запрос “Ъ”, почему кредитные организации вовремя не получили обновление.

Теоретически те, кто пострадал от связанных с эксплуатацией данных уязвимостей атак, могут предъявить иск к NCR по компенсации убытков. «Если у банка есть соглашение на обслуживание банкоматов, то в случае успешно проведенной атаки против них он может предъявить исковые требования по компенсации убытков к производителю, если соглашение заключено с ним, или к сервисным центрам, оказывающим услуги по их обслуживанию»,— отмечает глава АБ «Старинский, Корчаго и партнеры» Евгений Корчаго. Впрочем, в этом случае факт атаки станет публичным, и кредитная организация будет выбирать, что ей дороже — репутационные риски или потеря денег из банкомата.

Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все рынки »

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через

Мильон санкционных терзаний Мильон санкционных терзаний Какой там «мёртвый сезон» — в самый отпускной разгар Россию накрыла новость с последствиями. В принципе ничего особенного — очередной пакет санкций, к коим уже малость попривыкли. Сергей Васильев: О «девальвационных доходах» Сергей Васильев: О «девальвационных доходах» Почему тема «списка Белоусова» очень опасна для нашей экономики? «Нам надо вернуться к той идеологии, которая лежит в основе успешности экономики, когда производительность труда растет опережающим темпом» «Нам надо вернуться к той идеологии, которая лежит в основе успешности экономики, когда производительность труда растет опережающим темпом» В составе Совета по профессиональным квалификациям финансового рынка создан Центр развития кадрового потенциала. Именно он должен стать «связующим звеном» между масштабной работой по созданию системы профессиональных стандартов и конкретной практикой работодателей. Об идеологии и планах Центра в беседе с главным редактором журнала «Профессионал. Финансы» говорят его руководители - начальник департамента кадровой политики исполнительной дирекции Пенсионного фонда России Юлия Корякина и председатель Координационного совета Евразийского центра управления человеческими ресурсами Андрей Беспалов.

Новости

Основные курсы и котировки
Finversia-TV