计算机网络巨头公司Juniper,欲现场演示如何非法入侵自动取款机,在自动取款机生产商的压力下,计划取消了,原因是“考虑到所涉及的漏洞目前仍无法修补”
CFP供图
自动取款机值得百分百信赖吗?答案是否定的。
计算机网络巨头公司Juniper的安全研究员巴纳比·杰克(BarnabyJack),原本计划于上个月在拉斯维加斯举办的黑帽安全会议讲台上,现场演示如何非法入侵自动取款机(ATM)。他的演示显然是为证实不同型号的自动取款机中,存在诸多安全隐患。但是,在自动取款机生产商的压力下,Juniper取消了公开演示计划,他声称,取消计划的原因“是考虑到所涉及的漏洞目前仍无法修补”。
专家:找不到安全漏洞的ATM机“非常罕见”
“巴纳比所涉及的漏洞有着长远的影响,不仅涉及被演示的自动取款机出售商,而且关系到其他的自动取款机卖家,甚至公众都难以幸免。”Juniper公司的社会媒体关系主任布伦达·刘易斯在公司的官方博客上发表声明,“在那些受牵连的销售方能够妥善解决这些暴露的问题之前,向公众揭示研究发现,无疑会将用户置于危险,这是我们不想看到的。”
一位熟悉细节的人士透露,该演示着重揭示采用Windows CE操作系统的这些设备所存在的弱点,包括一些自动取款机。据其表示,Juniper早在八个月前,就通知了那些被查出安全隐患的ATM机制造商,而这项演示的取消,则意味着可以给他们更多时间来修补漏洞。
安全专家对自动取款机中找到漏洞并不感到惊呀。Trustwave公司副总裁尼古拉斯·皮可可(NicholasPercoco)表示,现金提款机和自动取款机网络,确实存在着许多重大漏洞“来到我们实验室的设备,找不到漏洞是非常非常罕见的。”
Trustwave是一家面向全球企业和机构提供信息安全及支付卡行业合规管理解决方案的公司,也负责对销售点终端、提款机和自动取款机网络进行安全评估。
黑客:几小时内提款900万美金
事实上,自动取款机在过去的12个月里,已成为受关注度很高的安全事故焦点。
2008年11月,一群犯罪团伙使用假冒的员工薪资卡,在数小时内从130台提款机中取走了900万美金。这个行动,在全球49个城市几乎同时进行———依靠黑客进入金融公司RBS全球支付(RBSWorldPay)的网络内部,重新加载卡片信息,以便他们可以平均从每个账户提取9万美金。
今年2月,第二大自动取款机生产商Diebold在一次咨询宣传中提醒用户,东欧的某些提款机已被加载了恶意软件,可从在自动取款机上进行的交易中,盗取金融信息和密钥。据TrustWave公司分析,这种至少感染了20台自动取款机的盗窃软件,可以使罪犯打印出自动出纳机中收到卡片的详细信息,并打开取款机的现金取款口。
Trustwave公司副总裁尼古拉斯·皮可可表示:“一旦攻击者通过后门进入系统,他们就真正在那里寄生了。这是现金,是实实在在的钱,它和向信用卡收费或者卖商品赚钱不一样。”
在对客户的建议当中,第二大自动取款机生产商Diebold,要求银行和自动取款机的所有者周期性更换取款亭的管理员密码,并保证防火墙始终处于工作状态。Diebold相信,攻击者必须与系统直接接触,才能预先加载恶意软件。
自动取款机全球主要供应商N C R称,他们已经采取了多层次的方法,来保证提款机的安全。
NCR使用了叫做Solidcore的技术,阻止未授权的代码在以Windows为基础的系统上进行运行,并建议用户通过使用内置防火墙和虚拟个人网络来将Windows X P操作系统锁定。同时他们也提出了一些其他的安全措施,比如让诈骗者在通过某个设备盗取自动取款机的卡片信息时就被曝光、一种防止设备轻松读取银行卡的机制、还有在被偷现金上喷墨标记等等。
NCR和Diebold的代理人,都否认了他们的机器就是Jupiner想演示的那款。
一场无休止的猫捉老鼠游戏?
这些受影响的系统所使用的操作系统Window CE,给快速修补漏洞带来了障碍。
软件生产商发布的取款亭和自动取款机操作系统白皮书称,微软建议W indow sC E系统用作“低端现金分配的自动取款机”,而嵌入式Windows X P和Windows X P专业版,用于全功能自动出纳机。微软表示,嵌入式Windows XP是Windows嵌入式标准2009的最近版本,而Windows X P专业版更加安全,易于更新。
微软称,微软和“黑帽大会或者Juniper取消的演讲毫无关系”。
金融咨询公司TowerGroup称,美国大约56%的自动取款机,都在运行某种版本的Windows操作系统,并连接到了某种形式的网络中实现更新。其他44%则运行更老版本的操作系统,如IBM的OS/2,并且一般都没有网络连接。TowerGroup公司投递渠道研究认为,自动取款机能运营十几年,那些老式OS/2系统的机器将一直使用到2012年。
斯特吉尔预计,网络罪犯会找到新的方式来攻击提款机。“这是一个无休止的猫捉老鼠的游戏。”她说:“无论你使它变得多么好,自动取款机始终是个提供现金的地方,所以,犯罪分子们总会感兴趣于发现自动取款机新的漏洞。”
视点
电脑病毒侵入ATM机第一案
电脑病毒侵入ATM机第一案发生在6年前。美国的自动取款机生产商Diebold当时披露说,一种名为“Nachi”的电脑病毒8月侵入该公司为某些银行生产的自动取款机,导致这些取款机被迫关闭。据称这是世界上首次发生电脑病毒侵入自动取款机的事故。
Diebold公司说,感染这些取款机的“Nachi”蠕虫电脑病毒又名“Welchia”,它可以堵塞网络通路,并曾导致加拿大航空公司的乘客登机电脑系统出现短暂瘫痪。受到感染的取款机均使用了嵌入式视窗XP操作系统。不过Diebold没有透露这些取款机的型号以及使用的客户的情况。
分析人士认为,目前很多破坏力很强的电脑病毒都是针对视窗操作系统的漏洞发起攻击,随着越来越多的自动取款机开始采用视窗软件,它们面临的电脑病毒威胁也越来越大。
此前,一种名为SQL Slammer病毒曾导致美国一家银行在用户取款时出现技术上的问题,但并未引起ATM出现故障。Counterpane网络安全公司的首席技术官布鲁斯·施奈德指出:“这次的事件是一个预兆,它标志着病毒入侵A TM即将到来。特定用途的设备,如微波炉和取款机等通常不会感染病毒,但由于它们越来越多地使用了通用的操作系统,感染病毒的几率也大大增大了。以后也许不只是ATM,甚至包括洗衣机、电冰箱这样的家电设备如果联网都有可能会感染病毒。”