Взлом платежной системы или платежная система в вашем ноутбуке

================================================== =
Содержание:

1. Введение
2. Общее устройство банкомата
3. Прогамное обеспечение банкомата
4. Методы перехвата управления
5. Методы защиты
6. Заключение

================================================== =

Введение

На сегодняшний день системы моментальных платежей являются одним из
самых прибыльных видов бизнеса. Это так называемые деньги из воздуха
они требуют минимальных затрат и приносят огромный доход своим владельцам,
по этой причине выростают на улицах как грибы. В москве можно видеть по 2-3
банкомата рядом от разных фирм соответственно, в регионах дела обстоят проше.
Владельцы этих систем уже давно перестали заботиться о качестве
предоставляемых услуг и редко задумываются о безопасности. Банкоматы основаны на по схемам которые уже на уровне проектирования должны вызывать сомнения.
В данной статье я постораюсь всесторонне осветить ситуацию с точки зрения
безопасности системы.

--------------------------------------------------------------------------------------------------
Общее устройство банкомата

Банкомат представляет из себя обычную ПВМ с сенсорной панелью, закрытую в
метолическую коробку сделаную по принцыпу сейфов. Для связи с сервером используется обычный GPRS модем.

-------------------------------------------------------------------------------------------------
Прогамное обеспечение банкомата

В связи с моей работой мне приходится часто ездить по нашей стране и подолгу
торчать на вокзалах и аэропортах нашей необьятной родины. Соответственно банкоматы приходиться видеть совершенно разные в разных их состояниях

[реклама вместо картинки]

[реклама вместо картинки]

В большенстве своем они работают под управлением windows XP sp2 и очень редко
по w2k хотя встречали мне и такие... в качестве авира встречались касперский
и аваст. Причем очень часто встречаются банкоматы с просроченной лицезией авира.
Вызвают сообщение об ошибки. Из чего можно сделать вывод что базы не обновляются. Следовательно система уязвима к вирусным атакам.

В качастве програмного обеспечения управляющего банкоматами используется
клиен-серверное приложение где клиент чаще всего самаписаный браузер со
специализированным набором функций и PHP или CGI приложение запущенное на сервере. Которое даже не проходило тестирование безопасности... Реже встречаются приложения написаные на СИ...

[реклама вместо картинки]

(*на картинку изображен банкомат на дисплее которго браузер, так как если
протащить палец сверху вниз мы видим что происходит выдиление....)

------------------------------------------------------------------------------------------------------
Методы перехвата управления

1. Вирусная атака

Представим на секнуду эффект от червя запущенного в эту систему, с учетом того
момента что данные системы позволяют осуществлять платежи по вебмани и другим
системам. Если злоумышленник все сделает грамотно то заметят проблемму не раньше
чем через неделю, ведь забор денег происходит раз в неделю. Данное действие обанкротит платежную систему, а все из-за того что владелец решил экономить.
Ведь работает пословица о том что скупой платит дважды. А если представить ботнет
размещеннй на сети банкоматов? Срок жизни его не известен так как никаким общетом трафика никто и не думает занимться.

2. Подмена банкомата

Все что нам нужно в случае атаки это узнать параметры системы и иметь соответствующее ПО для взаимодействия с сервером. Управление можно получить
различными способами начиная от перехвата управления вовремя перезагузка автомата, заканчивая перехватом упрасвления во время ошибки клиентской части...
платежная система имеет полноценый доступ в интернет, так что куда передать файлы программы я думаю не возникнет. После этого следует выяснить каким оператором пользуется платежная система... он 1 из 3 так что выяснить это труда не составит. Далее зарегистрировать сим карту на другово человаека... залить банкоматовское ПО в ноутбук и осторожно наслождаться новым сервисом.

Можно придумать еще сотни вариантов использования этих систем...
---------------------------------------------------------------------------------------------------
Методы защиты

1. Приложение блокирующие закрытие или сворачивание управляющего приложения
2. Система сигнализации аномальных действий основаная на статистическом методе
3. Тунелирование
4. Установка видеокамер
5. Шифрование
6. Поддержка и регулярные проверки специалистами
7. Оновление ПО

------------------------------------------------------------------------------------------------------
Заключение

Любая система уязвима и чтобы ее найти надо посмотреть просто под другим углом.
Владельцам компаний следует хорошо задуматься насчет безопасности и приглашая
декламированных специолистов которые кроме составления концепции ИБ нечем не
занимаются.
Статья написана в ознакомительных и не несет призывов к атаке платежных систем...
она призвана показать несовершенство и их уезвимости...
Автор ответственности не несет...

-------------------------------Norway WOLF [FARPOST}----------------------------------------------

За более подробной информацией пишите в личку всем отвечу))))
-------------------------------------------------------------------------------------------------
№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№№