银行ATM渗透测试 1小时之内任何机型都能拿钱走人

栏目: 编程工具 · 发布时间: 5年前

内容简介:这是 Positive Technologies 的研究人员解构了26款出自不同制造商和服务提供商的ATM机后得出的结论。他们发现,Positive Technologies 前不久发布的研究报告中,其他值得注意的研究结果还包括:

这是 Positive Technologies 的研究人员解构了26款出自不同制造商和服务提供商的ATM机后得出的结论。他们发现, 几乎所有ATM都扛不住网络或本地攻击者洗劫提款机 。很多基本的攻击技术都可以黑掉ATM机,让黑客背着满满一包现金扬长而去。

银行ATM渗透测试 1小时之内任何机型都能拿钱走人

Positive Technologies 前不久发布的研究报告中,其他值得注意的研究结果还包括:

  • 26款ATM机中有15款都运行的是 Windows XP 。
  • 22款无法抵御“网络欺骗”攻击——攻击者本地连接ATM机的LAN端口执行欺诈交易。此类攻击15分钟左右就能搞定。
  • 18款易遭“黑盒”攻击——攻击者物理连接一个装置到ATM机上令提款机开始吐钱。研究人员指出,此类攻击用树莓派之类计算配件10分钟就能卷钱走人。
  • 20款可以通过USB或PS/2连接破除封闭状态,访问其底层操作系统,执行其他指令。
  • 24款的硬盘毫无数据加密,只要能访问硬盘(比如用上述几种方式),攻击者就能拿到所有存储其上的数据和机器配置信息。

基本上,ATM用来防止盗窃和篡改的防护措施都是假把式,只要真想黑, 1小时之内 任何人都能搞定。

绝大多数时候,安全机制对攻击者来说就是小菜一碟:我们的测试员基本上每个案例中都能找到各种方法绕过安全防护。因为银行倾向于为大量ATM机应用同一种配置,对一台ATM的成功攻击可以很容易地复制到其他很多台上。

研究人员对银行的首要建议就是强化ATM机自身的物理安全。通过物理防护手段隔绝对ATM机输入和计算硬件的访问,可以挫败上述很多种攻击技术。

另外,银行还需要做好网络上安全事件的日志记录和监视工作。

虽然很多物理攻击都只是理论上的——银行对在ATM旁逗留太久的人抱怀疑看法,该报告还是点出了ATM安全缺失,尤其是软件安全缺失的现实。

今年的 DEF CON 安全大会上,一名研究人员描述了自己向银行报告ATM漏洞的经历。他的负责任报告只收到了银行“ 这种事绝不可能 ”的回复。直到他宣称要公开漏洞,银行才着手修复。

Positive Technologies 研究报告:

https://regmedia.co.uk/2018/11/14/positive_tech_atm_vulnerabilities.pdf


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Web之困:现代Web应用安全指南

Web之困:现代Web应用安全指南

(美)Michal Zalewski / 朱筱丹 / 机械工业出版社 / 2013-10 / 69

《web之困:现代web应用安全指南》在web安全领域有“圣经”的美誉,在世界范围内被安全工作者和web从业人员广为称道,由来自google chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写,是目前唯一深度探索现代web浏览器安全技术的专著。本书从浏览器设计的角度切入,以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题为主线,深入剖析了现代web浏览器的技术原理、安全机制和设计上的......一起来看看 《Web之困:现代Web应用安全指南》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

html转js在线工具
html转js在线工具

html转js在线工具