月兔网络编程学习
银行ATM渗透测试 1小时之内任何机型都能拿钱走人
2018-11-23 月兔


这是 Positive Technologies 的研究人员解构了26款出自不同制造商和服务提供商的ATM机后得出的结论。他们发现,几乎所有ATM都扛不住网络或本地攻击者洗劫提款机。很多基本的攻击技术都可以黑掉ATM机,让黑客背着满满一包现金扬长而去。



6.jpg






Positive Technologies 前不久发布的研究报告中,其他值得注意的研究结果还包括:




基本上,ATM用来防止盗窃和篡改的防护措施都是假把式,只要真想黑,1小时之内任何人都能搞定。




绝大多数时候,安全机制对攻击者来说就是小菜一碟:我们的测试员基本上每个案例中都能找到各种方法绕过安全防护。因为银行倾向于为大量ATM机应用同一种配置,对一台ATM的成功攻击可以很容易地复制到其他很多台上。




研究人员对银行的首要建议就是强化ATM机自身的物理安全。通过物理防护手段隔绝对ATM机输入和计算硬件的访问,可以挫败上述很多种攻击技术。



另外,银行还需要做好网络上安全事件的日志记录和监视工作。



虽然很多物理攻击都只是理论上的——银行对在ATM旁逗留太久的人抱怀疑看法,该报告还是点出了ATM安全缺失,尤其是软件安全缺失的现实。



今年的 DEF CON 安全大会上,一名研究人员描述了自己向银行报告ATM漏洞的经历。他的负责任报告只收到了银行“这种事绝不可能”的回复。直到他宣称要公开漏洞,银行才着手修复。



Positive Technologies 研究报告:



https://regmedia.co.uk/2018/11/14/positive_tech_atm_vulnerabilities.pdf


本文来源:安全牛https://www.aqniu.com/news-views/40928.html


发表评论:
昵称

邮件地址 (选填)

个人主页 (选填)

内容