Производитель банкоматов NCR устранил дефект еще полгода назад, однако российские банки обновления не получили, а узнали об уязвимости только от корреспондента “Ъ”. Пользователи банкоматов в случае успешной атаки могут требовать возмещение от его производителя. Если только их не остановят репутационные риски, связанные с появлением публичной информации об успешной хакерской атаке на банк.
Вчера на конференции по информационной безопасности Black Hat в Лас-Вегасе эксперты Positive Technologies сообщили о выявленной компанией уязвимости наиболее популярных в России банкоматов производства американской компании NCR. Проблема заключается в том, что хакер может установить на контроллер диспенсера (сейфовой части банкомата для выдачи купюр) устаревшее и менее защищенное ПО с использованием технологии Black Box. А именно — подключить одноплатный компьютер к диспенсеру, используя недостатки защиты сервисной зоны банкомата, и отправить команду на снятие наличных. Уязвимости связаны с недостаточной защитой механизма записи памяти в двух моделях диспенсеров — S1 и S2.
По словам директора исследовательского центра компании Digital Security Романа Бажина, банкоматы NCR являются одними из самых распространенных в России. Только на сервисном обслуживании компании «Эн. Си. Ар., NCR A/O» находятся более 40 тыс. банкоматов (по данным ЦБ, общее количество банкоматов различных производителей на 1 апреля составляло около 200 тыс. шт.). При этом подавляющее большинство из них имеют диспенсер S1, банкоматы с диспенсером S2 распространены менее широко. По словам господина Бажина, выявленная уязвимость является очень серьезной.
К тому же чтобы ее исправить, необходимо устанавливать обновление программного обеспечения вручную на каждый банкомат. «Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределенность банкоматов»,— подчеркнул эксперт.
Эксперты Positive Technologies выявили уязвимость и сообщили о ней в головной офис NCR. 6 февраля 2018 года NCR на своем сайте www.ncr.com вывесила пресс-релиз об устранении уязвимости, выпуске обновления и дала рекомендации его установить. Российские банки, которые используют эти банкоматы, узнали об уязвимости от корреспондента “Ъ”. Естественно, что они не получили и обновления программного обеспечения для ее устранения. Результат — резкий рост атак на банкоматы весной этого года. Только в апреле с использованием технологии Black Box было атаковано десять устройств; для сравнения, за весь 2017 год — 21.
В ряде атак злоумышленники использовали именно выявленную уязвимость. «В апреле-мае мы зафиксировали несколько попыток атак на наши банкоматы с использованием техники Black Box,— рассказал директор департамента информационной безопасности МКБ Вячеслав Касимов.— Скорее всего, данная уязвимость использовалась в этих атаках». Атаки на банкоматы NCR с использованием Black Box наблюдаются c 2015 года, отметил эксперт, при этом политика подготовки исправлений у производителя не всегда позволяла эффективно справляться с угрозой. Банку удалось отбить атаки, пояснил Вячеслав Касимов, в МКБ для защиты применяются сторонние специализированные аппаратные средства защиты от Black Box, а также круглосуточный мониторинг и оперативное реагирование.
Однако неизвестно, насколько успешными были отражения атак в других кредитных организациях, чьи банкоматы злоумышленники пытались взломать с использованием технологии Black Box. По словам Романа Бажина, информация об успешных атаках тщательно скрывается банками, так как несет репутационные риски. В Банке России на вопрос “Ъ” о количестве атак на банкоматы с использованием технологии Black Box и их результативности отвечать отказались.
В NCR заявили, что сотрудничали с Positive Technologies в ходе расследования. При этом в компании утверждают, что «обнаруженные уязвимости были устранены и обновления были предоставлены». Помимо информирования об обновлениях в начале года, компания обновила их в августе «с учетом последней информации». Однако в NCR не ответили на запрос “Ъ”, почему кредитные организации вовремя не получили обновление.
Теоретически те, кто пострадал от связанных с эксплуатацией данных уязвимостей атак, могут предъявить иск к NCR по компенсации убытков. «Если у банка есть соглашение на обслуживание банкоматов, то в случае успешно проведенной атаки против них он может предъявить исковые требования по компенсации убытков к производителю, если соглашение заключено с ним, или к сервисным центрам, оказывающим услуги по их обслуживанию»,— отмечает глава АБ «Старинский, Корчаго и партнеры» Евгений Корчаго. Впрочем, в этом случае факт атаки станет публичным, и кредитная организация будет выбирать, что ей дороже — репутационные риски или потеря денег из банкомата.
КоммерсантЪ
Общение: 