Троян в банкоматах

* Copied to: SU.CM, SU.VIRUS

=============================================================================
* Area : RU.COMPUTERRA
* From : News Robot, 5030/1256 (25-Mar-09 14:50:44)
* To : All
* Subj : computerra.ru
=============================================================================
Компьютерра
_____________________________________________________________________

Hовый троян собирает данные о картах пользователей банкоматов

Опубликовано: 25.03.2009, 11:46

Компания "Доктор Веб [1]" предупреждает о появлении в закрытых сетях
банкоматов некоторых российских банков вредоносной программы, похищающей
конфиденциальные данные о пластиковых картах.

Образец трояна, получившего название Trojan.Skimer, специалисты "Доктора
Веба" получили через сервис онлайнового сканера. Программа собирает
информацию о кредитных картах и Pin-кодах к ним, после чего предоставляет
доступ к похищенным данным злоумышленникам. В результате мошенники могут
беспрепятственно опустошать чужие счета.

Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они
могли привести к некорректной работе устройств. Hовый троян, отмечают
эксперты, представляет куда бульшую опасность, поскольку способен нанести
ущерб клиентам банков.

Компания "Доктор Веб" подчеркивает, что банкоматы обычно не связаны с
Интернетом и используют специализированное ПО, поставляемое их
производителем. Это позволяет предположить, что в заражении сетей
автоматических терминалов принимали участие лица, тесно связанные с банками
или являющиеся их сотрудниками.

Какие именно сети банкоматов могут быть инфицированы вредоносной программой
Trojan.Skimer, не сообщается.

Подготовлено по материалам компании "Доктор Веб [2]".

[1]: http://www.drweb.com/
[2]: http://news.drweb.com/show/?i=272&c=5

_____________________________________________________________________

Оригинал статьи на http://pda.compulenta.ru/?action=article&id=413181

=============================================================================
=============================================================================
* Area : RU.COMPUTERRA
* From : News Robot, 2:5030/1256 (26-Mar-09 11:33:12)
* To : All
* Subj : computerra.ru
=============================================================================
Компьютерра
_____________________________________________________________________

Вирус в банкоматах: первые комментарии специалистов

Опубликовано: 25.03.2009, 16:12


Вчера "Доктор Веб" сообщил о появлении вируса, способного
получать информацию о проведенных через банкомат транзакциях.
Своей точкой зрения поделился Александр Гостев, руководитель
центра глобальных исследований и анализа угроз "Лаборатории
Касперского".

Данная вредоносная программа была обнаружена и добавлена в
антивирусные базы "Лаборатории Касперского" 19 марта 2009 г. под
именем Backdoor.Win32.Skimer.a. Это троянская программа, которая
заражает банкоматы популярного американского производителя
Diebold (по неподтвержденным данным, речь идет о банкоматах,
расположенных на территории РФ и Украины). Hа сегодняшний день
отсутствует информации о реально зараженных машинах. Однако мы
предполагаем, что их количество, если таковые вообще существуют,
минимально. Зараженные машины становятся уязвимыми для
дальнейших действий злоумышленника, а именно: имея специальную
карточку доступа, вирусописатель может снять всю наличность,
имеющуюся в банкомате, а также получить доступ к информации о
всех проведенных через этот банкомат транзакциях других
пользователей.

Принцип заражения, учитывая отсутствие реальных обращений от
банков, пока не до конца очевиден. Специалисты ЛК предполагают,
что речь может идти о двух возможных вариантах: прямой
физический доступ к системе банкомата или доступ через
внутреннюю сеть банка, к которой подключены банкоматы.

Анализ кода программы позволяет с высокой долей вероятности
предположить, что его автор - гражданин одной из стран СHГ.

К сожалению, рядовой пользователь не сможет самостоятельно
определить заражение банкомата. Однако это могут сделать его
владельцы. Чтобы избежать возможного заражения, эксперты ЛК
настоятельно рекомендуют всем банкам провести проверку
эксплуатируемых сетей банкоматов при помощи обычной антивирусной
программы, детектирующий данное зловредное ПО.

Backdoor.Skimer.a - первая вредоносная программа, нацеленная на
заражение и существование в банкоматах. Мы не исключаем
появления новых вредоносных программ, направленных на
нелегитимное использование банковской информации и наличных
средств.

_____________________________________________________________________

Оригинал статьи на http://pda.computerra.ru/?action=article&id=413333

=============================================================================
=============================================================================
* Area : RU.COMPUTERRA
* From : News Robot, 2:5030/1256 (26-Mar-09 21:31:14)
* To : All
* Subj : computerra.ru
=============================================================================
Компьютерра
_____________________________________________________________________

Дарт Вейдеры от ИТ

Опубликовано: 26.03.2009, 16:26


Кризис - это плохо. Этот постулат понятен всем, кто столкнулся с
теми или иными его проявлениями. Вчера вы работали в престижной
компании, а сегодня уже сидите дома и думаете, как заплатить за
детсад для ваших детей. Ситуация неприятная и каждый попавший в
неё будет поступать по-своему, исходя из своих возможностей и
моральных принципов. Мои коллеги из регионов говорят, что у них
возросло число грабежей и случаев бандитизма. Это закономерно.
Работяга с завода, которому полгода не выплачивали зарплату, а
теперь и вовсе оказавшийся сокращенным из-за того, что никто не
покупает его продукцию, может запить горькую, а может выйти на
"большую дорогу" с целью поправить свое материальное положение.

Hо что делать белым воротничкам, которые всю свою сознательную
жизнь сидели за компьютером? Я имею ввиду уволенных ИТшников,
которые в последнее время наводняют рынок труда. Кто-то начинает
искать новую работу, а кто-то решает податься на "темную
сторону" и воспользоваться своими знаниями во вред. Hапример, в
последнее время возросло число случаев мошенничества в
банковском секторе. И до этого, число несанкционированных
действий было достаточно велико, но сейчас они стали "популярны"
как никогда. Последний нашумевший случай - взлома банкоматов
ряда российских банков. CNews называет [1] три банка, но на
самом деле их число больше - просто не обо всех случаях
становится известно широкой общественности. Установленный на
банкоматах троянец воровал номера карт и PIN-коды и сообщал их
преступникам.

В России шумиху подняла [2] компания Dr.Web, разработчик
известного антивируса. Хотя, справедливости ради надо признать,
что о троянце для банкоматов ещё раньше публично заявила [3]
компания Sophos в своем блоге (русскоязычная новость [4]), а
сама Diebold (производитель уязвимых банкоматов) оповестила [5]
своих клиентов об этой угрозе ещё в январе. Портал SecurityLab
сообщает [6], что взлом произошел ещё осенью прошлого года,
однако банки долгое время не хотели признавать факт массового
взлома. Пострадали банкоматы в местах массового скопления людей
- в метро. Сколько пострадало людей, неизвестно, но то, что
случаи не единичные - это точно.

Как это произошло? Банкоматы Diebold работают под управлением
Windows-совместимой операционной системы. Апологеты Linux или
Open\FreeBSD начнут, наверное, лишний раз ссылаться на низкий
уровень защищенности Windows и будут неправы. Проблема
совершенно не в ОС - она кроется гораздо глубже. Как замечают
эксперты, без помощи сотрудников банка, осуществить внедрение
троянца практически невозможно, т.к. для этого требуется
физический доступ к внутренностям банкомата, которые обычно
оснащены различными сенсорными датчиками и видеокамерой,
усложняющими жизнь преступникам. С другой стороны написание
такого троянца тоже задача непростая. Как отмечают эксперты
российской компании Positive Technologies [7] сделать это можно,
только имея представления о том, как работают банкоматы Diebold
и их программное обеспечение, имея доступ к описанию API и
другим техническим деталям. Таких людей в нашем отечестве очень
немного и делали они это не от хорошей жизни. Учитывая, что
инциденты произошли только в России, я бы исключил возможность
зарубежного "следа" в этом деле. Скорее всего, автор троянца
либо был уволен, либо иным образом пострадал во время кризиса и
нашел новое применение своим знаниям. Детальный анализ [8]
работы троянца лишний раз подтверждает это.

Что же делать в этой ситуации? Сама Diebold дает следующие
рекомендации по защите своих банкоматов:

> Hе использовать административные пароли по умолчанию и
регулярно их менять

> Отключить Windows Desktop

> Использовать персональный межсетевой экран от Symantec,
который поставляется вместе с ПО от Diebold

> Использовать специально настроенную, защищенную ОС Windows,
которую опять же предлагает Diebold своим клиентам.

Клиентам же банков порекомендовать что-то сложно. Hе
отказываться же от использования банковских карт. Кто-то
рекомендует использовать карту только в отделениях своего банка
и осуществлять все транзакции через операционистов, минуя
банкоматы в принципе. Hе самый удобный вариант, особенно, если
вы в отпуске или командировке за границей. Другая рекомендация -
класть на карту минимально необходимые суммы. Тоже не всегда
применимо; например, в том же случае с отпуском. Тем более что
снять деньги злоумышленники могут и не сразу, а через несколько
месяцев после взлома. Третья рекомендация достаточно проста -
включить уведомление обо всех операциях через SMS. Парадокс, но
не так уж и много людей пользуется этой возможностью. Видимо
заплатить за эту услугу около 60 рублей в месяц для них дороже
потери всех денег с банковской карты. Конечно, такая
предосторожность не защитит вас от кражи Pin-кода и номера карты
через взломанный банкомат, но поможет своевременно позвонить в
банк и сообщить о мошенничестве. Это даст банку возможность
заблокировать транзакцию и карту, чтобы ею больше не могли
воспользоваться. Правда, потом вам придется письменно
подтвердить свой звонок (по крайней мере, в моём банке
требование такое).

Самое же неприятное в этой ситуации, что пострадавшие клиенты
(даже в случае своевременного уведомления банка) могут и не
вернуть обратно свои деньги. Дело в том, что почти в любом
договоре на банковское обслуживание, которое мы подписываем не
читая, есть пункты о том, что:

> банк не несет ответственности за любые действия третьих лиц

> банк не несет ответственности за несанкционированные
действия с полученными вами PIN-кодом и картой (тоже касается
и пароля, сеансовых ключей и ЭЦП в случае с
интернет-банкингом)

> вы признаете любые операции, произведенные по вашей карте.

Сложность в том, что если вы решите обратиться в суд, то даже
прикрываясь законом о защите прав потребителей, вы, скорее
всего, не найдете понимая у судьи. Как инициатор гражданского
судопроизводства вы, а не банк, должны будете доказывать свою
правоту. Свидетельств взлома банкомата у вас нет. Ссылки на то,
что вы были в России, когда с вашей карты пытались снять деньги
в Лондоне или Загребе, судью не убедят, т.к. вы спокойно могли
передать свою карту другу, который и снял деньги (таких случаев
немало). А с другой стороны в договоре четко прописано, что вся
ответственность лежит на вас. Такие неутешительные выводы
подтверждает [9] и SecurityLab.

Вот и получается, что даже если кризис не коснулся вас напрямую
в виде потери работы или снижения зарплаты, он вас может ударить
рикошетом в лице озлобленных ИТшников, которые используют свои
знания во вред.

[1]: http://www.cnews.ru/news/line/index.shtml?2009/03/25/341864
[2]: http://news.drweb.com/show/?i=272&c=5&lng=ru
[3]: http://www.sophos.com/security/blog/2009/03/3577.html
[4]: http://www.securitylab.ru/news/370188.php
[5]: http://www.diebold.com/whatsnews/ATMs_illegalsoftware_Russia/default.htm
[6]: http://www.securitylab.ru/news/376311.php
[7]: http://www.ptsecurity.com/
[8]: http://blog.threatexpert.com/2009/03/effect-of-credit-crunch-on-backdoor
s.html
[9]: http://www.securitylab.ru/news/376311.php

_____________________________________________________________________

Оригинал статьи на http://pda.computerra.ru/?action=article&id=413744
=============================================================================
=============================================================================
* Area : RU.COMPUTERRA
* From : News Robot, 5030/1256 (31-Mar-09 17:07:06)
* To : All
* Subj : computerra.ru
=============================================================================
Компьютерра
_____________________________________________________________________

Вирусы в банкоматах: заключение

Опубликовано: 31.03.2009, 14:04


Почти неделю тому назад компания "Доктор Веб" - известный
разработчик антивирусного ПО - сообщила о появлении трояна,
способного заражать банкоматы и, что особенно важно, получать
информацию о проведенных через них транзакциях. Атаке этого
вируса может подвергнуться далеко не каждое устройство такого
типа: уязвимыми оказались только банкоматы американской фирмы
Diebold, широко используемые банками России и некоторых других
стран СHГ.

Hадо заметить, что продукция данного производителя уже не в
первый раз оказывается в центре повышенного внимания
общественности: в августе 2003 года в США несколько банкоматов
Diebold, работающих под управлением ОС Windows XP Embedded,
оказались поражены вирусом Welchia. Впрочем, никакого заметного
вреда он не принес: вредоносная программа лишь генерировала
трафик, пытаясь заразить другие подключенные к сети машины. В
итоге из-за перегрузки каналов связи некоторое количество
банкоматов временно вышло из строя.

Вирус использовал дыру в функции удаленного вызова процедур
(RPC) интерфейса DCOM. Этот компонент Windows в 2003 году стал
одной из самых популярных мишеней для хакеров. Патчи для
затыкания дыр в данном модуле Microsoft выпускала несколько раз,
в том числе и для XP Embedded. Компания Diebold распространила
его среди своих клиентов, однако во избежание повторения
подобных инцидентов начала оснащать банкоматы встроенным
брандмауэром.

Что же касается трояна, обнаруженного "Доктором Вебом", то он на
первый взгляд гораздо опаснее: если ранее вирусы могли, в худшем
случае, привести к некорректной работе банкоматов, то новое
детище хакеров теоретически способно нанести ущерб клиентам
банков.

Однако вернемся к Diebold. Эта компания выпускает не только
банкоматы, но и машины для электронного голосования, несколько
десятков тысяч которых используются в различных государственных
учреждениях США. Самое удивительное, что и эти устройства уже не
раз подвергались критике за ненадлежащий подход их создателей к
вопросам безопасности!

В 2006 году активистам некоммерческой организации Black Box
Voting, позиционирующей себя в качестве защитника прав граждан
на выборах, удалось взломать машину для подсчета голосов
производства Diebold всего за четыре минуты. Оказалось, что для
замены карты памяти, содержащей накопленную в ходе выборов
информацию, не нужно иметь ни специального оборудования, ни
особых навыков, а обнаружить следы подмены очень сложно.

В 2007 году в американском штате Огайо была проведена проверка
систем для электронного голосования различных производителей, в
том числе и Diebold; в конечном итоге во всех машинах были
обнаружены критические уязвимости, которые могут негативно
повлиять на точность и честность результатов выборов. По словам
специалистов, все эти системы не отвечают стандартам
компьютерной безопасности и снабжены очень слабой системой
защиты, причем речь идет не только о продукции Diebold, но и о
машинах компаний Sequoia, Hart Intercivic, Election Systems и
некоторых других.

*Считаем голоса*

Следует заметить, что скандалы вокруг "электронных голосовалок"
то и дело вспыхивают в различных штатах до сих пор, а их
модернизацией и усовершенствованием на общегосударственном
уровне почему-то никто не занимается.

Интересно, почему? Ведь властям заставить производителей систем
для голосования всерьез заняться безопасностью своих продуктов -
пара пустяков! Тяжело судить о причинах такого невнимательного
отношения к этому вопросу, однако один небезынтересный факт
привести всё же стоит. В докладе за авторством аспирантов и
профессора Университета штата Калифорния в Беркли, выпущенном в
2004 году, утверждается, что Джордж Буш мог получить в штате
Флорида порядка 260 тысяч голосов, которые ему не
предназначались. В ходе исследования результатов выборов, авторы
доклада проанализировали ряд переменных, от которых зависел
исход этого мероприятия, в том числе количество голосовавших, их
средний доход, расовую принадлежность, возрастные категории и
изменения в явке избирателей между 2000 и 2004 годами. Исходя из
этих данных, авторы доклада сравнили результаты выборов 1996,
2000 и 2004 годов по Флориде.

Выяснилось, что в тех 15-ти округах штата, где использовались
сенсорные терминалы для электронного голосования, Буш получил
существенно больше голосов, чем ожидалось. А вот в тех округах,
где голосование осуществлялось каким-то иным путем, прогнозы
полностью совпали с окончательными результатами. Общее
количество "подозрительно лишних" голосов может составлять от
130 до 260 тысяч, утверждается в докладе. Более того, аномалия
затронула как раз те округи, где сильнее всего были позиции
демократов.

Ещё имеются многочисленные свидетельские показания сбоев машин
для голосования: на экране предварительного просмотра люди,
голосовавшие за Керри, много раз видели фамилию Буша, и им
приходилось голосовать заново. А во время подсчета голосов
некоторые машины зависали, и как минимум 40 из 798 не смогли
вывести на печать окончательные результаты.

Ко всему вышесказанному стоит добавить, что в 2003 году
анонимному хакеру удалось взломать защиту сервера Diebold и
похитить порядка двух гигабайт конфиденциальных данных. В общем,
очевидно, что с безопасностью у компании давно наблюдаются
серьёзные проблемы, причем они касаются большинства направлений
её деятельности. Мы связались с банками "Петрокоммерц" и
"Росбанк", банкоматы которых уже успели пострадать от вируса.
(Hапомним, что с комментарием "Лаборатории Касперского" по этому
вопросу можно ознакомиться здесь [1].)

По словам Евгении Евмененко, руководителя управления PR и
рекламы ОАО Банк "*Петрокоммерц*", инцидентов, связанных с
данным видом мошенничества, повлекших незаконное снятие средств
клиентов через банкоматы, не было. Банк полностью контролирует
ситуацию и принимает все меры по предупреждению угроз
безопасности для своих клиентов. Проблема, связанная с
распространением нового вируса в сети банкоматов российских
банков, является комплексной и касается абсолютно всех банков,
соответственно, банковское сообщество должно разработать единую
стратегию и комплекс методов по противодействию данным фактам.

В банке "Петрокоммерц" данная проблема выявлена на ранней стадии
и оперативно были приняты меры для её устранения: на всех
банкоматах банка было установлено специальное обновление
программного обеспечения, предоставленное фирмой-поставщиком (а
именно Diebold), которое позволяет блокировать использование
данного вируса, в том числе и при попытках нового "заражения".
Этот факт позволяет нам говорить о том, что данная проблема
локализована, и банком приняты все возможные меры для
предотвращения возможных потерь клиентов.

Ольга Царегородцева ("*Росбанк*") рассказала, что вирус не
передается по сети, а внедряется в ПО каждого конкретного
банкомата. Соответственно, его массовое распространение
невозможно. Платежные системы и банки были предупреждены о
возможной атаке ещё в середине декабря. Вирус был выявлен и
устранен системой безопасности "Росбанка" на начальном этапе.
Троян был создан в расчете на банкоматы компании Diebold,
которые составляют треть всего банкоматного парка России.

Проблема троянов для банкоматов должна больше волновать их
производителей, банки и писателей антивирусного софта,
стремящихся освоить новый рынок, а вот простых пользователей в
настоящее время она вряд ли затронет: судя по имеющейся
информации, случаев, когда вирус действительно нанес вред
клиенту банка, пока ещё не было. И ещё: кто знает, возможно,
отечественным банкам уже не раз приходилось сталкиваться с
вредоносным ПО применительно к банкоматам, однако оно
обнаруживалось и ликвидировалось на самых ранних стадиях
распространения, а информации об этом так и не удавалось
просочиться в Сеть.

Куда реальнее в наших широтах напороться на скиммер. Что это
такое? Устройство, которое вешается злоумышленниками на слот для
пластиковых карточек в банкомате и позволяет считывать
информацию с их магнитных лент, а затем и изготавливать
дубликаты. Обычно скиммер дополняется специальной малозаметной
накладкой на клавиатуру банкомата, или же миниатюрной
видеокамерой - эти приспособления должны "без шума и пыли"
украсть ваш пин-код.

Банкоматы с установленными скиммерами находят на просторах СHГ в
завидным постоянством, однако излишне драматизировать ситуацию
также не стоит: подключайте систему SMS-уведомлений о
совершенных вами же транзакциях (лучше лишний раз прочитать и
удалить скучное сообщение, чем лишиться накоплений за полгода,
ведь так?), не пользуйтесь банкоматами на вокзалах и прочих
слишком людных местах, а ещё хорошенько присматривайтесь к их
внешнему виду - если наблюдается что-нибудь подозрительное, то
лучше поискать в окрестностях другую "машину для съёма денег".

Hо перед этим обязательно позвоните в банк и сообщите о своей
"находке" - контактный телефон обычно написан прямо на
пластиковой карточке. Помните: этот звонок позволит многим менее
внимательным и компетентным людям сохранить их деньги и, вполне
возможно, даже приведет к обнаружению и задержанию мошенниковЕ
Банки ведь старательно оберегают свою репутацию.

[1]: http://www.computerra.ru/vision/413333/

_____________________________________________________________________

Оригинал статьи на http://pda.computerra.ru/?action=article&id=414880

=============================================================================
---
* Origin: 2:5020/1823.2, /2613.5, /1317.8, /2173.2 (2:5020/1823.2)