Банкоматы производства американской компании NCR – одни из самых популярных в России. На сервисном обслуживании «Эн. Си. Ар., NCR A/O» состоят свыше 40 тысяч таких устройств (при том, что, по подсчетам Центробанка, общее число банкоматов в РФ составляет примерно 200 тысяч). И только вчера, 9 августа на конференции по информационной безопасности Black Hat в Лас-Вегасе неожиданно выяснилось, что большинство из этих 40 тысяч банкоматов серьезно уязвимы перед мошенниками.
Наличные из них можно вынуть через сейфовую часть. Производитель об этом узнал еще полгода назад, и тогда же придумал, как устранить дефект. Но почему-то… предпочел промолчать, а не разослать обновление своим российским клиентам.
Почему клиенты из России остались непроинформированны, в NCR объяснить не могут. В компании говорят, что сотрудничали с Positive Technologies, так что «обнаруженные уязвимости были устранены и обновления были предоставлены». Но в то же время журналисты не смогли получить ответа на вопрос о том, почему кредитные организации вовремя не получили обновление.
В итоге российские банкиры о том, что установленные в их учреждениях банкоматы находятся в зоне риска, узнали только из публикации в «Коммерсанте», где рассказывается и о самой проблеме, и о том, как именно эксперты Positive Technologies ее решали.
Уязвимое место, которое выявили специалисты по безопасности, это механизм записи памяти в двух моделях диспенсеров (сейфовой части банкомата для выдачи купюр), которые используются в банкоматах NCR – диспенсере S1 и диспенсере S2. Из-за того, что механизм этот недостаточно защищен, любой хакер может подключить к диспенсеру одноплатный компьютер и переустановить программное обеспечение на контроллере диспенсера, используя технологию Dlack Box. А подменив ПО, хакер может, конечно, отдать банкомату команду на снятие наличных.
Большинство установленных в российских финучреждениях банкоматов NCR имеют диспенсеры S1, диспенсеры S2 не так популярны. В любом случае, недостаточная защита выявлена именно у этих двух моделей. Чтобы ее устранить, необходимо вручную (!) переустановить обновленное ПО на каждый банкомат – напомним, их более 40 тысяч и рассредоточены они по всем регионам России. «Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределенность банкоматов», – комментирует эксперт, директор исследовательского центра компании Digital Security Роман Бажин.
Но помимо сложностей с переустановкой, есть еще и вопрос о том, как, собственно, российским банкам получить это самое обновление. «Баг» был выявлен еще полгода назад, тогда же американские эксперты сообщили об этом в головной офис компании-производителя. В начале февраля на сайте www.ncr.com появился пресс-релиз, информировавший о том, что уязвимость устранена, и содержавший рекомендации по установке обновленного ПО. Непосредственно клиентам рассылку никто сделать не удосужился. Как и разослать обновление программного обеспечения. Теперь уже российские эксперты подозревают, что вспышка хакерских атак на банкоматы, которую отмечали этой весной, могла быть связана именно с этим моментом. Только в апреле с использованием технологии Black Box хакеры попытались «вскрыть» 10 банкоматов. При том, что за весь прошлый год, по данным «Коммерсанта», – 21.
На самом деле, точную цифру назвать невозможно: банки, стараясь поддерживать репутацию надежных кредитных учреждений, скрывают информацию о хакерских попытках взлома, особенно – об успешных. «Мы не можем говорить, что за последний год количество атак увеличилось, но мы можем совершенно точно сказать, что выявляемость атак увеличилась», – говорит, впрочем, замначальника главного управления безопасности и защиты информации Банка России Артем Сычев. И в этой формулировке, пожалуй, есть доля оптимизма. Противостоять хакерам банки пытаются комплексно, используя специализированные аппаратные средства защиты, круглосуточный мониторинг и оперативное реагирование на тревожные сигналы.
Если кто-то из российских банков действительно пострадал из-за того, что не был вовремя проинформирован о выявленной уязвимости сейфовой части банкоматов NCR, они могут предъявить компании иск и потребовать возмещения ущерба (при условии, что есть соглашение на обслуживание банкоматов).
Но в таком случае банку придется публично признать, что доверенные ему средства не стопроцентно надежно защищены. И что предпочтут владельцы банка – скрыть факт успешной хакерской атаки, сохранив репутацию, или же объявить о проблемах, потеряв доверие клиентов? Неизвестно.
Около 40 тысяч российских банкоматов оказались уязвимы перед хакерскими атаками из-за дефекта сейфовой части