Maguk az ATM-ek biztonságosak, de a kábelek nem

Az USA-ban megjelent sajtóhírek szerint hekkereknek 2007. októbere és 2008. márciusa között sikerült hozzáférniük a Citibank pénzautomatáihoz (ATM). A tolvajok legalább kétmillió USA dollárt zsákmányoltak elfogásuk előtt a PIN-kódok kikémlelésével. Dr. Klaus Gheri, a phion stratégiai termékirányításáért felelős társalapító igazgatója kommentálta a pénzkiadó automatákkal kapcsolatos veszélyeket.

„Maga az ATM fizikai értelemben egy jól biztosított rendszer. A gépből kivezető hálózati kábel azonban nem. Ezért biztonsági okokból alapvető fontosságú, hogy a pénzautomata és a központi szerverrendszer közötti kommunikáció rejtjelezett legyen. A csatlakozás ellen intézett támadás valószínűleg nem lett volna sikeres, ha ezt az egyszerű módszert alkalmazták volna. Erre a célra a bankoknak – hasonlóan a mobil munkatársakat alkalmazó vállalatokhoz – létre kell hozniuk egy virtuális privát hálózatot (VPN), amely támogatja mind a kódolt, mind a biztonsági kommunikációt.

Azonban a rejtjelezéshez szükséges további szoftvermegoldás installálása sértheti a pénzautomata-gyártókkal már megkötött szolgálati szintű megállapodásokat. Így az egyedüli lehetséges intézkedés a rendszeren belüli kommunikáció rejtjelezése és védelem biztosítása a hálózat felől a tűzfalon/VPN-dobozon keresztül érkező támadások ellen. A bankokra váró kihívást a VPN-dobozoknak közvetlenül az ATM-szekrénybe történő beszerelése jelenti. Itt azonban vannak helykorlátozások, és a kültéren elhelyezett gépek óriási hőmérsékletingadozásoknak vannak kitéve évszaktól függően. Ezen kívül a hagyományos VPN-kezelési megoldások nem képesek megbirkózni a nagyszámú helyszínnel, a helyszíni szerviz pedig túl költséges figyelembe véve például a Németországban található 50.000 pénzautomatát. Más szóval a külső és az előcsarnokokban elhelyezett pénzautomaták ismert biztonsági kockázatot jelentenek. Az egyik legnagyobb német magán kereskedelmi bank igen előrelátó módon ilyen megoldást valósított meg a phion-nal, és ily módon védett a hasonló jellegű támadásokkal szemben.

Azonban, ha ez nem is vonatkozik az összes bankra, az ügyfeleknek nem kell aggódniuk megtakarításaikért. Egy ilyen jellegű kibernetikai támadás komoly szakértelmet és hatalmas erőfeszítést igényel. Magánügyfelek számára sokkal kisebb annak valószínűsége, hogy ilyen támadás éri őket, mint egy hitelkártyacsalásé.”

Az esetet csak a három támadóval szembeni jogi eljárások részeként publikálták, csalási módszereik még nem ismertek. Annyit lehet tudni, hogy támadásaikat távolról hajtották végre anélkül, hogy közel kerültek volna a pénzautomatákhoz. Az érintett ATM-eket a Citibank megbízásából külső társaságok üzemeltették.