Интервью с Евгением Волошиным, BI.ZONE - аппаратные атаки и уязвимости в банкоматах

Евгений Волошин: Уязвимости в банкоматах встречаются на каждом шагу

Евгений Волошин: Уязвимости в банкоматах встречаются на каждом шагу

Евгений Волошин 

Директор блока экспертных сервисов BI.ZONE.

В 2008 году окончил инженерный факультет Череповецкого военного инженерного института радиоэлектроники со специализацией в области радиотехники. 

С 2012 года работал в Генеральной дирекции ОАО «Северсталь» в управлении по защите информации, где вырос с должности специалиста до начальника лаборатории.

Занимался этичным хакингом, разработкой и реализацией сценариев атак, расследованием инцидентов информационной безопасности. Параллельно работал администратором средств криптографической защиты информации в департаменте обеспечения бизнеса в ОАО «Северсталь-инфоком». 

В 2016 году присоединился к команде BI.ZONE в должности директора по информационной безопасности.

В настоящий момент Евгений также является одним из ключевых спикеров Академии кибербезопасности Сбербанка.

...

Директор блока экспертных сервисов компании BI.ZONE Евгений Волошин рассказал Anti-Malware.ru об особенностях аппаратных атак и трендах в этой области, а также поделился кейсами из исследовательской практики.

Мы находимся на конференции OFFZONE. В этом году для нее выбрана яркая тема — аппаратное обеспечение, его уязвимости и защита от них. Почему именно эта тема была выбрана, и в чем ее актуальность?

Е. В.: В последние годы мы наблюдаем тренд по смещению атак всё ниже по технологическому стеку. Атаковать софт становится сложнее, поэтому злоумышленники ищут новые векторы — настала очередь железа. Несмотря на его фундаментальную роль, скажем прямо: защищено оно очень слабо. Инженерам ставят задачу разрабатывать инновационные устройства, о безопасности которых речи не идет. А «добавить безопасность» постфактум невозможно: в отличие от софта, для аппаратного обеспечения нельзя выпустить единое обновление и разлить на все девайсы. Здесь возможны только точечные исправления.

Наш интерес к сфере начался с проекта, где мы изучали прошивки устройств внутри банкоматов. Тогда обнаружилось, что тема очень серьезная: уязвимости встречались везде, на каждом шагу. Мы подумали, что если ситуация с банкоматами такая, то надо посмотреть вправо-влево. И проблема действительно оказалась очень обширной: она затрагивает многие отрасли, от смартфонов до АСУ ТП, которые управляют критически важными процессами.

В этом году банки заявляли, что число кибератак на банкоматы сильно сократилось. Уязвимости успели закрыть?

Банкоматы — яркий пример устройств, где аппаратные уязвимости сразу приводят к финансовым потерям. Это чувствительная тема: даже единичные случаи киберхищений широко обсуждаются в массмедиа, бьют по репутации. Банки не могли оставить вопрос без внимания. И ситуация исправилась во многом по административным и юридическим причинам: поставили камеры, усилили охрану, ужесточили наказание. Проводить кибератаки на банкоматы стало рискованно и невыгодно, отсюда позитивная статистика.

Но масса проблем все равно осталась. Парк устройств очень старый, сами производители не готовы с ним работать. Сообщаешь им об уязвимости — в ответ получаешь: «Ребята, мы рекомендуем купить новый банкомат». А банки из топ-50 с огромным количеством таких устройств не будут заменять весь парк, это дорого. Одним словом, созданы все условия для независимых исследовательских лабораторий: здесь создают патчи для прошивок и разрабатывают дополнительные аппаратные модули, чтобы самостоятельно закрывать бреши.

А страхование не решает проблему?

Е. В.: Кто-то страхует свои риски. Но нужно понимать, что прямые потери из банкомата не такие страшные: в одном устройстве хранится от 3 до 5 миллионов рублей, а если инкассация давно не проводилась — и того меньше. Однако эти кейсы очень резонансные. Люди слышат о них и задумываются: «а надежно ли защищены мои деньги?», «стоит перейти в другой банк».

У других устройств риски те же, что и у банкоматов?

Е. В.: Мы исследовали устройства самообслуживания, POS-терминалы — практически везде были проблемы: где-то детские, где-то более глубокие. Потом, ради интереса, посмотрели устройства интернета вещей. Огромное разнообразие и высокая доступность для потребителя сыграли с ними злую шутку. Пара десятков тысяч рублей — и вот тебе умный дом, который смотрит в интернет и обладает стандартным набором уязвимостей. Любой может зайти на теневой форум, достать эксплоиты — и вот уже в умный дом проник посторонний.

Мы считаем, что эту тему надо поднимать, говорить о ней, задумываться о сертификации в области IoT и всего, что подключено к интернету.

Зачастую мы видим такую ситуацию, что даже крупные производители свои устройства не поддерживают, выпускают в первый год патчи и всё. Понятно, что ты не будешь менять телевизор каждый год, но получается, что ты пользуешься уязвимыми устройствами.

Е. В.: Вендорам важно получить прибыль за проданное устройство. Никаких обязательств по выпуску обновлений безопасности они на себя не берут. А уязвимые устройства участвуют тем временем в ботнетах, в DDoS-атаках, майнинге, спаме, вредоносном трафике.

Проблема в том, что у бизнеса нет стимулов делать устройства защищенными. Если безопасное устройство стоит 1000 долларов, а конкурент делает аналог за 500 долларов, человек купит последний, потому что людям в общей массе наплевать на безопасность. По этой же причине на старые гаджеты производители не будут делать патчи — им это невыгодно.

Хорошим решением будет ввод срока обязательной поддержки со стороны производителя. В Китае и США об этом уже серьезно задумались.

Ваш департамент занимается в том числе расследованиями. Если говорить об аппаратных уязвимостях и связанных с ними атаках, насколько это более сложный процесс по сравнению с анализом программного обеспечения?

Е. В.: Исследовать всегда сложно, а в случае с железом еще и затратно. Если речь идет о современном оборудовании и специализированном программном обеспечении, то это миллионы рублей. Мы воспринимаем нашу лабораторию анализа аппаратного обеспечения как инвестпроект, эта тема находится на острие, она всё больше востребована среди заказчиков, а мы всё чаще выявляем аппаратные атаки.

Вы ощущаете кадровый голод? Сколько высококлассных специалистов у нас в России в сфере аппаратного реверса?

Е. В.: Очень мало. Может быть, 10-20 человек на всю страну. Это одна из причин проводить OFFZONE: мы ищем людей, готовых осваивать эту сферу и развиваться в ней. Обучение такого специалиста — очень дорогое дело. Ребята из нашей лаборатории ездят учиться в Европу, потому что в России перенять нужный опыт не у кого. Так наши специалисты углубляли экспертизу по атакам на интегральные схемы: side channel analysis, fault injection, послойное препарирование кристаллов и их реверс — высшему пилотажу аппаратной кибербезопасности. Но вот чтобы у человека был широкий бэкграунд, и он понимал, как все работает, а не только узкую область — таких специалистов в мире просто нет.

Известны атаки, основанные на легком доступе к USB-портам. Это аппаратные уязвимости или вопросы физической целостности? Или это микс?

Е. В.: Это действительно микс. Был один банкомат, у которого сверху была блестящая пластиковая заглушка, ее отрываешь — и получаешь доступ к USB-коннекторам. Один из них идет к диспенсеру, который выдает банкноты. С другого конца можно было подсоединить что угодно, потому что для устройств внутри банкомата не предусмотрели авторизацию. Злоумышленники подключали мини-компьютер и подавали команду на выдачу наличных. То есть эта атака оказалась возможна в том числе из-за уязвимостей в железе.

Из недавних новостей можно вспомнить атаку на банкоматы с использованием «билетов банка приколов». Это можно назвать аппаратной атакой?

Е. В.:Да, это атака на купюроприемник. На каждой купюре есть около пяти разных средств защиты, которые показывают, что она не фальшивая. Старые банкоматы проверяют только два из них. Банк приколов может этим двум параметрам соответствовать. В то же время даже старые банкоматы можно научить распознавать купюры, но этим надо заниматься, адаптировать прошивку на каждую модель.

Если говорить об атаках на устройства IoT, в чем заключается корень проблемы и как нужно защищаться?

Е. В.: Первая и главная рекомендация — не использовать стандартные пароли. С ними связано большинство проблем устройств интернета вещей. Даже когда производители внедряют принудительную смену заводских данных, люди сами вбивают логин и пароль admin/admin. Второе, не надо выставлять все устройства в интернет. Мало того, что у них стандартные пароли — у них есть стандартные уязвимости, под которые давным-давно написаны эксплоиты. В-третьих, если у вас нет базовых знаний по настройке сети, обратитесь к мануалам или специалистам. Это три базовых принципа.

С банкоматами другой подход: тут нужно централизованно смотреть по каждой модели, разливать прошивки, работать проактивно, смотреть, что в тренде за рубежом, оперативно ставить заплатки.

А если для детектирования эксплуатации аппаратных атак на уровне сети устанавливать сенсоры или внедрять их в само устройство?

Е. В.: Проблема с аппаратными атаками в том, что на уровне сети они не видны. Всё происходит гораздо ниже по стеку, и традиционные подходы к мониторингу не сработают. В защищенных устройствах, как правило, устанавливаются встроенные сенсоры, которые обнаруживают попытки атак и уничтожают секретную информацию. Пример такого устройства — чипованная банковская карта. Но в целом прозрачный контроль устройств на аппаратном уровне — это один из вопросов, который предстоит решить.

Спасибо за интервью и успехов в работе!