iThome
这次台湾发生第一银行ATM盗领8,327万事件,对许多资安专家而言,发生这样的资安事件并不稀奇,因为从2013年开始,一直到去年,从俄罗斯、东欧、欧洲等,都已经先后发生许多起这样神乎奇技的ATM盗领事件。
先前资安公司推出类似的资安报告,像是荷兰与俄罗斯资安研究公司Group-IB及Fox-IT在2014年联合发表的资安报告《AnunAk:APT Against Financial Institutions》中,详细揭露了这个俄罗斯黑帮集团,利用开源银行木马Carberp,来客制化出专门攻击银行和支付系统的恶意程式Anunak,专攻特定厂牌Wincor(德利多富)ATM,可窜改银行吐钞上限,并可同时远端遥控多达52台ATM吐钞来盗领金钱。此俄罗斯犯罪集团已经利用相同手法,不只偷遍俄罗斯,也横行美国与欧洲多国的银行。
到了2015年2月,卡巴斯基推出资安报告《Carbanak APT:The Great Bank Robbery》,根据这份报告统计,光在2013年晚期,这类ATM盗领造成的损失就已高达10亿美元(约新台币310亿元),其中受骇的银行更遍布俄罗斯、美国、德国、中国或乌克兰等。不过,这样ATM盗领事件并不是每一起事件都可以盗领很多钱,像有单一银行ATM损失就高达730万美元(约新台币2.26亿元),其他更多的损失往往是来自直接透过线上平台转账带来的损失,有银行光是线上转账损失就超过1千万美元(约新台币3.1亿元)。
但即使这样的ATM盗领案例层出不穷地在国际爆发,却少见台湾金融业者重视,反而是,像孟加拉央行被盗领的事件,台湾金融业者关心程度还更高。综合下来,其实源于几个台湾金融业者某些不够落实、半调子的资安观点,才导致台湾的银行业者缺乏对这类资安事件的心理准备。
迷思 1 台湾ATM使用封闭网络,所以比较安全
所有台湾的银行业者,除非是采用IP ATM的银行业者,全部都一致认为,许多台湾ATM还是采用封闭SNA(Systems Network Architecture)网络架构,ATM直接透过SNA和后端账务及客户余额主机连线,不仅网络传输时加密,也使用3DES与后端银行主机做加密,加上ATM业者也会在ATM设备安装防毒软件强化其安全性。因此,多数银行业者都会说,台湾ATM使用封闭网络架构,所以比较安全。
事实上,真的如此吗?一银的状况其实也是许多台湾的银行业者缩影,如果ATM真的是封闭网络,那光是ATM软件升级,就必须透过ATM设备工程师,亲自拿光碟或随身碟,到每一台ATM设备升级操作系统。
但是,从一银的作业模式可以发现,该银行其实已经有一套更新ATM软件的派送服务器,像是六月底,一银更新ATM系统时,就是透过网络而非实体升级。
严格来说,银行说的封闭网络只局限在两个端点,ATM连到后端账户系统,是采用SNA封闭的内网架构;ATM更新服务器和ATM设备,也是SNA;但是,从外面派送的更新软件内容到ATM更新服务器时,看样子就是透过互联网升级,而非SNA封闭网络架构。其实,银行业者定义的封闭网络并不完整,大部分都是指和后端账务系统连网的网络架构,但是,更新派送的部分,终究不全然采用封闭网络架构。银行是否还可以使用封闭网络的字眼,企图混淆视听呢?
迷思 2 XP即使终止延伸支援,在封闭网络也安全
目前台湾银行业者ATM操作系统的主流,除了在2013年新采购的ATM多是内建微软Windows 7以上的操作系统外,许多旧款的ATM大多采用在2014年4月8日就终止延伸支援的Windows XP Professional(简称XP),以及在2016年1月12日终止延伸支援的Windows XP Professional Embedded(简称嵌入式XP)操作系统。
从一银事件来看,目前有438台ATM采用微软XP操作系统,只有2013年之后采购的54台ATM,是采用Windows 7操作系统。其实,第一银行早在2013年下半年,就已经在评估,要汰换用了7~10年的老旧ATM设备。但是,为什么一银到现在还有过半以上的ATM,仍使用微软XP的老旧ATM呢?合理推论就是,即便是使用微软XP,但封闭网络会降低骇客透过网络入侵ATM的风险,难保一银有许多已经超过10年使用期限的硬件ATM设备,在其他预算排挤效应下,迟迟无法升级或汰换。
早在2年多前,ATM设备商NCR台湾及香港区总经理区万康便曾受访指出,针对使用终止支援操作系统的银行业者,应该要参考由信用卡公司提供的PCI规范。首先,建议使用终止支援操作系统的ATM设备,只允许白名单的应用连线,确保系统的完整性;其次,虽然不限时间,银行必须要有清楚、合理的设备或产品升级计划,以ATM使用工业主机通常可以耐用7~10年,超过10年不汰换,就是一个不合理的升级计划。
从一银事件看来,ATM设备端并没有只允许白名单应用连线;再者,推测一银仍有超过10年未汰换的ATM设备,都让自家ATM风险往上升。甚至于,我们也应该谴责,如果有任何业者的商用系统,还在使用微软XP这种软件孤儿,这些业者都不道德。
迷思 3 银行资安稽核做得好,防骇能力一定好
有许多资安专家表示,台湾金融业者的确是在资安设备采购上,投资最多金钱的产业,加上监理机关高度控管,不论是一年N次的内稽和外稽,都让金融单位的资安像是铜墙铁壁般的安全。
事实证明,台湾金融业资讯部门花太多时间应付相关稽核,包含资安稽核,却缺乏足够的防骇思维,最明显的例子就是,仅有少数金融机构有半独立的资安部门;甚至仅有少数的金融业者,在银行内有自己的资安事件处理团队(IR Team)。
毕竟,目前也只有富邦金控有聘请专长打击网络和科技犯罪的前警政署资讯室主任李相臣,担任富邦金控资讯处长,负责相关的资安事宜而已,其他多数金融业者,仍把资安部门视为资讯部门的附属品,更不会把资安能力视为提升公司营运能力的重要环节时,资安人员在银行内无法出头,更不用奢望有专门的资安团队可以有心力钻研怎么防骇客,怎么做好资安事件处理。
迷思 4 台湾人不懂怎么骇入ATM,就比较安全
第一银行董事长蔡庆年在7月18日的记者会上宣布,将要全数汰换旧款Wincor Pro Cash 1500的ATM设备,此时也有资安研究人员想协助了解是否有新手法的可能,但可惜是设备代理商不愿意出借设备,并向银行业者说明一旦出借,代理商将不会针对该银行的ATM设备的漏洞进行升级、维修。
事实上,这台设备已经可以在网络上购买,而且在俄罗斯还有许多中国的地下论坛,早就针对此次一银受骇的ATM厂牌Wincor,有专属的发文专区,从最基本的操作说明、操作手册、操作界面,甚至如何远端入侵的攻击手法等,形同是半公开在网络上,有心人士一定找得到。
从此类鸵鸟心态,以为只要台湾人不懂如何攻击ATM,就表示台湾不会发生这类ATM攻击事件;到代理商恶劣自保心态等,都让真正的资安技术交流地下化,最后的结果就是,当俄罗斯人、中国人知道怎么攻击Wincor ATM时,台湾人因为不知道如何攻击,更不懂得如何防护,只能作为刀俎上的鱼肉,任人宰割罢了。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09