【揭开银行业4大资安迷思】为何封闭的ATM不安全？

这次台湾发生第一银行ATM盗领8,327万事件，对许多资安专家而言，发生这样的资安事件并不稀奇，因为从2013年开始，一直到去年，从俄罗斯、东欧、欧洲等，都已经先后发生许多起这样神乎奇技的ATM盗领事件。

先前资安公司推出类似的资安报告，像是荷兰与俄罗斯资安研究公司Group-IB及Fox-IT在2014年联合发表的资安报告《AnunAk：APT Against Financial Institutions》中，详细揭露了这个俄罗斯黑帮集团，利用开源银行木马Carberp，来客制化出专门攻击银行和支付系统的恶意程式Anunak，专攻特定厂牌Wincor（德利多富）ATM，可窜改银行吐钞上限，并可同时远端遥控多达52台ATM吐钞来盗领金钱。此俄罗斯犯罪集团已经利用相同手法，不只偷遍俄罗斯，也横行美国与欧洲多国的银行。

到了2015年2月，卡巴斯基推出资安报告《Carbanak APT：The Great Bank Robbery》，根据这份报告统计，光在2013年晚期，这类ATM盗领造成的损失就已高达10亿美元（约新台币310亿元），其中受骇的银行更遍布俄罗斯、美国、德国、中国或乌克兰等。不过，这样ATM盗领事件并不是每一起事件都可以盗领很多钱，像有单一银行ATM损失就高达730万美元（约新台币2.26亿元），其他更多的损失往往是来自直接透过线上平台转账带来的损失，有银行光是线上转账损失就超过1千万美元（约新台币3.1亿元）。

但即使这样的ATM盗领案例层出不穷地在国际爆发，却少见台湾金融业者重视，反而是，像孟加拉央行被盗领的事件，台湾金融业者关心程度还更高。综合下来，其实源于几个台湾金融业者某些不够落实、半调子的资安观点，才导致台湾的银行业者缺乏对这类资安事件的心理准备。

 迷思 1  台湾ATM使用封闭网络，所以比较安全

所有台湾的银行业者，除非是采用IP ATM的银行业者，全部都一致认为，许多台湾ATM还是采用封闭SNA（Systems Network Architecture）网络架构，ATM直接透过SNA和后端账务及客户余额主机连线，不仅网络传输时加密，也使用3DES与后端银行主机做加密，加上ATM业者也会在ATM设备安装防毒软件强化其安全性。因此，多数银行业者都会说，台湾ATM使用封闭网络架构，所以比较安全。

事实上，真的如此吗？一银的状况其实也是许多台湾的银行业者缩影，如果ATM真的是封闭网络，那光是ATM软件升级，就必须透过ATM设备工程师，亲自拿光碟或随身碟，到每一台ATM设备升级操作系统。

但是，从一银的作业模式可以发现，该银行其实已经有一套更新ATM软件的派送服务器，像是六月底，一银更新ATM系统时，就是透过网络而非实体升级。

严格来说，银行说的封闭网络只局限在两个端点，ATM连到后端账户系统，是采用SNA封闭的内网架构；ATM更新服务器和ATM设备，也是SNA；但是，从外面派送的更新软件内容到ATM更新服务器时，看样子就是透过互联网升级，而非SNA封闭网络架构。其实，银行业者定义的封闭网络并不完整，大部分都是指和后端账务系统连网的网络架构，但是，更新派送的部分，终究不全然采用封闭网络架构。银行是否还可以使用封闭网络的字眼，企图混淆视听呢？

 迷思 2  XP即使终止延伸支援，在封闭网络也安全

目前台湾银行业者ATM操作系统的主流，除了在2013年新采购的ATM多是内建微软Windows 7以上的操作系统外，许多旧款的ATM大多采用在2014年4月8日就终止延伸支援的Windows XP Professional（简称XP)，以及在2016年1月12日终止延伸支援的Windows XP Professional Embedded（简称嵌入式XP）操作系统。

从一银事件来看，目前有438台ATM采用微软XP操作系统，只有2013年之后采购的54台ATM，是采用Windows 7操作系统。其实，第一银行早在2013年下半年，就已经在评估，要汰换用了7～10年的老旧ATM设备。但是，为什么一银到现在还有过半以上的ATM，仍使用微软XP的老旧ATM呢？合理推论就是，即便是使用微软XP，但封闭网络会降低骇客透过网络入侵ATM的风险，难保一银有许多已经超过10年使用期限的硬件ATM设备，在其他预算排挤效应下，迟迟无法升级或汰换。

早在2年多前，ATM设备商NCR台湾及香港区总经理区万康便曾受访指出，针对使用终止支援操作系统的银行业者，应该要参考由信用卡公司提供的PCI规范。首先，建议使用终止支援操作系统的ATM设备，只允许白名单的应用连线，确保系统的完整性；其次，虽然不限时间，银行必须要有清楚、合理的设备或产品升级计划，以ATM使用工业主机通常可以耐用7～10年，超过10年不汰换，就是一个不合理的升级计划。

从一银事件看来，ATM设备端并没有只允许白名单应用连线；再者，推测一银仍有超过10年未汰换的ATM设备，都让自家ATM风险往上升。甚至于，我们也应该谴责，如果有任何业者的商用系统，还在使用微软XP这种软件孤儿，这些业者都不道德。

 迷思 3  银行资安稽核做得好，防骇能力一定好

有许多资安专家表示，台湾金融业者的确是在资安设备采购上，投资最多金钱的产业，加上监理机关高度控管，不论是一年N次的内稽和外稽，都让金融单位的资安像是铜墙铁壁般的安全。

事实证明，台湾金融业资讯部门花太多时间应付相关稽核，包含资安稽核，却缺乏足够的防骇思维，最明显的例子就是，仅有少数金融机构有半独立的资安部门；甚至仅有少数的金融业者，在银行内有自己的资安事件处理团队（IR Team）。

毕竟，目前也只有富邦金控有聘请专长打击网络和科技犯罪的前警政署资讯室主任李相臣，担任富邦金控资讯处长，负责相关的资安事宜而已，其他多数金融业者，仍把资安部门视为资讯部门的附属品，更不会把资安能力视为提升公司营运能力的重要环节时，资安人员在银行内无法出头，更不用奢望有专门的资安团队可以有心力钻研怎么防骇客，怎么做好资安事件处理。

 迷思 4  台湾人不懂怎么骇入ATM，就比较安全

第一银行董事长蔡庆年在7月18日的记者会上宣布，将要全数汰换旧款Wincor Pro Cash 1500的ATM设备，此时也有资安研究人员想协助了解是否有新手法的可能，但可惜是设备代理商不愿意出借设备，并向银行业者说明一旦出借，代理商将不会针对该银行的ATM设备的漏洞进行升级、维修。

事实上，这台设备已经可以在网络上购买，而且在俄罗斯还有许多中国的地下论坛，早就针对此次一银受骇的ATM厂牌Wincor，有专属的发文专区，从最基本的操作说明、操作手册、操作界面，甚至如何远端入侵的攻击手法等，形同是半公开在网络上，有心人士一定找得到。

从此类鸵鸟心态，以为只要台湾人不懂如何攻击ATM，就表示台湾不会发生这类ATM攻击事件；到代理商恶劣自保心态等，都让真正的资安技术交流地下化，最后的结果就是，当俄罗斯人、中国人知道怎么攻击Wincor ATM时，台湾人因为不知道如何攻击，更不懂得如何防护，只能作为刀俎上的鱼肉，任人宰割罢了。