aricoma logo avatar

#1 v podnikovém IT

Penetrační testy a audity bankomatů ATM

Kontaktujte nás
Co děláme Kybernetická bezpečnost Penetrační testy

Popis řešení

Penetrační testy a audity ATM jsou ve srovnání s klasickými penetračními testy webových aplikací v mnoha ohledech specifické. Vyžadují komplexní znalosti jak z oblasti hardware, software, XFS, síťových protokolů, reverzního inženýrství, tak i hluboké znalosti programovacích jazyků včetně assembleru, práce v dissambleru, debuggeru s přímým použitím kódů instrukční sady (tzv. opcodes)​. Výsledkem je ověření, zda je ATM adekvátně zabezpečeno a vhodné pro produkční nasazení a netrpí žádnou zjevnou bezpečnostní slabinou, která by mohla představovat přímé bezpečnostní riziko pro samotné ATM a její klienty.
 
Následuje podrobnější výčet oblastí, které bývají z pohledu bezpečnosti ATM i na základě našich dlouholetých zkušeností, kritické. Uvedený výčet není kompletní, nicméně podává zřetelnější představu o rozsahu a komplexnosti penetračních testů a auditů ATM, ať již se jedná o vlastní vyvíjené řešení nebo řešení třetí strany, které se chystáte do svého prostředí nasadit. Rádi vám s řešením bezpečnosti pomůžeme.  

ATM penetrační testy a audity

Z našich zkušeností víme, že přesto, že dodavatelé ATM jsou mnohdy stejní, provozované aplikace, OS, služby, verze, nastavení a zabezpečení se značně liší. Každý penetrační test a audit ATM je tak vždy trochu odlišný, závislý na použitém HW, SW a dalších ochranných prvků.

Následuje základní seznam testů a auditů, který provádíme nejčastěji. 

Přínosy

  • Patříme mezi zavedené české security firmy, na trhu úspěšně působíme již déle než 30 let.  
  • Máme více než 10 let zkušeností s penetračními testy ATM různých dodavatelů, především DN (WN), NCR a OKI. 
  • Máme více než 30 let zkušeností na poli bezpečnosti OS, infrastruktury, desktopových a webových aplikací, které jsou nedílnou součástí ATM.  
  • Náš tým tvoří specialisté se zkušenostmi ze stovek dílčích projektů.  
  • Jsme držiteli certifikací eMAPT, CISSP, OSCP, OSCE, CEH a celé řady dalších.  
  • Nasloucháme klientům a přizpůsobujeme testy jejich potřebám a časovým možnostem.  
  • Sledujeme moderní trendy v oblasti bezpečnosti desktopových aplikací.  
  • Při testování klademe důraz na manuální přístup, který vede k odhalení většího množství chyb zejména v business logice aplikací oproti automatizovaným nástrojům.  

Kontrola zabezpečení fyzického přístupu k  ATM rozhraním

  • Fyzický lokální útok, který je zaměřen na data účtu. 
  • Fyzický lokální útok, který je zaměřen na PIN. 
  • Útoky zaměřené na odcizení šifrovaných citlivých údajů z bezpečných komponent (EPPs, CRs, NFC atd.) 
  • Útoky zaměřené na vypnutí bezpečnostních prvků ATM (Privacy Shield, anti-skimming add-ons attacks) 
  • Testy na neautorizovaný přístup k citlivým oblastem a zdrojům (cabinet, fascia) 
  • Testy zda neautorizovaný přístup k EPP, PC, atd. je monitorován a spustí alarm. 
  • Útoky na rozhraní jako USB, Kamera, PIN-Pad konektory, sériový mgmt port, rozhraní čtečky karet, rozhraní dispenseru, audio jack atd. 
Zabezpečení OS a aplikací ATM 
  • Testujeme bezpečnost platformy ATM OS (Windows)  
  • Ověřujeme zabezpečení systému BIOS, TPM.  
  • Ověřujeme bezpečnosti Sandbox řešení a ochrany OS. 
  • Ověřujeme přístupu k prostředkům, jako jsou USB porty / disky CD / DVD / pevné disky atd. 
  • Ověřujeme zabezpečení XFS vrstvy  
  • Analyzujeme zabezpečení obslužné aplikace ATM (tlustý/tenký klient) viz. Penetrační testy tlustého/tenkého klienta. 
ATM infrastrukturní testy 
  • Testujeme a ověřujeme komunikační protokoly, šifrování a VPN  
  • Ověřujeme a zabezpečení služeb. 
  • Provádíme komplexní audit ATM infrastruktury 
Ověření zabezpečení Dispenseru
  • Ověřujeme komunikaci a šifrování s dispenserem. 
  • Ověřujeme servisní nástroje, které jsou schopné komunikovat přímo s dispenserem.  
  • Ověřujeme možnosti upgrade a downgrade firmware na dispenseru. 
Sdílejte
Tisk do PDF

Reference
  • logo zakaznika
    Pro Škoda Auto jsme provedli audity a sofistikované penetrační testy k identifikaci zranitelnosti
  • logo zakaznika
    Bezpečnost klientů i zaměstnanců ČSOB jsme zdokonalili nejen díky penetračním testům
  • logo zakaznika
    Realizace penetračních testů pro zdokonalení bezpečnosti společnosti ING
  • logo zakaznika
    Služby vzdělávání v oblasti kybernetické bezpečnosti pro desítky zaměstnanců společnosti OTE
  • logo zakaznika
    V T-Mobile jsme provedli bezpečnostní testy a audity
  • logo zakaznika
    Školeními zvyšujeme povědomí o kybernetické bezpečnosti zaměstnancům společnosti Broker Consulting
  • logo zakaznika
    V Deutsche Telekom (T-Systems) pokrýváme oblasti kybernetické bezpečnosti.
  • logo zakaznika
    Díky penetračním testům v Konica Minolta jsme efektivně identifikovali a opravili zranitelnost firmy
  • logo zakaznika
    Realizace bezpečnostních auditů a penetračních testů pro společnost ČEZ
  • logo zakaznika
    Zvýšení kybernetické bezpečnosti ve Fakultní nemocnici Hradec Králové
    Případová studie

NEVÁHEJTE, KONTAKTUJTE NÁS.

Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?

Odesláním formuláře prohlašuji, že jsem se seznámil s informacemi o zpracování osobních údajů v ARICOMA.

Na vašem soukromí nám záleží

Používáme identifikátory cookies, které jsou nezbytné pro funkčnost webových stránek. Kliknutím na tlačítko „Rozumím“ souhlasíte s využitím i dalších typů cookies pro statistické měření návštěvnosti či přizpůsobování obsahu a cílení marketingu dle toho, co vás zajímá.

Takto udělený souhlas lze později kdykoliv odvolat či nastavit dle svých preferencí. To nabízí volba „Podrobné nastavení“, kde jsou i podrobnější informace k celé problematice.

Rozumím Podrobné nastavení Odmítnout vše