Penetračné testy a audity bankomatov ATM

Penetračné testy a audity ATM sú v porovnaní s tradičnými penetračnými testami webových aplikácií v mnohých ohľadoch špecifické. Vyžadujú si komplexné znalosti hardwaru, softwaru, XFS, sieťových protokolov, reverzného inžinierstva, ako aj hlboké znalosti programovacích jazykov vrátane assembleru, dissembleru, debuggeru s priamym použitím kódov inštrukčnej sady (opcodes). Výsledkom je overenie, či je ATM primerane zabezpečený a vhodný na produkčné nasadenie a či netrpí žiadnymi zjavnými bezpečnostnými nedostatkami, ktoré by mohli predstavovať priame bezpečnostné riziko pre samotný ATM a jeho klientov.
 
Nasleduje podrobnejší zoznam oblastí, ktoré bývajú z hľadiska bezpečnosti bankomatu kritické a ktoré vychádzajú z našich dlhoročných skúseností. Tento zoznam nie je kompletný, ale poskytuje jasnejšiu predstavu o rozsahu a komplexnosti penetračných testov a auditov bankomatov, či už ide o vaše vlastné vyvíjané riešenie alebo riešenie tretej strany, ktoré sa chystáte nasadiť vo svojom prostredí. Radi vám pomôžeme s vaším bezpečnostným riešením.

Z našich skúseností vieme, že aj keď sú dodávatelia ATM často rovnakí, aplikácie, operačný systém, služby, verzie, nastavenia a zabezpečenie sa značne líšia. Preto je každý penetračný test a audit ATM vždy trochu iný, v závislosti od použitého HW, SW a ďalších bezpečnostných prvkov.

Nasleduje základný zoznam testov a auditov, ktoré vykonávame najčastejšie.

• Fyzický lokálny útok, ktorý je zameraný na dáta účtu. 
• Fyzický lokálny útok zameraný na PIN kód. 
• Útoky zamerané na krádež šifrovaných citlivých údajov zo zabezpečených komponentov (EPP, CR, NFC atď.) 
• Útoky zamerané na znefunkčnenie bezpečnostných funkcií ATM (Privacy Shield, antiskimming add-ons attacks). 
• Testy na neoprávnený prístup do citlivých oblastí a zdrojov (cabinet, fascia). 
• Testuje, či sa monitoruje neoprávnený prístup k EPP, PC atď. a spúšťa alarm. 
• Útoky na rozhrania, ako sú USB, kamera, konektory PIN-Pad, sériový mgmt port, rozhranie čítačky kariet, rozhranie výdajného automatu, audio konektor atď.

Zabezpečenie OS a aplikácií ATM 

• Testujeme bezpečnosť platformy ATM OS (Windows)  
• Overujeme zabezpečenie systému BIOS, TPM.  
• Overujeme bezpečnosť riešení Sandbox a ochranu OS. 
• Overujeme prístup k zdrojom, ako sú porty USB / CD / DVD / pevné disky atď. 
• Overujeme zabezpečenie XFS vrstvy  
• Analyzujeme zabezpečenie obsluhy aplikácií ATM (hrubý/tenký klient) viď. Penetračné testy hrubého/tenkého klienta. 

ATM infraštruktúrne testy 

• Testujeme a overujeme komunikačné protokoly, šifrovanie a VPN  
• Overujeme aj zabezpečenie služieb. 
• Vykonávame komplexný audit ATM infraštruktúry 

Overenie zabezpečenia Dispenzora

• Overujeme komunikáciu a šifrovanie s dispenzorom. 
• Overujeme servisné nástroje, ktoré dokážu komunikovať priamo s dispenzorom.  
• Overujeme možnosti aktualizácie a downgradu firmwaru na dispenzore.