Pentesting ATM
Proveemos pruebas de penetración avanzadas (pentesting) en soluciones de cajero automático (ATM) en el sector financiero. En la mayoría de los casos, se identifican graves fallas de seguridad en las configuraciones de ATM y los procesos asociados.
El pentesting que simula ataques reales en soluciones de cajeros automáticos, incluye ataques dirigidos cuidadosamente diseñados, que combinan vectores de ataque físicos, lógicos y opcionalmente de ingeniería social. Los gerentes de seguridad de TI a menudo consideran que la seguridad de ATM es un área compleja, que tiende a centrarse más en los riesgos físicos y menos en las debilidades lógicas en el sistema operativo y la capa de aplicaciones.
Sin embargo, la seguridad de los cajeros automáticos es un área comercial que a menudo carece de evaluaciones de seguridad integrales. Nuestras pruebas ATM se basan en esta creencia y buscan mostrar una imagen holística de su entorno de cajero automático.
Controles físicos
Muchos bancos confían en gran medida en el supuesto de que el acceso físico a sus soluciones de ATM está efectivamente restringido. Mientras tanto, se repite en las pruebas, cuán poco esfuerzo se requiere a menudo para obtener acceso no autorizado a la CPU del cajero automático, que controla la interfaz de usuario y el dispositivo de transacción.
Controles lógicos
Con el acceso físico a la CPU del cajero automático, se pueden omitir los mecanismos de autenticación para obtener acceso no autorizado a la plataforma del cajero automático. Con este acceso, un atacante puede robar datos de tarjetas de crédito que están almacenados en sistemas de archivos o memoria, sin alertar al banco. Además, nuestros expertos en pentesting pueden demostrar que este acceso no autorizado se puede ampliar desde el cajero automático a la red del banco y a los servidores de fondo utilizando el cajero automático comprometido como plataforma de ataque.
Los procesos de gestión de soluciones ATM asociados con proveedores de servicios de terceros y proveedores de desarrollo de aplicaciones a menudo son la clave de oro para un atacante, y pueden incluirse en el alcance de las pruebas para identificar debilidades lógicas en las relaciones de confianza que un atacante puede explotar para comprometer un ATM.
Pruebas de penetración en cajeros automáticos
En las pruebas de penetración (pentesting) de cajeros automáticos, a medida que aumenta el número de unidades de cajero automático, la máquina es propensa a piratear ataques, robos, fraude, etc.
La transferencia electrónica de fondos tiene tres componentes: enlace de comunicación, computadora y terminal (ATM). Los tres componentes deben estar asegurados para evitar el ataque. Analizaremos el tipo de evaluación que podemos realizar para analizar la seguridad general de un cajero automático.
ETAPAS PENTESTING ATM
Revisión del diseño de la aplicación: en esta actividad, podemos verificar las prácticas de * seguridad que se siguen en la aplicación. Algunos de los casos de prueba pueden ser:
Tipos de eventos registrados en el archivo de registro.
El privilegio con el que se ejecuta la aplicación ATM.
¿El software tiene la disposición de restringir diferentes opciones de menú a diferentes ID de usuario según el nivel de usuario?
Acceso a las carpetas relacionadas con la aplicación.
¿La aplicación permite la transacción sin un pin o con un pin viejo?
¿La aplicación permite el acceso al sistema operativo mientras se ejecuta?
Comunicación con componentes de fondo.
Verificación el aislamiento efectivo de la red.
¿Existen bloqueos de un cliente en caso de que haya un solo pin inválido?
¿Es obligatorio ingresar el PIN para todas y cada una de las transacciones?
Revisión de la arquitectura ATM
Evaluación del entorno ATM/POST, analizando controles de seguridad y conectividad con la red bancaria existente.
Pentesting Interno
Hacking ético, pruebas de vulnerabilidad y control sobre el entorno y los dispositivos de conectividad del ATM.
Test a los sistemas de alarmas (IDS-IPS-SIEM)
Verificación del funcionamiento de defensa y los tiempos de respuesta para realizar contramedidas sobre ataques reales.
Pruebas de software ATM
Realizar pentesting sobre las diferentes aplicaciones de pagos en el dispositivo físico final (cajero), los niveles de comunicación y los controles.
Pruebas de accesos remotos
Evaluar accesos RAS, RDP, VPN o similares que permitan acceso a terceros o posibles atacantes.
Análisis de procedimientos y políticas
Revisión y análisis de las actuales políticas existentes contra los estándares ISO/PCI/IBR
Pruebas físicas
Las cuatro áreas de seguridad son evaluadas: seguridad física, seguridad de la red, seguridad de la aplicación y seguridad del sistema operativo.
Respuesta a incidentes
Análisis de tiempos, estrategias y capacidad de respuesta a incidentes físicos o cibernéticos.
Protección contra ataques lógicos
Protección contra el arranque no autorizado mediante el establecimiento de arranque no adivinable y la contraseña del BIOS. La mayoría de los cajeros automáticos tienen configurada una contraseña de arranque predeterminada.
Protección contra USB y acceso no autorizado al disco duro.
Endurecimiento del sistema operativo y el último parche.
Lista blanca de la aplicación, servicios y procesos en cajeros automáticos.
Ejecutando ATM con el usuario con menos privilegios. Necesita saber y necesita tener un enfoque.
Comprobaciones de integridad de archivos.
Asegurar los registros de transacciones.
Uso de canal seguro para la comunicación y transacción.
Configure las mejores prácticas de seguridad en la aplicación ATM.
Protección antivirus.
Segregación de red ATM con otras redes.
Protección contra malware como tyupkin, ploutus, etc.
Protección contra ataques físicos:
Detección y protección contra el roce de tarjetas.
Detección y protección contra tarjetas / atrapamiento de efectivo.
Detección contra la manipulación del teclado.
Espejo y protector de clavija para identificar y prevenir el ataque de surfers
Implementación de una cámara DVSS incorporada en el cajero automático para capturar las características faciales del usuario junto con los detalles de la transacción y la marca de tiempo.
Bóveda de protección contra incendios, explosiones, etc.
Bloquee nuevamente la protección de acceso no autorizado a billetes o facturas.
Punto de energía eléctrica y protección de punto de red.
Prueba de reacción al desactivar la red no utilizada y el puerto eléctrico.