Las Vegas’taki yıllık Defcon güvenlik konferansında ATM’leri hackleme konusunda büyük bir gelenek vardır. Kasa kırma teknikleriyle ATM’lerin kilidini açmak, kullanıcıların kişisel verilerini ve PIN numaralarını çalmak için ATM’leri düzenlemek, ATM kötü amaçlı yazılımları hazırlamak ve geliştirmek ve tabii ki tüm nakitlerini tükürmek için ATM’leri hacklemek. Bu projelerin çoğu, bir benzin istasyonunda veya barda bulabileceğiniz türden, bağımsız cihazlar olan perakende ATM’leri hedef aldı. Ancak Cuma günü, bağımsız araştırmacı Matt Burch, bankalarda ve diğer büyük kurumlarda kullanılan “finansal” veya “kurumsal” ATM’lerle ilgili bulguları sunuyor.
Burch, ATM üreticisi Diebold Nixdorf’un Vynamic Security Suite (VSS) olarak bilinen yaygın olarak kullanılan güvenlik çözümündeki altı güvenlik açığını gösteriyor. Şirketin tümünün yamalandığını söylediği güvenlik açıkları, saldırganlar tarafından yama uygulanmamış bir ATM’nin sabit disk şifrelemesini atlatmak ve makinenin tam kontrolünü ele geçirmek için kullanılabilir. Ve hatalar için düzeltmeler mevcut olsa da Burch, pratikte yamaların yaygın olarak dağıtılmayabileceği ve bazı ATM’leri ve nakit çekme sistemlerini potansiyel olarak savunmasız bırakabileceği konusunda uyarıyor.
Burch, WIRED’a “Vynamic Security Suite birçok şey yapıyor: uç nokta koruması, USB filtreleme, devredilmiş erişim ve çok daha fazlası var,” diyor. “Ancak yararlandığım belirli saldırı yüzeyi sabit disk şifreleme modülü. Ve altı güvenlik açığı var çünkü istismar edilecek bir yol ve dosyalar belirliyordum ve sonra bunu Diebold’a bildiriyordum, onlar da bu sorunu düzeltiyorlardı ve sonra aynı sonucu elde etmek için başka bir yol buluyordum. Bunlar nispeten basit saldırılar.”
Burch’un bulduğu güvenlik açıklarının hepsi ATM sabit diskleri için disk şifrelemesini açmaya yarayan VSS işlevselliğindedir. Burch, çoğu ATM üreticisinin bu amaçla Microsoft’un BitLlocker Windows şifrelemesine güvendiğini, ancak Diebold Nixdorf’un VSS’sinin bütünlük kontrolü çalıştırmak için üçüncü taraf entegrasyonu kullandığını söylüyor. Sistem, hem Linux hem de Windows bölümlerine sahip çift önyükleme yapılandırmasında kurulmuştur. İşletim sistemi önyüklemeden önce, Linux bölümü ATM’nin tehlikeye atılmadığını doğrulamak için bir imza bütünlük kontrolü çalıştırır ve ardından normal çalışması için Windows’a önyükleme yapar.
Burch, “Sorun şu ki, tüm bunları yapabilmek için sistemi şifresini çözüyorlar ve bu da fırsat yaratıyor,” diyor. “Sömürdüğüm temel eksiklik, Linux bölümünün şifrelenmemiş olması.”
Burch, kritik sistem doğrulama dosyalarının yerini değiştirerek kod yürütülmesini yeniden yönlendirebileceğini; veya başka bir deyişle, kendisine ATM’nin kontrolünü verebileceğini keşfetti.
Diebold Nixdorf sözcüsü Michael Jacobsen, WIRED’a Burch’un bulguları ilk olarak 2022’de kendilerine açıkladığını ve şirketin Defcon konuşması hakkında Burch ile iletişim halinde olduğunu söyledi. Şirket, Burch’un sunduğu güvenlik açıklarının hepsinin 2022’de yamalarla giderildiğini söylüyor. Ancak Burch, son birkaç yıldır güvenlik açıklarının yeni sürümleriyle şirkete geri döndüğünde, şirketin 2023’te yamalarla bulguların bazılarını gidermeye devam ettiğini anladığını belirtiyor. Ve Burch, Diebold Nixdorf’un güvenlik açıklarını Nisan ayında Linux bölümünü şifreleyen VSS sürüm 4.4 ile daha temel bir düzeyde giderdiğine inandığını ekliyor.