هناك تقليد عريق في مؤتمر ديفكون السنوي للأمن في لاس فيجاس لاختراق أجهزة الصراف الآلي. فتحها باستخدام تقنيات كسر الخزائن، وتزويرها لسرقة البيانات الشخصية للمستخدمين وأرقام التعريف الشخصية، وصياغة وتحسين برامج خبيثة لأجهزة الصراف الآلي، وبالطبع اختراقها لسرقة كل أموالهم. استهدفت العديد من هذه المشاريع ما يسمى بأجهزة الصراف الآلي للبيع بالتجزئة، وهي أجهزة قائمة بذاتها مثل تلك التي تجدها في محطة وقود أو بار. ولكن يوم الجمعة، قدم الباحث المستقل مات بيرش نتائج تتعلق بأجهزة الصراف الآلي “المالية” أو “المؤسسية” المستخدمة في البنوك وغيرها من المؤسسات الكبيرة.
ويستعرض بيرش ستة ثغرات أمنية في حل الأمن واسع الانتشار الذي تنتجه شركة Diebold Nixdorf، والذي يُعرف باسم Vynamic Security Suite (VSS). وتقول الشركة إن هذه الثغرات الأمنية تم إصلاحها جميعها، ويمكن للمهاجمين استغلالها لتجاوز تشفير القرص الصلب لجهاز الصراف الآلي غير المصحح والسيطرة الكاملة على الجهاز. ورغم وجود إصلاحات للأخطاء، يحذر بيرش من أنه في الممارسة العملية، قد لا يتم نشر التصحيحات على نطاق واسع، مما قد يؤدي إلى تعرض بعض أجهزة الصراف الآلي وأنظمة صرف النقود للخطر.
يقول بيرش لمجلة WIRED: “يقوم برنامج Vynamic Security Suite بالعديد من الأشياء، فهو يوفر الحماية لنقاط النهاية، وتصفية USB، والوصول المفوض، وغير ذلك الكثير. لكن سطح الهجوم المحدد الذي أستغله هو وحدة تشفير القرص الصلب. وهناك ست نقاط ضعف لأنني سأحدد مسارًا وملفات لاستغلالها، ثم أبلغ شركة Diebold، التي ستقوم بإصلاح هذه المشكلة، ثم سأجد طريقة أخرى لتحقيق نفس النتيجة. إنها هجمات بسيطة نسبيًا”.
إن الثغرات الأمنية التي اكتشفها بيرش تتعلق بوظيفة VSS لتشغيل تشفير القرص لمحركات الأقراص الصلبة لآلات الصراف الآلي. ويقول بيرش إن معظم مصنعي آلات الصراف الآلي يعتمدون على تشفير Windows BitLlocker من Microsoft لهذا الغرض، ولكن VSS من Diebold Nixdorf يستخدم تكاملاً مع جهة خارجية لتشغيل فحص السلامة. يتم إعداد النظام في تكوين تمهيد مزدوج يحتوي على أقسام Linux وWindows. قبل تشغيل نظام التشغيل، يقوم قسم Linux بتشغيل فحص سلامة التوقيع للتحقق من عدم تعرض ATM للخطر، ثم يقوم بتشغيله في Windows للعمل بشكل طبيعي.
يقول بيرش: “المشكلة هي أنه من أجل القيام بكل ذلك، فإنهم يقومون بفك تشفير النظام، وهو ما يفتح الفرصة. إن العيب الأساسي الذي أستغله هو أن قسم لينكس لم يكن مشفرًا”.
اكتشف بيرش أنه يمكنه التلاعب بموقع ملفات التحقق الهامة للنظام لإعادة توجيه تنفيذ التعليمات البرمجية؛ أو بعبارة أخرى، منح نفسه السيطرة على ماكينة الصراف الآلي.
يقول مايكل جاكوبسن، المتحدث باسم شركة Diebold Nixdorf، لـ WIRED إن Burch كشف لهم عن النتائج لأول مرة في عام 2022 وأن الشركة كانت على اتصال بـ Burch بشأن حديثه في Defcon. تقول الشركة إن الثغرات الأمنية التي يعرضها Burch تم معالجتها جميعًا بتصحيحات في عام 2022. ومع ذلك، يلاحظ Burch أنه عندما عاد إلى الشركة بإصدارات جديدة من الثغرات الأمنية على مدار العامين الماضيين، فإن فهمه هو أن الشركة استمرت في معالجة بعض النتائج بتصحيحات في عام 2023. ويضيف Burch أنه يعتقد أن Diebold Nixdorf عالجت الثغرات الأمنية على مستوى أكثر جوهرية في أبريل باستخدام إصدار VSS 4.4 الذي يشفر قسم Linux.