ATM (Banking) Penetration Testing [en - tr]

[tr]

ATM’lerin çoğu Windows XP ve 7’de çalışır. Tek tek ATM’leri onarmak oldukça karmaşık bir işlemdir. Windows XP artık Microsoft tarafından desteklenmediğinden birçok ATM satıcısı kötü amaçlı yazılım tabanlı saldırılar ve işletim sistemi düzeyindeki güvenlik açıkları gibi ATM saldırılarıyla ilişkili tehditleri azaltmak için güvenlik çözümleri kullanır.

  1. Pentest’te bir ATM’deki ağ düzeyinde güvenlik açıkları kontrol edilir. ATM, destek sunucusuyla iletişim kuruyorsa, bir ağın parçası olmalıdır. ATM’nin IP adresini alarak ağ içerisinde pentest yapılabilir. En iyi ihtimalle bankanın ağından başka bir ağda bağlı olarak,ATM bankanın ortak ağından ayrılmıştır.Bu nedenle saldırgan ATM’nin IP’sini öğrenebilmesi ve saldırı gerçekleştirebilmesi için ATM ile aynı ağda olması gerekir.
    ATM’nin bulunduğu ağa girdikten sonra, Network testi başlatılarak açık portlarını, gerçekleştirilen hizmetleri ve gerçekleştirilen hizmetlerle ilgili güvenlik açıklarını tespit edilebilir.
  2. Konfigürasyon kontrolü; işletim sistemi güvenliği ile ilgilidir. Çoğu ATM, Windows işletim sistemi çalıştırır. Saldırganın saldırı menzilini azaltmak için işletim sisteminde güvenlik açıkları bulunmamalı ve çok fazla seçeneğe sahip olmamalıdır. ATM işletim sistemi yapılandırma kontrolünü gerçekleştirirken göz önünde bulundurabileceğimiz alanlardan bazıları şunlardır:

*Düzeltmeler ve güncellemeler: En son işletim sistemi ve güvenlik güncellemeleriyle ilgili kontroller.


*Dosya sistemi güvenliği: Kritik klasörlere ve önemli sistem dosyalarına erişimle ilgili kontroller.


*Sistem erişimi ve kimlik doğrulama: Parola ve hesap kilitleme politikası, kullanıcı hakları politikası vb. ile ilgili kontroller.


*Kontrol ve kayıt: ATM’nin işleyişi ile ilgili kontroller, uygulama ve güvenlik logları, kontrol politikası, olay loglarındaki lisans vb.


*Hesap Konfigürasyonu: Yönetim ekibinden kullanıcılar, varsayılan kullanıcıların varlığı, ziyaretçi hesabı, şifre ve süre sonu gereksinimi ile ilgili kontroller.


*Uygulama yapılandırma dosyalarındaki hassas bilgiler, kayıt defteri kimlik bilgileri, hassas kodla kodlanmış bilgiler v.b.


*Sunucuya giden trafiği kontrol etme işlemi ve parametreleri değiştirmeye / ihlal etmeye çalışın veya uygulama ile sunucu arasında geçen hassas bilgileri arama.


*Uygulamanın ve veritabanının düz metin protokolünde iletişim kurup kurmadığını kontrol etmek (şifrelenmemiş dosyalar).


*Tersine Mühendislik koruması,


*ATM uygulamasında yürütülen haklar,


*Uygulama ile ilgili klasörlere erişin,


*Uygulama, pinsiz veya eski pinli işlem yapılmasına olanak sağlar mi?


*Uygulama, yürütme sırasında işletim sistemine erişime izin verir mi?


*Arka uç donanımıyla iletişim nasıl?

Okuduğunuz için teşekkürler @OffensiveSecurity.org

[en]

Most ATMs run on Windows XP and 7. Repairing individual ATMs is a rather complicated process. Since Windows XP is no longer supported by Microsoft, many ATM vendors use security solutions to mitigate threats associated with ATM attacks, such as malware-based attacks and operating system-level vulnerabilities.

  1. Pentest checks for network-level vulnerabilities in an ATM. If the ATM is communicating with the support server, it must be part of a network. Pentesting can be done within the network by obtaining the IP address of the ATM. The ATM is disconnected from the bank’s public network, at best connected to a network other than the bank’s network.
    Therefore, the attacker must be on the same network as the ATM in order to learn the ATM’s IP and perform an attack.
    After entering the network where the ATM is located, Network test can be started to detect open ports, services performed and security vulnerabilities related to services performed.
  2. Configuration check; It’s about operating system security. Most ATMs run Windows operating systems. In order to reduce the attacker’s attack range, the operating system should not have vulnerabilities and should not have too many options. Some of the areas we may consider when performing an ATM operating system configuration check are:

*Fixes and updates: Checks for the latest operating system and security updates.


*File system security: Controls on accessing critical folders and important system files.


*System access and authentication: Password and account lockout policy, user rights policy, etc. related controls.


*Control and recording: Controls related to the operation of the ATM, application and security logs, control policy, license in event logs, etc.


*Account Configuration: Controls regarding users from the administration team, existence of default users, visitor account, password and expiration requirement.

*Sensitive information in application configuration files, registry credentials, sensitive code encoded information, etc.


*The process of controlling the traffic to the server and try to change / violate the parameters or search for sensitive information passing between the application and the server.


*Checking whether the application and database are communicating in plain text protocol (unencrypted files).


*Reverse Engineering protection,


*Rights executed in ATM application,


*Access application-related folders,


*Does the application allow operations with or without pins?


*Does the application allow access to the operating system during execution?


*How is the communication with the backend hardware?

Thanks for reading @OffensiveSecurity.org


atm , atm penetration testing , atm pentest , atm security , bank pentest , cyber security
Bu yazıyı beğendin mi ?0000

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir