O włamaniach do bankomatów słyszeliśmy już nie raz – wybuchy, nakładki, malware, incydentów nie brakowało. Z atakami na bitomaty, czyli „bankomaty do kryptowalut”, spotykamy się dużo rzadziej – ale gdy już o nich słychać, to naprawdę z przytupem.
Serwis BleepingComputer opisał ciekawy przypadek ataku na bitomaty jednego z dużych producentów tego sprzętu (i oprogramowania). Jak się okazuje, klienci firmy General Bytes, którzy kupili bitomaty tej firmy i używali jej oprogramowania, zostali okradzeni w niezwykle trywialny sposób. Szczegóły ataku opisuje alert w serwisie producenta, a my się nad tym opisem trochę popastwimy.
Jak doszło do ataku
Jak zhakować bitomat? Pewnie ktoś kupił używaną maszynę, przeprowadził proces inżynierii wstecznej oprogramowania, znalazł podatności i przejął nad urządzeniem kontrolę. Brzmi poważnie, prawda? Gdy jednak spojrzymy na proces „hakowania”, to okazuje się, że przy odrobinie wnikliwości, determinacji i złej woli taki atak mógł przeprowadzić przeciętny czytelnik (lub czytelniczka) naszego bloga. Dlaczego? Bo podatności były tak trywialne, że aż można odczuwać fizyczny ból, czytając ich opis.
Błąd pierwszy
Zacznijmy od tego, że atak przeprowadzono zdalnie. To oznacza, że interfejs zarządzający bitomatów był dostępny zdalnie dla nieograniczonej grupy użytkowników internetu. Wyśmienity pomysł, milordzie. Producenci modemów już się nauczyli, by domyślnie dostęp zdalny do interfejsu zarządzającego był niedostępny poza siecią lokalną – najwyraźniej ten etap edukacji jest jeszcze przed producentami maszyn przelewających pieniądze. Atakujący znalazł adresy IP bitomatów, skanując sieć jednej z hostowni (rekomendowanej do hostowania aplikacji tych maszyn) lub cały internet przy okazji (dzisiaj to niezbyt skomplikowane). Usługa administracyjna była dostępna na porcie 7777 (dobre, głębokie ukrycie) lub 443 i zapewne witała określonym banerem.
Błąd drugi
Znalezienie interfejsu administracyjnego bitomatu to krok pierwszy, ale niewystarczający. Atakujący odkrył jednak, że w serwerze po procesie instalacyjnym pozostał… skrypt instalacyjny umożliwiający (nadal!) utworzenie konta administratora. Halo, który to rok? Błędy tej kategorii to chyba raczej spotykano ponad 10 lat temu. Najwyraźniej jednak każda technologia musi niezależnie przejść swój proces dojrzewania. W normalnych systemach skrypty instalacyjne są automatycznie usuwane po zakończeniu procesu instalacji lub ich ponowne uruchomienie wymaga podania danych administratora – jednak w systemie CAS (Crypto Application Server) producenta bitomatów ponowne wywołanie skryptu czyniło z użytkownika administratora systemu.
Błąd trzeci
Jak myślicie, jak zabezpieczono w systemie możliwość zmiany najważniejszych parametrów, czyli adresów portfeli kryptowalutowych, na które trafiały środki wpłacane przez użytkowników bitomatów? Może dwuskładnikowe uwierzytelnienie? Może alert na e-mail o konieczności potwierdzenia zmiany? Ale po co tyle ceregieli, administrator przecież wie, co robi… Wystarczyło już zatem tylko zalogować się na nowe konto administratora i zmodyfikować adresy portfeli, by środki trafiały do złodziei – włamywaczy. Trudne? Niespecjalnie.
Podsumowanie
Producent oprogramowania i sprzętu w swoim alercie podkreśla, że napastnik nie dostał się do systemu operacyjnego, nie dostał się do systemu plików, nie dostał się do bazy danych, nie dostał się do haseł, kluczy prywatnych czy kluczy API. My możemy dodać od siebie, że nie dostał się też do serwerowni ani nie zagrał na bitomacie w Dooma – no bo po co, skoro już mógł kraść środki użytkowników?
Mamy nadzieję, że sektor producentów bitomatów przerobi podstawowe lekcje bezpieczeństwa w przyspieszonym tempie i kolejne wersje oprogramowania będą lepiej zabezpieczone, a interfejsy administracyjne lepiej schowane.
PS 1. Zamiast rekomendować VPN-a jako bezpieczną metodę dostępu do interfejsu administracyjnego, producent zaleca ustawienie zaufanych adresów IP na firewallu. Lepsze to niż nic, ale widać, że jeszcze sporo nauki przed tym sektorem rynku.
PS 2. A skoro już tu jesteście, to słuchacie mojego nowego podcastu? :)
Komentarze
Myślę że taki zamysł był od początku. Okazuje się że nie chodziło o sama sieć bitomatow ale raczej dostęp do kont na tych bitoamtach.
Bywa i tak:)
Przeczytane glosem Adama. W koncu jakis art po paru miesiacach, jednak nie samymi podcastami z3s zyje, ciesze sie.
Czy producenci bitomatów nie przechwalają się jakimiś audytami, tak jak producenci portfeli sprzętowych? Ogólnie to straszne to.