ОХОТА НА БАНКОМАТЫ

Каролик Андрей (andrusha@sl.ru)

Спецвыпуск Xakep, номер #036, стр. 036-018-1

По зубам ли тебе защита

Ну кто не пользовался банкоматом. Подошел, сунул, получил. Все настолько просто, что даже ребенку понятно. Однако будоражит вопрос, а можно ли железную машину обмануть. Смотришь «Терминатора» и кажется, что все элементарно. Так ли это на самом деле?

Оказывается, все не так просто. Умные дяди постарались защитить ящик с деньгами от посягательств. В итоге взламывать защиту себе дороже. И тут вундеркинды не растерялись, сообразив, что можно непосредственно подглядеть пин-код, сделав потом муляж карточки. С внедрением визуальной защиты и это стало далеко небезопасным. Я решил выяснить, как же устроена защита банкоматов, что называется, из первых рук.

ВИЗУАЛЬНАЯ ЗАЩИТА

Визуальная защита банкоматов, по словам начальника отдела продаж компании ISS (www.iss.ru), Менделева Алексея Николаевича, сейчас наиболее актуальна и востребована. Раньше этому вопросу уделяли гораздо меньше внимания. Во-первых, почти все банковские сети были корпоративными (доступ был строго ограничен) или хорошо охранялись. Поэтому необходимость в дополнительном дистанционном наблюдении автоматически отпадала. Во-вторых, используемый протокол передачи данных Х.25 - очень "узкий", максимальная скорость передачи данных не более 8 Кбит. Для передачи текстовой информации этого вполне хватало (текстовое сообщение при транзакциях обычно не превышает 300-400 знаков), а вот передавать видео было просто нереально. Мало того, что видео "не пролезет" само, так еще и забьет передаваемую параллельно финансовую информацию.

С развитием публичных сетей и появлением множества неохраняемых банкоматов на улицах проблема визуальной защиты стала более актуальной. Частыми были не столько попытки взлома, сколько вандализм и желание вывести девайс из строя без всякого смысла. Сперва ограничились только датчиками: на удар и температурный. Первый, соответственно, срабатывал при значительных вибрациях, а второй - на повышение температуры. Сам банкомат не вибрирует по определению :), поэтому срабатывание датчика на удар свидетельствовало об откровенном вмешательстве извне. Поступал сигнал от датчика, выезжала оперативная группа, а разбирались уже на месте. Температурный датчик страховал на случай пожара. Тем более что банкомат - это, по сути, большой сейф, который плохо вентилируется, чтобы ограничиться от внешних атмосферных воздействий (считай, как консервная банка).

Дополнительно ставятся специфические датчики. К примеру, есть понятие "открытие сейфа под принуждением", когда охранник открывает сейф банкомата под дулом пистолета. Причем в этом случае не спасет и дистанционное визуальное наблюдение, если грабитель угрожает пистолетом из-за угла. Тут и приходит на помощь незаметный, но эффективный датчик, оповещающий об открытии сейфа. Если подтверждение об открытии от охранника не поступает, принимаются меры.

Но выезжать на любой сильный пинок по банкомату - напряжно, а ставить к каждому банкомату по охраннику - не выход. Тогда всерьез задумались о дистанционном визуальном наблюдении. Плюс были нередки случаи, когда сынишка тырил у папы карточку, топал к банкомату и снимал наличность. Система никакого криминала не отслеживала, так как пин-код введен, деньги сняты, все в норме. Потом шалопай аккуратно подкладывал карточку обратно, как будто все так и было :). Папа, спустя какое-то время, обнаруживает убыток на счету и заявляет, что деньги не снимал. В случае изготовления и использования муляжа чужой карточки ситуация полностью аналогична. Деньги снимаются корректно, но не владельцем :). Наличие видеоархива позволило разрешать подобные спорные ситуации. Было достаточно связать во времени архив по транзакциям с архивом видео, чтобы понять, кто именно снял или положил деньги.