從花旗銀行入侵事件談ATM安全風險

　　根據7月初發表的美國法院文件披露，美國花旗銀行在7-Eleven商店內部的5,700多部自動提款機網路遭到了駭客入侵，並竊取帳號與PIN碼等資料，盜領了數百萬美元；對金融業與資訊安全業界而言，這應該是一件很重要的新聞，對岸的媒體也對此一事件做了不少相關報導，只可惜當時國內新聞媒體多半在為考試院與監察院提名人選爭論不休，而未對此一事件有所探討與著墨！

　　其實早在6月份的《資安人》雜誌就有篇「你使用的網路銀行安全嗎？」的專題，探討了網路銀行的安全性，在專題中也額外提到了ATM的安全性問題；此外，在6月底中華民國資訊安全學會所舉辦的一場研討會中，秘書長樊國楨博士與筆者也不約而同的向在場的相關單位拋出了ATM的安全性議題！希望能夠喚起相關單位的正視！

　　早期ATM提款機的功能較為單純，系統多為專用系統，僅提供簡單的存提款與查詢功能，加上多為文字介面傳輸，頻寬需求不大，所以採用的是X.25的專用線路，線路經過加密且具封閉性，一般人不太有機會接觸到相關網路與系統，自然也不容易破解！但現行的ATM提款機功能繁複，除了基本的提款轉帳功能外，甚至還有買賣基金、抽獎等各種功能，平日不用時還得兼任多媒體廣告平台，早期的陽春設計早已不敷使用，所以現行的ATM提款機多已改為Windows作業平台，網路連線方式也改走VPN甚至是未加密的TCP/IP連線，而問題也相對地跟著多了起來。

　　在去年8月間於美國拉斯維斯舉辦的黑帽大會上，就曾經有一群駭客嘗試針對會場的提款機進行攻擊，提款機甚至已經出現微軟作業系統畫面與一些命令列，所幸在警衛的干預下，這群駭客的攻擊行動並未完成。而這次花旗銀行ATM網路竊盜事件，推估發生在2007年10月至2008年3月；不論這2起事件之間是否有任何關聯，但可以肯定的是，駭客顯然已經掌握某種突破ATM網路的攻擊模式，這點也值得相關單位作為警惕。

　　針對這次花旗銀行事件的新聞報導並未透露出太多技術細節，網路上能找到的資訊也十分有限，所以我們也無從得知駭客究竟是如何突破花旗銀行ATM網路系統，以下筆者僅針對幾個ATM網路可能存在安全性問題作整理，希望能夠提供給相關單位作為參考：

ATM網路所存在的問題

1.實體隔離問題

　　理論上，ATM提款機網路應該要是一個十分封閉的網路環境，是要完全隔離的，但基於一些管理與維修因素，往往還是存在某些節點可能保有存取的權限，但在網路隔離部分若產生瑕疵，就有可能導致類似這次的狀況！以近年來常見實體隔離遭到突破的方式主要有USB病毒與無線網路等。至於這次的案例，是屬於上述情況或單純在實體隔離設計與管理上有盲點，就不得而知了！

　　事實上，花旗銀行目前也是將責任歸咎於擁有這些自動提款機的Cardtronics公司和操作這些機器的Fiserv公司，認為是他們在維護時未按照標準程序進行，才導致這次的入侵事件。目前Fiserv公司已否認有作業疏失，而Cardtronics公司則表示事件仍在調查中不便多作回應。

2.安全更新與安全防護問題

　　由於ATM主機現多採用Windows-based的作業系統，所以現行的病毒與攻擊程式對ATM同樣也存在著很大的威脅性！一旦內部系統遭受病毒攻擊或感染，透過內部封閉式網路蔓延到ATM主機的危險性也不可小覷！但要如何佈署封閉式網路的更新機制與安全防護！又能確保網路作業的封閉性，這部分可能要有機會實地檢視佈署架構才有可能揪出潛藏的問題點了！

　　根據TraceSecurity的研究顯示，過去5年曾經在例行的安全維護工作中，發現數千部未更新修正檔的ATM作業流程相關主機，甚至表示一般家用電腦的防駭等級都遠超過這些作業主機，顯見在封閉式環境中，許多最基本的安全性原則可能都被忽略了！在實務上，過去國內外也確實發生過ATM提款機遭到病毒感染導致當機的案例（例如Sasser病毒事件）！因此，即便是在看似封閉的網路環境，也不應該忽略了最基本的安全防護原則。

3.作業控制問題

　　ATM提款機的操作介面應該做好作業控制的限制，避免使用者可能存取到操作介面以外的功能，一旦使用者可能存取到ATM主機的其他作業功能，很可能就會造成資訊洩漏的問題！甚至可能導致原本私密的網路與作業架構曝光，讓駭客找到可能的存取或攻擊點！

　　至於還有哪些作業控制問題？過去常見到的案例大概就是螢幕控制以及錯誤控制部分吧！前者是設計上的問題，並沒有做好螢幕控制的規劃，導致使用者可以直接解除操作介面的鎖定（見圖1）！錯誤控制的部份，則是在某些錯誤訊息跳出時，會讓全螢幕的鎖定失效！當然上述錯誤的作業控制問題目前幾乎都已經不容易見到了，但是否還會有其他部分的作業控制問題，仍值得我們留意！

　　此外，由於目前美國通行的提款卡仍是一般磁卡，偽造容易，也是導致這次ATM竊盜事件損失嚴重的主要原因之一。國內方面，由於金管單位與銀行公會的決議，先前已全面將傳統磁條金融卡換發為晶片金融卡，在轉換期間雖然惹來許多非議，甚至引起官商勾結的韃伐，但以安全性的角度來看，當時的決議顯然十分具有遠見，同時也有效提供了國內金融卡使用者的安全保障！當然隨著駭客攻擊的技術不斷演進，加上許多原本封閉性的技術也逐漸地公開化，晶片金融卡的安全性也面臨了越來越多的考驗！目前在印度等部分國家，甚至已經開始採用生物辨識的ATM提款機，部分國際大廠如OKI也推出了藉由虹膜或指紋辨識的ATM提款機（見圖2），這些都是未來發展的安全強化方向，在此也提供給相關單位作為參考。

　　除了ATM系統外，晶片卡本身的安全性也是未來值得留意的安全重點，一張晶片白卡自晶圓廠出廠後，經過洗卡與perso（註）等流程，一直到銀行拿到卡片，再寫入銀行端的資訊，中間經過許多的節點，每個處理的環節可能都是透過不同的廠商，這中間的各個環節也都存在許多潛藏的風險，除了銀行端以外的單位，也可能是造成風險與威脅的來源。此外，近年來大力推廣的非接觸式晶片卡，則是另一個潛藏的安全威脅！由於RFID協議的不成熟與部分不完整的加密機制設計，使得金融交易模式雖然越來越方便，卻也面臨越來越趨複雜的安全性威脅。

　　我們期待相關單位在擴展金融交易的便利性的同時，也能夠多花點心力投入整個交易流程與系統的安全性規劃與研究，才能有效保障使用者的交易安全與信心。

註：洗卡指卡片經過初始化的流程；perso指在卡片中填入客製化個人化資訊的流程。