Kaspersky Embedded Systems Security

Kaspersky Embedded Systems Security — решение для защиты банкоматов, платежных терминалов и других встроенных систем.

2017

Выпуск обновленной версии с обеспечением целостности файлов и защиты памяти процесса

27 июля «Лаборатория Касперского» представила обновленную версию решения Kaspersky Embedded Systems Security для защиты банкоматов, POS-терминалов и терминалов самообслуживания. Новые функции помогут компаниям соблюдать требования регулирующих органов и отражать наиболее сложные атаки, в том числе с участием инсайдеров.

В связи с усложнением атак на финансовые организации в целом и на банкоматы в отдельности «Лаборатория Касперского» расширила возможности Kaspersky Embedded Systems Security. Так, в ответ на распространение бесфайловых зловредов, которые «живут» в памяти устройства и полностью удаляются при его перезагрузке, в обновленном решении появилась функция защиты памяти процесса. Благодаря этому специалисты по информационной безопасности смогут исключить запуск в памяти операционной системы банкомата или POS-терминала вредоносного ПО, в том числе вирусов-шифровальщиков.

В связи с усложнением атак на финансовые организации в целом и на банкоматы в частности «Лаборатория Касперского» расширила возможности Kaspersky Embedded Systems Security. Фото: www.plusworld.ru

Помимо этого, в Kaspersky Embedded Systems Security появилась функция мониторинга целостности файлов, которая отслеживает изменения в них, помогая своевременно распознавать уязвимости или заражения. Возможность анализа журналов событий Windows позволяет выявлять аномальную активность. А интеграция решения с SIEM-системами способствует агрегации всех данных о событиях в ИТ-инфраструктуре в рамках единого корпоративного центра управления информационной безопасностью.

В целом же, по словам разработчиков, все нововведения в совокупности с уже существующими функциями Kaspersky Embedded Systems Security делают инфраструктуру более прозрачной — любые попытки вмешательства в работу устройств будут оперативно выявлены. Этому, в частности, будут способствовать и функция «Запрет по умолчанию», разрешающая исполнение лишь заранее авторизованных процессов, и контроль запуска программ, и мониторинг подключаемых устройств, и централизованное управление сетевым экраном.

В ближайшее время обеспечение безопасности встраиваемых систем станет одной из приоритетных задач для всех компаний, особенно тех, которые работают в финансовом секторе. Злоумышленники все чаще атакуют банкоматы и POS-терминалы, поскольку до настоящего времени их защите уделялось несравненно меньше внимания, чем корпоративным сетям. Теперь же все понимают, что правила игры изменились: киберограбления уже не раз совершались через банкоматы, а регуляторы начинают ужесточать требования к защите подобных устройств, — рассказывает Дмитрий Звегинец, руководитель направления защиты банкоматов и точек продаж «Лаборатории Касперского»

Обнаружена опасная уязвимость, позволяющая хакерам получить все деньги из банкомата

В июле 2017 года компания Positive Technologies сообщила, что ее эксперт Георгий Зайцев обнаружил уязвимость в компоненте Application Control, входящем в состав специализированной защиты для встроенных систем Kaspersky Embedded Systems Security версий 1.1 и 1.2.

Ошибка была найдена в ходе аудита защищенности банкомата, на котором был установлен этот программный продукт. Эксплуатация обнаруженной уязвимости потенциально позволяла злоумышленнику в конечном счете осуществить установку неизвестного ПО на банкомат, а затем ― развить атаку вплоть до снятия всех денег из устройства, говорят в Positive Technologies.

В «Лаборатории Касперского» благодарны Positive Technologies за то, что она сообщила разработчику об обнаруженных уязвимостях.

В частности, злоумышленник имел возможность загрузить сервис Kaspersky Embedded Systems Security до такого состояния, что он оказывался не в состоянии в отведенное время обрабатывать запросы на проверку запуска файлов. Это, в свою очередь, позволяло атакующему запускать любые приложения не из белого списка. Таким образом злоумышленник получал возможность запускать на банкомате .exe-файлы (например, с флешки или по сети) для повышения своих привилегий в системе, ее заражения или просто для снятия всех имеющихся в устройстве денег.

Принцип белого списка разрешает запуск на устройстве только доверенных программ. Уязвимость в Application Control открывала два пути для обхода этого ограничения и запуска нужного злоумышленнику файла, ― поясняет Георгий Зайцев. ― В первом случае в конец исполняемого файла злоумышленник мог дописать большое количество любых ничего не значащих данных. После нужно было дважды запустить выполнение файла. При первом запуске происходит вычисление хеш-суммы файла, то есть его идентификатора: на его основе должно приниматься решение о разрешении или запрете запуска. При достаточном размере файла этот процесс займет больше времени, чем отведено на проверку. И в результате по истечении выделенного срока файл будет исполнен.

Поскольку Kaspersky Embedded Systems Security позволяет сохранять результаты, для того чтобы избежать пересчета хеш-суммы при последующих запусках, этот метод сработает только при первом запуске файла, говорят в компании.

Второй способ позволял обойти и это ограничение и заключался в одновременном запуске большого количества экземпляров приложения. Это также приводило, грубо говоря, к «зависанию» приложения и, как результат, — к запуску файла не из белого списка, ― отметил Георгий Зайцев.

В Positive Technologies сообщили также, что «Лаборатория Касперского» уже выпустила патч для устранения найденной уязвимости в версиях решения 1.1 и 1.2. В этом же патче была исправлена еще одна найденная экспертами Positive Technologies уязвимость, позволяющая отключать функциональность Application Control путем отправки специального запроса к драйверу klif.sys. В новой версии Kaspersky Embedded Systems Security 2.0 данные уязвимости отсутствуют.Догнать и перегнать: Российские ВКС прирастают новыми функциями 6.9 т

В «Лаборатории Касперского» заявили TAdviser, что уязвимости, о которых сообщает Positive Technologies, не позволяли напрямую снимать деньги из банкоматов. Для того, чтобы атака привела к негативным последствиям, должны были бы сработать сразу несколько факторов: так, прежде чем использовать уязвимости, атакующий должен был бы найти способ заразить систему, обойдя защитные компоненты решения, и запустить внутри ОС вредоносное ПО, объяснили в компании.

Последний пакет обновлений, выпущенный 23 июня 2017 г., защищает пользователей Kaspersky Embedded Systems Security от тех уязвимостей, о которых сообщает Positive Technologies, добавили в «Лаборатории Касперского».

Безопасность пользователей – безусловный приоритет для нас, и мы делаем всё возможное, чтобы защитить то, что им дорого. Мы благодарны компании Positive Technologies за то, что она сообщила нам об обнаруженных уязвимостях. «Лаборатория Касперского» понимает, насколько полезны и ценны сторонние исследования продуктов компании на предмет наличия в них уязвимостей – у нас даже есть специальная программа bug bounty, предусматривающая вознаграждение экспертов, которые сообщают нам об имеющихся программных багах. Ведь в конце концов всё это помогает совершенствовать наши продукты, - говорят в компании.

В компании не уточнили TAdviser, в каком количестве банкоматов и каких именно банков установлено решение Kaspersky Embedded Systems Security. В Positive Technology тоже не рассказали, на банкомате какого банка с этим ПО проводился аудит.

По информации из открытых источников, Kaspersky Embedded Systems Security используют, например, банкоматы банка «Кубань Кредит». В конце 2017 года запрос предложений на поставку этого ПО на закрытой площадке также проводил еще один банк, название которого не указано. В последнем случае банку требовались 3,5 тыс. лицензий Kaspersky Embedded Systems Security для защиты банкоматов.

2016: Премьера решения

В мае 2016 года «Лаборатория Касперского» выпустила решение для защиты банкоматов, POS-терминалов и терминалов самообслуживания – Kaspersky Embedded Systems Security.

В решении «Лаборатории Касперского» реализованы технологии, позволяющие бороться с наиболее распространенными способами атак на эти виды устройств. Благодаря режиму «Запрет по умолчанию» в системе исполняются только те файлы, драйверы и библиотеки, которые явно разрешены администратором. Это дает возможность защитить банкоматы и платежные терминалы от сложных целенаправленных угроз, таких как Tyupkin и Skimer, на уровне конечных устройств.

С помощью режима «Контроль устройств» — блокируются попытки физического подключения неавторизованных USB-накопителей к этим видам машин. Таким образом закрывается одна из главных уязвимостей, регулярно используемых киберпреступниками для получения доступа к системе.

Продукт полностью совместим со всеми актуальными версиями Windows, а также Windows XP Embedded, Windows Embedded 8.0 Standard, а также с Windows 10 IoT. Системные требования минимальны — от 256 Мб оперативной памяти и 50 Мб места на диске.

Решением можно управлять через единую централизованную консоль администрирования Kaspersky Security Center. Продукт интегрирован с облачным сервисом Kaspersky Security Network (KSN), что позволяет получать аналитические данные об угрозах в режиме реального времени и предотвращать атаки эксплойтов нулевого дня. Также он выполняет требования стандарта безопасности данных индустрии платежных карт (PCI DSS), согласно которому системы, работающие с банковскими картами, должны быть снабжены регулярно обновляемым антивирусом.

Продукт отличается от Endpoint Security прежде всего тем, что антивирусный модуль является опциональным (можно не устанавливать), а основной функционал - это "белые списки" и запрет по-умолчанию (Default Deny). Продукт разработан в соотвествие с требованиями PCI DSS, малотребователен к ресурсам и поддерживает основные операционные системы, используемые во встраиваемых устройствах:

• Windows XP Embedded
• Windows Embedded Standard 2009
• Windows XP Professional
• Windows Embedded POSReady 7
• Windows Embedded Standard 7
• Windows Embedded Standard 8
• Windows 10 IoT Enterprise