Информационная безопасность вендинга
Качественное развитие злонамеренного ПО (буду называть его вирусами) выражается не только в увеличении масштабов заражения, но и в расширении объектов атак. Раньше вирус назывался компьютерным, поскольку был нацелен на ПК. Сейчас объектами атак стали не только компьютеры (в том числе промышленные), планшеты и смартфоны, но и роутеры, телевизоры, системы АСУ, умного дома, в общем все, что имеет микрочип и может принести хакеру деньги или просто доставить удовольствие. На этом сайте есть статьи об атаках на АСУ ТП, когда промышленные роботы незаметно для глаза «немного» ошибаются. Об «умной розетке», в которую попал вирус и т.д. О вирусных атаках на атомные или электростанции. Раздел об информационной безопасности можно читать как занимательный военный роман. И до конца неясно, кто победит.
Хочу поделиться моим опытом работы по обеспечению информационной безопасности вендинга. Торговые автоматы ведь тоже имеют управляющую вычислительную систему, обманув которую можно подзаработать. Даже здесь на сайте встречаются сообщения о «джек-потах» от вендинга. Некоторые автоматы оснащаются сенсорными экранами, а значит компьютерами, становясь в один ряд с прочими мишенями хакеров. Вот фото и видео современного торгового автомата с большим экраном (интерактивной витриной):
http://www.igrotech.ru/product/vending/gold.htm
http://www.igrotech.ru/information/interfeis.htm#interfvitr
Для серьезного вендинга автоматы еще и объединяются в сеть, открывая хакеру дверь нараспашку. Конечно пока еще потери вендинга от вандализма, взлома и кадровых проблем значительно выше, чем от хакеров, но ведь и мобилы раньше не боялись вирусов.
Не буду «растекаться мысью по древу», поделюсь конкретным опытом.
Во-первых, вот примерный перечень уязвимостей торговых автоматов:
-он-лайн сервисы для учета и управления,
-управляющие компьютеры,
-платежная система,
-электронные и электрические схемы управления,
-гаджеты.
Первое не требует пояснений, поскольку уязвимости Инета описаны, как и борьба с ними. Если хозяин автоматов пожелал не только наблюдать за ними, но и управлять, например, изменять цену товаров, то может потерять товар или деньги. Об уязвимости компьютеров тоже помолчим - об этом сказано достаточно. Думаю, что защита от вирусов - это одна из причин, по которой разработчики вендинговых машин используют спец вычислители, а не ПК. Вот производитель кофе-машин Франке из Швейцарии заказал управляющие платы и видеомонитор аж в Японии. Небольшой тираж таких спецвычислителей делает работу хакера нерентабельной.
Платежная система - это самое заманчивое место для краж. Даже без вирусов. Купюроприемники, монетоприемники, диспенсеры и хопперы сдачи. Еще со времен широкого распространения игровых автоматов и в довирусную эпоху все эти гаджеты стали мишенью халявщиков. Удильщики вытягивали монетки за веревочку, а купюры за скотч. Всячески пытались обмануть программы распознавания номиналов купюр и монет. Производители этих гаджетов меняют прошивки редко, поэтому уязвимости распознавания жили долго. Казалось бы, импульсные купюрники, монетники и хопперы с импульсами 12 В защищены больше, чем 5 вольтовые схемы TTL, но умельцы приспособили пьезо-зажигалки и даже шокеры, чтобы высыпать из них деньги.
В последнее время вендинг следом за торговыми центрами стал использовать оплату картами (эквайринг), чем поставил себя в один ряд с банкоматами. А каналы VPN запретили. И последняя фенечка - бесконтактные карты и NFC смартфоны. Видел в Инете, да и на этом сайте, как такие карты считывают и клонируют зловредные мошенники с помощью нехитрых приспособлений.
В этом же ряду хочу упомянуть о кассовых аппаратах. Мало того, что государство дает заработать всяческим околопроцессинговым структурам, так еще и открывает дополнительный канал в Инете. И не только от вендинг-машины до ФНС, но и в «облачных кассах». Так и вижу склонившихся над клавиатурой хакеров, готовящих нам всем сюрпризы в этих облаках.
И какой вывод? Да почти ничего нового. Нужно только помнить, что вендинг, в отличие от сайтов, онлайн игр, корпоративных сетей и пр. может быть менее связан с компьютером, а значит и с вирусами. Понизив роль компьютера в автомате, вы снижаете и его вирусную уязвимость. Ну и, выбирая автомат, поинтересуйтесь на сайте разработчика, как он защитит вас от вирусов. Если на сайте есть раздел об информационной безопасности.