EN 
FR 
DE 
ES 
Lo scorso aprile abbiamo annunciato l’acquisizione di Lookwise Device Manager, piattaforma modulare di cybersecurity e business unit di S21Sec.
Riconosciuta a livello mondiale come soluzione in grado di dare una risposta agli attacchi malware e hacker di ultima generazione, LDM ha ricevuto nel 2018 l’ATM Cyber Security Excellence Award durante l’ATM Customer Experience & Security Summit.
Abbiamo voluto intervistare la nostra collega Rosvanna D’Amico, Product Engineer di Auriga, per discutere dell’attuale panorama relativo alla cyber security riguardo in particolare alle banche e gli ATM.
1. Come descriveresti l’attuale scenario legato alla cybersecurity nel settore bancario e, in particolar modo, relativamente agli ATM?
Gli attacchi crescenti all’infrastruttura bancaria self-service possono essere estremamente critici e minano la fiducia nei servizi bancari digitali.
Alcune forme di attacco si palesano nel furto dei dati personali, come ad esempio dei numeri dei conti e dei codici PIN. Ciononostante, questi tipi di attacchi necessitano ancora di ulteriori sforzi per monetizzare i dati. Pertanto, un’opzione ancor più allettante per i cyber criminali è quella di ottenere i contanti direttamente dagli ATM che prendono di mira.
L’ATM jackpotting è una delle tecniche meno complicate di ATM Malware Cyber Attack, nella quale si sfruttano le porte hardware dell’ATM per indurlo a erogare contanti tramite un malware. La grande diffusione di questi attacchi è dovuta alla loro immediatezza nel raggiungere l’obiettivo.
Le istituzioni finanziarie di tutto il mondo, infatti, hanno perso ingenti somme a causa del jackpotting solo negli ultimi cinque anni.
Tra i malware utilizzati più diffusi poi vi è il Ploutous, identificato per la prima volta in un ATM Cyber Attack in Messico nel 2013. Solo da allora esso ha generato perdite per più di 450 milioni di dollari (approssimativamente 400 milioni di euro) a livello mondiale.
2. Ritieni che gli attacchi informatici contro le banche e gli atm stiano aumentando?
I cyber criminali hanno compreso che gli ATM sono spesso l’anello più debole della catena nell’infrastruttura per la sicurezza bancaria. Ciò è principalmente dovuto al fatto che le reti degli ATM sono costituite da hardware e software a volte obsoleti a causa dei costi e delle difficoltà che gli aggiornamenti comportano.
Queste dinamiche indeboliscono la protezione della rete di ATM. Molti di essi si basano ancora su Windows 7, che non riceve più aggiornamenti di sistema dalla casa madre Microsoft e di conseguenza non garantisce più la protezione verso nuove minacce.
Addirittura, si stima che all’incirca sul 40% degli ATM in tutto il mondo sia installato ancora Windows XP, un sistema operativo ancor più obsoleto, che non viene più supportato da Microsoft dal 2014, rendendo queste macchine ancora più vulnerabili.
Oltre ai punti deboli del sistema operativo, uno dei maggiori vettori degli attacchi contro gli ATM è costituito dall’XFS layer, l’interfaccia standard progettata affinché il software applicativo multivendor possa essere eseguito sugli ATM indipendentemente dall’hardware delle aziende produttrici. L’XFS layer utilizza delle API standard per comunicare con le applicazioni self-service.
I cyber criminali sfruttano quindi l’interfaccia XFS per avere accesso all’hardware dell’ATM ed in particolare al cash dispenser per avere accesso al contenuto della cassaforte, al lettore delle carte per appropriarsi dei codici identificativi, e al tastierino numerico (pinpad) con lo scopo di ottenere i codici PIN.
3. Come possono proteggersi le banche dagli attacchi informatici?
Quando si tratta di sportelli bancomat, le tecnologie di protezione dell’endpoint generico, quali le soluzioni anti-malware non sono sufficienti, poiché tali tecnologie nascono per proteggere i PC e i computer portatili. Gli ATM invece sono dispositivi critici. Non possono essere disconnessi per un determinato periodo di tempo per essere riavviati così come si fa con un dispositivo mobile.
Le reti e i sistemi degli ATM devono essere disponibili 24 ore su 24, 7 giorni su 7, per 365 giorni all’anno, quindi necessitano di una maggiore protezione e di un approccio differente.
La soluzione di Auriga, Lookwise Device Manager è stata specificatamente progettata come una soluzione di sicurezza centralizzata che protegge, monitora e controlla le reti degli ATM. È uno strumento che le istituzioni finanziarie possono utilizzare per gestire l’intera rete di ATM tramite un’unica piattaforma, prevenendo, in questa maniera, i tentativi di utilizzo di malware o l’esecuzione di attività fraudolente su ATM infetti.
4. Che dinamiche di protezione garantisce la soluzione di auriga, lookwise device manager?
LDM offre diversi livelli di protezione in un’unica piattaforma, comprendendo così tutti i tipi di attacchi informatici che possono verificarsi.
Applicazione whitelisting
Il primo livello di protezione è l’applicazione whitelisting; un livello di protezione che previene l’esecuzione di malware o software non autorizzati, definendo una whitelist di processi e applicazioni che possono essere eseguiti, controllando i parametri a livello di riga di comando per processi sensibili (interpreti o strumenti di sistema) e limitando l’accesso alle librerie critiche.
Le modalità di whitelisting non sono tutte uguali: si può disporre di modalità di whitelisting per reti generiche o per sistemi critici come gli ATM; quest’ultima si basa sulla creazione di una whitelist minima di applicazioni che possono essere eseguite per ridurre il più possibile la superficie di attacco.
Si riducono in questo modo le possibilità di attacchi al sistema, offrendo anche la possibilità di prevenire attacchi perpetrati utilizzando software legittimi: infatti autorizzare l’esecuzione di un software solo sulla base della sua legittimità non garantisce sempre la sicurezza del sistema.
Protezione integrità file di sistema
Il secondo livello di protezione è rappresentato dalla Protezione integrità file di sistema, che impedisce la manipolazione non controllata dei file critici o cartelle nel file di sistema attraverso regole di protezione di file, estensioni globali o directory.
Salvaguarda l’integrità dell’immagine del software certificato, permettendo solo ai processi autorizzati di modificare le cartelle o i file protetti.
Quando un ATM viene installato, si utilizza un file master, che non subisce alcuna modifica a meno che non sia disponibile un aggiornamento che, in ogni modo, viene fornito tramite il sistema di distribuzione del software stesso.
Un file binario non deve essere modificato per alcuna ragione, perciò LDM bloccherà qualsiasi tentativo di modificare eventuali file critici, a meno che il processo di aggiornamento del software non sia predefinito.
Protezione hardware
Infine, abbiamo il livello di protezione dell’hardware, che previene la connessione di hardware fraudolenti, blocca i dispositivi hardware al di fuori della whitelist e limita il livello d’accesso (lettura-scrittura) per i dispositivi di archiviazione (USB, CD-ROM, floppy disk, MTP).
Inoltre semplifica la configurazione utilizzando whitelist dei dispositivi locali insieme a regole generali di permesso/divieto
Cifratura completa del disco
Il quarto livello di protezione che LDM offre è rappresentato dalla cifratura completa del disco che previene l’accesso all’hard disk al di fuori del sistema operativo utilizzando una cifratura a livello di settore e codici univoci gestiti in sicurezza, permettendo l’avvio da remoto e la decifratura offline.
Salvaguarda la privacy dei dati in memoria con impatto minimo sulla performance e senza interferire con l’operatività del dispositivo.
Senza di esso i cyber criminali possono avere accesso alle informazioni contenute nel disco ed inserirci malware. Inoltre, tramite reverse engineering (cambiando ad esempio le configurazioni applicative) possono sostituire questo disco “modificato” all’interno di un altro ATM in un’altra filiale.
5. Quanto sarà importante una cybersecurity efficace in futuro e perché?
Fare affidamento su un sistema di cybersecurity efficace è ormai una delle priorità strategiche per le banche, alla luce di un’economia digitale in crescita.
Alla digitalizzazione si aggiunge l’ascesa del cloud computing, vale a dire l’offerta di servizi basati su cloud, come via per guadagnare efficienza, flessibilità e velocità di risposta alle esigenze del mercato e consentire allo stesso tempo la gestione di grandi quantità di dati.
Per questo è importante che i servizi cloud rispettino gli standard relativi alla cybersecurity che garantiscono la protezione dei dati degli utenti e dei clienti.
6. Quale consiglio relativo alla sicurezza daresti alle organizzazioni finanziarie che stanno trasferendo i loro dati verso il cloud?
Il volume di dati sta diventando sempre maggiore e più complesso. Ciò rappresenta una sfida per i responsabili del settore bancario, relativamente a come questi volumi di dati possono essere processati in maniera utile.
Tuttavia, i sistemi cloud possono offrire misure di difesa decisamente superiori ai sistemi in-house tradizionali. Con grandi piattaforme di dati, il cloud computing rende l’intero processo più semplice e più accessibile per le PMI e le grandi aziende. I servizi cloud consentono alle banche di migliorare la sicurezza dei loro dati e l’affidabilità dei loro sistemi, beneficiando di una potenza di calcolo significativamente maggiore.
