系统锁定沙盒/白名单可应对ATM数百万美元被盗

据PC World网站报道，近来犯罪分子们已经掌握了一种可以通过恶意程序控制ATM提款机，并从中盗取现金的新技术。迄今为止，全球范围内已经有数百万美元被窃取。这种被称为Backdoor.MSIL.Tyupkin的恶意程序，正在被犯罪分子利用来攻击ATM提款机。与其他利用软件漏洞实施远程攻击的病毒程序不同，这种病毒需要与ATM机的实体进行接触安装之后，才能发挥效应。

据透露：“安装恶意软件的罪犯，需要借助CD将病毒程序导入机器内部，然后重启机器之后才能确保ATM机处于他们的控制之下。由于植入病毒的机器允许犯罪分子使用其内部的各种软件，因此普通的杀毒软件也就对其根本不会起任何作用。这也将威胁级别提升到了一个新的高度。”

这种恶意程序最早出现于东欧地区的50多个ATM提款机，但犯罪分子已经通过VirusTotal将该文本上传到了网络，这也意味着包括美国、印度和中国等地区的银行机构也有可能成为“受害者”。研究员Vicente Diaz还表示，这些有组织的罪犯为了避免暴露目标还采取了不少反侦察的措施。比如他们通常只会在周日或者周一晚上实施盗窃。

据了解，卡巴斯基的研究员建议银行应该确保提款机实体的自身安全，比如跟更换ATM机的锁芯、安装自动报警装置等。在“治大国若烹小鲜：二级医院数据安全保护之道”一文中，我们曾经介绍过赛门铁克Critical System Protectiong安全方案，它不是通过传统的杀毒的方式，而是转换思路，通过系统锁定，借助沙盒/白名单的技术，对于应用程序和操作系统的行为进行控制，从而消除潜在的威胁。

赛门铁克的这种系统锁定的技术被应用在医疗仪器的安全保护上，可以防止信息被非法获取和利用，那么这种技术应用在ATM机上是否同样安全有效 呢？对此，记者也进行了询问，得到回答是肯定的。记者被告知，该技术首先就是应用在ATM上的技术，在实践中，被借鉴应用在医疗行业。

相关技术人员表示，所谓“系统锁定”原则上就是限定应用程序执行规定合法的操作，对于应用程序的权限进行限定，让犯罪分子没有办法通过缓冲区溢 出等安全漏洞，非法获得操作系统的权限，从而确保系统的安全。因此，针对目前出现的Backdoor.MSIL.Tyupkin恶意程序，建议相关部门应 该尽快采取措施，进行有效安全防护。