Відео: Chip & Pin Key Pad Tamper Detection Systems (Листопад 2024)
Хоча Target все ще тримає маму про те, як зловмисникам вдалося порушити її мережу та збільшити інформацію, що належить більш ніж 70 мільйонам покупців, ми тепер знаємо, що в атаці використовувались оперативні пам’яті, які викреслювали шкідливі програми.
"Ми не знаємо всієї міри того, що вийшло, але те, що ми знаємо, - це те, що в наших регістрах торгових точок було встановлено зловмисне програмне забезпечення. Таку кількість ми встановили", - сказав в інтерв'ю генеральний директор Target Грегг Штейнгафель CNBC обговорює нещодавні порушення. Спочатку компанія повідомила, що інформація про платіжні картки для 40 мільйонів людей, які купували в одному з її торгових точок протягом сезону свят, була поставлена під загрозу. Мишеня минулого тижня заявила, що особиста інформація для 70 мільйонів людей також була викрадена і що будь-який покупець, який потрапляв у магазини протягом усього 2013 року, ризикував.
Неназвані джерела розповіли Reuters у вихідні, що зловмисне програмне забезпечення, яке використовується в атаці, було скребком оперативної пам'яті. Шкребок оперативної пам’яті - це специфічний тип шкідливого програмного забезпечення, яке націлює інформацію, що зберігається в пам'яті, на відміну від інформації, що зберігається на жорсткому диску або передається по мережі. Незважаючи на те, що цей клас шкідливих програм не є новим, експерти з безпеки запевняють, що нещодавно спостерігається зростання кількості атак на роздрібні торговці, які використовують цю методику.
Атака пам'яті
Шкребки оперативної пам’яті дивляться всередині пам’яті комп’ютера, щоб захопити конфіденційні дані під час їх обробки. Згідно з чинними правилами стандартів безпеки платіжних карток (PCI-DSS), вся платіжна інформація повинна бути зашифрована, коли вона зберігається в системі PoS, а також під час її передачі в бек-енд-системи. Хоча зловмисники все ще можуть вкрасти дані з жорсткого диска, вони нічого не можуть зробити з цим, якщо вони зашифровані, а той факт, що дані шифруються під час подорожі по мережі, означає, що зловмисники не можуть нюхати трафік, щоб нічого не вкрасти.
Це означає, що є лише невелике вікно можливостей - миттєво, коли програмне забезпечення PoS обробляє інформацію - для зловмисників захопити дані. Програмне забезпечення повинно тимчасово розшифрувати дані, щоб побачити інформацію про транзакції, і зловмисне програмне забезпечення використовує цей момент для копіювання інформації з пам'яті.
Зростання кількості шкідливих програм, що скорочують оперативну пам'ять, може бути пов'язаний з тим, що роздрібні торговці покращуються при шифруванні конфіденційних даних. "Це гонка озброєнь. Ми піднімаємо блокпости, а зловмисники адаптуються і шукають інші способи захоплення даних", - сказав Майкл Саттон, віце-президент з досліджень безпеки компанії Zscaler.
Просто ще одне зловмисне програмне забезпечення
Важливо пам’ятати, що термінали торгових точок по суті є комп’ютерами, хоча і з периферійними пристроями, такими як зчитувачі карт та клавіатури. Вони мають операційну систему та запускають програмне забезпечення для обробки операцій з продажу. Вони підключені до мережі для передачі даних транзакцій до бек-енд-систем.
Як і будь-який інший комп'ютер, системи PoS можуть бути заражені шкідливим програмним забезпеченням. "Традиційні правила як і раніше діють", - сказав Честер Вісневський, старший радник з питань безпеки компанії "Софос". Система PoS може бути заражена, оскільки працівник використовував цей комп’ютер для переходу на веб-сайт, на якому розміщено зловмисне програмне забезпечення, або випадково відкрив зловмисне вкладення до електронного листа. Зловмисне програмне забезпечення могло використати непакетне програмне забезпечення на комп’ютері або будь-який із багатьох методів, які призводять до зараження комп'ютера.
"Чим менше пільг у магазинів на торгових терміналах, тим менше ймовірність заразитися", - сказав Вішневський. Машини, які обробляють платежі, надзвичайно чутливі і не повинні дозволяти веб-серфінгу чи встановленню несанкціонованих програм, сказав він.
Після зараження комп'ютера зловмисне програмне забезпечення шукає конкретні типи даних у пам'яті - у цьому випадку номери кредитних та дебетових карт. Коли він знаходить номер, він зберігає його в текстовому файлі, що містить перелік усіх уже зібраних даних. У якийсь момент зловмисне програмне забезпечення надсилає файл - зазвичай по мережі - на комп’ютер зловмисника.
Кожен - ціль
Хоча роздрібні торговці зараз є ціллю для розбору пам'яті зловмисного програмного забезпечення, Віснєвський заявив, що будь-яка організація, що обробляє платіжні картки, буде вразлива. Цей тип зловмисного програмного забезпечення спочатку використовувався у сферах гостинності та освіти, сказав він. Sophos відноситься до скребків оперативної пам’яті як Trojan Trajan, а інші виробники називають їх Аліною, Декстером та Вскімером.
Насправді скрепери оперативної пам’яті не характерні лише для систем PoS. Кіберзлочинці можуть упакувати зловмисне програмне забезпечення для крадіжки даних у будь-якій ситуації, коли інформація зазвичай зашифрована, сказав Саттон.
У квітні та серпні минулого року Visa опублікувала два попередження щодо безпеки, попередивши продавців про напади з використанням програмного забезпечення PoS для розбору пам'яті. "З січня 2013 року у Visa спостерігається збільшення кількості вторгнень у мережу за участю роздрібних торговців", - сказала Visa у серпні.
Не ясно, як зловмисне програмне забезпечення потрапило в мережу Target, але зрозуміло, що щось не вдалося. Зловмисне програмне забезпечення було встановлено не лише в одній системі PoS, а на багатьох комп'ютерах по країні, і "ніхто не помітив", - сказав Саттон. І навіть якщо зловмисне програмне забезпечення було занадто новим для того, щоб антивірус його виявляв, той факт, що він передає дані з мережі, мав би підняти червоні прапори, додав він.
Для індивідуального покупця використання кредитних карток насправді не є можливим. Ось чому важливо регулярно контролювати виписки та відстежувати всі операції на їхніх рахунках. "Ви повинні довіряти продавцям свої дані, але ви також можете бути пильними", - сказав Саттон.