Η Target επιβεβαίωσε ότι οι επιτιθέμενοι είχαν χρησιμοποιήσει malwares σε ταμειακές μηχανές για να υποκλέψουν τα στοιχεία των πιστωτικών καρτών. Περίπου 110 εκατομμύρια προσωπικές ή τραπεζικές πληροφορίες εκλάπησαν. Τα τρωτά σημεία είναι γνωστά, αλλά η επιδιόρθωση τους είναι δαπανηρή.
Ο Gregg Steinhafel , CEO του group Target των ΗΠΑ, αποκάλυψε σε συνέντευξή του στο αμερικανικό τηλεοπτικό δίκτυο CNBC ότι οι ταμειακές μηχανές είχαν μολυνθεί από κακόβουλο λογισμικό, επιβεβαιώνοντας τις υποψίες των εμπειρογνωμόνων σε θέματα ασφάλειας μετά από μαζική παραβίαση των δεδομένων που είχε ανακοινωθεί στα μέσα Δεκεμβρίου. Ερωτηθείς σχετικά με την αιτία της διαρροής δεδομένων, ο κ. Steinhafel, ανέφερε : “Δεν μπορούμε ακόμη να εκτιμήσουμε την έκταση της, αλλά διαπιστώσαμε ότι το κακόβουλο λογισμικό έχει εγκατασταθεί στα τερματικά πληρωμών μας”.
Σε πρώτη φάση , η Target δήλωσε ότι σχεδόν 40 εκατομμύρια λογαριασμοί ενδέχεται να έχουν επηρεαστεί από την επίθεση. Όμως την Παρασκευή, ο αντιπρόσωπος της εταιρίας αποκάλυψε ότι κι άλλες πληροφορίες, όπως ονόματα, e-mail, διευθύνσεις και αριθμοί τηλεφώνων άλλων 70 εκατομμυρίων πελατών είχαν επίσης κλαπεί, συνολικά 110 εκατομμύρια προσωπικά και ευαίσθητα δεδομένα.
RAM sniffing
Ο τύπος των κακόβουλων λογισμικών όπου στόχος του ήταν τα τερματικά της εταιρίας ονομάζεται RAM Scraper, επειδή αναζητούν τα δεδομένα των συναλλαγών στη RAM του τερματικού σταθμού για να μπορέσουν να τα υποκλέψουν. Τα μηχανήματα αυτά, είναι υπολογιστές που συνδέονταν με συγκεκριμένες συσκευές, όπως οι αναγνώστες καρτών (Card readers) και πληκτρολόγια. Οι περισσότερες από αυτές τις συσκευές λειτουργούν με μια έκδοση των Windows Embedded και χρησιμοποιούν ειδικό λογισμικό. Κάθε φορά που οι πελάτες τοποθετούν την κάρτα τους σε ένα τερματικό για να πραγματοποιήσουν μια συναλλαγή, τα δεδομένα κωδικοποιούνται στη μαγνητική ταινία της πιστωτικής κάρτας – όπως τον αριθμό της κάρτας , το όνομα του κατόχου της κάρτας, ημερομηνία λήξης – μεταδίδονται με το αίτημα της συναλλαγής στην αρμόδια εφαρμογή για την πραγματοποίηση των πληρωμών και στον πάροχο επεξεργασίας πληρωμών που έχει εγγραφεί η εταιρεία.
Αυτές οι πληροφορίες κρυπτογραφούνται κατά την έξοδο τους από το τερματικό και όταν κυκλοφορούν στο τοπικό δίκτυο(εταιρικό). Αλλά σε κάποιο χρονικό σημείο είναι αποθηκευμένα σε μορφή απλού κειμένου(plain text) στη μνήμη RAM του συστήματος. Αυτή την χρονική στιγμή, τα δεδομένα μπορούν να διαβαστούν από ένα κακόβουλο λογισμικό που είναι εγκατεστημένο στον υπολογιστή. Αυτό συνέβη απ' οτι φαίνεται και στην περίπτωση του συστήματος της Target .
Γνωστές επιθέσεις
Οι επιθέσεις κατά των τερματικών των πωλήσεων δεν είναι νέο φαινόμενο. Αλλά η συχνότητά τους έχει αυξηθεί το τελευταίο έτος, καθώς και το ενδιαφέρον των εγκληματιών του κυβερνοχώρου για malware τύπου RAM Scrapers. Στις αρχές Δεκεμβρίου, δύο εταιρείες ασφάλειας, ανεξάρτητες η μια από την άλλη, είχαν αναφερθεί στις επιθέσεις malware που στοχεύουν τις συσκευές αυτές. H Target, δήλωσε ότι η κλοπή των πληροφοριών στα συστήματα τους πραγματοποιήθηκε μεταξύ 27 Νοεμβρίου και 15 Δεκεμβρίου.
Πέρυσι τον Απρίλιο και τον Αύγουστο, η Visa εξέδωσε δύο ανακοινώσεις ασφαλείας προς όλους τους εμπόρους για τις επιθέσεις κακόβουλου λογισμικού στα τερματικά. “Από τον Ιανουάριο του 2013 σημειώθηκε αύξηση στις εισβολές προς τα δίκτυα λιανικής πώλησης”, δήλωσε η Visa στο συμβουλευτικό δελτίο ασφαλείας του Αυγούστου. “Από τη στιγμή που έχει εισχωρήσει στο δίκτυο, ο εισβολέας εγκαθιστά ένα malware parser για λειτουργικό σύστημα Windows με το οποίο οι ταμειακές μηχανές λειτουργούν. Το κακόβουλο λογισμικό μπορεί να εγκατασταθεί είτε στους Back-of-the-House servers (BOH) είτε σε κάθε ταμείο για να ανακτήσει τα δεδομένα από τη μαγνητική ταινία και τη RAM”.
Για να εισέλθουν στο δίκτυο και στα ταμεία, οι χάκερ μπορούν να εκμεταλλευτούν κάποια τρωτά σημεία ασφάλειας. Αλλά μια κοινή μέθοδος είναι η εξ' αποσπάσεως υποκλοπή των αναγνωριστικών του διαχειριστή (Administrator) με την τεχνική του Brute Force. Στην πραγματικότητα, πολλοί πωλητές χρησιμοποιούν τις υπηρεσίες τρίτων εταιριών για την τεχνική υποστήριξή τους. Τις περισσότερες φορές αυτές οι εταιρείες υποστήριξης έχουν τη δυνατότητα απομακρυσμένης σύνδεσης στα δίκτυα τους και μερικές φορές χρησιμοποιούν κωδικούς πρόσβασης που είναι εύκολο να μαντέψει κανείς.
Προστασία με κρυπτογράφηση End-to-End
Στην ανακοίνωσή της η Visa συστήνει στις επιχειρήσεις να εφαρμόσουν καλύτερα μέτρα ασφαλείας για τις επιθέσεις από malware τόσο στα δίκτυα τους όσο και στα τερματικά. “Συνιστούμε τη χρήση ελέγχου ταυτότητας δύο παραγόντων για πρόσβαση στα δίκτυα και την επεξεργασία των πληρωμών“, είπε η διεθνής ένωση πιστωτικών καρτών. “Ακόμα κι αν χρησιμοποιείτε ένα εικονικό ιδιωτικό δίκτυο (VPN), είναι σημαντικό να υλοποιήσετε τον έλεγχο ταυτότητας 2 παραγόντων. Με αυτόν τον τρόπο δημιουργούμε ισχυρότερη ασπίδα ενάντια στους keyloggers ή στην χρήση ενός κλεμμένου κωδικού πρόσβασης.”
Ένα άλλο μέτρο που θα μπορούσε να αποτρέψει τις επιθέσεις τύπου RAM scraping θα ήταν η δημιουργία κρυπτογράφησης End-to-End ή Point-to-Point. Αυτό θα εξασφαλίσει ότι τα δεδομένα που έχουν καταχωρηθεί στην κάρτα πληρωμών δεν εκτίθενται ποτέ σαν απλό κείμενο (plain text) κατά τη διάρκεια της διαδικασίας πληρωμής. Αλλά η εφαρμογή αυτής της τεχνολογίας θα μπορούσε να περιλαμβάνει την αγορά νέων μηχανημάτων (τερματικά, ταμειακές, αναγνώστες καρτών κτλ), μια επένδυση που μπορεί να είναι πολύ ακριβή για ένα μεγάλο διανομέα.
Με την ανάκτηση των πληροφοριών που παρατίθενται στην μαγνητική ταινία μιας πιστωτικής κάρτας – εκείνα για το επίπεδο 1 (track1) και εκείνων που αφορούν το επίπεδο 2 (track 2) – οι κυβερνοεγκληματίες μπορούν να κλωνοποιήσουν εντελώς την κάρτα. Αλλά εξακολουθούν να χρειάζονται το PIN για να πραγματοποιήσουν ανάληψη χρημάτων από το ΑΤΜ ή να κάνουν παράνομες συναλλαγές. Σύμφωνα με την Target, στην περίπτωσή τους το ΡΙΝ κρυπτογραφείται στο επίπεδο του πληκτρολογίου με τον αλγόριθμο Triple Data Encryption Standard (Triple-DES ή 3DES), όπου χρησιμοποιείται συνήθως στον τομέα των συστημάτων πληρωμών.
Ευχαριστούμε θερμά το μέλος της SecTeam @kouzoulos.
