Computervirus vom Typ POS
 Computervirus vom Typ POS |
Computervirus vom Typ POS
Was sind POS-Malware und warum verursachen sie Millionenschäden. Vor weniger als einem Monat meldeten Anbieter von Sicherheitslösungen ein weiteres Malware-Programm für Zahlungsterminals namens Backoff. Während der Schädling selbst eine ausreichende Bedrohung darstellt, um Angst zu provozieren
Vor weniger als einem Monat meldeten Anbieter von Sicherheitslösungen ein weiteres Malware-Programm für Zahlungsterminals namens Backoff. Während selbst вредонос ist eine ausreichende Bedrohung, um den Alarm auslösen US-CERT (d.h. alle sehr ernsthaft), bösartige Software für bezahlterminals im Allgemeinen sind viel größer und fest etabliert Problem, das sollte auch nicht als nur ein paar einzelne Vorfälle.
Vor den massiven Hacks der Einzelhandelsketten Target und Neiman Marcus im letzten Jahr wurde das Malware-Problem für Zahlungsterminals nicht so sehr ignoriert, wie es die Öffentlichkeit sicherlich wenig beschäftigt hat, obwohl PoS-Malware zumindest seit 2008 im Wesentlichen verschiedene Unternehmen terrorisiert hat. Jetzt hat die Infektion von Handelsterminals bereits das «industrielle» Niveau erreicht: Cyberkriminelle haben nach einem Sprungbrett für den Angriff gesucht, der das Geld anderer Leute am nächsten bringt, und haben es gefunden.
Also, mit was haben wir es zu tun? Was sind PoS-Schädlinge? In den meisten Fällen oder vielleicht sogar in allen von ihnen ist die Hauptfunktion solcher Malware «RAM-Schaben", dh das Scannen des Terminalspeichers nach Daten wie Kartennummer usw., bevor sie auf dem Gerät oder Server verschlüsselt werden. Leider gibt es ein Fenster der Möglichkeiten für einen solchen Datendiebstahl. Bis die Kartendaten zu den Zahlungsservern gelangen, sind die Informationen bereits verschlüsselt, so Brian Donohue, der in diesem Jahr das Thema Malware für Handelsterminals ausführlich untersucht hat. Es gibt jedoch einen kurzen Zeitraum, in dem die Informationen im Klartext entschlüsselt werden müssen, um die Zahlung zu autorisieren (in Systemen ohne Zwei-Punkt-Verschlüsselung). Und zu diesem Zeitpunkt speichert die Registrierkasse selbst oder der benachbarte Server (je nach System) die Zahlungsdaten im Klartext in ihrem RAM (RAM). Hier erscheinen PoS-Schädlinge wie BlackPOS, Backoff und andere auf der Bühne.
RAM-Schaber werden normalerweise in laufende Prozesse eingeführt und können vertrauliche Daten sofort aus dem Speicher abfangen. Es gibt natürlich technische Schwierigkeiten. Zum Beispiel werden ungefilterte Daten, die aus überfüllten RAM-Dumps «geschabt» werden, in Gigabyte gemessen. Und das Verschieben solcher Mengen «still" (dh ohne «Alarm» wegen des abnormen Verkehrs zu erhöhen, der die Systemadministratoren alarmieren sollte) scheint eine unmögliche Aufgabe zu sein. Je weniger Daten kompromittiert werden, desto geringer ist das Risiko, dass Malware erkannt und entfernt wird. Die Malware scheint genau das zu filtern, was Kriminelle am meisten interessieren – die Daten der ersten und zweiten Spur, die auf dem Magnetstreifen der Karte aufgezeichnet wurden. Die erste Spur zeigt Informationen an, die mit dem tatsächlichen Konto verknüpft sind; Sie enthält Elemente wie den Namen des Karteninhabers sowie die Kontonummer. Die Daten des zweiten Tracks enthalten die Kartennummer und das Ablaufdatum der Karte.
Diese Daten reichen für das Ferneinkaufen aus, es sei denn, die Karte erfordert eine zusätzliche Autorisierung des Inhabers, z. B. die Eingabe einer PIN für jeden Kauf. Die neuen Chip- und PIN-Karten sind resistenter gegen Missbrauch durch PoS-Malware, sind aber auch anfällig.
Brian Donohue stellt fest, dass ein enormer Hack von Target nur möglich war, wenn die Angreifer speziell auf dem Server der Zahlungsverarbeitungsinfrastruktur von Target eingegraben wurden.
«Im Fall von Target haben die Angreifer ihre PoS-Malware wahrscheinlich von einem zentralen und verbundenen Server oder einer Maschine auf Handelsterminals oder Server übertragen, auf denen der Autorisierungsprozess stattfand. Andernfalls müssten sie ihren RAM-Scraper in jedem einzelnen Terminal in jedem Target—Geschäft installieren, was zumindest sehr, sehr unwahrscheinlich ist», schreibt Donohue.
Zahlungsterminals bleiben jedoch aus einer Reihe von technischen Gründen eine der anfälligsten Stellen in der Infrastruktur von Einzelhändlern. Zuallererst sind PoS-Geräte weder in Bezug auf Hardware noch in Bezug auf Software etwas Besonderes. Mit einer Registrierkasse und einem Kartenleser ist dies im Wesentlichen der gleiche PC, insbesondere bei All-in-One-Systemen, die von großen Einzelhandelsketten verwendet werden. Und sie basieren (fast) auf allgemeinen Betriebssystemen wie Windows Embedded oder Unix.
Die Ausgabe von Windows Embedded 2009 ist tatsächlich das gleiche Windows XP, das für den Einsatz in Handelsterminals und anderen ähnlichen Systemen geeignet ist. Beispielsweise das Betriebssystem Windows Embedded for Point of Service, das 2006 im Windows Embedded-Framework veröffentlicht wurde. Später, im Jahr 2009, veröffentlichte Microsoft Windows Embedded POSReady, das auch eine aktualisierte/geänderte Version von Windows XP ist. In den Jahren 2011 und 2013 wurden Windows Embedded POSReady 7 und 8 basierend auf Windows 7 bzw. Windows 8 veröffentlicht. Wie man sich jedoch leicht vorstellen kann, ist die Akzeptanzrate dieser Systeme nicht blitzschnell, und viele Einzelhändler neigen dazu, immer noch ältere Geräte mit langjähriger Software zu verwenden. Mit allen Schwachstellen von Windows XP und anderen Systemen und all ihrer Anfälligkeit für Malware. Letzteres ist sehr zahlreich, um es gelinde auszudrücken.
Während Microsoft die Unterstützung für WindowsXP bereits eingestellt hat, wird die Wartung von Windows Embedded POS Ready 2009 bis 2016 dauern. Dies bedeutet, dass diese Geräte wahrscheinlich noch lange verwendet werden.
Und noch etwas: Da PoS-Geräte eigentlich normale Computer sind, können sie auch für «allgemeine Zwecke» verwendet werden (und manchmal auch für kleine Unternehmen verwendet werden), einschließlich des Browsens im Netzwerk und der E-Mail. Das bedeutet, dass Kriminelle diese Geräte manchmal direkt angreifen können.
Die aktuellen Sicherheitsstandards empfehlen, erfordern jedoch keine Isolierung der Karteninhaberdatenumgebung (CDE) von anderen Netzwerken, einschließlich des öffentlichen Netzwerks. Da Kassenterminals jedoch Wartung benötigen, Systeme wie Netzwerkzeitprotokollserver unterstützen und den Export von Geschäftsinformationen und anderen Daten in andere Systeme ermöglichen müssen, ist eine vollständige Isolierung unpraktisch und sogar unmöglich. In schweren Einzelhandelsumgebungen sind PoS-Systeme zumindest vom öffentlichen Internet getrennt, aber es gibt immer noch Spuren aus dem gemeinsamen Firmennetzwerk und zurück, die von Kriminellen, die Trophäen in Form von Zahlungskartendaten sammeln, ausgebeutet und ausgebeutet werden können. Und dann werden sie auf dem Schwarzmarkt verkauft.
Für die betroffenen Unternehmen bedeutet dies immer enorme Verluste, unabhängig von der Höhe des tatsächlichen finanziellen Schadens für Zahlungskarteninhaber, also ob die Menschen ihr Geld tatsächlich verloren haben oder nicht. Die Kosten für alle Arten von Reparatur- und Reparaturarbeiten in Millionenhöhe, Entschädigungen für Opfer, deren Daten durchgesickert sind, Rechtsberatung, Zahlungen infolge möglicher Sammelklagen von Kunden, technische Maßnahmen usw. für TargetCorp. der Preis für den enormen Hack des letzten Jahres war sowohl finanziell als auch reputativ enorm, außerdem musste der IT-Direktor im März zurücktreten, und Target gab im Mai bekannt, dass sein CEO ebenfalls seinen Posten verließ.
Das wird eine ganze Gesellschaft nicht versenken. Aber für kleine Unternehmen können solche Vorfälle tödlich sein. Gleichzeitig ist es für kleine Unternehmen das nächste Ziel von Kriminellen, die PoS-Malware betreiben. Warum? Denn die großen Einzelhändler lernen nicht nur auf der eigenen Haut Unterricht und bauen ihr Sicherheitsniveau auf. Sie haben dafür Ressourcen.
Für kleinere Unternehmen kann es problematisch sein, das Betriebssystem an den Kassenterminals zu ersetzen und die IT-Infrastruktur so umzugestalten, dass Kriminelle in den Zahlungsabwicklungsprozess eindringen können, und Unternehmer ziehen es oft vor, Risiken einzugehen, anstatt Ressourcen für ihre Verteidigung auszugeben. Die Folgen einer solchen Entscheidung können jedoch bedauerlich sein.
Hacker sind sich bewusst, dass kleinere Unternehmen in der Regel schwächer sind, während die Leute kleine Geschäfte besuchen und mit den gleichen Karten bezahlen. Die Größe des Kush in Form von Zahlungskartendaten kann nicht groß sein, aber es ist einfacher, darauf zuzugreifen. Da nur die großen Einzelhändler ihren Schutz erhöhen, werden die Täter ihre Aufmerksamkeit auf kleinere Ziele verlagern.
Hier sind die Schutzmaßnahmen, die Sie empfehlen können:
Firewalls zur Segmentierung des Netzwerks, sodass PoS-Systeme maximal von anderen Netzwerken isoliert werden können;
End-to-End-Verschlüsselung, wenn möglich;
Schutzprogramme mit erweiterten Funktionen zur Überwachung, Verwaltung von Schwachstellen, Überwachung von Anwendungsfunktionen und Betrugsbekämpfung;
Beschränken Sie die Anzahl der Personen mit CDE-Zugriff und verwenden Sie die Zwei-Faktor-Autorisierung an allen Einstiegspunkten.
Natürlich muss die gesamte Infrastruktur geschützt werden, um das Risiko eines Eindringens zu minimieren, und die Mitarbeiter sollten regelmäßig Schulungen zur Erkennung von Phishing-Angriffen und anderen Techniken von Eindringlingen besuchen.