Pod koniec sierpnia w Internecie pojawił się dokument "Point of Sale Vulnerabilities" przedstawiający zestawienie luk i błędów istniejących w systemach elektronicznych terminali kasowych POS (Point Of Sale), które mogą zostać wykorzystane do popełniania przestępstw finansowych. Jego autorem jest Neal Krawetz, założyciel firmy konsultingowej Hacker Factor Solutions (HFS).

Karciane zagrożenie

W dokumencie tym zaprezentowano ogólnie informacje o lukach i mechanizmach, które można łatwo wykorzystać. Dokładna analiza techniczna już od roku była oferowana przez HFS, ale tylko wybranym odbiorcom jak instytucje finansowe czy producenci kart i terminali POS. Jak zauważa Neal Krawetz, wykryte błędy dotyczą podstawowych elementów systemu obsługujących standardowe procesy realizowane przez kasy, a ich eliminacja w masowo stosowanych systemach jest trudna i wymaga co najmniej kilku lat. Stąd też HFS zdecydowała się na roczne opóźnienie terminu publikacji informacji. Jednocześnie Neal Krawetz mówi, że tylko jeden z dedykowanych odbiorców raportu odpowiedział na zaprezentowane w nim problemy, mimo że najprawdopodobniej luki nie zostały usunięte w większości działających na rynku kas. Dodaje też, że żadna z firm lub instytucji nie zwróciła się do Hacker Factor Solutions z propozycją opóźnienia publikacji tego raportu.

Avivah Litan, analityk z firmy Gartner mówi, że opublikowany przez Hacker Factor Solutions materiał jest dokumentem, który dobrze podsumowuje problemy znane od lat, choć wciąż nie rozwiązane przez firmy związane z przemysłem kart kredytowych. Dodaje, że w zasadzie ich usunięcie wymagałoby opracowania standardów dotyczących sprzętu i oprogramowania wykorzystywanego w systemach obsługujących płatności elektroniczne. Niestety specyfikacje opracowane przez organizację PCI (Payment Card Industry) i wspierane przez największych producentów kart określają tylko zasady, których należy przestrzegać, aby dane na kartach były względnie bezpieczne. Brakuje natomiast takich standardów dotyczących terminali POS i ich oprogramowania.

Niektóre luki w POS

1. Terminale POS często przechowują dużą liczbę danych, takich jak informacje odczytane z kart i kody potwierdzające. Powinny być one automatycznie usuwane z pamięci po wyłączeniu zasilania. W niektórych modelach kas dane są bowiem zapisywane w pamięciach SRAM (Static RAM) lub Flash, których kasowanie wymaga przesłania odpowiedniego polecenia, a nie tylko wyłączenia zasilania. Jako przykład w dokumencie przedstawiono model terminala jednego z dobrze znanych producentów oraz procedurę, w jaki sposób można uzyskać listę transakcji, a następnie wygenerować ich duplikaty przy wykorzystaniu kombinacji kluczy dostępnych publicznie na stronie producenta terminali. Tego typu ataki wymagają oczywiście fizycznego dostępu do terminala.