Skok na kasę
- 11.09.2007
Hacker Factor Solutions opublikowała dokument prezentujący luki w systemach elektronicznych kas POS, które stwarzają poważne niebezpieczeństwo stosunkowo łatwego wykorzystania przez przestępców informacji o operacjach realizowanych za pomocą kart płatniczych i kredytowych.
Hacker Factor Solutions opublikowała dokument prezentujący luki w systemach elektronicznych kas POS, które stwarzają poważne niebezpieczeństwo stosunkowo łatwego wykorzystania przez przestępców informacji o operacjach realizowanych za pomocą kart płatniczych i kredytowych.
Pod koniec sierpnia w Internecie pojawił się dokument "Point of Sale Vulnerabilities" przedstawiający zestawienie luk i błędów istniejących w systemach elektronicznych terminali kasowych POS (Point Of Sale), które mogą zostać wykorzystane do popełniania przestępstw finansowych. Jego autorem jest Neal Krawetz, założyciel firmy konsultingowej Hacker Factor Solutions (HFS).
Karciane zagrożenie
W dokumencie tym zaprezentowano ogólnie informacje o lukach i mechanizmach, które można łatwo wykorzystać. Dokładna analiza techniczna już od roku była oferowana przez HFS, ale tylko wybranym odbiorcom, jak instytucje finansowe czy producenci kart i terminali POS. Jak zauważa Neal Krawetz, wykryte błędy dotyczą podstawowych elementów systemu obsługujących standardowe procesy realizowane przez kasy, a ich eliminacja w masowo stosowanych systemach jest trudna i wymaga co najmniej kilku lat. Stąd też HFS zdecydowała się na roczne opóźnienie terminu publikacji informacji. Jednocześnie Neal Krawetz mówi, że tylko jeden z dedykowanych odbiorców raportu odpowiedział na zaprezentowane w nim problemy, mimo że najprawdopodobniej luki nie zostały usunięte w większości działających na rynku kas. Dodaje też, że żadna z firm lub instytucji nie zwróciła się do Hacker Factor Solutions z propozycją opóźnienia publikacji tego raportu.
Avivah Litan, analityk z firmy Gartner mówi, że opublikowany przez Hacker Factor Solutions materiał jest dokumentem, który dobrze podsumowuje problemy znane od lat, choć wciąż nie rozwiązane przez firmy związane z przemysłem kart kredytowych. Dodaje, że w zasadzie ich usunięcie wymagałoby opracowania standardów dotyczących sprzętu i oprogramowania wykorzystywanego w systemach obsługujących płatności elektroniczne. Niestety specyfikacje opraco-wane przez organizację PCI (Payment Card Industry) i wspierane przez największych producentów kart określają tylko zasady, których należy przestrzegać, aby dane na kartach były względnie bezpieczne. Brakuje natomiast takich standardów dotyczących terminali POS i ich oprogramowania.
Neal Krawetz radzi, aby spytać producenta o to czy:
- dane przechowywane w terminalu są automatycznie kasowane w wypadku wyłączenia zasilania, a jeśli nie, to jak można je skasować ręcznie;
- informacje zapisywane w pamięci POS są szyfrowane;
- wewnętrzna pamięć terminala może być z niego łatwo wyjęta na zewnątrz;
- system wymusza na użytkowniku zmianę domyślnych haseł fabrycznych;
- urządzenia umożliwiają dostęp do danych przy wykorzystaniu haseł awaryjnych lub mają funkcje umożliwiające śledzenie ich aktywności przez odpowiednio zalogowanego użytkownika zewnętrznego.
Niektóre luki w POS
- Terminale POS często przechowują dużą liczbę danych, takich jak informacje odczytane z kart i kody potwierdzające. Powinny być one automatycznie usuwane z pamięci po wyłączeniu zasilania. W niektórych modelach kas dane są bowiem zapisywane w pamięciach SRAM (Static RAM) lub Flash, których kasowanie wymaga przesłania odpowiedniego polecenia, a nie tylko wyłączenia zasilania. Jako przykład w dokumencie przedstawiono model terminala jednego z dobrze znanych producentów oraz procedurę, w jaki sposób można uzyskać listę transakcji, a następnie wygenerować ich duplikaty przy wykorzystaniu kombinacji kluczy dostępnych publicznie na stronie producenta terminali. Tego typu ataki wymagają oczywiście fizycznego dostępu do terminala.
- Firmy wykorzystujące terminale POS często nie zmieniają fabrycznych ustawień haseł zabezpieczających. Te same hasła obowiązują więc we wszystkich POS zainstalowanych w sklepie lub nawet sieci sklepów. Neal Krawetz prezentuje praktyczny przykład zagrożenia i prostą metodę uzyskania dostępu do danych w terminalach jednego z producentów przy wykorzystaniu hasła zapasowego, które ma z zasady umożliwić dostęp tylko w razie awarii hasła podstawowego.
- Wiele modeli terminali nie wykorzystuje mechanizmów szyfrowania zapisywanych informacji. Ich producenci nie dostarczają szczegółowych informacji, w jaki sposób zarządzać hasłami, jeśli użytkownik chce zastosować bezpieczny, szyfrowany system plików.
W efekcie, "mechanizmy autentykacji można względnie łatwo ominąć, a wówczas uzyskuje się bezpośredni dostęp do informacji związanych z transakcjami finansowymi".
- Podobne luki można znaleźć w serwerach zarządzających systemami POS. Zbierają i przetwarzają informacje z sieci terminali. Serwery te mogą zawierać dane dotyczące dziesiątków tysięcy lub nawet milionów kart i z reguły przechowują te informacje przez okres do 90 dni. Podobnie jak terminale POS, serwery te pracują zwykle pod kontrolą różnych wersji systemów Windows lub Linux i często są chronione tylko przez podstawowe mechanizmy autentykacji. Ich jedynym poważnym, choć nie zawsze stosowanym zabezpieczeniem jest restrykcyjne ograniczenie fizycznego dostępu do komputerów. W wielu praktycznych zastosowaniach najsłabszym elementem systemu jest sieć łącząca terminale POS z serwerami pozbawiona tak silnych mechanizmów ochrony dostępu do przesyłanych informacji, jak połączenia między firmą i bankiem.