Skok na kasę

Hacker Factor Solutions opublikowała dokument prezentujący luki w systemach elektronicznych kas POS, które stwarzają poważne niebezpieczeństwo stosunkowo łatwego wykorzystania przez przestępców informacji o operacjach realizowanych za pomocą kart płatniczych i kredytowych.

Hacker Factor Solutions opublikowała dokument prezentujący luki w systemach elektronicznych kas POS, które stwarzają poważne niebezpieczeństwo stosunkowo łatwego wykorzystania przez przestępców informacji o operacjach realizowanych za pomocą kart płatniczych i kredytowych.

Pod koniec sierpnia w Internecie pojawił się dokument "Point of Sale Vulnerabilities" przedstawiający zestawienie luk i błędów istniejących w systemach elektronicznych terminali kasowych POS (Point Of Sale), które mogą zostać wykorzystane do popełniania przestępstw finansowych. Jego autorem jest Neal Krawetz, założyciel firmy konsultingowej Hacker Factor Solutions (HFS).

Karciane zagrożenie

W dokumencie tym zaprezentowano ogólnie informacje o lukach i mechanizmach, które można łatwo wykorzystać. Dokładna analiza techniczna już od roku była oferowana przez HFS, ale tylko wybranym odbiorcom, jak instytucje finansowe czy producenci kart i terminali POS. Jak zauważa Neal Krawetz, wykryte błędy dotyczą podstawowych elementów systemu obsługujących standardowe procesy realizowane przez kasy, a ich eliminacja w masowo stosowanych systemach jest trudna i wymaga co najmniej kilku lat. Stąd też HFS zdecydowała się na roczne opóźnienie terminu publikacji informacji. Jednocześnie Neal Krawetz mówi, że tylko jeden z dedykowanych odbiorców raportu odpowiedział na zaprezentowane w nim problemy, mimo że najprawdopodobniej luki nie zostały usunięte w większości działających na rynku kas. Dodaje też, że żadna z firm lub instytucji nie zwróciła się do Hacker Factor Solutions z propozycją opóźnienia publikacji tego raportu.

Avivah Litan, analityk z firmy Gartner mówi, że opublikowany przez Hacker Factor Solutions materiał jest dokumentem, który dobrze podsumowuje problemy znane od lat, choć wciąż nie rozwiązane przez firmy związane z przemysłem kart kredytowych. Dodaje, że w zasadzie ich usunięcie wymagałoby opracowania standardów dotyczących sprzętu i oprogramowania wykorzystywanego w systemach obsługujących płatności elektroniczne. Niestety specyfikacje opraco-wane przez organizację PCI (Payment Card Industry) i wspierane przez największych producentów kart określają tylko zasady, których należy przestrzegać, aby dane na kartach były względnie bezpieczne. Brakuje natomiast takich standardów dotyczących terminali POS i ich oprogramowania.

Co warto wiedzieć o terminalach POS

Neal Krawetz radzi, aby spytać producenta o to czy:

  • dane przechowywane w terminalu są automatycznie kasowane w wypadku wyłączenia zasilania, a jeśli nie, to jak można je skasować ręcznie;
  • informacje zapisywane w pamięci POS są szyfrowane;
  • wewnętrzna pamięć terminala może być z niego łatwo wyjęta na zewnątrz;
  • system wymusza na użytkowniku zmianę domyślnych haseł fabrycznych;
  • urządzenia umożliwiają dostęp do danych przy wykorzystaniu haseł awaryjnych lub mają funkcje umożliwiające śledzenie ich aktywności przez odpowiednio zalogowanego użytkownika zewnętrznego.

Niektóre luki w POS

  1. Terminale POS często przechowują dużą liczbę danych, takich jak informacje odczytane z kart i kody potwierdzające. Powinny być one automatycznie usuwane z pamięci po wyłączeniu zasilania. W niektórych modelach kas dane są bowiem zapisywane w pamięciach SRAM (Static RAM) lub Flash, których kasowanie wymaga przesłania odpowiedniego polecenia, a nie tylko wyłączenia zasilania. Jako przykład w dokumencie przedstawiono model terminala jednego z dobrze znanych producentów oraz procedurę, w jaki sposób można uzyskać listę transakcji, a następnie wygenerować ich duplikaty przy wykorzystaniu kombinacji kluczy dostępnych publicznie na stronie producenta terminali. Tego typu ataki wymagają oczywiście fizycznego dostępu do terminala.
  2. Firmy wykorzystujące terminale POS często nie zmieniają fabrycznych ustawień haseł zabezpieczających. Te same hasła obowiązują więc we wszystkich POS zainstalowanych w sklepie lub nawet sieci sklepów. Neal Krawetz prezentuje praktyczny przykład zagrożenia i prostą metodę uzyskania dostępu do danych w terminalach jednego z producentów przy wykorzystaniu hasła zapasowego, które ma z zasady umożliwić dostęp tylko w razie awarii hasła podstawowego.
  3. Wiele modeli terminali nie wykorzystuje mechanizmów szyfrowania zapisywanych informacji. Ich producenci nie dostarczają szczegółowych informacji, w jaki sposób zarządzać hasłami, jeśli użytkownik chce zastosować bezpieczny, szyfrowany system plików.

    W efekcie, "mechanizmy autentykacji można względnie łatwo ominąć, a wówczas uzyskuje się bezpośredni dostęp do informacji związanych z transakcjami finansowymi".

  4. Podobne luki można znaleźć w serwerach zarządzających systemami POS. Zbierają i przetwarzają informacje z sieci terminali. Serwery te mogą zawierać dane dotyczące dziesiątków tysięcy lub nawet milionów kart i z reguły przechowują te informacje przez okres do 90 dni. Podobnie jak terminale POS, serwery te pracują zwykle pod kontrolą różnych wersji systemów Windows lub Linux i często są chronione tylko przez podstawowe mechanizmy autentykacji. Ich jedynym poważnym, choć nie zawsze stosowanym zabezpieczeniem jest restrykcyjne ograniczenie fizycznego dostępu do komputerów. W wielu praktycznych zastosowaniach najsłabszym elementem systemu jest sieć łącząca terminale POS z serwerami pozbawiona tak silnych mechanizmów ochrony dostępu do przesyłanych informacji, jak połączenia między firmą i bankiem.

TOP 200