Videó: MagSafe Car Mount For iPhone 12 - Is It Strong Enough? (Yes) (November 2024)
Miközben a Target továbbra is gondoskodik arról, hogy a támadók miként tudták megtörni a hálózatát, és felbukkantak a több mint 70 millió vásárlóhoz tartozó információkkal, most már tudjuk, hogy a RAM támadása során rosszindulatú programokat használtunk.
"Nem tudjuk, mi történt, de amit tudunk, az az, hogy rosszindulatú szoftverek voltak telepítve az értékesítési pontok nyilvántartásaiba. Ennyit már megállapítottunk" - mondta Gregg Steinhafel a Target vezérigazgatója egy interjúban a CNBC a közelmúltbeli jogsértést tárgyalja. A társaság kezdetben azt állította, hogy 40 millió ember fizetési kártyájára vonatkozó információi veszélybe kerültek, akik az üzlet egyik üzletében vásároltak az ünnepi idõszak alatt. A Target a múlt héten elmondta, hogy 70 millió ember személyes adatait is ellopták, és hogy minden olyan vásárló, aki 2013-ban az üzletekbe járt, veszélyben van.
Névtelen források azt mondta a Reutersnek a hétvégén, hogy a támadásban használt malware egy RAM kaparó. A RAM kaparó egy speciális típusú rosszindulatú program, amely a memóriában tárolt információkat célozza meg, szemben a merevlemezre mentett vagy a hálózaton továbbított információkkal. Noha a rosszindulatú programok ezen osztálya nem új, a biztonsági szakértők szerint a közelmúltban megnövekedett az ezt a technikát használó kiskereskedők elleni támadások száma.
Támadó memória
A RAM kaparók a számítógép memóriájába néznek, és így érzékeny adatokat fognak feldolgozni. A jelenlegi fizetési kártya-ipari adatbiztonsági szabvány (PCI-DSS) szabályok szerint minden fizetési információt titkosítani kell, amikor azt a PoS-rendszeren tárolják, és amikor azt a háttérrendszerbe továbbítják. Míg a támadók még mindig ellophatják az adatokat a merevlemezről, titkosítva semmit sem tudnak csinálni, és az a tény, hogy az adatok titkosítva vannak a hálózaton történő utazás során, azt jelenti, hogy a támadók nem tudnak szimatolni a forgalmat, hogy bármit ellopjanak.
Ez azt jelenti, hogy csak egy apró lehetőség van - azon a pillanatban, amikor a PoS szoftver feldolgozza az információkat -, hogy a támadók megragadják az adatokat. A szoftvernek átmenetileg vissza kell dekódolnia az adatokat a tranzakciós információk megtekintéséhez, és a rosszindulatú program megragadja ezt a pillanatot, hogy az információt a memóriából másolja.
A RAM-val kaparó rosszindulatú szoftverek növekedése ahhoz a tényhez kapcsolódhat, hogy a kiskereskedők egyre jobban titkosítják az érzékeny adatokat. "Ez fegyvermi verseny. Dobunk fel egy akadályt, és a támadók alkalmazkodnak és más módon keressük az adatokat" - mondta Michael Sutton, a Zscaler biztonsági kutatási alelnöke.
Csak egy másik rosszindulatú program
Fontos megjegyezni, hogy az értékesítési pontok alapvetően számítógépek, bár olyan perifériákkal, mint például a kártyaolvasók és a billentyűzetek. Van operációs rendszerük, és szoftvert futtatnak az értékesítési tranzakciók kezelésére. Csatlakoznak a hálózathoz, hogy tranzakciós adatokat továbbítsanak a háttérrendszerekbe.
És a többi számítógéphez hasonlóan a PoS rendszereket is megfertőzhetik rosszindulatú programok. "A hagyományos szabályok továbbra is érvényesek" - mondta Chester Wisniewski, a Sophos vezető biztonsági tanácsadója. A PoS rendszer megfertõzõdhet, mivel az alkalmazott az adott számítógépen egy rosszindulatú szoftvert tároló webhelyre látogatott, vagy véletlenül rosszindulatú mellékletet nyitott meg egy e-mailhez. A rosszindulatú programok kihasználhatták a számítógépen nem csomagolt szoftvereket, vagy a sok módszer bármelyikét, amelyek a számítógép megfertőződését eredményezhetik.
"Minél kevésbé vannak kiváltságok a boltban dolgozók számára az értékesítési pontokon, annál kevésbé valószínű, hogy megfertőződnek" - mondta Wisniewski. A fizetéseket feldolgozó gépek rendkívül érzékenyek és nem engedhetik meg a webes böngészést vagy az illetéktelen alkalmazások telepítését - mondta.
Miután a számítógép megfertőződött, a rosszindulatú program bizonyos típusú adatokat keres a memóriában - ebben az esetben a hitel- és betéti kártyák számát. Amikor megtalálja a számot, azt egy szöveges fájlba menti, amely tartalmazza a már összegyűjtött adatok listáját. Egy bizonyos ponton a rosszindulatú program elküldi a fájlt - általában a hálózaton keresztül - a támadó számítógépére.
Bárki egy cél
Noha a kiskereskedők jelenleg a kártevők memória elemzésének célpontjai közé tartoznak, Wisniewski szerint minden fizetési kártyákat kezelő szervezet sebezhető lesz. Az ilyen típusú rosszindulatú programokat eredetileg a vendéglátás és az oktatás területén használták, mondta. A Sophos a RAM kaparókra vonatkozik, mint a Trackr trójai, más gyártók Alina, Dexter és Vskimmer néven hívják őket.
Valójában a RAM kaparók nem csak a PoS rendszerekre vonatkoznak. A számítógépes bűnözők csomagolhatják a rosszindulatú programokat az adatok ellopására minden olyan helyzetben, ahol az információ általában titkosítva van - mondta Sutton.
A Visa két biztonsági riasztást adott ki tavaly áprilisban és augusztusban, figyelmeztetve a kereskedőket a memória elemző PoS rosszindulatú szoftverekkel történő támadásokra. "2013 januárja óta a Visa növekedett a hálózati behatolásokban a kiskereskedők részvételével" - mondta Visa augusztusban.
Nem egyértelmű, hogy a rosszindulatú programok hogyan jutottak el a Target hálózatához, de egyértelmű, hogy valami nem sikerült. A rosszindulatú szoftvert nem csupán egy PoS rendszerre telepítették, hanem sok országszerte működő számítógépre, és "senki sem vette észre" - mondta Sutton. És még akkor is, ha a rosszindulatú program túl új volt a víruskereső számára annak észleléséhez, az a tény, hogy az adatokat a hálózatból továbbítja, vörös zászlókat kellett volna keltenie - tette hozzá.
Az egyes vásárlók számára a hitelkártyák használata nem valójában lehetőség. Ezért fontos, hogy rendszeresen ellenőrizzük a kimutatásokat, és nyomon kövessük a számlán szereplő összes tranzakciót. "Biztosan bíznia kell a kiskereskedőkben az adataival, de éber maradhat" - mondta Sutton.
