8 сентября 2014

Что такое POS-зловреды, и почему они приносят миллионные убытки

Бизнес

Менее месяца назад поставщики защитных решений сообщили о еще одной вредоносной программе для платежных терминалов под названием Backoff. В то время как сам вредонос представляет достаточную угрозу, чтобы спровоцировать тревогу US-CERT  (т.е.  все очень серьезно), вредоносные программы для платежных терминалов в целом являют собой куда более крупную и застарелую проблему, которую не следует рассматривать в качестве лишь нескольких отдельных инцидентов.

До прошлогодних масштабных взломов розничных сетей Target и Neiman Marcus проблема вредоносных программ для платежных терминалов не столько игнорировалась, сколько, безусловно, мало занимала общественность, несмотря на то, что PoS-вредоносы в сущности терроризировали различные предприятия, по крайней мере, с 2008 года. Ныне заражение торговых терминалов уже вышло на «промышленный» уровень: киберпреступники искали плацдарм для атаки, который ближе всего позволяет подобраться к чужим деньгам, и нашли.

Так с чем же мы имеем дело? Что такое PoS-вредоносы? В большинстве случаев или даже, наверное, во всех них основной функцией подобных вредоносных программ является «выскабливание RAM», то есть сканирование памяти терминала на предмет данных вроде номера карты и т.п., прежде чем они будут зашифрованы на устройстве или сервере. К сожалению, окно возможностей для подобной кражи данных существует. По словам Брайана Донохью, который подробно исследовал тему вредоносных программ для торговых терминалов в этом году, к тому времени, когда данные карты добираются до платежных серверов, информация уже зашифрована. Однако есть короткий период времени, когда информация должна дешифроваться в обычный текст в целях авторизации платежа (в системах без двухточечного шифрования). И в этот самый момент сам кассовый аппарат или соседний сервер (в зависимости от системы) сохраняет данные об оплате обычным текстом в своей оперативной памяти (RAM). Вот тут на сцене и появляются PoS-вредоносы, такие как BlackPOS, Backoff и другие.

RAM-скреперы, как правило, вводятся в запущенные процессы и могут моментально перехватывать конфиденциальные данные из памяти. Есть технические сложности, конечно. Например, нефильтрованные данные, «выскобленные» из заваленных дампами памяти ОЗУ, измеряются гигабайтами. А перемещение таких объемов «по-тихому» (т.е. не поднимая «тревоги» из-за аномального трафика, который должен насторожить системных администраторов) кажется непосильной задачей. Чем меньше данных компрометируется, тем ниже риск, что вредоносную программу обнаружат и удалят. Судя по всему, вредоносные программы нацелены фильтровать именно то, что преступников больше всего интересует – данные первой и второй дорожек, записанные на магнитной полосе карты. Первой дорожкой обозначается информация, связанная с фактическим счетом; она включает в себя такие элементы, как имя держателя карты, а также номер счета. Данные второй дорожки содержат номер карты и срок ее действия.

Этих данных достаточно для дистанционного шопинга, если только карта не требует дополнительной авторизации держателя, например, ввода PIN-кода для каждой покупки. Новые карты Chip and PIN более устойчивы к злоупотреблениям с PoS-вредоносами программ, но и они уязвимы.

Брайан Донохью отмечает, что колоссальный взлом Target был возможен только при условии, что злоумышленники окопались конкретно на сервере инфраструктуры обработки платежей Target.

«В случае Target, вполне вероятно, злоумышленники перенесли свой PoS-вредонос с централизованного и подключенного сервера или машины на торговые терминалы или серверы, где шел процесс авторизации. В противном случае они должны были бы установить свой RAM-скрепер на каждый отдельный терминал в каждом магазине Target, что, по меньшей мере, очень и очень маловероятно», — пишет Донохью.

Тем не менее, платежные терминалы остаются одним из наиболее уязвимых мест в инфраструктуре ритейлеров по ряду технических причин. Прежде всего, устройства PoS не представляют собой ничего особенного ни в плане оборудования, ни в плане программного обеспечения. При наличии кассового аппарата и устройства для чтения карт это, по сути, тот же ПК, особенно это касается систем «всё-в-одном», используемых большими розничными сетями. И основаны они (почти) на операционных системах общего назначения, таких как Windows Embedded или Unix.

Издание Windows Embedded 2009 года на самом деле — та же Windows XP, адаптированная для использования в торговых терминалах и других подобных системах. Например, ОС Windows Embedded for Point of Service, выпущеннаяв 2006 годунаоснове Windows Embedded. Позже, в 2009 году Microsoft выпустила Windows Embedded POSReady, которая также является обновленной/измененной версией Windows XP. В 2011 и 2013 годах вышли Windows Embedded POSReady 7 и 8 на основе Windows 7 и Windows 8, соответственно. Однако, как легко себе представить, скорость принятия этих систем не молниеносная, и многие предприятия розничной торговли склонны до сих пор использовать старые устройства с более давним программным обеспечением. Со всеми уязвимостями Windows XP и других систем, и всей их восприимчивостью к вредоносным программам. Последнее весьма многочисленны, если не сказать больше.

Кроме того, в то время как Microsoft уже прекратила поддержку WindowsXP, обслуживание WindowsEmbeddedPOSReady 2009 продлится аж до 2016 года. Это означает, что данными устройствами, скорее всего, еще долго будут пользоваться.

И еще одно: так как PoS-устройства — на самом деле обычные компьютеры, они также могут использоваться (и порой используются, особенно в сфере малого бизнеса) для «общих целей», в том числе для браузинга в Сети и электронной почты. Это означает, что преступники иногда могут атаковать эти устройства напрямую.

Действующие стандарты безопасности рекомендуют, но не требуют изолировать среду данных о держателях карт (CDE) от других сетей, в том числе от общественной Сети. Но поскольку кассовые терминалы нуждаются в обслуживании, должны поддерживать системы вроде серверов протокола сетевого времени, а также позволять экспорт в другие системы бизнес-информации и других данных, полная изоляция непрактична и даже невозможна. В серьезных розничных средах PoS-системы, по крайней мере, сегментированы от публичного интернета, однако все равно остаются дорожки из общей корпоративной сети и обратно, которые могут эксплуатироваться и эксплуатируются преступниками, собирающими трофеи в виде данных платежных карт. А потом их продают на черном рынке.

Для пострадавших бизнесов это всегда означает огромные убытки, независимо от величины фактического финансового ущерба для держателей платежных карт, то есть, потеряли ли люди на самом деле свои деньги или нет. Многомиллионные расходы на все виды ремонтно-восстановительных работ, компенсации жертвам, чьи данные утекли, юридические консультации, выплаты в результате возможных групповых исков клиентов, технические мероприятия и т.п. Для TargetCorp. цена прошлогоднего колоссального взлома была огромной как в финансовом, так и в репутационном плане, вдобавок, директор по информационным технологиям вынужден был уйти в отставку в марте, а в мае Target объявила, что ее генеральный директор также покинул свой пост.

wide

Такое не потопит целую корпорацию. Но для малого бизнеса подобные инциденты могут оказаться фатальными. И в то же время, именно малым предприятиям предстоит стать следующей целью преступников, управляющих PoS-вредоносами. Почему? Потому что крупные ритейлеры усваивают уроки не только на собственной шкуре и наращивают уровень своей безопасности. У них для этого есть ресурсы.

Для более мелких предприятий замена ОС на кассовых терминалах и перестройка ИТ-инфраструктуры таким образом, чтобы проникновение в процесс обработки платежей стало непосильной задачей для преступников, могут быть проблематичными, а владельцы бизнеса часто предпочитают, скрестив пальцы, идти на риск, нежели расходовать ресурсы на свою защиту. Однако последствия такого решения могут быть плачевными.

Хакеры хорошо знают, что предприятия помельче, как правило, слабее, при этом люди посещают небольшие магазины и расплачиваются в них теми же картами. Размеры куша в виде данных платежных карт могут быть и не велики, зато к ним легче получить доступ. Так как только крупные субъекты розницы наращивают свою защиту, преступники переключат свое внимание на более мелкие цели.

Вот защитные меры, которые можно порекомендовать:

  • Межсетевые экраны для сегментации сети, чтобы системы PoSбыли по максимуму изолированы от других сетей;
  • Сквозное шифрование, по возможности;
  • Защитные программы с расширенными функциями мониторинга, управления уязвимостями, контроля возможностей приложений и противодействия мошенничеству;
  • Ограничение числа людей с доступом к CDE и использование двухфакторной авторизации на всех точках входа.

Разумеется, вся инфраструктура должна быть защищена, чтобы минимизировать риски вторжения, а персонал должен регулярно посещать тренинги по распознаванию фишинговых атак и других приемов злоумышленников.