Vídeo: Керамические панели. Что внутри, Ужас! Останется только один! (Setembre 2024)
Si bé Target continua mantenint la seva relació sobre com els atacants van aconseguir incomplir la seva xarxa i transmetre informació de més de 70 milions de compradors, ja sabem que es va utilitzar el programari rascador de RAM en l'atac.
"No sabem fins a l'actualitat el que va passar, però el que sí sabem és que hi havia programari maliciós instal·lat en els nostres registres de venda. Això ho hem establert", va dir Gregg Steinhafel, CEO de Target, en una entrevista amb CNBC parlant del recent incompliment. Inicialment, la companyia va dir que la informació de la targeta de pagament per a 40 milions de persones que van comprar en algun dels seus punts de venda durant la temporada de vacances estaven compromeses. Target va dir la setmana passada que també es va robar informació personal de 70 milions de persones i que qualsevol comprador que va venir a les botigues durant tot el 2013 estava en risc.
Fonts sense nom van dir a Reuters el cap de setmana que el malware utilitzat en l'atac era un rascador de memòria RAM. Un rascador de RAM és un tipus específic de programari maliciós que orienta la informació emmagatzemada a la memòria, a diferència de la informació desada al disc dur o que es transmet a la xarxa. Tot i que aquesta classe de programari maliciós no és nova, els experts en seguretat asseguren que hi ha hagut una incidència recent en el nombre d'atacs contra comerciants que utilitzen aquesta tècnica.
Memòria atacant
Els rascadors de RAM busquen dins de la memòria de l’ordinador per agafar dades sensibles mentre s’està processant. Segons les normes actuals de la indústria de seguretat de dades de la targeta de pagament (PCI-DSS), tota la informació de pagament s’ha de xifrar quan s’emmagatzema al sistema PoS, així com quan es transfereix als sistemes de fons. Si bé els atacants encara poden robar les dades del disc dur, no poden fer-ne res si estan xifrades, i el fet que les dades es xifren mentre viatgen per la xarxa significa que els atacants no poden endurir el trànsit per robar res.
Això vol dir que només hi ha una petita finestra d’oportunitat –en el moment en què el programari PoS processa la informació– perquè els atacants agafin les dades. El programari ha de desxifrar temporalment les dades per veure la informació de la transacció i el programari maliciós s'apodera en aquell moment per copiar la informació de la memòria.
L’augment del programari rascador de RAM es pot relacionar amb el fet que els minoristes milloren en xifrar dades sensibles. "És una cursa d'armes. Llancem un bloqueig de ruta i els atacants s'adapten i busquem altres maneres d'agafar les dades", va dir Michael Sutton, vicepresident de la investigació en seguretat de Zscaler.
Només un altre programari maliciós
És important recordar que els terminals punt de venda són essencialment ordinadors, tot i que amb perifèrics com ara lectors de targetes i teclats adjunts. Tenen un sistema operatiu i executen programari per gestionar les transaccions de vendes. Estan connectats a la xarxa per transferir dades de transaccions a sistemes de fons.
Igual que qualsevol altre equip, els sistemes PoS es poden infectar amb programari maliciós. "Encara s'apliquen regles tradicionals", va dir Chester Wisniewski, assessor de seguretat superior de Sophos. El sistema PoS es pot infectar perquè l'empleat va utilitzar aquest ordinador per anar a un lloc web que allotjava el programari maliciós o, per accident, va obrir un fitxer adjunt maliciós a un correu electrònic. El programari maliciós podria haver explotat programari no controlat a l'ordinador, o qualsevol dels molts mètodes que resulten en un ordinador infectat.
"Com menys privilegi tinguin els treballadors dels comerços en els terminals puntuals, menys probabilitats s'infectin", va dir Wisniewski. Va dir que les màquines que processen els pagaments són sensibles i no haurien de permetre la navegació per Internet o la instal·lació d'aplicacions no autoritzades.
Una vegada infectat l’ordinador, el programari maliciós cerca tipus de dades específics a la memòria: en aquest cas, números de targeta de crèdit i dèbit. Quan troba el número, el desa en un fitxer de text que conté la llista de totes les dades que ja ha recollit. En algun moment, el programari maliciós envia l'arxiu (normalment per la xarxa) a l'ordinador de l'atacant.
Qualsevol és un objectiu
Si bé actualment els minoristes són un objectiu per analitzar programari maliciós de memòria, Wisniewski va dir que qualsevol organització que gestiona targetes de pagament seria vulnerable. Aquest tipus de programari maliciós es va utilitzar inicialment en els sectors de l'hostaleria i l'educació. Sophos es refereix a rascadors de RAM com el troià Trackr, i altres venedors els anomenen Alina, Dexter i Vskimmer.
De fet, els rascadors de RAM no són específics només en sistemes PoS. Sutton va dir que els ciberdelinqüents poden empaquetar el programari maliciós per robar dades en qualsevol situació on la informació estigui normalment xifrada.
Visa va publicar dues alertes de seguretat a l’abril i l’agost de l’any passat advertint als comerciants d’atacs que utilitzessin programari maliciós PoS que analitzava la memòria. "Des de gener de 2013, Visa ha vist un augment de les intrusions de la xarxa que impliquen comerciants al detall", va dir Visa a l'agost.
No està clar com el malware va arribar a la xarxa de Target, però està clar que alguna cosa va fallar. El programari maliciós no estava instal·lat en un sol sistema PoS, sinó en molts equips de tot el país i "ningú se'n va adonar", va dir Sutton. I, fins i tot si el programari maliciós era massa nou per detectar-ho, el fet que transferís dades fora de la xarxa hauria d'haver posat banderes vermelles, va afegir.
Per al comprador individual, no utilitzar targetes de crèdit no és realment una opció. Per això és important controlar regularment els estats i fer el seguiment de totes les transaccions dels seus comptes. "Heu de confiar en els venedors amb les vostres dades, però també podeu mantenir-vos alerta", va dir Sutton.
