在今年的黑客大會(huì)(Black Hat USA 2014)上,pos機(jī)系統(tǒng)專家Nir Valtman將介紹一些專門攻擊POS機(jī)系統(tǒng)安全的新惡意軟件以及防御這些惡意軟件可采取的措施。
自從塔吉特公司(Target Corp.)POS機(jī)系統(tǒng)遭到黑客攻擊之后,POS機(jī)設(shè)備的安全問(wèn)題就倍受關(guān)注,但到目前為止,可以采取的解決措施并不明朗。
在拉斯維加斯召開(kāi)的美國(guó)2014黑帽大會(huì)(Black Hat USA)上,美國(guó)先進(jìn)出納機(jī)(NCR)零售企業(yè)安全架構(gòu)師Nir Valtman將向參會(huì)者介紹幾個(gè)他所設(shè)計(jì)的專門針對(duì)POS機(jī)系統(tǒng)的攻擊,同時(shí)也將探討零售商和POS機(jī)系統(tǒng)廠商可以采取的防御措施。
在黑客大會(huì)召開(kāi)前一周,Valtman在接受記者采訪時(shí)曾說(shuō),他所展示的研究結(jié)果是基于他已經(jīng)完成的威脅分析。他試圖了解這些危害或侵入POS機(jī)終端的惡意軟件,看看這些惡意軟件是如何感染POS機(jī)系統(tǒng)的,大家又可以采取什么措施來(lái)防御這些惡意軟件。Valtman所提到的“措施”包括物理措施,或改變操作系統(tǒng),或是任意在供應(yīng)商方可以采取的措施。
根據(jù)Valtman的觀點(diǎn),廠商可以很容易實(shí)現(xiàn)且有效的一個(gè)方法是使用代碼簽名。代碼簽名是指創(chuàng)建一個(gè)綁定到特定的二進(jìn)制可執(zhí)行文件的加密哈希函數(shù),作為可驗(yàn)證的核查方式來(lái)防止惡意損害。Valtman指出:“如果你的軟件使用了代碼簽名,那么未簽名的惡意代碼就很難注入軟件。但是,你可以觀察一下各個(gè)企業(yè),甚至是安全方面在行業(yè)領(lǐng)先的公司,不僅僅指POS機(jī)廠商,你會(huì)發(fā)現(xiàn)很多企業(yè)并不重視這一點(diǎn)。很多正在運(yùn)行的程序都沒(méi)有使用代碼簽名,也沒(méi)有使用加密方式來(lái)干擾攻擊者。”
Valtman還指出很多零售商使用白名單,其中一些零售商甚至用白名單來(lái)代替殺毒軟件,但是其實(shí)一些白名單方法使用非常弱的算法以避免POS機(jī)系統(tǒng)性能受損而達(dá)不到多方防御效果。Valtman已經(jīng)找到了將惡意DLL文件注入到POS機(jī)系統(tǒng)的方法,例如,可以進(jìn)行記憶解析的惡意DLL文件,屆時(shí)黑客大會(huì)上將向大家演示這種攻擊。
零售行業(yè)遷移到EMV(歐陸卡/萬(wàn)事達(dá)卡/Visa卡,指芯片卡)標(biāo)準(zhǔn)并沒(méi)有給記憶解析病毒提供一個(gè)最終的解決辦法,該標(biāo)準(zhǔn)闡明了對(duì)于POS和ATM系統(tǒng)來(lái)說(shuō),使用集成電路卡也就是芯片卡,會(huì)比現(xiàn)在美國(guó)部署的磁條卡,更具全球互用性。Valtman說(shuō):“我知道相比磁條卡而言,芯片卡可能是更安全的。話雖如此,但有時(shí)候你可以改變芯片卡密碼的設(shè)置,用另一種方式或未加密的方式使用芯片卡,這樣POS機(jī)終端刷卡也會(huì)存在很多其它問(wèn)題。”
Valtman表示,零售商應(yīng)該為POS機(jī)系統(tǒng)架構(gòu)起整體的防御系統(tǒng),而不是僅僅依靠POS機(jī)廠商來(lái)確保它們的產(chǎn)品安全。公司應(yīng)該花費(fèi)更多的精力來(lái)預(yù)防數(shù)據(jù)丟失,例如,零售商可以不關(guān)心是否有人試圖侵入內(nèi)存,在POS機(jī)上解析并抓取數(shù)據(jù),但是零售商應(yīng)該關(guān)心是否有人試圖泄露數(shù)據(jù)。
同時(shí),零售業(yè)仍然在努力弄清楚惡意軟件對(duì)于POS機(jī)系統(tǒng)到底有多大的威脅。塔吉特公司嚴(yán)重的數(shù)據(jù)泄露事件之后,今年一月份美國(guó)聯(lián)邦調(diào)查局向多家零售企業(yè)發(fā)布了一份機(jī)密的3頁(yè)報(bào)告,描述了這種記憶解析病毒感染POS機(jī)系統(tǒng)所能造成的風(fēng)險(xiǎn),警告美國(guó)零售業(yè)者在未來(lái)幾個(gè)月做好迎接同類型惡意軟件攻擊的準(zhǔn)備,但今年上半年P(guān)OS機(jī)系統(tǒng)一直相對(duì)平靜,并未再遭受到嚴(yán)重攻擊.
