Video: KUINKA VALITA KESKUSMUISTI! (Tutoriaali) (Marraskuu 2024)
Target pitää edelleen äitiä siitä, kuinka hyökkääjät onnistuivat rikkomaan verkkoaan ja keräämään yli 70 miljoonalle ostajalle kuuluvia tietoja, mutta nyt tiedämme, että hyökkäyksessä käytettiin RAM-haarukointiohjelmia.
"Emme tiedä tapahtuneen täydellistä laajuutta, mutta tiedämme vain sen, että myyntipisteiden rekistereihin oli asennettu haittaohjelmia. Paljon olemme todenneet", Targetin toimitusjohtaja Gregg Steinhafel sanoi haastattelussa CNBC keskustelee äskettäisestä rikkomuksesta. Yhtiö ilmoitti alun perin vaaranneen 40 miljoonan henkilön maksukorttitiedot, jotka ostivat yhdessä vähittäiskaupoista lomakauden aikana. Target kertoi viime viikolla, että myös 70 miljoonan ihmisen henkilötiedot varastettiin ja että kaikki ostajat, jotka tulivat kauppoihin koko vuoden 2013, olivat vaarassa.
Nimeämättömät lähteet kertoivat viikonlopun aikana Reutersille, että hyökkäyksessä käytetty haittaohjelma oli RAM-kaavin. RAM-kaavin on tietyn tyyppinen haittaohjelma, joka kohdistaa muistiin tallennettuihin tietoihin, toisin kuin kiintolevylle tallennettuihin tai verkon kautta välitettäviin tietoihin. Vaikka tämä haittaohjelmaluokka ei ole uusi, tietoturva-asiantuntijoiden mukaan tätä tekniikkaa käyttävien jälleenmyyjien hyökkäysten määrä on viime aikoina noussut ylös.
Hyökkää muisti
RAM-kaapimet katsovat tietokoneen muistiin tarttuakseen arkaluontoisiin tietoihin sen käsittelyn aikana. Nykyisten PCI-DSS-maksukorttiteollisuuden tietoturvastandardien mukaan kaikki maksutiedot on salattava, kun ne tallennetaan PoS-järjestelmään ja kun ne siirretään taustajärjestelmiin. Vaikka hyökkääjät voivat silti varastaa tietoja kiintolevyltä, he eivät voi tehdä mitään sen kanssa, jos se on salattu. Se, että tiedot on salattu matkoillaan verkon yli, tarkoittaa, että hyökkääjät eivät voi haistaa liikennettä varastamaan mitään.
Tämä tarkoittaa, että hyökkääjille on vain pieni tilaisuus - heti, kun PoS-ohjelmisto käsittelee tietoja - mahdollisuuksia tarttua tietoihin. Ohjelmiston on purettava tiedot väliaikaisesti salauksen selvittämiseksi, jotta näet tapahtuman tiedot, ja haittaohjelma tarttuu siihen hetkeen kopioidaksesi tiedot muistista.
RAM-kaavinta haittaohjelmien nousu voi olla sidottu siihen, että vähittäiskauppiaat paranevat entistä paremmin arkaluontoisia tietoja. "Se on asekilpailu. Heitämme esteen ja hyökkääjät mukautuvat ja etsivät muita tapoja tarttua tietoihin", sanoi Zscalerin turvallisuustutkimuksen varapuheenjohtaja Michael Sutton.
Vain toinen haittaohjelma
On tärkeää muistaa, että myyntipisteiden päätelaitteet ovat pääosin tietokoneita, vaikka niihin olisi liitetty oheislaitteita, kuten kortinlukijoita ja näppäimistöjä. Heillä on käyttöjärjestelmä ja ajo-ohjelmisto myyntitapahtumien käsittelemiseksi. Ne on kytketty verkkoon siirtääksesi tapahtumadataa taustajärjestelmiin.
Ja kuten kaikki muutkin tietokoneet, PoS-järjestelmät voivat saastuttaa haittaohjelmia. "Perinteisiä sääntöjä sovelletaan edelleen", sanoi Sophosin vanhempi turvallisuusneuvoja Chester Wisniewski. PoS-järjestelmä voi saada tartunnan, koska työntekijä käytti kyseistä tietokonetta verkkosivustolle, joka ylläpitää haittaohjelmia, tai avasi vahingossa sähköpostin haittaohjelman liitteen. Haittaohjelma olisi voinut hyödyntää tietokoneen lähettämättömiä ohjelmistoja tai mitä tahansa monista menetelmistä, jotka johtavat tietokoneen tartuntaan.
"Mitä vähemmän kauppojen työntekijöillä on etuoikeuksia myyntipisteissä, sitä epätodennäköisempää he saavat tartunnan", Wisniewski sanoi. Koneet, jotka käsittelevät maksuja, ovat erityisen arkaluontoisia, eivätkä ne saa estää selaamista tai luvattomien sovellusten asentamista, hän sanoi.
Kun tietokone on saanut tartunnan, haittaohjelma etsii tietyn tyyppisiä tietoja muistista - tässä tapauksessa luotto- ja pankkikorttinumeroita. Kun se löytää numeron, se tallentaa sen tekstitiedostoon, joka sisältää luettelon kaikista jo kerätyistä tiedoista. Jossain vaiheessa haittaohjelma lähettää sitten tiedoston - yleensä verkon välityksellä - hyökkääjän tietokoneelle.
Kuka tahansa on kohde
Vaikka vähittäiskauppiaat ovat tällä hetkellä kohteena haittaohjelmien muistamiselle, Wisniewski totesi, että kaikki maksukortteja käsittelevät organisaatiot olisivat haavoittuvia. Tämän tyyppisiä haittaohjelmia käytettiin alun perin vieraanvaraisuus- ja koulutusalalla, hän sanoi. Sophos viittaa RAM-kaaviniin Trackr-troijalaisena, ja muut toimittajat kutsuvat niitä Alina, Dexter ja Vskimmeriksi.
Itse asiassa RAM-kaapimet eivät ole erityisiä vain PoS-järjestelmille. Tietoverkkorikolliset voivat pakata haittaohjelmat varastaakseen tietoja missä tahansa tilanteessa, jossa tiedot yleensä salataan, Sutton sanoi.
Visa antoi kaksi turvahälytystä viime vuoden huhtikuussa ja elokuussa varoittaen kauppiaita hyökkäyksistä, jotka käyttivät PoS-haittaohjelmia muistiin. "Tammikuusta 2013 lähtien Visa on lisääntynyt verkkokauppamyynnissä, joissa on mukana vähittäiskauppiaita", Visa sanoi elokuussa.
Ei ole selvää, kuinka haittaohjelma pääsi Targetin verkkoon, mutta on selvää, että jokin epäonnistui. Haittaohjelmia ei asennettu vain yhteen PoS-järjestelmään, vaan moniin tietokoneisiin ympäri maata. "Kukaan ei huomannut", Sutton sanoi. Ja vaikka haittaohjelma oli liian uusi virustentorjuntaohjelman havaitsemiseksi, sen, että se oli siirtänyt tietoja verkosta, olisi pitänyt nostaa punaisia lippuja, hän lisäsi.
Yksittäisen ostajan kannalta luottokorttien käyttämättä jättäminen ei ole oikeastaan vaihtoehto. Siksi on tärkeää seurata säännöllisesti tiliotteita ja seurata kaikkia tilien tapahtumia. "Sinun on luotava jälleenmyyjille tietoihisi, mutta voit myös olla valppaana", Sutton sanoi.