在拉斯维加斯召开的美国2014黑帽大会(Black Hat USA)上,美国先进出纳机(NCR)零售企业安全架构师Nir Valtman将向参会者介绍几个他所设计的专门针对POS机系统的攻击,同时也将探讨零售商和POS机系统厂商可以采取的防御措施。
在黑客大会召开前一周,Valtman在接受记者采访时曾说,他所展示的研究结果是基于他已经完成的威胁分析。他试图了解这些危害或侵入POS机终端的恶意软件,看看这些恶意软件是如何感染POS机系统的,大家又可以采取什么措施来防御这些恶意软件。Valtman所提到的“措施”包括物理措施,或改变操作系统,或是任意在供应商方可以采取的措施。
根据Valtman的观点,厂商可以很容易实现且有效的一个方法是使用代码签名。代码签名是指创建一个绑定到特定的二进制可执行文件的加密哈希函数,作为可验证的核查方式来防止恶意损害。Valtman指出:“如果你的软件使用了代码签名,那么未签名的恶意代码就很难注入软件。但是,你可以观察一下各个企业,甚至是安全方面在行业领先的公司,不仅仅指POS机厂商,你会发现很多企业并不重视这一点。很多正在运行的程序都没有使用代码签名,也没有使用加密方式来干扰攻击者。”
Valtman还指出很多零售商使用白名单,其中一些零售商甚至用白名单来代替杀毒软件,但是其实一些白名单方法使用非常弱的算法以避免POS机系统性能受损而达不到多方防御效果。Valtman已经找到了将恶意DLL文件注入到POS机系统的方法,例如,可以进行记忆解析的恶意DLL文件,届时黑客大会上将向大家演示这种攻击。
零售行业迁移到EMV(欧陆卡/万事达卡/Visa卡,指芯片卡)标准并没有给记忆解析病毒提供一个最终的解决办法,该标准阐明了对于POS和ATM系统来说,使用集成电路卡也就是芯片卡,会比现在美国部署的磁条卡,更具全球互用性。Valtman说:“我知道相比磁条卡而言,芯片卡可能是更安全的。话虽如此,但有时候你可以改变芯片卡密码的设置,用另一种方式或未加密的方式使用芯片卡,这样POS机终端刷卡也会存在很多其它问题。”
Valtman表示,零售商应该为POS机系统架构起整体的防御系统,而不是仅仅依靠POS机厂商来确保它们的产品安全。公司应该花费更多的精力来预防数据丢失,例如,零售商可以不关心是否有人试图侵入内存,在POS机上解析并抓取数据,但是零售商应该关心是否有人试图泄露数据。
同时,零售业仍然在努力弄清楚恶意软件对于POS机系统到底有多大的威胁。塔吉特公司严重的数据泄露事件之后,今年一月份美国联邦调查局向多家零售企业发布了一份机密的3页报告,描述了这种记忆解析病毒感染POS机系统所能造成的风险,警告美国零售业者在未来几个月做好迎接同类型恶意软件攻击的准备,但今年上半年POS机系统一直相对平静,并未再遭受到严重攻击.
