На хакерской конференции показали уязвимости платежных терминалов

07-02-2012
Эксперты по защите от несанкционированных проникновений из Германии и Испании продемонстрировали серьезные уязвимости в трех распространенных моделях платежных терминалов. Специалисты, работающие на британскую компанию MWR InfoSecurity, показали, как злоумышленники могут похищать данные кредитных карт и ПИН-коды к ним из этих терминалов.

Демонстрация уязвимостей состоялась на хакерской конференции Black Hat USA 2012 в Лас-Вегасе. Работу представляли два докладчика – глава исследовательского отдела из Германии, именующий себя просто «Нильс», и испанский консультант компании MWR по имени Рафаэль Доминигес Вега (Rafael Dominguez Vega). Нильс и Вега показали потенциальные уязвимости на примере трех наиболее популярных POS-терминалов: две модели, популярные в Великобритании (и частично в США), а третья модель очень широко используется в США.

Авторы работы отказались называть производителей и конкретные модели терминалов, ссылаясь на то, что производители должны получить достаточно времени на внесение исправлений.

Во время демонстрации названия были заклеены и идентифицировать устройства было невозможно.

Уязвимость двух популярных в Британии терминалов связана с технологиями оплаты. В частности, злоумышленник может контролировать экран терминала, принтер чеков, считыватель платежных карт и клавиатуру для ввода ПИН-кодов. Кроме того, была показана возможность применения специально изготовленных смарт-карт со встроенным чипом. Такие карты могут содержать вредоносный код внутри чипа – этот код исполняется на устройстве и встраивается в ПО считывателя. В ходе демонстрации авторы смогли установить со смарт-карты игру с гонками на всех трех терминалах, а потом показали возможность управлять игрой с помощью ПИН-клавиатуры и экрана.

На втором (американском) устройстве исследователи применили такой же метод для установки троянца, записывающего номера карт и ПИН-кодов. Записанную информацию они извлекли с помощью еще одной подложной смарт-карты, вставив ее в считыватель. Еще один способ использования этой уязвимости – обман работников торговых точек. С помощью фальшивой смарт-карты можно убедить их, что платеж одобрен банком (на печать выводится фальшивый чек, терминал отображает подтверждение), а потом забрать товар, хотя деньги фактически не перечислены. Также существует возможность полного копирования данных с магнитной ленты на карте – это позволяет полностью клонировать карту. Для этого вредоносное ПО может заблокировать платеж со смарт-карты, принудив добропорядочного покупателя переключиться на карту с магнитной полосой.

Третий терминал, популярный в США, оказался сложнее для взлома, чем первые два устройства. У него есть сенсорный экран для удобного ввода подписей, считыватель смарт-карт и СИМ-карта для работы в мобильных сетях, USB-порт, Ethernet-порт, а также административный интерфейс для локального и удаленного управления. Как оказалось, канал удаленного управления в этом терминале не шифруется. Если преступник получит доступ к локальному сетевому порту терминала, появляется возможность подмены ARP-маршрутов и DNS-имен, чтобы терминал исполнял команды с фальшивого сервера управления. В ходе демонстрации авторы смогли удаленно включить сервис консольного управления Telnet и войти в систему с правами суперпользователя «root».

Как пояснили докладчики, уровень доверия к платежным терминалам слишком высок. В начале июля другая группа экспертов по безопасности показала уязвимости платежного терминала, распространенного в Германии. С помощью этих уязвимостей злоумышленники могут компрометировать терминал по локальной сети, выполняя кражу ПИН-кодов и данных с магнитной полосы на картах.

Представители компании MWR подчеркнули, что у них нет доказательств уязвимости на других моделях терминалов от других производителей. Тем не менее, они уверены, что ни одну систему нельзя считать совершенной. Уже известно, что производители получили информацию о найденных проблемах, а один из них даже выпустил соответствующее исправление. Тем не менее, сертификация и развертывание этого исправления может занять некоторое время.

По материалам сайта PC World.

Новости

все
25.07.2012
Главный инспектор аэрокосмического агентства США, НАСА, сообщил о расследовании скандального
24.07.2012
Анонсированы Leica M9 и X1: карманный FF и APS-C с фиксом Для тех, кто не желает таскать с
23.07.2012
Скоро беспроводная сеть позволит посмотреть сквозь стену? Видеть сквозь препятствия –

Дизайны

Разработали структуру сайта, создали сайт, соответствующий всем требованиям заказчика. Создали
Разработали структуру сайта, создали сайт по новым технологиям. Создали индивидуальный и
ООО Транспортная Компания «ТрансРусь» предлагает Вам свои услуги по приемке и