在拉斯維加斯召開的美國2014黑帽大會(Black Hat USA)上,美國先進出納機(NCR)零售企業安全架構師Nir Valtman將向參會者介紹幾個他所設計的專門針對POS機系統的攻擊,同時也將探討零售商和POS機系統廠商可以采取的防御措施。
在黑客大會召開前一周,Valtman在接受記者采訪時曾說,他所展示的研究結果是基于他已經完成的威脅分析。他試圖了解這些危害或侵入POS機終端的惡意軟件,看看這些惡意軟件是如何感染POS機系統的,大家又可以采取什么措施來防御這些惡意軟件。Valtman所提到的“措施”包括物理措施,或改變操作系統,或是任意在供應商方可以采取的措施。
根據Valtman的觀點,廠商可以很容易實現且有效的一個方法是使用代碼簽名。代碼簽名是指創建一個綁定到特定的二進制可執行文件的加密哈希函數,作為可驗證的核查方式來防止惡意損害。Valtman指出:“如果你的軟件使用了代碼簽名,那么未簽名的惡意代碼就很難注入軟件。但是,你可以觀察一下各個企業,甚至是安全方面在行業領先的公司,不僅僅指POS機廠商,你會發現很多企業并不重視這一點。很多正在運行的程序都沒有使用代碼簽名,也沒有使用加密方式來干擾攻擊者。”
Valtman還指出很多零售商使用白名單,其中一些零售商甚至用白名單來代替殺毒軟件,但是其實一些白名單方法使用非常弱的算法以避免POS機系統性能受損而達不到多方防御效果。Valtman已經找到了將惡意DLL文件注入到POS機系統的方法,例如,可以進行記憶解析的惡意DLL文件,屆時黑客大會上將向大家演示這種攻擊。
零售行業遷移到EMV(歐陸卡/萬事達卡/Visa卡,指芯片卡)標準并沒有給記憶解析病毒提供一個最終的解決辦法,該標準闡明了對于POS和ATM系統來說,使用集成電路卡也就是芯片卡,會比現在美國部署的磁條卡,更具全球互用性。Valtman說:“我知道相比磁條卡而言,芯片卡可能是更安全的。話雖如此,但有時候你可以改變芯片卡密碼的設置,用另一種方式或未加密的方式使用芯片卡,這樣POS機終端刷卡也會存在很多其它問題。”
Valtman表示,零售商應該為POS機系統架構起整體的防御系統,而不是僅僅依靠POS機廠商來確保它們的產品安全。公司應該花費更多的精力來預防數據丟失,例如,零售商可以不關心是否有人試圖侵入內存,在POS機上解析并抓取數據,但是零售商應該關心是否有人試圖泄露數據。
同時,零售業仍然在努力弄清楚惡意軟件對于POS機系統到底有多大的威脅。塔吉特公司嚴重的數據泄露事件之后,今年一月份美國聯邦調查局向多家零售企業發布了一份機密的3頁報告,描述了這種記憶解析病毒感染POS機系統所能造成的風險,警告美國零售業者在未來幾個月做好迎接同類型惡意軟件攻擊的準備,但今年上半年POS機系統一直相對平靜,并未再遭受到嚴重攻擊.
