Giới thiệu

Việc sử dụng hệ thống điểm bán hàng có thể được thấy trong các ngành như bán lẻ, khách sạn, dịch vụ ăn uống, may mặc, tạp hóa, ô tô, v.v. Bất cứ khi nào bạn quẹt thẻ để mua hàng hoặc sử dụng kiosk tự thanh toán, Hệ thống Point-Of-Sale chịu trách nhiệm xử lý các phức tạp của giao dịch trong hệ thống kết nối dữ liệu.

Với bản chất tinh vi của Point-of-Sale, các tiêu chuẩn bảo mật đã được tạo ra để bảo vệ người tiêu dùng khỏi các rủi ro bên ngoài. Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán (PCI-DSS) là tiêu chuẩn bảo mật thông tin cho các tổ chức năng xử lý thẻ tín dụng và thẻ ghi nợ do các công ty thẻ tín dụng lớn phát hành. Tiêu chuẩn đã được tạo để tăng quyền kiểm soát đối với dữ liệu của chủ thẻ. Tiêu chuẩn bảo mật dữ liệu ứng dụng thanh toán (PA-DSS) do Hội đồng tiêu chuẩn bảo mật ngành thẻ thanh toán (PCI-SSC) tạo ra, cho rằng các nhà cung cấp phần mềm phát triển ứng dụng thanh toán phải tuân theo một tập hợp các phương pháp tốt nhất để bảo vệ dữ liệu của chủ thẻ. Tuy nhiên, bằng chứng cho thấy rằng các tiêu chuẩn này không đủ để ngăn chặn hoàn toàn mối đe dọa từ hacker bên ngoài.

Bảo mật trong thanh toán POS
Bảo mật trong thanh toán POS

BACK GROUND

Nghiên cứu của chúng tôi về trạng thái dữ liệu thẻ trong môi trường dữ liệu của chủ thẻ (CDE) đã tiết lộ những điều sau đây:

  • 1, Dữ liệu không phải lúc nào cũng được mã hóa khi truyền gửi
    Dữ liệu giao dịch không được mã hóa khi chuyển sang thiết bị đầu cuối thanh toán, khả năng bị đánh cắp thông tin là rất lớn.
    Tiêu chuẩn PA-DSS quy định rằng các ứng dụng thanh toán phải “mã hóa thông tin nhạy cảm trên các mạng công cộng”. Tuy nhiên, không có yêu cầu như vậy đối với dữ liệu trong chuẩn CDE.
  • 2,  Dữ liệu được mã hóa một phần ở phần còn lại
    Theo PA-DSS, chỉ PAN yêu cầu mã hóa phần còn lại. Tên chủ thẻ, mã dịch vụ và ngày hết hạn có thể không được mã hóa.
    Dữ liệu xác thực nhạy cảm như dữ liệu theo dõi đầy đủ, số CAV / CVC / CVV / CID và mã PIN bị cấm lưu trữ, ngay cả khi được mã hóa.
  • 3, Dữ liệu hiếm khi được mã hóa trong bộ nhớ
    Tiêu chuẩn PA-DSS khuyến cáo rằng các nhà phát triển tạo ra “các ứng dụng thanh toán an toàn”. Tuy nhiên, nó không đề xuất cụ thể bất kỳ  phương thức mã hóa an toàn nào, đặt cơ sở của sự hiểu biết cho các nhà phát triển.
    Mặc dù nỗ lực xử lý dữ liệu PCI một cách an toàn trong bộ nhớ, nhưng RAM crapping vẫn là một phương pháp khả thi để truy xuất.

Như có thể mong đợi, các kẻ tấn công đã tìm ra cách để khai thác trạng thái bảo vệ dữ liệu không nhất quán trong các hệ thống POS, dẫn đến một loạt các vi phạm quy mô lớn. Vào ngày 2 tháng 3 năm 2018, RMH Franchise Holdings, nhà phân phối của Applebee, tiết lộ rằng họ đã xác định “phần mềm trái phép” trên hệ thống POS của họ “được thiết kế để thu thập thông tin thẻ thanh toán”. Như một chỉ số về sự thỏa hiệp sâu rộng này, RMH Franchise Holdings sở hữu 167 địa điểm ở 15 tiểu bang. Hiện chưa rõ có bao nhiêu địa điểm bị ảnh hưởng bởi sự vi phạm.

Ngoài ra, vào ngày 14 tháng 11 năm 2017, Forever21 báo cáo sự cố bảo mật thẻ thanh toán liên quan đến phần mềm độc hại POS “chỉ tìm kiếm dữ liệu theo dõi được đọc từ thẻ thanh toán khi được định tuyến thông qua thiết bị POS”. Ghi nhận sớm nhất bị nhiễm virus có từ ngày 3 tháng 4 năm 2017, cho thấy thời gian sống lâu hơn 7 tháng .

Để hiểu rõ hơn về mức độ khó khăn khi tấn công đối với các mạng này, chúng tôi quyết định liệt kê giao diện tấn công của một CDE đơn giản.

ATTACK SURFACE

Tương tác ban đầu của khách hàng với hệ thống POS của người bán bắt đầu tại các thiết bị điểm tương tác (POI, POS). Điều này bao gồm các thiết bị đầu cuối POS và giao diện nhập mã PIN. Một số nhà cung cấp như Verifone, Ingenico và PAX cung cấp các giải pháp POI nâng cao. Đây là nơi dữ liệu chủ thẻ của bạn liên lạc đầu tiên với hệ thống POS. Khi dữ liệu truyền từ dải từ của thẻ đến POI không được mã hóa, đây là mục tiêu nóng cho bộ lọc thẻ. Mỗi thiết bị này cũng bao gồm một hệ điều hành cơ bản có khả năng chạy phần mềm POS, có các giao diện đăng nhập bổ sung nâng cao.

Điểm tiếp thep tiếp nhận thông tin cho PII của bạn là phần mềm thiết bị đầu cuối POS. Có hàng ngàn ứng dụng khác nhau có sẵn cho các thương gia để quản lý nhu cầu POS của họ. Phần mềm POS phổ biến bao gồm các giải pháp POS được cung cấp bởi công ty con của Oracle, MICROS Systems, cũng như AlohaPOS của NCR. Phần mềm POS chịu trách nhiệm xử lý dữ liệu chủ thẻ nhạy cảm thành các yêu cầu giao dịch thanh toán. Khả năng thực sự của các cấu hình ứng dụng không an toàn hoặc xử lý không đúng các dữ liệu nhạy cảm cùng với cảnh quan ứng dụng POS bị phân mảnh làm cho nó trở thành một thành phần rất dễ tấn công đánh cắp dữ liệu.

Các hệ thống lưu trữ phần mềm POS đã được chứng minh là mục tiêu rất hấp dẫn cho các tác giả phần mềm độc hại. Chúng chủ yếu chạy các hệ điều hành như Windows Desktop, Windows Server Edition hoặc Windows POSReady. Điều này có nghĩa là kẻ tấn công có thể sử dụng các kỹ thuật nổi tiếng để khai thác và thay đổi quyền truy cập cho các mục tiêu này. Mặc dù được giám sát rất nhiều và hiếm khi bị bỏ mặc, các hệ thống này thường có thể tiếp cận được với công chúng. Kẻ tấn công có thể tận dụng khả năng truy cập vật lý vào một trong những hệ thống này để có được quyền truy cập ban đầu vào CDE, do đó sử dụng nó như một điểm khởi đầu cho chuyển động bên trong toàn bộ CDE. Một trong những phần quan tâm nhất đối với kẻ tấn công là máy chủ cơ sở dữ liệu POS.

Máy chủ cơ sở dữ liệu POS chịu trách nhiệm lưu trữ dữ liệu của chủ thẻ cũng như các hình thức khác của PII. Các máy chủ này có cùng rủi ro với các máy chủ cơ sở dữ liệu trong hầu hết các môi trường khác. Ngoài ra, thỏa hiệp máy chủ cơ sở dữ liệu POS có thể vi phạm tính toàn vẹn của các ứng dụng phụ thuộc. Một số giải pháp phần mềm POS cung cấp giải pháp cơ sở dữ liệu POS được quản lý được lưu trữ trên đám mây. Giải pháp hộp đen này đặt ra những rủi ro của riêng nó. Người bán phải tin tưởng bên thứ ba này phân đoạn đúng dữ liệu khách hàng và có khả năng bảo vệ chống lại các cuộc tấn công cơ sở hạ tầng trên đám mây như “rowhammer” hoặc “spectre”.

Điểm đầu ra cuối cùng cho dữ liệu giao dịch là từ các máy chủ thanh toán POS ngược dòng cho các bộ xử lý thanh toán. Mặc dù có hỗ trợ cho Linux, các ứng dụng xử lý thanh toán chủ yếu được hỗ trợ trên nền tảng Windows. Kẻ tấn công quan sát có thể theo dõi lưu lượng gửi đi để suy ra địa chỉ cổng thanh toán và tấn công trực tiếp. Các cuộc tấn công như vậy sẽ ảnh hưởng đến số lượng lớn các chủ thẻ, vì các bộ xử lý thanh toán xử lý các giao dịch từ nhiều CDE thương gia. Trong năm 2008, Hệ thống thanh toán Heartland, hơn 100 triệu thẻ bị đánh cắp thông tin người dùng, mật khẩu và các dữ liệu liên quan. Thanh toán toàn cầu cũng bị mất dữ liệu nghiêm trọng trong năm 2011 đã ảnh hưởng đến 1,5 triệu thẻ thanh toán ước tính ở Bắc Mỹ . Như bạn có thể thấy, đặc tả của bộ xử lý thanh toán không ảnh hưởng đến an ninh của hệ thống máy POS.

Mặc dù điều tra bề mặt tấn công cho thấy các điểm tiềm ẩn của lỗ hổng, nhưng nó vẫn là một quan điểm lý thuyết. Để hiểu được cách mà bề mặt tấn công này dịch sang thế giới thực, chúng tôi quyết định xem xét nhiều mẫu phần mềm độc hại POS và chức năng của chúng. Rõ ràng, phần mềm độc hại POS không phải là đặc biệt về vectơ lây nhiễm ban đầu; lừa đảo, tấn công bạo lực và trộm cắp thông tin xác thực tỏa sáng phổ biến. Điều gì làm cho phần mềm độc hại POS khác nhau là các mục tiêu sau khai thác của họ. Trong một nỗ lực để ăn cắp dữ liệu thẻ tín dụng từ máy chủ bị xâm nhập, phần mềm độc hại POS bao gồm cả chức năng cạo RAM hoặc chức năng keylogging. BlackPOS là một ví dụ rất phổ biến về phần mềm độc hại của phần mềm dọn dẹp RAM. Một biến thể của BlackPOS này chịu trách nhiệm cho sự tàn phá được thấy trong vi phạm Target. Sau khi kẻ tấn công truy cập vào các dữ liệu nhạy cảm, vẫn còn những rắc rối của dữ liệu exfiltration. Một số phần mềm độc hại, chẳng hạn như Dexter, chọn exfiltrate qua https. Gia đình phần mềm độc hại UDPoS gần đây sử dụng tính năng exfiltration của DNS để có thêm tính năng ẩn. Nhìn chung, phần mềm độc hại POS dường như không phát triển nhiều kể từ khi phát hiện ra khoảng năm 2008. Điều này cho thấy mô hình rủi ro cho hệ thống POS chưa thay đổi đáng kể cho bọn tội phạm mạng để thích ứng với các kỹ thuật mới.

Research Focus

Sau khi phân tích các lỗ hổng phần mềm trên hệ thống POS và phân tích phần mềm độc hại POS, chúng tôi đã quyết định kiểm tra các phần mềm dùng thử miễn phí và phần mềm khác nhau cho các ứng dụng POS tuân thủ PA-DSS được xác thực. PCI SSC duy trì danh sách hàng nghìn giải pháp POS đã được xác nhận. Các ứng dụng mà chúng tôi đã xem xét chủ yếu hỗ trợ Mô hình triển khai POS EPS như được mô tả bởi Gomzin trong “Điểm bán hàng Hacking”.

POS-deployment
POS-deployment

Link tham khảo: https://versprite.com/blog/oh-the-possibilities-a-case-study-in-point-of-sale-insecurity/

Translate »