Site icon Emsisoft | Sicherheitsblog

Was hat es mit all den Datenpannen an Verkaufsorten (POS) auf sich?


Es ist gerade einmal ein Monat im Jahr 2014 vergangen, und im technologischen Bereich drehen sich die Schlagzeilen um ein Thema: Datenpannen bei POS-Angriffen.  Das erste Opfer war Target.  Dann folgte Neimann Marcus.  Dann Michaels.  Jetzt White Lodging, ein Unternehmen, das Hotels der Ketten Hilton, Sheraton, Marriott, und Westin verwaltet.

Obgleich ein Großteil dessen als Sensation in den Medien überspitzt dargestellt wird, geht hier jedoch klar einiges ab.  Einem Hacker oder eher einer Gruppe von Hackern ist es gelungen, Millionen von Kredit- und Debitkartenkonten zu knacken, indem sie Angriffe auf Kassensysteme mehrerer Großkonzerne ausführten.  Es steht noch nicht fest, ob die Angriffe miteinander im Zusammenhang stehen über eine zentrale Steuerstelle, aber 4 Angriffe in weniger als einem Monat ist schon beachtlich; wie viele noch aufgedeckt werden könnten, darüber kann man im Moment nur spekulieren.

Dies stellt einen ernstzunehmenden Trend für jeden Teilnehmer der von Computern beherrschten Wirtschaft dar, und als solcher möchte Emsisoft gerne selbst ein Wörtchen mitreden.

Hintergrund zu POS-Angriffen

Bei einem Point of Sale-Angriff ist ein Computer das Ziel, an dem eine finanzielle Transaktion stattfindet.  Die Kassen in Ihren Lieblingssupermärkten oder Einzelhändlern sind nichts weiter als modifizierte Computer, auf denen eine Spezialversion von Windows läuft.  Heutzutage kommt auf den meisten Kassensystemen Windows XP oder Windows XP Embedded zum Einsatz.  Das bedeutet, dass zum Erstellen von Malware für ein Kassensystem keine sonderlichen Kenntnisse oder Fähigkeiten vonnöten sind.

Kredit- oder Debitkartendaten sind auf einem Kassensystem gefährdet, da sie intern unverschlüsselt übertragen werden.  Obwohl die Daten bei der Eingabe ins Kassenterminal, beim Speichern im Terminal und beim Verlassen des Terminals und Senden an einen externen Server verschlüsselt sind, sind sie nicht verschlüsselt, wenn sie innerhalb des Terminals von einem Punkt zum nächsten wandern.

Ein Hacker namens Albert Gonzalez bemerkte als Erster diese Lücke und nutzte sie zu seinem Vorteil.  Von 2005 bis 2007 stahl und verkaufte Gonzalez geschätzte 170 Millionen Kredit- und Debitkartenkontonummern weiter (von Unternehmen wie TJ Maxx, Dave & Busters und anderen).  2010 wurde Gonzalez zu 20 Jahren Gefängnis verurteilt; seine Technik für Angriffe auf Kassensystem bleibt jedoch präsent und gereicht bis heute den meisten Angreifern als Inspiration.

Gonzalez nutzte einen sog. RAM-Scraper, ein Malware-Programm, dass unverschlüsselte Kontodaten aus dem temporären Speicher eines Rechners sammelt, während die Daten zwischen verschiedenen Punkten intern übertragen werden.

Es gibt in der Tat andere Methoden zum Abgreifen von Daten aus einem Kassensystem, aber der RAM-Scraper hat sich durchweg als die effizienteste erwiesen.  Ein weiterer Ansatz besteht darin, an einzelne Terminals bösartige Scan-Hardware anzuschließen, wie es bei Michaels damals 2011 und der in Chicago ansässigen Discounterkette ALDI 2010 der Fall war. Diese Methode bringt den gewünschten Erfolg, erfordert aber die Installation von Hardware an einem einzelnen Rechner, was die Chancen erhöht, erwischt zu werden, und die mögliche Bandbreite eines Angriffs einschränkt, da es um einiges einfacher ist, Malware durch ein Netzwerk einzuschleusen als von Hand einen manipulierten Kartenleser persönlich zu montieren.

Die Vorgänge bei POS-Angriffen

Wie bei jedem Angriff mit Hilfe von Computern ist die Erstellung der Malware nur die halbe Miete.  Um den Angriff effizienter zu gestalten, müssen die Angreifer die Systeme infiltrieren, die sie infizieren möchten, und die Daten exportieren, die sie unerkannt ergaunern möchten.

Infiltrierung

Nach dem jetzigen Stand der Dinge ist es eine Empfehlung des PCI Security and Standards Council, POS-Systeme isoliert von Netzwerken aufzustellen, aber eben keine Erfordernis.  „Isoliert von Netzwerken“ bedeutet, dass ein sicheres POS- oder Kassensystem über keine äußeren Verbindungen verfügt – wie PCs oder andere Netzwerke mit Zugang zum Internet.  Praktisch betrachtet ist die Empfehlung jedoch kaum umzusetzen, da Kassensysteme regelmäßig gewartet und aktualisiert werden müssen und Geschäftsdaten auf externe Server übertragen werden müssen.

POS-System verwenden daher Whitelisting-Software.  Mit Whitelisting-Software wird gesteuert, auf welchen „Kanälen“ ein POS-System kommunizieren woher es Aktualisierungen erhalten kann.  Sollte es einem Angreifer gelingen, die Whitelisting-Software eines Kassensystems zu hacken, kann er sodann seine eigenen Kanäle in die Whitelist des Systems eintragen und mit dem System fortan kommunizieren.  Falls sich das als schwierig herausstellt, könnte der Angreifer einfach Phishing-Angriffe auf Angestellte starten, um so direkten Zugang zum Firmennetzwerk durch eine Backdoor zu erhalten.

Auf welchem Wege auch immer die Kommunikation hergestellt wird, der Angreifer muss dann Administratorzugriff auf das POS-System erhalten.  Genau wie bei PCs gibt es hier einige Möglichkeiten.  Im Grunde läuft es darauf hinaus, Administrator-Zugangsdaten durch Passwort-Knacken ausfindig zu machen, wobei z. B. ein Keylogger oder Brute Force zum Einsatz kommen.   Sobald diese Zugangsdaten einmal gefunden sind, kann der RAM-Scraper auf dem POS-System eingespielt werden und mit dem Sammeln der Daten beginnen.  Hier ist jedoch noch lange nicht Schluss.

Exfiltration

Daten, die ein RAM-Scraper gesammelt hat, sind nutzlos, wenn sie nicht von einem menschlichen Angreifer gesammelt werden können.  Denn Angreifer können diese Daten auf Internetauktionsseiten meistbietend verkaufen.  Dementsprechend verfügen die meisten POS-Systeme über strenge Sicherheitsvorkehrungen beim Export von Kontodaten.  Sie werden nämlich verschlüsselt und nur an „autorisierte“ (engl. „whitelisted“) Standorte gesendet.   Um diese erste Vorkehrung zu umgehen, können die Angreifer einfach ihre Übertragungen exportierter Daten verschlüsseln, um keinen Verdacht zu erwecken.  Die Angreifer können ebenso die Exporte zeitlich mit anderen zulässigen abstimmen, sodass sie sozusagen in der Menge untergehen.  Um die zweite Sicherheitsvorkehrung zu umgehen, können die Angreifer zulässige Server ausfindig machen, hacken und so als Ausgangspunkt für weitere Datenübertragungen an gehackte Server Dritter auf augenscheinlich harmlosen Websites nutzen.

Danach kann ein Angreifer mit Hilfe von Administrator-Zugangsdaten das POS-System von seinen Spuren säubern oder den RAM-Scraper so konfigurieren, dass er sich selbst zerstört.

BlackPOS

Einer der beliebtesten RAM-Scraper, der heutzutage Verwendung findet, heißt BlackPOS.  Es gibt eine Reihe von Varianten von BlackPOS, von denen man die meisten auf Hacking-Websites käuflich erwerben kann und einer zum Angriff auf Target verwendet wurde.

Am 4. Februar veröffentlichte der im Bereich Computersicherheit tätige Journalist Brian Krebs ein Interview mit zwei Analysten, die auf BlackPOS bereits im Januar 2013 gestoßen waren, als ihr Unternehmen PSC einem nicht genannten Händler bei der Beseitigung einer Infektion zur Seite stand.  Das Gespräch von Krebs mit den beiden Analysten Tom Arnold und Paul Guthrie zog sich einige Zeit hin, aber erwies sich als recht aufschlussreich und lieferte viele wichtige Hinweise darauf, dass BlackPOS um einiges fortschrittlicher ist als jeder 08/15-RAM-Scraper.

Die Analysten gaben zu verstehen, dass BlackPOS, mit dem sie über ein Jahr lang gearbeitet hätten, an der Interprozesskommunikation ansetze und sich in das POS-System integriere, um dann gezielt nach Kredit- und Debitkartennummern suche anstatt Riesenmengen an Code abzugreifen, welche die Angreifer dann mühsam von Hand aussortieren müssten.  Sie sprachen ebenfalls über den Exfiltrationsvorgang der Malware; sie haben zwar nie ganz herausfinden können, wie dieser vonstatten geht, aber stellten fest, dass er zeitlich so abgestimmt sei, dass er in der Menge untergehe.  Des Weiteren konnte der BlackPOS von Januar 2013 seine Spuren mit erstaunlicher Genauigkeit verwischen.  Die Malware verfügte über eine wurmartige Komponente, die sich dann im lokalen POS-Netzwerk auf die Suche nach Geräten mit POS-Software macht.  Sofern ein Gerät nicht darüber verfügt, zerstört sich die Malware von selbst und hinterlässt keine Spuren.

Wenn man bedenkt, dass BlackPOS über die Fähigkeiten bereits vor einem Jahr verfügt, kann man sich leicht ausmalen, dass die Variante, die beim Angriff auf Target verwendet, ungleich leistungsfähiger sein muss.  Am interessantesten ist jedoch, dass HP tatsächlich vor dem Interview von Krebs mit dem Analysten am 4. Februar eine Analyse der Entwicklung von BlackPOS am 31. Januar veröffentlichte.  In dieser Analyse wurde BlackPOS von 2012 mit der mutmaßlich beim Angriff auf Target verwendeten Variante verglichen, und dabei stellte man zwei Hauptunterschiede fest:

  1. Im Falle von Target registrierte sich BlackPOS als Windows-Dienst mit der Funktion create_and_start_service, wohingegen es sich bei der Variante von 2012 um eine ausführbare Datei in der Kommandozeile handelte.
  2. Bei Target extrahierte BlackPOS einmal am Tag Daten durch Aufruf einer Funktionen namens upload_log_file zwischen den Geschäftsspitzenzeiten von 10 Uhr morgens bis 17 Uhr abends.

In krassem Widerspruch zu den Aussagen von Arnold und Guthrie über die 2013er Variante von BlackPOS – „Falls das die Arbeit eines einzigen Kerls ist, dann ist er ein Genie“ – zeigte sich HP der fortschrittlicheren Variante gegenüber, die bei Target zum Einsatz kam, als ziemlich herablassend und gab zu Protokoll, „sie sei nicht sonderlich ausgeklügelt oder technisch anspruchsvoll“.

Die Zukunft von POS-Angriffen

Bereits die unterschiedliche Auslegung hinsichtlich der Komplexität von BlackPOS lässt eines der größten Hindernisse im Kampf gegen POS-Malware erkennen.  Wenn sich Fachleute nicht einigen können, wie können es dann politische Entscheidungsträger?  Wenn die PCI Richtlinien aufstellt, warum dann als Empfehlung und nicht als Erfordernis? Und wenn unabhängige Journalisten wie Krebs von POS-Angriffen früher als die Behörden Bescheid wussten, wie können die Personen an den Schaltstellen jemals gleich auf bleiben?

Was alles noch ein wenig komplizierter macht, ist die Tatsache, dass Microsoft am 8. April 2014 den Support für Windows XP einstellt, genau für das System, das in den meisten POS-Systemen heutzutage verwendet wird.

Als Reaktion darauf haben amerikanische politische Entscheidungsträger eine Debatte über eine neue Art von Chip- und PIN-basierter Kredit-/Debitkarte ins Rollen gebracht, welche die Magnetstreifentechnik ablösen könnte. Mit dieser neuen Technik würde es Betrügern erschwert, gefälschte Karten herzustellen und die Kosten für Angreifer in die Höhe treiben, aber der Leistungsfähigkeit der RAM-Scraper würde dies keinen Abbruch tun.  Diese Debatte ist ebenso von vielen politischen Folgen hinsichtlich der FTC geprägt, deren Zweiparteiennatur jeglichen Fortschritt auf die Geschwindigkeit einer Internetverbindung per Modem bremst.

Letzten Endes ist es diesem langsamen Fortgang zu verdanken, dass POS-Angriffe weiterhin stattfinden und Erfolg haben.  Tatsächlich dachte die Target Corporation bereits vor vollen 10 Jahren darüber nach, ihre auf Vergütung basierenden Kreditkarten auf Chip- und PIN-Technologie umzustellen.  Noch mehr für sich spricht die kürzlich von Verizon Corporation angestellte Untersuchung zu Datenpannen, aus der eine Zunahme um 25% bei Datenpannen hervorgeht, die „monatelange oder noch länger“ unentdeckt bleiben, von 41% im Jahr 2010 auf 66% im Jahr 2012.

Sicherlich wird großes Aufleben um diese Situation gemacht, aber ist doch auch berechtigt und sollte Anlass geben zu Diskussionen und Lösungen.  4 POS-Datenpannen in allein den letzten paar Monaten zeigen nur das, was die Medien abdecken.  Die Tatsache, dass Analysten mit einer BlackPOS-Variante arbeiteten, die einen ungenannten Händler im Jahr 2013 infizierte und dass die Malware sich im Laufe der Zeit weiterentwickelt hat, spricht deutlich dafür, dass die Wahrscheinlichkeit zukünftiger Angriffe – oder zumindest der Enthüllung solcher, die bereits stattgefunden haben – ziemlich hoch ist.

Lösungen in diesem Katz- und Mausspiel werden eine Einigung innerhalb der Computersicherheits-Community einschließen… und vielleicht sogar ein wenig Verhaltensanalyse als Zugabe ;) Bis dahin wünschen wir bei Emsisoft Ihnen einen schönen Tag (ohne Datenpannen)!

 

 

Exit mobile version