Nir Valtman：針對POS機(jī)系統(tǒng)的攻擊與防御

　　在今年的黑客大會(Black Hat USA 2014)上，POS機(jī)系統(tǒng)專家Nir Valtman將介紹一些專門攻擊POS機(jī)系統(tǒng)安全的新惡意軟件以及防御這些惡意軟件可采取的措施。

　　自從塔吉特公司(Target Corp.)POS機(jī)系統(tǒng)遭到黑客攻擊之后，POS機(jī)設(shè)備的安全問題就倍受關(guān)注，但到目前為止，可以采取的解決措施并不明朗。

　　在拉斯維加斯召開的美國2014黑帽大會(Black Hat USA)上，美國先進(jìn)出納機(jī)(NCR)零售企業(yè)安全架構(gòu)師Nir Valtman將向參會者介紹幾個他所設(shè)計的專門針對POS機(jī)系統(tǒng)的攻擊，同時也將探討零售商和POS機(jī)系統(tǒng)廠商可以采取的防御措施。

　　在黑客大會召開前一周，Valtman在接受記者采訪時曾說，他所展示的研究結(jié)果是基于他已經(jīng)完成的威脅分析。他試圖了解這些危害或侵入POS機(jī)終端的惡意軟件，看看這些惡意軟件是如何感染POS機(jī)系統(tǒng)的，大家又可以采取什么措施來防御這些惡意軟件。Valtman所提到的“措施”包括物理措施，或改變操作系統(tǒng)，或是任意在供應(yīng)商方可以采取的措施。

　　根據(jù)Valtman的觀點(diǎn)，廠商可以很容易實(shí)現(xiàn)且有效的一個方法是使用代碼簽名。代碼簽名是指創(chuàng)建一個綁定到特定的二進(jìn)制可執(zhí)行文件的加密哈希函數(shù)，作為可驗證的核查方式來防止惡意損害。Valtman指出：“如果你的軟件使用了代碼簽名，那么未簽名的惡意代碼就很難注入軟件。但是，你可以觀察一下各個企業(yè)，甚至是安全方面在行業(yè)領(lǐng)先的公司，不僅僅指POS機(jī)廠商，你會發(fā)現(xiàn)很多企業(yè)并不重視這一點(diǎn)。很多正在運(yùn)行的程序都沒有使用代碼簽名，也沒有使用加密方式來干擾攻擊者?！?

　　Valtman還指出很多零售商使用白名單，其中一些零售商甚至用白名單來代替殺毒軟件，但是其實(shí)一些白名單方法使用非常弱的算法以避免POS機(jī)系統(tǒng)性能受損而達(dá)不到多方防御效果。Valtman已經(jīng)找到了將惡意DLL文件注入到POS機(jī)系統(tǒng)的方法，例如，可以進(jìn)行記憶解析的惡意DLL文件，屆時黑客大會上將向大家演示這種攻擊。

　　零售行業(yè)遷移到EMV(歐陸卡/萬事達(dá)卡/Visa卡，指芯片卡)標(biāo)準(zhǔn)并沒有給記憶解析病毒提供一個最終的解決辦法，該標(biāo)準(zhǔn)闡明了對于POS和ATM系統(tǒng)來說，使用集成電路卡也就是芯片卡，會比現(xiàn)在美國部署的磁條卡，更具全球互用性。Valtman說：“我知道相比磁條卡而言，芯片卡可能是更安全的。話雖如此，但有時候你可以改變芯片卡密碼的設(shè)置，用另一種方式或未加密的方式使用芯片卡，這樣POS機(jī)終端刷卡也會存在很多其它問題?！?

　　Valtman表示，零售商應(yīng)該為POS機(jī)系統(tǒng)架構(gòu)起整體的防御系統(tǒng)，而不是僅僅依靠POS機(jī)廠商來確保它們的產(chǎn)品安全。公司應(yīng)該花費(fèi)更多的精力來預(yù)防數(shù)據(jù)丟失，例如，零售商可以不關(guān)心是否有人試圖侵入內(nèi)存，在POS機(jī)上解析并抓取數(shù)據(jù)，但是零售商應(yīng)該關(guān)心是否有人試圖泄露數(shù)據(jù)。

　　同時，零售業(yè)仍然在努力弄清楚惡意軟件對于POS機(jī)系統(tǒng)到底有多大的威脅。塔吉特公司嚴(yán)重的數(shù)據(jù)泄露事件之后，今年一月份美國聯(lián)邦調(diào)查局向多家零售企業(yè)發(fā)布了一份機(jī)密的3頁報告，描述了這種記憶解析病毒感染POS機(jī)系統(tǒng)所能造成的風(fēng)險，警告美國零售業(yè)者在未來幾個月做好迎接同類型惡意軟件攻擊的準(zhǔn)備，但今年上半年P(guān)OS機(jī)系統(tǒng)一直相對平靜，并未再遭受到嚴(yán)重攻擊。