image

Malware zuigt geheugen kassasystemen leeg

maandag 18 februari 2013, 10:38 door Redactie, 3 reacties

Het infecteren van kassasystemen met malware is een lucratieve manier voor cybercriminelen om grote hoeveelheden creditcardgegevens te stelen en de werkwijze wordt steeds geraffineerder. De Data Security Standard van de Payment Card Industry (PCI-DSS) bevat de regels waar bedrijven die creditcardtransacties verwerken volgens de creditcardmaatschappijen aan moeten voldoen.

Zo moeten creditcardgegevens over het algemeen worden versleuteld in het geval ze worden opgeslagen, en mag sommige data, zoals het CVV-nummer, helemaal niet worden opgeslagen als de transactie is afgerond. Een regel waar de cybercriminelen van hebben geleerd.

Schijf
De nieuwste malware die kassasystemen kan infecteren, ook bekend als Point-of-Sale (PoS) apparatuur, voorkomt zowel het lezen van gegevens vanaf harde schijf als het wegschrijven van data op de harde schijf. Alle informatie wordt direct uit het geheugen gekopieerd en naar een remote server gestuurd.

De criminelen vermijden grote winkelketens en bedrijven en richten zich voornamelijk op de gastvrijheidssector en hotels, hoewel ook steeds vaker kleinere bedrijven worden getroffen.

Zo werd de malware onlangs nog op het kassasysteem van een Australische autohandelaar aangetroffen, aldus anti-virusbedrijf Sophos.

Reacties (3)
18-02-2013, 13:49 door Anoniem
Tjee, malware die zich niet aan de industriestandaard PCI-DSS houdt. Wat vervelend nu.

Vooral voor partijen die maar blijven volhouden dat je data echt eerlijk waar hon-derd pro-cent vei-lig ge-ga-ran-deerd bij ze is want kijk maar ze houden zich toch aan de industriestandaardregeltjes.

(Voor degenen die de dis niet snappen: Min of meer arbitraire verzamelingen "best practice" regels, ook wanneer tot "industriestandaard" gebombardeerd, zijn leuk en kunnen wellicht best helpen maar zijn geen garantie op wat dan ook. Dus als je schermt met zulke regeltjes als ware het garanties, en dat gebeurt, ben je eigenlijk bezig de boel te flessen, want de implicatie gaat niet op. Het is eigenlijk te triest voor woorden dat dit nog uitgelegd moet worden maar de ervaring leert dat dat inderdaad moet, nog steeds.)
18-02-2013, 14:23 door Anoniem
Ok, fair point. Maar mijn inziens, moeten organisaties toch echt ergens beginnen en dan zijn best practises een goede eerste stap om vervolgens er nog eens goed over te buigen wat ze waarom willen beschermen (dit kun je beter vooraf doen, maar zo werkt het in de praktijk helaas niet altijd).
20-02-2013, 19:07 door Anoniem
Ja, je moet ergens beginnen. Maar het houdt daar ook gelijk mee op. [x] PCI-DSS en klaar is Kees. En dat is op zichzelf ook weer een probleem.

Het onderliggende probleem is dat de informatiestroom rondom betalingen inherent onveilig is, omdat er allerlei irrelevante data meegeleverd moet worden--omdat je het op de pof doet of omdat de bankiersregels dat zeggen of noem maar op. Dan proberen ze dat op te lappen door bovenop hun oude systemen een dikke laag cryptografie te stapelen. Dat gebeurt vaak onhandig of onvolledig en cryptografie is niet vergevingsgezind, dus dat zal altijd een probleem blijven.

Dus om het echt op te lossen zul je een electronisch equivalent van contant --iets dat naamloos een zekere waarde vertegenwoordigt-- en/of andere truuks moeten verzinnen, en het zou best kunnen dat daarvoor de bestaande regelgeving op de schop moet. Want die gaat er eigenlijk vanuit dat de dataverwerking qq te vertrouwen is, en dat blijkt niet te garanderen. Dat hiervoor oplossingen verzinnen nog deels een open onderzoeksvraag is doet daar niets aan af.

In plaats daarvan hoor je roepen "we houden ons toch aan de regels dus moet het echt veilig zijn, ja toch? egwel!", wat eigenlijk al voldoende reden zou moeten zijn voor massaal weglopen van klanten. Helaas is het besef nog niet zo ver dat mensen dat ook echt doorhebben, en alle aanbieders doen hetzelfde (heej, kartelvorming) dus ook hetzelfde verkeerd dus valt er niets te kiezen, dus verbetert er te weinig.

Wat het hele ding tot een schijnvertoning degradeert, ondanks alle industry standard best current practice goede bedoelingen. Met andere woorden, dit begin was leuk toen het nog nieuw was. Maar dat ding bestaat al een tijdje, en we komen niet verder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.