» »

Tudi rabljeni POS-terminali skladišča podatkov

Tudi rabljeni POS-terminali skladišča podatkov

Slo-Tech - Raziskovalec iz Hewlett-Packarda Matt Oh je na Ebayu kupil rabljen POS-terminal, da bi si ogledal, kako so ti zavarovani. POS-terminali namreč niso poceni - za tega je odštel 200 dolarjev - zato sploh manjši trgovci in gostinci večkrat kupijo rabljene. Na njem je našel cel kup varnostnih pomanjkljivosti in osebne podatke še iz prejšnje uporabe.

Izbral je POS-terminal s priljubljenim sistemom Aloha proizvajalca NCR. Gre za enega največjih proizvajalcev, pred katerim je le Oraclov Micros System. Oh je ugotovil, da je sistem malomarno zaščiten. Kupljeni POS je bil v omrežju pri prodajalcu glaven (master, glej skico) in se je povezoval s centralnim strežnikom, a deluje tudi brez tega, tako da ga je bilo možno zagnati in preizkusiti. Ugotovil je, da so gesla kar privzeta in zelo očitna ("aloha"), povezava prek VNC pa ni šifrirana. Vsa gesla, tudi tista z administratorskimi pravicami, so bila enaka kot uporabniška imena računa.

To niso bile edine varnostne pomanjkljivosti, saj se je izkazalo tudi, da operacijski sistem Windows XP SP2 Embedded od leta 2007 ni dobil nobenih popravkov in posodobitev. Resda gre za okleščeno verzijo z manj možnostmi za napad, a je to vseeno problematično. Problematičen je bil tudi seznam zaposlenih, ki so imeli pravico do uporabe naprave, saj je vseboval imena, številke zdravstvenega zavarovanja, naslove, telefonske številke - skratka vse potrebno za krajo identitete. Čeprav se na POS-u ne hranijo številke kreditnih kartic, bi jih napadalci zlahka prestregli, saj je bil bralnik magnetnega zapisa povezan s terminalom brez kakršne koli zaščite ali šifriranja. Zadostoval bi že keylogger, kar je Oh tudi uspešno potrdil s preizkusom.

Izpostaviti je treba dvoje. Prva je že stara ugotovitev, da je treba vse elektronske naprave, ki so kdajkoli nosile podatke, brez prodajo ustrezno pobrisati. To niso le trdi diski in pametni telefoni, ampak tudi POS-terminali, tablice in podobno. V prihodnosti lahko pričakujemo, da bo treba čistiti tudi pametne ure, zapestnice in očala! Drugi poudarek pa zajema zanikrno varnost pri trgovcih in gostincih. Lani so hekerji vdrli v Target, ukradli več kot sto milijonov številk kreditnih kartic in povzročili ogromno škodo. Pa Target sploh ni bil edina žrtev. Napadalci so se lotili Targeta, ker so akcijo zastavili širokopotezno. Če bi bili skromnejši in bi se lotili nekaj manjših, verjetno dolgo časa tega ne bi nihče niti ugotovil.

1 komentar

black ice ::

Typo:
Prva je že stara ugotovitev, da je treba vse elektronske naprave, ki so kdajkoli nosile podatke, brez prodajo ustrezno pobrisati.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

IP POS

Oddelek: Omrežja in internet
354318 (622) Cifix63
»

Apple Pay bo tudi v Sloveniji (strani: 1 2 3 )

Oddelek: Novice / Omrežja / internet
10811485 (4832) Bellzmet
»

Unicenje NFC na placilni kartici (strani: 1 2 )

Oddelek: Informacijska varnost
9013303 (10073) St235
»

Vdor v Home Depot večji kot Target

Oddelek: Novice / Varnost
154871 (2916) mojca
»

Vdor v Merkurjev POS sistem? (strani: 1 2 )

Oddelek: Novice / Varnost
709587 (4975) sniffo

Več podobnih tem