Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –Σοβαρή Διαρροή Δεδομένων από την 23andMe: Επηρεάζονται 6.9 Εκατομμύρια Μέλη | – #1 Το Hacking σε... απλά ελληνικά –
Η εταιρεία γενετικής ανάλυσης 23andMe, επιβεβαίωσε ότι χάκερ, χρησιμοποιώντας κλεμμένους κωδικούς πρόσβασης, απέκτησαν πρόσβαση στις προσωπικές πληροφορίες περίπου 6,9 εκατομμυρίων μελών της.
Ενώ οι χάκερ κατάφεραν να εισέλθουν σε περίπου 14.000 λογαριασμούς, ήτοι το 0,1% των πελατών της, κατάφεραν να δουν πληροφορίες που είχαν μοιραστεί από συγγενείς με γενετικούς δεσμούς στην 23andMe, δήλωσε εκπρόσωπος.
Η 23andMe βρίσκεται σε εξέλιξη ενημέρωσης των πελατών που επηρεάστηκαν και έχει ενισχύσει την ασφάλεια των λογαριασμών απαιτώντας από τους χρήστες να δημιουργήσουν νέους κωδικούς πρόσβασης και φυσικά προστασία 2fa.
Από τους 6,9 εκατομμύρια λογαριασμούς που κατάφεραν να πάρουν πρόσβαση, στους 5,5 εκατομμύρια λογαριασμούς περιείχαν πληροφορίες για γενετικούς συγγενείς και ενδέχεται επίσης να περιλαμβάνουν ημερομηνίες γέννησης και τοποθεσίες, αν είχαν καταχωρηθεί από τους χρήστες, σύμφωνα με την 23andMe.
Η 23andMe ιδρύθηκε το 2006 και έχει έδρα στο Mountain View, Καλιφόρνια, όπου βρίσκεται και η έδρα της Google.
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Οδηγός Penetration Testing σε συσκευές Point Of Sale Device (POS)
POS ονομάζεται ένα σύστημα που διαχειρίζεται τις συναλλαγές πωλήσεων στις επιχειρήσεις. Αν και μπορεί να φαίνεται πολύπλοκο με την πρώτη ματιά, στην πραγματικότητα είναι αρκετά απλό.
Τώρα, ας εξηγήσουμε με περισσότερες λεπτομέρειες τι είναι το POS και πώς λειτουργεί. Το POS είναι μια συντομογραφία που προέρχεται από τα αρχικά της λέξης “Point of Sale” (σημείο πώλησης). Το σύστημα αυτό διευκολύνει και καταγράφει τις συναλλαγές πωλήσεων μεταξύ πελατών και πωλητών. Ένα σύστημα POS αποτελείται τόσο από στοιχεία υλικού όσο και από στοιχεία λογισμικού.
Στοιχεία υλικού: Ένα σύστημα POS περιλαμβάνει συνήθως στοιχεία υλικού, όπως έναν υπολογιστή ή ένα tablet, σαρωτή γραμμωτού κώδικα, συρτάρι μετρητών, εκτυπωτή και οθόνη.
Οι συσκευές αυτές χρησιμοποιούνται για τη διενέργεια συναλλαγών και την παροχή αποδείξεων ή τιμολογίων στους πελάτες.
Συστατικά λογισμικού: Το λογισμικό POS χρησιμοποιείται για τη διαχείριση των συναλλαγών, την παρακολούθηση των αποθεμάτων, την επεξεργασία των πληρωμών και τη δημιουργία αναφορών.
Αυτό το λογισμικό επιτρέπει στους πελάτες να δημιουργούν τα καλάθια αγορών τους, να πραγματοποιούν πληρωμές και να λαμβάνουν αποδείξεις.
Πώς λειτουργεί η συναλλαγή μέσω POS;
Βήμα Α : Ο πελάτης χρησιμοποιεί την κάρτα. Ξεκινά τη διαδικασία πληρωμής εισάγοντας την κάρτα του στη συσκευή POS και εισάγοντας τον εμπιστευτικό κωδικό PIN.
Βήμα Β : Η συσκευή POS εκκινεί τη συναλλαγή. Η συσκευή POS εκκινεί τη συναλλαγή μεταδίδοντας με ασφάλεια τα στοιχεία της κάρτας και τον κωδικό PIN, κρυπτογραφημένα, στον διακομιστή ATM Switch. Ο έλεγχος πρόσβασης στο δίκτυο (NAC) διασφαλίζει την ασφαλή πρόσβαση.
Βήμα Γ : Επαλήθευση κάρτας. Εάν η κάρτα ανήκει στην ίδια τράπεζα, το κλειδί ΑΤΜ επαληθεύει το PIN χρησιμοποιώντας τον διακομιστή Hardware Security Module (HSM). Μετά την επιτυχή επαλήθευση, το αίτημα συναλλαγής προωθείται στον διακομιστή CBS.
Βήμα Δ : Σενάριο διαφορετικής τράπεζας. Εάν η κάρτα ανήκει σε διαφορετική τράπεζα, η συναλλαγή δρομολογείται στο διακομιστή NFS. Ο διακομιστής NFS προωθεί τη συναλλαγή στον διακομιστή HSM της άλλης τράπεζας για επαλήθευση του PIN.
Μετά την επιτυχή επαλήθευση, η συναλλαγή αποστέλλεται στον διακομιστή CBS.
Βήμα Ε : Επαλήθευση λογαριασμού και μεταφορά χρημάτων. Ο διακομιστής CBS ελέγχει το υπόλοιπο του λογαριασμού του κατόχου της κάρτας και αφαιρεί το ποσό της αγοράς. Το αφαιρεθέν ποσό μεταφέρεται στο λογαριασμό του πωλητή.
Βήμα ΣΤ : Ολοκλήρωση της συναλλαγής. Όταν η συναλλαγή ολοκληρωθεί επιτυχώς, ο διακομιστής CBS παράγει μια απάντηση. Το κλειδί ΑΤΜ κρυπτογραφεί και αποστέλλει αυτή την απάντηση πίσω στη συσκευή POS. Η συναλλαγή ολοκληρώνεται.
Πώς μπορώ να διεξάγω μια pentest δοκιμή στο σημείο πώλησης (POS);
A. Επισκόπηση ασφαλών ρυθμίσεων του λειτουργικού συστήματος:
Αυτό το βήμα περιλαμβάνει τη διασφάλιση της σωστής διαμόρφωσης της συσκευής POS και των κατάλληλων ρυθμίσεων ασφαλείας.
Αυτό μπορεί να περιλαμβάνει τον έλεγχο αν η συσκευή χρησιμοποιεί ενημερωμένες εκδόσεις λογισμικού και hardware, την αλλαγή των προεπιλεγμένων κωδικών πρόσβασης, την απενεργοποίηση περιττών συνδέσεων δικτύου και την επανεξέταση των ρυθμίσεων τείχους προστασίας.
Οι συσκευές POS συνήθως διατίθενται με προεπιλεγμένες διαμορφώσεις και είναι απαραίτητο να αλλάξετε αυτές τις προεπιλεγμένες ρυθμίσεις πριν από την ανάπτυξή τους σε περιβάλλον παραγωγής.
Οι προεπιλεγμένες διαμορφώσεις μπορεί να περιλαμβάνουν τη διαχείριση πρόσβασης στη συσκευή, τις μεθόδους κρυπτογράφησης και τις προεπιλεγμένες ρυθμίσεις για υπηρεσίες όπως το FTP και το SSH.
Κατά τη διενέργεια επανεξέτασης της ασφάλειας των ρυθμίσεων μιας συσκευής POS, είναι ζωτικής σημασίας να εξετάσετε προσεκτικά όλες τις προεπιλεγμένες ρυθμίσεις διαμόρφωσης και άλλες βασικές παραμέτρους για να διασφαλίσετε ότι έχουν ρυθμιστεί σωστά.
Για παράδειγμα, το ακόλουθο παράδειγμα επισημαίνει τον προεπιλεγμένο κωδικό πρόσβασης διαχειριστή, ο οποίος μπορεί να διαφέρει ανάλογα με τη μάρκα και το μοντέλο της συσκευής:
“Ένα κρίσιμο βήμα για την ασφάλεια των συσκευών POS είναι η τροποποίηση των προεπιλεγμένων ρυθμίσεων. Αυτές οι προεπιλεγμένες ρυθμίσεις μπορεί να αποτελέσουν πιθανό κίνδυνο για την ασφάλεια της συσκευής.
Για παράδειγμα, κρίσιμες ρυθμίσεις όπως ο κωδικός πρόσβασης διαχειριστή μπορεί να διευκολύνουν τους κακόβουλους φορείς να αποκτήσουν πρόσβαση στη συσκευή.
Ως εκ τούτου, η επανεξέταση όλων των προεπιλεγμένων ρυθμίσεων και η χρήση ισχυρών κωδικών πρόσβασης είναι απαραίτητη για μια ασφαλή διαμόρφωση”.
a. Αξιολόγηση φυσικής ασφάλειας: Σε αυτή την ενότητα, διάφορα εξαρτήματα, όπως θύρες USB, θύρες LAN, αναγνώστες καρτών NFC και άλλα, βρίσκονται συχνά σε μια συσκευή POS.
Είναι σημαντικό να διασφαλιστεί η συσκευή POS με τέτοιο τρόπο ώστε να αποτρέπεται η μη εξουσιοδοτημένη πρόσβαση σε αυτές τις περιοχές. Εάν είναι δυνατή η μη εξουσιοδοτημένη πρόσβαση, κακόβουλοι φορείς μπορούν να προσαρτήσουν μονάδες flash, συμπεριλαμβανομένων εκείνων που μοιάζουν με BAD USB, οι οποίες μπορούν να επιτρέψουν την απομακρυσμένη πρόσβαση στο τερματικό της συσκευής POS.
Για τον μετριασμό τέτοιων επιθέσεων, πρέπει να διασφαλίζεται τόσο η φυσική ασφάλεια όσο και η ασφάλεια των θυρών USB για τις συσκευές POS.
b. POS Skimming: Μια άλλη μορφή φυσικής επίθεσης είναι το POS skimming, όπου μια συσκευή τοποθετείται κρυφά στον μηχανισμό σάρωσης καρτών για να κλέψει πληροφορίες καρτών από τις μαγνητικές λωρίδες.
Ως εκ τούτου, η τακτική επιθεώρηση του μηχανισμού σάρωσης καρτών της συσκευής POS είναι ζωτικής σημασίας. Σε αυτό το πλαίσιο, ένας ελεγκτής διείσδυσης μπορεί να χρησιμοποιήσει μια φορητή μέθοδο skimming για να τοποθετήσει μια συσκευή skimmer σε συσκευές POS εντός ενός οργανισμού, καταγράφοντας δυνητικά στοιχεία καρτών, αριθμούς PIN και διάφορα άλλα δεδομένα.
Αυτό χρησιμεύει ως μια σημαντική δοκιμή στο πλαίσιο της φυσικής ασφάλειας
c. Χειραγώγηση του πληκτρολογίου PIN: Οι επιτιθέμενοι μπορούν να χειραγωγήσουν το πληκτρολόγιο PIN για να καταλάβουν τους κωδικούς PIN της κάρτας πελάτη. Μπορούν να χρησιμοποιήσουν μια ψεύτικη επικάλυψη που μοιάζει με το πληκτρολόγιο μιας πραγματικής συσκευής POS για να πραγματοποιήσουν τέτοιες επιθέσεις.
Ως εκ τούτου, είναι σημαντικό να επανεξετάζεται περιοδικά το πληκτρολόγιο της συσκευής POS και να ελέγχεται η παρουσία συσκευών καταγραφής πλήκτρων. Αυτό είναι ζωτικής σημασίας για τη διασφάλιση της ασφάλειας των δεδομένων των καρτών των πελατών και την προστασία από δόλιες δραστηριότητες.
d. Σύνδεση δικτύου POS: Μια κρίσιμη πτυχή της αξιολόγησής μας περιλαμβάνει την εξέταση της σύνδεσης δικτύου της συσκευής POS. Το δίκτυο POS πρέπει να παραμείνει απομονωμένο, διασφαλίζοντας ότι κανένας άλλος χρήστης δεν μπορεί να συνδεθεί στο ίδιο δίκτυο Wi-Fi ή LAN.
Θα πραγματοποιήσουμε δοκιμή διείσδυσης σε τοπικό δίκτυο για να επαληθεύσουμε την ασφάλεια του δικτύου POS. Στόχος μας εδώ είναι να αξιολογήσουμε την ανθεκτικότητα του δικτύου σε μη εξουσιοδοτημένη πρόσβαση και πιθανές εισβολές.
Θα εντοπίσουμε τυχόν τρωτά σημεία που ενδέχεται να εκθέσουν το σύστημα POS σε εξωτερικές απειλές και θα παράσχουμε συστάσεις για την αποκατάστασή τους.
e. Προεπιλεγμένα διαπιστευτήρια στη συσκευή: Στο πλαίσιο της αξιολόγησής μας, θα διερευνήσουμε τη χρήση προεπιλεγμένων διαπιστευτηρίων στη συσκευή POS, ιδίως όσον αφορά τη διαχείριση υλικού.
Τα προεπιλεγμένα ονόματα χρήστη και οι κωδικοί πρόσβασης αποτελούν κοινούς στόχους για τους επιτιθέμενους. Θα εξετάσουμε εξονυχιστικά τη συσκευή για να εντοπίσουμε περιπτώσεις όπου χρησιμοποιούνται προεπιλεγμένα διαπιστευτήρια.
Στόχος μας είναι να διασφαλίσουμε ότι χρησιμοποιούνται οι κατάλληλοι μηχανισμοί ελέγχου ταυτότητας για τη διαχείριση της συσκευής και να εξαλείψουμε τους πιθανούς κινδύνους ασφάλειας που σχετίζονται με τα προεπιλεγμένα διαπιστευτήρια σύνδεσης.
f. Κρυπτογράφηση: Η μετάδοση δεδομένων μέσω καναλιών Wi-Fi ή LAN είναι μια κρίσιμη πτυχή της ασφάλειας των συσκευών POS. Για να επαληθεύσουμε την ασφάλεια των δεδομένων κατά τη μεταφορά, θα εξετάσουμε τις ρυθμίσεις κρυπτογράφησης στη συσκευή POS.
Είναι σημαντικό να διασφαλιστεί ότι η κρυπτογράφηση είναι τόσο ενεργή όσο και σωστά ρυθμισμένη για την προστασία των ευαίσθητων δεδομένων κατά τη μετάδοση.
Η αξιολόγησή μας θα επικεντρωθεί στην αξιολόγηση της ισχύος των χρησιμοποιούμενων πρωτοκόλλων κρυπτογράφησης και στον εντοπισμό τυχόν αδυναμιών που θα μπορούσαν ενδεχομένως να θέσουν σε κίνδυνο την ασφάλεια των δεδομένων.
g. Μη ασφαλής αποθήκευση δεδομένων: Η συσκευή μπορεί να αποθηκεύει δεδομένα στην κάρτα μνήμης ή στο εσωτερικό της. Ελέγχουμε αν τα αρχεία διαμόρφωσης είναι κρυπτογραφημένα για την ασφάλεια αυτών των δεδομένων. Εάν τα δεδομένα δεν είναι κρυπτογραφημένα, η ασφάλεια των ευαίσθητων πληροφοριών μπορεί να τεθεί σε κίνδυνο.
h. Υπηρεσίες καθαρού κειμένου: Ελέγχουμε αν είναι ενεργοποιημένες υπηρεσίες καθαρού κειμένου στη συσκευή, όπως το FTP, το οποίο κατεβάζει υλικολογισμικό της συσκευής από το διακομιστή για αναβαθμίσεις υλικολογισμικού. Η απενεργοποίηση των υπηρεσιών καθαρού κειμένου στη συσκευή είναι απαραίτητη.
i. Αρχεία καταγραφής: Εξετάζουμε τα αρχεία καταγραφής της συσκευής. Τα αρχεία καταγραφής είναι ζωτικής σημασίας για τον εντοπισμό και την παρακολούθηση πιθανών παραβιάσεων ασφαλείας.
j. Ελλιπείς patches: Οι ελλείπουσες ενημερώσεις αντιμετωπίζουν ευπάθειες που θα μπορούσαν να επιτρέψουν μη εξουσιοδοτημένη απομακρυσμένη εκτέλεση κώδικα, κλιμάκωση προνομίων, άρνηση παροχής υπηρεσιών και αποκάλυψη εμπιστευτικών πληροφοριών. Ελέγχουμε για τις πιο πρόσφατες ενημερώσεις.
k. Μη εξουσιοδοτημένη έκθεση ευαίσθητων δεδομένων χωρίς έλεγχο ταυτότητας: Η συσκευή POS μπορεί να εκτυπώνει αναφορές που περιέχουν ευαίσθητες πληροφορίες, όπως στοιχεία συσκευής και λεπτομέρειες συναλλαγών. Επιχειρήσαμε να αποκτήσουμε πρόσβαση σε αυτή τη λειτουργία χωρίς έλεγχο ταυτότητας.
l. Ρυθμίσεις ενημέρωσης της συσκευής: Ελέγχουμε τις ρυθμίσεις της συσκευής και επαληθεύουμε τις τελευταίες ενημερώσεις.
m. Πολιτική κωδικού πρόσβασης: Ελέγχουμε την πολιτική κωδικών πρόσβασης που εφαρμόζεται στη συσκευή και αξιολογούμε τη συμμόρφωσή της με τις βέλτιστες πρακτικές που προωθούν τη χρήση ισχυρών κωδικών πρόσβασης.
n. Θύρες συσκευής POS: Επιθεωρούμε όλες τις περιφερειακές θύρες (θύρες Ethernet, τηλεφώνου, RS-232 και USB) για να διασφαλίσουμε ότι οι αχρησιμοποίητες θύρες είναι απενεργοποιημένες.
B. Δοκιμές εφαρμογής
Η δοκιμή της εφαρμογής είναι ένα κρίσιμο στάδιο για την ασφάλεια των συσκευών POS, επειδή η εφαρμογή SoftPay εκτελεί βασικές λειτουργίες, όπως online και offline πωλήσεις, επιστροφές χρημάτων και άλλες συναλλαγές πληρωμών.
Κατά τη διάρκεια αυτού του σταδίου, είναι σημαντικό να εντοπιστούν και να αντιμετωπιστούν τα τρωτά σημεία ασφαλείας που ενδέχεται να υπάρχουν σε επίπεδο εφαρμογής και λογικού επιπέδου.
a. Ανάλυση κίνησης καθαρού κειμένου : Αρχικά, συνδέουμε τον φορητό υπολογιστή μας στο τμήμα δικτύου POS και διασφαλίζουμε ότι η διεύθυνση IP του φορητού υπολογιστή ταιριάζει με τη διεύθυνση πύλης της συσκευής POS.
Στη συνέχεια, επεξεργαζόμαστε τις ρυθμίσεις της διεύθυνσης πύλης της συσκευής POS, ξεκινάμε ένα αίτημα κίνησης καθαρού κειμένου και χρησιμοποιούμε εργαλεία όπως το Wireshark στο φορητό μας υπολογιστή για να καταγράψουμε την κίνηση.
b. Προσπάθεια επιστροφής : Δεύτερον, προσπαθούμε να επιστρέψουμε ένα ποσό μεγαλύτερο από το ποσό αγοράς. Αυτό μας βοηθά να ελέγξουμε αν η εφαρμογή χειρίζεται με ασφάλεια τις συναλλαγές επιστροφής χρημάτων.
c. Δοκιμή κλιμάκωσης προνομίων : Η εφαρμογή έχει διαφορετικά επίπεδα προνομίων, όπως υπάλληλος, διαχειριστής και υπερ-χρήστης. Προσομοιώνουμε μια επίθεση κλιμάκωσης προνομίων χρησιμοποιώντας έναν λογαριασμό Clerk για να προσπαθήσουμε να αποκτήσουμε πρόσβαση σε λειτουργίες ή δεδομένα επιπέδου Manager.
d. Έλεγχος επαλήθευσης PIN : Προσπαθούμε να χρησιμοποιήσουμε ένα άκυρο PIN κατά τη διάρκεια μιας αγοράς προϊόντος για να ελέγξουμε αν η επαλήθευση PIN επιβάλλεται σωστά κατά τη διάρκεια των συναλλαγών.
e. Προσπάθεια χειραγώγησης δεδομένων : Επιχειρούμε να χειραγωγήσουμε δεδομένα διακόπτοντας ή μεταβάλλοντας τη ροή της κυκλοφορίας. Αυτό μας βοηθά να παρατηρήσουμε πώς οι ευάλωτες εφαρμογές χειρίζονται τα δεδομένα.
f. Αξιολόγηση αποκάλυψης ευαίσθητων πληροφοριών : Η συσκευή POS παράγει αποδείξεις συναλλαγής όταν ένα προϊόν ή μια υπηρεσία πληρωθεί επιτυχώς.
Είναι επιτακτική ανάγκη να εξετάζονται αυτές οι παραγόμενες αποδείξεις συναλλαγών για την παρουσία ευαίσθητων δεδομένων, όπως αριθμοί λογαριασμών και στοιχεία καρτών.
Η κρίσιμη πτυχή είναι να διασφαλιστεί ότι τυχόν πληροφορίες κάρτας εντός της απόδειξης συναλλαγής καλύπτονται αποτελεσματικά για την προστασία των δεδομένων των πελατών.
g. Συναλλαγή POS χωρίς PIN : Στο πλαίσιο της αξιολόγησής μας, στοχεύουμε στη διεξαγωγή μιας δοκιμαστικής συναλλαγής εντός του συστήματος POS χωρίς την ανάγκη χρήσης κωδικού PIN.
Η διαδικασία αυτή μας επιτρέπει να εξετάσουμε τον τρόπο με τον οποίο η συσκευή POS χειρίζεται τις συναλλαγές χωρίς έλεγχο ταυτότητας PIN, ρίχνοντας φως σε πιθανά τρωτά σημεία ασφαλείας.
h. Προσπάθεια πώλησης εκτός σύνδεσης χωρίς κωδικό εξουσιοδότησης : Η στρατηγική δοκιμών μας περιλαμβάνει μια απόπειρα εκτέλεσης μιας συναλλαγής πώλησης εκτός σύνδεσης χωρίς την παρουσία κωδικού εξουσιοδότησης ή με τη χρήση λανθασμένου κωδικού.
Αυτό το συγκεκριμένο σενάριο δοκιμής μας επιτρέπει να αξιολογήσουμε την ανθεκτικότητα και τα μέτρα ασφαλείας του συστήματος POS όσον αφορά τις συναλλαγές εκτός σύνδεσης ελλείψει των απαραίτητων κωδικών εξουσιοδότησης.
C. Αξιολόγηση τρωτότητας και δοκιμή διείσδυσης
a. Ασφάλεια δικτύου συσκευών POS : Η σύνδεση των συσκευών PO με τον απομονωμένο backend server της τράπεζας είναι κρίσιμης σημασίας για την αξιολόγηση των τρωτών σημείων ασφαλείας σε επίπεδο δικτύου.
Οι δοκιμές αυτές διεξάγονται για την αξιολόγηση της ασφάλειας της σύνδεσης δικτύου της συσκευής POS και τον εντοπισμό πιθανών κινδύνων.
b. Έλεγχος σύνδεσης δικτύου : Αρχικά, λαμβάνουμε τα στοιχεία IP της συσκευής POS και συνδέουμε το φορητό μας υπολογιστή στο δίκτυο POS. Αυτό μας επιτρέπει να προσομοιώσουμε την πρόσβαση στο δίκτυο.
Στη συνέχεια, εξετάζουμε διεξοδικά τη σύνδεση δικτύου. Συμβουλή: Αυτή η διαδικασία μας δίνει την ευκαιρία να εξετάσουμε το λειτουργικό σύστημα της συσκευής POS.
c. Προσδιορισμός των ανοικτών θυρών : Χρησιμοποιώντας εργαλεία όπως το Nmap, είναι ζωτικής σημασίας η σάρωση για ανοικτές θύρες TCP και UDP στη συσκευή POS. Αυτό μας βοηθά να προσδιορίσουμε ποιες υπηρεσίες εκτελούνται και ποιες θύρες είναι εκτεθειμένες στον εξωτερικό κόσμο.
Αναζητούμε πιθανά τρωτά σημεία ασφαλείας σε αυτές τις υπηρεσίες.
Παράδειγμα διαμόρφωσης τερματικού POS TCP και εφαρμογής TCP
d. Σάρωση τρωτών σημείων : Για να εντοπίσουμε πιο ολοκληρωμένα τα τρωτά σημεία ασφαλείας στη συσκευή POS, χρησιμοποιούμε εργαλεία σάρωσης τρωτών σημείων ασφαλείας όπως το Nessus.
Αυτή η σάρωση καλύπτει ένα ευρύ φάσμα, ξεκινώντας από την έκδοση του λειτουργικού συστήματος και επεκτεινόμενη σε πιθανές ευπάθειες ασφαλείας σε υπηρεσίες όπως το FTP και το SNMP.
Αξίζει να σημειωθεί ότι οι αυτοματοποιημένες διαδικασίες ενδέχεται να παραβλέψουν ορισμένα τρωτά σημεία, επομένως η χειροκίνητη προσπάθεια είναι απαραίτητη για τον εντοπισμό και την εκμετάλλευση των τρωτών σημείων, ιδίως εκείνων που σχετίζονται με λογικά σφάλματα, ανασφαλείς σχεδιασμούς και άλλα μη αυτοματοποιημένα τρωτά σημεία.
e. Εξέταση των υπηρεσιών : Οι συσκευές POS συνήθως εκτελούν περιορισμένο αριθμό υπηρεσιών. Η εξέταση αυτών των υπηρεσιών περιλαμβάνει,
Operating System Version : Προσπαθούμε να εντοπίσουμε την έκδοση του λειτουργικού συστήματος και να την επιθεωρήσουμε για ευπάθειες ασφαλείας.
FTP Service : Η υπηρεσία FTP χρησιμοποιείται για τη λήψη ενημερώσεων και τη μεταφόρτωση αρχείων της συσκευής. Εξετάζουμε αυτή την υπηρεσία για τρωτά σημεία ασφαλείας.
SNMP Service : Η υπηρεσία SNMP χρησιμοποιείται για την κεντρική διαχείριση της συσκευής POS. Αξιολογούμε το SNMP για τρωτά σημεία ασφαλείας.
Management Portal : Επαληθεύουμε την πρόσβαση στην πύλη διαχείρισης. Επιπλέον, εγκαταστήσαμε το POS SDK API στο φορητό μας υπολογιστή, το οποίο χρησιμοποιείται για την προσαρμογή της εφαρμογής POS. Προσπαθούμε να αποκτήσουμε πρόσβαση στη συσκευή POS μέσω σύνδεσης USB.
POS Application : Ελέγχουμε την έκδοση της εφαρμογής POS και διερευνούμε τα τρωτά σημεία ασφαλείας που σχετίζονται με αυτή την έκδοση. Ο έλεγχος ασφάλειας για συσκευές PoS έχει κρίσιμη σημασία για τις επιχειρήσεις και τα χρηματοπιστωτικά ιδρύματα.
Οι δοκιμές αυτές είναι απαραίτητες για τη διασφάλιση των επιχειρησιακών δεδομένων και των δεδομένων των πελατών, τη διασφάλιση της ασφάλειας των χρηματοοικονομικών συναλλαγών και την πρόληψη πιθανών τρωτών σημείων ασφαλείας.
Οι δοκιμές ασφαλείας που πραγματοποιούνται αξιολογούν την ασφάλεια δικτύου, τη φυσική ασφάλεια, την ασφάλεια εφαρμογών και άλλες πτυχές των συσκευών PoS.
Οι δοκιμές αυτές βοηθούν στον εντοπισμό πιθανών απειλών και παρέχουν την ευκαιρία για έγκαιρη παρέμβαση. Επιπλέον, οι τακτικές δοκιμές ασφαλείας συμβάλλουν στην ενίσχυση των μέτρων ασφαλείας για την άμυνα έναντι των τρεχουσών απειλών και μεθόδων επίθεσης.
Θα ήμουν ευτυχής να σας βοηθήσω με δοκιμές διείσδυσης για να επιτύχετε τη συμμόρφωση με το PCI DSS και να ενισχύσετε την ασφάλεια της επιχείρησής σας.
Εντοπίζοντας αθέατες απειλές, μπορώ να σας βοηθήσω να προστατεύσετε καλύτερα ευαίσθητα δεδομένα, όπως πληροφορίες καρτών πληρωμής και στοιχεία πελατών.
Ενισχύοντας την ασφάλεια της επιχείρησής σας, μπορούμε να δημιουργήσουμε μια ισχυρότερη άμυνα απέναντι στις επιθέσεις στον κυβερνοχώρο. Μπορώ να σας βοηθήσω να κερδίσετε την εμπιστοσύνη των πελατών και να διασφαλίσετε τη συμμόρφωση με τους κανονισμούς.
Μη διστάσετε να επικοινωνήσετε μαζί μας σήμερα για να μάθετε περισσότερα και να ανακαλύψετε πώς μπορώ να σας βοηθήσω να μεγιστοποιήσετε την ασφάλεια της επιχείρησής σας. Θυμηθείτε, είμαι εδώ για να αποκαλύψω αυτό που μπορεί να μην είναι άμεσα ορατό.
Το Xenomorph Android στοχεύει αμερικανικές τράπεζες και crypto wallets
Ερευνητές ασφαλείας ανακάλυψαν μια νέα εκστρατεία που διανέμει μια νέα έκδοση του κακόβουλου λογισμικού Xenomorph σε χρήστες Android στις Ηνωμένες Πολιτείες, τον Καναδά, την Ισπανία, την Ιταλία, την Πορτογαλία και το Βέλγιο.
Οι αναλυτές της εταιρείας κυβερνοασφάλειας ThreatFabric παρακολουθούν τη δραστηριότητα του Xenomorph από τον Φεβρουάριο του 2022 και σημειώνουν ότι η νέα εκστρατεία ξεκίνησε στα μέσα Αυγούστου.
Η τελευταία έκδοση του Xenomorph στοχεύει χρήστες πορτοφολιών κρυπτονομισμάτων και διάφορα χρηματοπιστωτικά ιδρύματα των ΗΠΑ.
Ιστορικό του Xenomorph
Το Xenomorph εμφανίστηκε για πρώτη φορά στη φύση στις αρχές του 2022, λειτουργώντας ως τραπεζικό trojan που στόχευε 56 ευρωπαϊκές τράπεζες μέσω του screen overlay phishing. Διανεμήθηκε μέσω του Google Play, όπου μέτρησε πάνω από 50.000 εγκαταστάσεις.
Οι δημιουργοί του, η “Hadoken Security”, συνέχισαν την ανάπτυξή του και τον Ιούνιο του 2022 κυκλοφόρησαν μια ξαναγραμμένη έκδοση που έκανε το κακόβουλο λογισμικό αρθρωτό και πιο ευέλικτο.
Μέχρι τότε, το Xenomorph βρισκόταν στην πρώτη δεκάδα των πιο διαδεδομένων τραπεζικών trojans της Zimperium, οπότε είχε ήδη αποκτήσει το καθεστώς “μεγάλης απειλής”.
Τον Αύγουστο του 2022, το ThreatFabric ανέφερε ότι το Xenomorph διανέμεται μέσω ενός νέου dropper με την ονομασία “BugDrop”, ο οποίος παρακάμπτει τα χαρακτηριστικά ασφαλείας του Android 13.
Τον Δεκέμβριο του 2022, οι ίδιοι αναλυτές ανέφεραν για μια νέα πλατφόρμα διανομής κακόβουλου λογισμικού με την ονομασία “Zombinder”, η οποία ενσωμάτωσε την απειλή στο αρχείο APK νόμιμων εφαρμογών Android.
Πιο πρόσφατα, τον Μάρτιο του 2023, η Hadoken κυκλοφόρησε την τρίτη μεγάλη έκδοση του Xenomorph, η οποία διαθέτει ένα σύστημα αυτόματης μεταφοράς (ATS) για αυτόνομες συναλλαγές στη συσκευή, παράκαμψη MFA, κλοπή cookies και τη δυνατότητα να στοχεύει πάνω από 400 τράπεζες.
Νέα καμπάνια
Στην τελευταία εκστρατεία, οι διαχειριστές του κακόβουλου λογισμικού επέλεξαν να χρησιμοποιήσουν σελίδες phishing, παρασύροντας τους επισκέπτες να ενημερώσουν το πρόγραμμα περιήγησης Chrome και εξαπατώντας τους να κατεβάσουν το κακόβουλο APK.
Το κακόβουλο λογισμικό συνεχίζει να χρησιμοποιεί επικαλύψεις για την κλοπή πληροφοριών. Ωστόσο, έχει πλέον επεκτείνει το πεδίο στόχευσής του και περιλαμβάνει χρηματοπιστωτικά ιδρύματα από τις Ηνωμένες Πολιτείες και πολλαπλές εφαρμογές κρυπτονομισμάτων.
Η ThreatFabric εξηγεί ότι κάθε δείγμα Xenomorph είναι φορτωμένο με περίπου εκατό επικαλύψεις που στοχεύουν διαφορετικά σύνολα τραπεζών και εφαρμογών κρυπτογράφησης, ανάλογα με τη στοχευόμενη δημογραφική ομάδα.
Πιο πρόσφατη έκδοση
Παρόλο που τα νέα δείγματα του Xenomorph δεν διαφέρουν σημαντικά από τις προηγούμενες παραλλαγές, διαθέτουν ορισμένα νέα χαρακτηριστικά που υποδεικνύουν ότι οι δημιουργοί του συνεχίζουν να βελτιώνουν και να βελτιώνουν το κακόβουλο λογισμικό.
Πρώτον, ένα νέο χαρακτηριστικό “μίμησης” μπορεί να ενεργοποιηθεί με μια αντίστοιχη εντολή, δίνοντας στο κακόβουλο λογισμικό τη δυνατότητα να ενεργεί ως άλλη εφαρμογή.
Επιπλέον, το mimic διαθέτει μια ενσωματωμένη δραστηριότητα με το όνομα IDLEActivity, η οποία λειτουργεί ως WebView για την εμφάνιση νόμιμου περιεχομένου ιστού από το πλαίσιο μιας αξιόπιστης διεργασίας.
Αυτό το σύστημα αντικαθιστά την ανάγκη απόκρυψης εικονιδίων από τον εκκινητή εφαρμογών μετά την εγκατάσταση, η οποία επισημαίνεται ως ύποπτη συμπεριφορά από τα περισσότερα εργαλεία ασφαλείας για κινητά τηλέφωνα.
Ένα άλλο νέο χαρακτηριστικό είναι το “ClickOnPoint”, το οποίο επιτρέπει στους χειριστές του Xenomorph να προσομοιώνουν πατήματα σε συγκεκριμένες συντεταγμένες της οθόνης.
Αυτό επιτρέπει στους χειριστές να περνούν από τις οθόνες επιβεβαίωσης ή να εκτελούν άλλες απλές ενέργειες χωρίς να χρησιμοποιούν την πλήρη μονάδα ATS, η οποία μπορεί να προκαλέσει προειδοποιήσεις ασφαλείας.
Τέλος, υπάρχει ένα νέο σύστημα “antisleep” που εμποδίζει τη συσκευή να απενεργοποιήσει την οθόνη της μέσω μιας ενεργής ειδοποίησης.
Αυτό είναι χρήσιμο για την παράταση της εμπλοκής και την αποφυγή διακοπών που απαιτούν την αποκατάσταση των επικοινωνιών διοίκησης και ελέγχου.
Άλλα ευρήματα
Εκμεταλλευόμενοι τα αδύναμα μέτρα ασφαλείας του χειριστή του κακόβουλου λογισμικού, οι αναλυτές του ThreatFabric είχαν πρόσβαση στην υποδομή φιλοξενίας του ωφέλιμου φορτίου.
Εκεί, ανακάλυψαν πρόσθετα κακόβουλα ωφέλιμα φορτία, συμπεριλαμβανομένων των παραλλαγών κακόβουλου λογισμικού Android Medusa και Cabassous, των Windows information stealers RisePro και LummaC2 και του φορτωτή κακόβουλου λογισμικού Private Loader.
Οι χρήστες θα πρέπει να είναι προσεκτικοί με τις προτροπές στα κινητά για ενημέρωση των προγραμμάτων περιήγησής τους, καθώς αυτές είναι πιθανό να αποτελούν μέρος εκστρατειών διανομής κακόβουλου λογισμικού.
Η διανομή του Xenomorph μαζί με ισχυρό κακόβουλο λογισμικό των Windows υποδηλώνει συνεργασία μεταξύ φορέων απειλών ή την πιθανότητα το trojan Android να πωλείται ως Malware-as-a-Service (MaaS).
Θύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας
Σύμφωνα με ενημέρωση που έχει σταλεί σε όλους τους πελάτες, η εταιρεία εντόπισε μη εξουσιοδοτημένη πρόσβαση τρίτου στα συστήματά της κάτι που έγινε αυτό το μήνα που διανύουμε.
Με βάση την έρευνα που βρίσκεται σε εξέλιξη, το papaki ενημερώνει ότι το τρίτο μέρος υπάρχει περίπτωση να είχε τη δυνατότητα πρόσβασης σε λογαριασμούς χρηστών, ωστόσο τα δεδομένα της εταιρείας έως τώρα δείχνουν ότι η μη εξουσιοδοτημένη πρόσβαση πιθανώς περιορίζεται σε δύο πελάτες. Ενδέχεται να έχουν εκτεθεί επιπλέον προσωπικά δεδομένα, λόγου χάρη:
Δεδομένα που σχετίζονται με αυθεντικοποίηση/ταυτοποίηση των υποκειμένων των δεδομένων, όπως στοιχεία εισόδου (όνομα χρήστη και κωδικοί για τις υπηρεσίες), όνομα ή στοιχεία επικοινωνίας (email, τηλεφωνικός αριθμός, κτλ.)
Στοιχεία τιμολόγησης (τιμολόγια κτλ.)
Πληροφορίες για domains και στοιχεία επικοινωνίας του καταχωρούμενου
Εφόσον φιλοξενούνται άλλα δεδομένα στην υπηρεσία, υπάρχει επίσης κίνδυνος αυτά να έχουν παραβιαστεί στο περιστατικό
H εταιρεία διευκρινίζει ότι τα στοιχεία πιστωτικών καρτών που έχουν δηλωθεί στους λογαριασμούς δεν εμπλέκονται σε αυτά τα δεδομένα, καθώς την αποθήκευση και επεξεργασία τους αναλαμβάνουν συνεργαζόμενα τραπεζικά ιδρύματα.
Στο αναλυτικό blog το papaki ενημερώνει ότι έχει προχωρήσει στην πρόσληψη εξωτερικού συνεργάτη ΙΤ ειδικού σε θέματα ψηφιακής έρευνας (forensic) προκειμένου να συνδράμει την εταιρία να κατανοήσει το τι ακριβώς συνέβη, ποιες είναι οι πιθανές επιπτώσεις για τους πελάτες της καθώς και ποια επιπρόσθετα μέτρα ασφαλείας πρέπει να λάβει τις την ενίσχυση της ασφάλειας των χρηστών. Εκτός αυτού, έχει ενημερώσει τις αρμόδιες Αρχές για το συμβάν ενώ σύντομα θα παρουσιάσει μια επιπρόσθετη λειτουργία ασφαλείας που θα απαιτεί επιπλέον εξουσιοδότηση από τους χρήστες σε περίπτωση που επιχειρηθούν σημαντικές μεταβολές στο λογαριασμό του.
Με αφορμή το περιστατικό αυτό, το papaki.gr προτείνει στους πελάτες του να ενεργοποιήσουν τη λειτουργία 2FA (έλεγχος ταυτότητας δύο παραγόντων) μέσα από τις ρυθμίσεις του λογαριασμού τους ενώ για όσους χρησιμοποιούν υπηρεσίες όπως mailbox, WordPress, database access, ftp και άλλες εφαρμογές, προτείνει την άμεση αλλαγή των κωδικών για όλες αυτές τις υπηρεσίες. Επιπλέον, εφόσον ο χρήστης χρησιμοποιεί τα στοιχεία σύνδεσης στην ιστοσελίδα και σε άλλες υπηρεσίες, η εταιρεία προτείνει την άμεση αλλαγή των κωδικών.
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.