 В последнее время участились инциденты, связанные с кражей карточных данных, в ходе которых злоумышленники узнают PIN-коды карт. Различная информация об уязвимостях, способствующих получению PIN в открытом виде, появились давно, но на тот момент представляла по большей части академический интерес. Учитывая существующие проблемы алгоритмов шифрования, озвученные в соответствующих документах и докладах, их реализация была лишь вопросом времени. Спешу вас поздравить, сейчас данные атаки стали реальностью, что подтверждается не одним авторитетным источником. Инцидент, описываемый в нижеприведенной заметке, ещё раз доказывает серьёзность проблемы. По заявлениям компании Verizon данную проблему можно решить только кардинальной сменой структуры платёжных систем.
11 ноября 2009 года
«Масштабы и охват взлома банкоматов RBS WorldPay являются беспрецедентными. Преступники украли 9 миллионов долларов в течение нескольких часов с 2100 банкоматов по всему миру. Обвинительное заключение было вынесено 10 ноября 2009 года. Я всегда слежу за судебными процессами, связанными с компьютерной преступностью, поскольку это зачастую единственная возможность узнать подробности методов злоумышленника и уязвимостей жертвы. Например, до вынесения обвинительного заключения я не нашел ни одного описания того, как именно нападавшие нарушили периметр безопасности Heartland Payment Systems. В том случае это была SQL-иньекция в общедоступном веб-приложении. Что же мы можем узнать из обвинительного заключения по делу RBS WorldPay?
В обвинительном заключении говорится, что нападавшие были способны подделывать карточки и узнавать PIN-коды, чтобы снимать наличные через банкомат. Как известно, PIN-коды, как наиболее критичная информация, хранятся в зашифрованном виде. В обвинительном заключении указывается, что злоумышленники смогли выполнить обратную инженерию алгоритма вычисления PIN-кодов. Я хотел бы обратить на это внимание, потому что они нашли способ расшифрования хранимого зашифрованного значения PIN-кода. Если это так, то это говорит об огромной уязвимости в методах хранения PIN-кодов банками. Существует множество алгоритмов хранения PIN, и некоторые старые из них весьма уязвимы. Например, в работе Decimalization table attacks for PIN cracking (англ.) исследователи Майк Бонд (Mike Bond) и Петр Зелински (Piotr Zielinski) описывают атаку на алгоритм, разработанный в эпоху банкоматов IBM 3624, и до сих пор используемый многими устройствами. Также как и в хранилище хеш-значений паролей в ОС Windows, обеспечение обратной совместимости с устаревшими методами шифрования может обернуться увеличением числа уязвимостей (речь идёт о LM и NTLM хешах – прим. ред.). Я надеюсь, что ФБР и Секретная Служба поделились подробностями новой атаки со всеми банками США.
Мы знаем то, что для того, чтобы добраться до зашифрованных PIN-кодов, злоумышленники проникли внутрь периметра RBS WorldPay. В обвинительном заключении говорится о том, что нападавшие использовали уязвимости в компьютерной сети RBS WorldPay. Это крайне туманная формулировка. Был ли это плохо настроенный межсетевой экран, уязвимость веб-приложения, отсутствие обновления на одном из серверов, или нечто другое? Это было бы интересно узнать с практической точки зрения, потому что если RBS WorldPay не выделяет достаточно ресурсов защите от подобных угроз, то вряд ли другие организации делают это.
В заключение некоторые интересные подробности. В обвинительном заключении приведены SQL-запросы, которые были выполнены злоумышленниками для управления базой данных банка, чтобы изменить денежные лимиты на счетах некоторых карт и удалить информацию о транзакциях. Неясно, каким образом злоумышленники получили доступ к серверу баз данных, был ли это доступ к командной строке самого сервера, другой машины, или SQL-инъекция. Однозначно понятно то, что игра окончена, когда злоумышленник получает возможность модифицировать таблицы баз данных.
Я надеюсь, что вскоре станут известны подробности, из которых индустрия платежных карт сможет извлечь полезные уроки».
Дополнительные материалы по уязвимостям PIN:
The unbearable lightness of PIN cracking (англ.)
Formal Analysis of PIN Block Attacks (англ.)
Chris Wysopal, VERACODE
http://www.veracode.com/blog/2009/11/we-need-to-learn-more-about-the-rbs-worldpay-atm-attack/
| 
добрый день.
К сожалению, из текста статьи так и осталость непонятным, как же был взломан RBS WorldPay. Приведённые ссылки на исследования, связанные с атаками на ПИН-коды, представляют собой хорошо известные и авторитетные источники. То, что доступ к HSM может дать колоссальные возможности злоумышленнику (в том числе и по модификации таблицы децимализации) - это не секрет. Однако непонятно, как эти атаки относятся к упоминаемому инциденту.
Что касается упоминаний об атаках SQL-инъекций, да еще и через веб приложения, то следует отметить важный, ключевой момент. И RBS WorldPay Inc., и Heartland Payment Systems на момент взлома УСПЕШНО ПРОШЛИ АУДИТ на соответствие требованиям PCI DSS, аудитор - Trustwave, источник этой информации - Visa List of PCI DSS Compliant Service Providers As of 1/20/2009.
Если же во взломанных процессинговых центрах были такие чудовищные уязвимости, то как объяснить получение ими статуса сертифицированных? В чем тогда ценность аудита и тестов на проникновение? И как после этого сохранить доверие к PCI DSS и процедурам сертификации?
Прохождение аудита вообще не показатель защищенности.
Для "умных" хакеров, даже честное выполнение требований не преграда.
Единственное , что радует, соблюдение правил дает хороший шанс понять, что произошло и может быть поймать преступников.