据8月22日美国国土安全部和美国特工处发布的消息。名为Backoff的黑客工具仍然极为活跃,在全国各地的POS系统泛滥。这款工具第一次突显恶名,是它在被用以破坏零售巨头为目标的时候。而且在当时反病毒程序并不能检测到它,这极大地激发了安全专家们的兴趣。这款工具到现在仍然没有销声匿迹,然而政府现在正在敦促零售商们检查收银系统。直到星期五为止,国土安全部宣布超过1000家美国企业已经被殃及池鱼。
Backoff,黑客!
据纽约时报的博客帖子所述,Backoff黑客行动以黑客们远程点接入扫描企业系统为起始,如那些由第三方供应商和员工远程办公所用手段。一旦一个接入点被确认存在,黑客会使用高速计算机通过数以百万计的密码组合来爆破直至他们登录成功。然后,黑客设法从企业网络渗透到POS系统,从而安装Backoff,把信用卡数据转移到远程服务器上。
最糟糕的时候?除非零售公司去寻找这个工具,不然不会有任何迹象和异常。这意味着客户在他们信用卡信息在黑市出售时,还是完全不知道他们正处于威胁之中。在这种情况下,黑客在有人察觉到发生了什么之前,已经交易了数周时间。然而其他公司如UPS和SuperValu已经表示他们被感染了后,许多潜在的受害企业并没有发表任何声明。
解决这个问题
当技术让他们的陷入泥潭时,企业应该怎样面对?POS机器只是其中一个例子。就像eWEEK最近的一篇文章所指出那样,现在的技术可以重新编译USB的外部设备。这意味着如一个USB存储设备如果可以重新像设计得如同一个键盘,然后一旦连接上就能获取到管理权限。就如Backoff工具那样,想找出设备被篡改的证据是非常困难的。
除了扫描这个恶意软件,零售商们能够做点什么来保护他们的POS网络呢?Gartner研究所的Avivah Litan举了个改进“卡”技术的例子。
“弱点在磁条上,”她说。“我可以在eBay上买一个条纹码阅读器,然后就能很容易从你的信用卡里读取数据。”
确保卡内数据安全的最简单的法子就是使用一个基于芯片的系统,但尽管2015年10月为最后期限,大多数公司可能会错过那个时间点,因为费用实在是巨大,每个终端需要500到1000美金来升级。
然而,除了锁定卡,美国特工处做出了其他建议。零售商应该把公司网络和收银机网络隔离开来,为每个使用者提供双重认证,在用户尝试失败的次数达到一定量后进行锁定。
重要信息披露
然而,事件的真实所在远比他们所看到的要多。根据IBM X-Force威胁情报季度报告,2014年3季度,漏洞披露在这一年急剧下降。在2013年,1602个供应商报告过漏洞。而2014年,威胁的数量减少近半降到926个。尽管大型软件供应商披露的信息的数量保持一致,这一趋势还是值得我们注意的。或许确实存在少许漏洞,有公司只是简单地瞒下,没有报出来呢?
这个问题的部分原因,也可能是浮于表面的必然性攻击。X-Force报告调查过了一些如心脏出血漏洞1day攻击的时间表为,在4月7日CVE-2014-0160的安全咨询发布不到一天就被发现,然后作为一个概念证明开始流传开来。加拿大税务署等机构和安全公司Mandiant在4月9日才开始修补系统,然而这已经太迟了。从本质来讲,这可以看做是一个黑客和安全专家们争分夺秒的比赛,究竟谁能获得最后胜利呢?
流血的心脏
心脏出血漏洞的爆发展现了如何让1day只作破坏之用。如果仅仅如此的话,就跟0day差不多了。黑客们没有浪费时间,加紧尝试更多心脏出血目标,漏洞发布几天后心脏出血漏洞就出补丁了,4月15日攻击频率达到了巅峰。那天攻击次数超过30万,也就是说平均发起了每秒3.47次攻击。
何处是底线?Backoff黑客软件仍然是零售商的头疼之源,在最初被开发出来之后,它在很长一段时间后才被人发现。对于这种或者是类似的威胁,需要我们打破思维惯性做出有效的检测工具,然后创建一个清晰,流程化的披露方案。