Вивчення інциденту атака на RBS WorldPay - PCI DSS
У обвинувальному висновку йдеться про те, що нападники були здатні підробляти картки і впізнавати PIN-коди, щоб знімати готівку через банкомат. Як відомо, PIN-коди, як найбільш критична інформація, зберігаються у зашифрованому вигляді. У обвинувальному висновку зазначається, що зловмисники змогли виконати зворотну інженерію алгоритму обчислення PIN-кодів. Я хотів би звернути на це увагу, тому що вони знайшли спосіб розшифрування збереженого зашифрованого значення PIN-коду. Якщо це так, то це говорить про величезну вразливість у методах зберігання PIN-кодів банками. Існує безліч алгоритмів зберігання PIN, і деякі старі з них дуже вразливі. Наприклад, у роботі Decimalization table attacks for PIN cracking (англ.) дослідники Майк Бонд (Mike Bond) та Петро Зелінський (Piotr Zielinski) описують атаку на алгоритм, розроблений в епоху банкоматів IBM 3624, і досі використовуваний багатьма пристроями. Також як і в сховищі хеш-значень паролів в ОС Windows, забезпечення зворотної сумісності зі застарілими методами шифрування може обернутися збільшенням числа вразливостей (йдеться про LM і NTLM хеш - прим. ред.). Я сподіваюся, що ФБР та Секретна Служба поділилися подробицями нової атаки з усіма банками США.
Для того, щоб дістатися до зашифрованих PIN-кодів, зловмисники проникли всередину периметра RBS WorldPay. У обвинувальному висновку йдеться про те, що нападаючі використовували вразливості в комп'ютерній мережі RBS WorldPay. Це вкрай туманне формулювання. Чи був це погано налаштований міжмережевий екран, вразливість веб-додатку, відсутність оновлення на одному із серверів, чи щось інше? Це було б цікаво дізнатися з практичної точки зору, тому щоякщо RBS WorldPay не виділяє достатньо ресурсів захисту від подібних загроз, то навряд чи інші організації роблять це.
На закінчення деякі цікаві подробиці. У обвинувальному висновку наведено SQL-запити, які були виконані зловмисниками для управління базою даних банку, щоб змінити грошові ліміти на рахунках деяких карток та видалити інформацію про транзакції. Незрозуміло, яким чином зловмисники отримали доступ до сервера баз даних, чи був доступ до командного рядка самого сервера, іншої машини, або SQL-ін'єкція. Однозначно зрозуміло, що гра закінчена, коли зловмисник отримує можливість модифікувати таблиці баз даних. Я сподіваюся, що незабаром стануть відомі подробиці, з яких індустрія платіжних карток зможе здобути корисні уроки».