Hackere brugte velkendte metoder, da de skaffede sig adgang til oplysninger om 130 millioner betalingskort, skriver Shehzad Ahmad i denne klumme fra Computerworld Online.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
130 millioner betalingskortnumre med tilhørende navne og andre oplysninger.
Det blev udbyttet af en af de større hackersager, der for øjeblikket optrævles i USA.
Vi hørte første gang om sagen i januar, da betalingsformidleren Heartland Payment Systems fortalte, at hackere havde angrebet deres system.
De fik mistanke om det i oktober 2008, men blev først helt klar over det i januar i år.
Siden er det kommet frem, at angrebet begyndte langt tidligere.
Første angreb
Allerede i december 2007 kom det første angreb.
Det gik ud over Heartlands virksomhedsnetværk, der er adskilt fra det netværk, hvor oplysninger om betalingstransaktioner lagres.
Men i maj 2008 havde hackerne fået adgang til transaktionsnetværket, som de begyndte at tappe for oplysninger om betalingskort.
Sikkerhedsfirmaet Securosis har fra en anonym kilde fået et tip om, hvordan angrebet fandt sted.
Web-applikation var sårbar
Den første adgang ind på virksomhedsnetværket skete via SQL-indsætning.
Hackerne har altså indtastet SQL-kommandoer i en formular eller en URL på et offentligt tilgængeligt websystem.
Da systemet ikke var beskyttet mod SQL-indsætning, blev SQL-kommandoerne sendt direkte videre til databasen.
En af kommandoerne gjorde det muligt at starte en kommandoprompt og afvikle systemkommandoer.
Det benyttede hackerne til at installere diverse angrebsprogrammer og bagdøre.
Da de nu var inde på netværket, gik de i gang med at få kontrol over pc'erne på det.
Her var de heldige:
En dag fik de adgang til en pc ved at udnytte en sårbarhed på den. Pc'en havde en VPN-forbindelse (virtuelt privat netværk) over til transaktionsnetværket. Her lå oplysningerne om betalingskortene.
Heartland oplyser, at hackersagen frem til sommeren har kostet firmaet 32 millioner dollars. Tre personer blev i denne måned anklaget i sagen.
Sådan beskytter og tjekker du
Hvordan kan en dansk virksomhed undgå at komme i en lignende situation?
Der er nogle oplagte konklusioner, vi kan drage:
- Sørg for at beskytte jeres web-applikationer mod SQL-indsætning.
- Hold alle computere opdateret med de seneste sikkerhedsrettelser.
- Foretag løbende sårbarhedsscanninger af jeres netværk – både internt og eksternt.
- Indfør kontrol med, hvilke data der forlader jeres netværk, fx ved hjælp af en DLP-løsning (Data Leak Prevention).
- Husk også at sikre de systemer, der ikke indeholder følsomme oplysninger. Heartland-sagen viser, at de kan bruges som adgangsvej ind til bankboksen.
Endelig viser sagen også, at der er forskel på at overholde sikkerhedsretningslinjer og at være sikker.
Heartland Payment Systems behandler betalinger for en række selskaber i finanssektoren. For at få lov til det skal virksomheden overholde reglerne i PCI Data Security Standard (PCI DSS).
Et element i PCI DSS er, at firmaet en gang om året skal sikkerhedsrevideres af et uafhængigt konsulentfirma. Det var Heartland blevet, kort før hackerangrebet blev gennemført.
Man kan altså godt få det blå stempel fra en sikkerhedsrevisor og alligevel have et sikkerhedsproblem.
Så en virksomhed skal ikke regne med, at et officielt sikkerhedsstempel er en garanti for sikkerhed. Stemplet viser kun, at sikkerhedsrevisoren ikke har fundet noget at påtale.
Oprindelig bragt på Computerworld Online den 28. august 2009
LINKS
New Details, and Lessons, on Heartland Breach, af Rich Mogull fra Securosis
TJX Hacker Charged With Heartland, Hannaford Breaches, artikel fra Wired
PCI Data Security Standard (PCI DSS)
Tre mænd anklaget for USA's største datatyveri, CW 18. august