[ 187,826 page views, 63,177 usuários - média últimos 90 dias ] - [ 5.806 assinantes na newsletter, taxa de abertura 27% ]

Perícia de um ataque ao varejo

O jornalista Brian Krebs

Desde que a rede de supermercados Target foi atacada (cerca de 40 milhões de números de cartões de crédito copiados por bandidos), os especialistas levantam dúvidas sobre como aconteceram a contaminação das estações POS (nos pontos de venda – isso mesmo) e o ataque aos servidores. Sabe-se que o malware se chama BlakPOS mas a própria Target não dá detalhes sobre o andamento das investigações. O jornalista Brian Krebs, cujo blog sobre segurança é o Krebs on Security, conversou com Tom Arnold e Paul Guthrie, fundadores da PSC empresa de segurança que faz consultoria em segurança de sistemas de pagamento e em compliance. Os dois trabalharam, em 2013, num caso semelhante ao do Target – uma rede de varejo cuja identidade eles preservaram – invadida por meio de uma versão do BlackPOS. Reproduzo aqui parte do conteúdo da entrevista, riquíssima para nós em segurança da informação, autorizada especialmente por Brian Krebs para o CISOadvisor.com.br.

Segundo eles a primeira versão do BlackPOS que encontraram foi num varejista no início de janeiro do ano passado. O malware, disseram, parecia um “game changer” por causa do jeito como se ligava ao sistema do POS – ele se instalava no processo, não era apenas um “memory scraper” como algumas pessoas comentaram. Tom Arnold explica as diferenças entre um “memory scraper” e um malware que roda somente na memória lembrando que ele se liga usando IPC, ou “inter-process communication”, um conjunto de métodos para intercâmbio de dados entre threads em um ou mais processos: “Se você olha para um memory scraper você vê um monte de dados e tem de filtrá-los para achar o que está procurando. Mas este é muito específico, é projetado para o POS onde está rodando, sabe exatamente onde entrar e onde endereço de memória estará quando o dado procurado estiver passando por ele”, explica Tom.

E os dados capturados, segundo os especialistas, são exatatamente aqueles existentes na tarja magnética dos cartões (nos EUA a maioria dos cartões ainda não usa chips como no Brasil). Isso os leva a acreditar que quem construiu o malware não foi nenhum hacker adolescente no sótão ou no porão, e que ele é o resultado de um esforço de desenvolvimento bem sofisticado.

Ontem à tarde, a Target anunciou que a partir do início de 2015 adotará cartões com chip para sua bandeira REDCard. Isso está acontecendo seis meses antes do prazo inicialmente anunciado, o que mostra a preocupação da rede com o assunto. A mudança vai custar nada menos do que US$ 100 milhões.

Recomendo aos amigos a leitura do artigo completo em
http://krebsonsecurity.com/2014/02/these-guys-battled-blackpos-at-a-retailer/