CCTV yazılımında Firmware hatası POS korsanlarına bir hak vermiş olabilir.

RSA ile çalışan bir araştırmacı, en az 70 satıcı tarafından satılan güvenlik kameralarında bulunan hatalı yazılımların çoğunun katkıda bulunabileceğini söylüyor. perakendecilere pahalıya mal olan kredi kartı ihlalleri.

Rotem Kerner araştırmasını Aralık 2014'te yayınladığı RSA makalesinde, satış noktası sistemleri tarafından işlenen ödeme kartı ayrıntılarını çalan Backoff adındaki kötü amaçlı yazılımlara dayanarak hazırladı.

ABD Gizli Servisi ve Anavatan Güvenliği Dairesi Ağustos 2014'te 1000 ABD şirketinin üstesinden gelmenin Backoff bulaşmış olabileceği konusunda uyardı.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Danışma sert bir şekilde geldi siz Birçok büyük perakendecinin, Target, Neiman Marcus, Michaels ve UPS Store dahil olmak üzere, büyük ödeme kartı ihlallerinin kurbanı haline geldiği ar.

Kerner, RSA'nın Backoff bulaşmış bilgisayarlardan topladığı teknik verilere baktı. Garip bir şekilde, çoğu 81, 82 ve 8000'de açık bağlantı noktalı küçük Web sunucularını çalıştırıyordu.

"Çapraz Web Sunucusu" adlı yazılım, perakendeciler tarafından yaygın olarak kullanılan CCTV DVR (dijital video kaydedici) ekipmanı için kanıtlandı. fiziksel izleme için. Ancak sunucu yazılımı çalışmayı bıraktı ve Internet'e açıldı, bu da potansiyel bir güvenlik riski.

İnternete açılan ağa bağlı cihazları bulmak için bir arama motoru olan Shodan, Kerner'in yazdığı gibi, aynı yazılımı çalıştıran 30.000 makineyi buldu.

Kerner, Web sunucusu yazılımının TVT adlı Çinli bir şirket tarafından yapıldığını anladı. Şirketin web sitesinden CCTV DVR cihazları için bir firmware sürümünü indirdi.

Firmware'i araştırdıktan sonra, kodda kötü niyetli bir URI aracılığıyla cihaza uzaktan erişim sağlayabilecek bir zayıflık buldu.

Büyük güvenlik sorunu, bu tür bir yazılımın halka açık İnternet'ten erişilebilir olmaması gerektiğidir. Kamera yazılımının sadece Internet'e açık olması, saldırganların belirli bir ağı tanımlamasına ve bir satıcıya ait olup olmadığına karar vermesine yardımcı olabilir.

Cihazın kendisine erişmesi, daha geniş bir ağa giriş yapmasına yardımcı olabilir. Ödeme işlem sistemleri için.

"Eski moda hırsızları fiziksel olarak mağazalara girdiğinde, kasiyere giderken, herhangi bir gözetleme cihazını denemek ve etkisiz hale getirmek zorunda kaldıklarında" diye yazdı Kerner. "Dijital hırsızlar, mağazaya onlardan giriyorlar. Gerçekten Hollywood malzemesi."

Soruşturması, bir yazışmada listelediği aynı firmware'i kullanan en az 70 üreticiye ulaştı. Kerner, TVT'de güvenlik açığı konusunda uyarmak için yetkililere ulaşmayı denedi, ancak bu sorunu kamuoyuna açıklamaya karar verdi.

Perşembe günü TVT yetkilileri hemen e-posta yoluyla bağlantı kuramadı.

Bu, ürün yazılımı için nadir değildir - Düşük seviyeli kod - router'lar, IP kameralar ve bazı tüketici elektroniği gibi ürünler için birçok satıcı tarafından lisanslanmalı ve kullanılmalıdır.

Ancak, satıcıların yamalar yaratma konusunda çirkin olduğu bilinmektedir. Werner'ın belirttiği gibi: bir satıcının yamasına “kapılarına ulaşmak için” güvenmek zor. Karmaşıklığın eklenmesi, her tedarikçinin ürün yazılımını birçok farklı modelde kullanabilmesidir.

Werner'ın bu tip kameraları çalıştıranlar için önerilen savunması "bilinmeyen bir IP adresinden DVR hizmetlerine bağlantıyı reddetmektir."