¿Hay alguien que defienda los sistemas de punto de venta?

Un montón de tinta se derramó sobre la seguridad (o inseguridad) de los dispositivos de punto de venta cuando Target Corp. fue violada el año pasado. Lo que no era tan claro era qué se podría hacer al respecto, de manera realista.

Durante la conferencia Black Hat 2014 en Estados Unidos, que se realizó hace unos días, el Arquitecto de seguridad empresarial para el setor Retail de NCR, Nir Valtman, demostró varios ataques especializados que ha creado como pruebas de concepto, y discutió sobre las medidas preventivas que se podrían tomar por los minoristas y fabricantes de sistemas de punto de venta (POS).

En una entrevista previa a su conferencia, Valtman dijo que la investigación que estaría presentando se basó en análisis de amenazas que había realizado "tratando de entender estos malware que dañan o piratean terminales de punto de venta, para ver lo que están haciendo y cómo pueden ser protegidos por cualquier medio. Y cuando digo ‘cualquier medio’ me refiero a incluir medidas físicas, o cambios en el sistema operativo, o cosas que pueden hacerse en el lado vendedor."

Según Valtman, una cosa que los vendedores podrían hacer fácilmente es utilizar la firma de código –la creación de un valor hash criptográfico atado a un binario ejecutable específico como comprobación verificable contra la manipulación. "Si usted ha firmado el software, será muy difícil inyectar código sin firmar", apuntó. "Pero, si nos fijamos en algunas de las empresas líderes en seguridad –no sólo los vendedores de punto de venta– verá empresas que eligen qué firmar y qué no firmar. Muchos de estos programas se ejecutan sin ser firmados y sin complicaciones."

Valtman dijo que muchos minoristas utilizan listas blancas –“de hecho, algunos de ellos utilizan listas blancas en lugar de de antivirus"– pero algunos enfoques de listas blancas utilizan algoritmos bastante débiles con el fin de evitar las compensaciones de rendimiento. Valtman ha encontrado formas de inyectar DLL maliciosos en los sistemas de punto de venta, por ejemplo. Los DLL maliciosos pueden, por supuesto, ser un malware de raspado de memoria, y la sesión de Black Hat incluyó una demostración de tal ataque.

Tampoco existe una solución definitiva para el raspado de memoria ofrecido por la industria de retail para migrar al estándar EMV (Europay/Mastercard/Visa), lo que explica la interoperabilidad mundial para los sistemas de punto de venta y cajeros automáticos utilizando tarjetas de circuitos integrados (tarjetas con chip) en lugar de las tarjetas de banda magnética desplegadas actualmente en los EE.UU. "Sé que la mezcla de chip y NIP es más seguro, probablemente, que el uso de bandas magnéticas", dijo Valtman. "Una vez dicho esto, a veces se puede jugar con las configuraciones del tablero de NIPs, llamar al pin pad de otra manera, y hacer que funcione de forma no cifrada. Tenemos un montón de problemas en el punto de venta."

Valtman dijo que los minoristas deberían apuntalar sus defensas generales en torno a los sistemas de punto de venta y no sólo confiar en los vendedores de punto de venta para hacer estos sistemas herméticos. Las empresas deben poner foco adicional en la prevención de pérdida de datos, por ejemplo. "No me importa si alguien trata de hackear la memoria y raspa los datos en un punto de venta", añadió. "Me importa si alguien trata de extraer esos datos."

Mientras tanto, la industria todavía está tratando de resolver qué tan grande es la amenaza. Después de la tormenta de noticias de Target, ha habido relativa calma en el frente de POS de este año, a pesar de que la Oficina Federal de Investigaciones de EE.UU. lanzó una advertencia confidencial en enero para un grupo selecto de minoristas, a través de un documento confidencial de tres páginas que les alertaba sobre ataques potenciales similares a los de Target en los próximos meses.