Artikel top billede

DK-CERT: Sådan får hackere adgang til kortnumre

Klumme: Hackere brugte velkendte metoder, da de skaffede sig adgang til oplysninger om 130 millioner betalingskort, skriver Shehzad Ahmad fra DK-CERT i denne klumme om it-sikkerhed.

130 millioner betalingskortnumre med tilhørende navne og andre oplysninger.

Det blev udbyttet af en af de større hackersager, der for øjeblikket optrævles i USA.

Vi hørte første gang om sagen i januar, da betalingsformidleren Heartland Payment Systems fortalte, at hackere havde angrebet deres system.

De fik mistanke om det i oktober 2008, men blev først helt klar over det i januar i år.

Siden er det kommet frem, at angrebet begyndte langt tidligere.

Første angreb

Allerede i december 2007 kom det første angreb.

Det gik ud over Heartlands virksomhedsnetværk, der er adskilt fra det netværk, hvor oplysninger om betalingstransaktioner lagres.

Men i maj 2008 havde hackerne fået adgang til transaktionsnetværket, som de begyndte at tappe for oplysninger om betalingskort.

Sikkerhedsfirmaet Securosis har fra en anonym kilde fået et tip om, hvordan angrebet fandt sted.

Web-applikation var sårbar

Den første adgang ind på virksomhedsnetværket skete via SQL-indsætning.

Hackerne har altså indtastet SQL-kommandoer i en formular eller en URL på et offentligt tilgængeligt websystem.

Da systemet ikke var beskyttet mod SQL-indsætning, blev SQL-kommandoerne sendt direkte videre til databasen.

En af kommandoerne gjorde det muligt at starte en kommandoprompt og afvikle systemkommandoer.

Det benyttede hackerne til at installere diverse angrebsprogrammer og bagdøre.

Da de nu var inde på netværket, gik de i gang med at få kontrol over pc'erne på det.

Her var de heldige:

En dag fik de adgang til en pc ved at udnytte en sårbarhed på den. Pc'en havde en VPN-forbindelse (virtuelt privat netværk) over til transaktionsnetværket. Her lå oplysningerne om betalingskortene.

Heartland oplyser, at hackersagen frem til sommeren har kostet firmaet 32 millioner dollars. Tre personer blev i denne måned anklaget i sagen.

Sådan beskytter og tjekker du

Hvordan kan en dansk virksomhed undgå at komme i en lignende situation?

Der er nogle oplagte konklusioner, vi kan drage:

• Sørg for at beskytte jeres web-applikationer mod SQL-indsætning.

• Hold alle computere opdateret med de seneste sikkerhedsrettelser.

• Foretag løbende sårbarhedsscanninger af jeres netværk - både internt og eksternt.

• Indfør kontrol med, hvilke data der forlader jeres netværk, fx ved hjælp af en DLP-løsning (Data Leak Prevention).

• Husk også at sikre de systemer, der ikke indeholder følsomme oplysninger.

Heartland-sagen viser, at de kan bruges som adgangsvej ind til bankboksen.

Endelig viser sagen også, at der er forskel på at overholde sikkerhedsretningslinjer og at være sikker.

Heartland Payment Systems behandler betalinger for en række selskaber i finanssektoren. For at få lov til det skal virksomheden overholde reglerne i PCI Data Security Standard (PCI DSS).

Et element i PCI DSS er, at firmaet en gang om året skal sikkerhedsrevideres af et uafhængigt konsulentfirma. Det var Heartland blevet, kort før hackerangrebet blev gennemført.

Man kan altså godt få det blå stempel fra en sikkerhedsrevisor og alligevel have et sikkerhedsproblem.

Så en virksomhed skal ikke regne med, at et officielt sikkerhedsstempel er en garanti for sikkerhed. Stemplet viser kun, at sikkerhedsrevisoren ikke har fundet noget at påtale.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere