The Top 5 Restaurant POS Systems for 2020
[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]
Det finns dock olika driftsätt, vissa som krypterar PIN-numret och några som inte gör det, sa Nohl. En angripare kan ändra enheten för att lura användare att exponera sina PIN-nummer när kryptering inte används. Förutom att få tag på betalkortdata och PIN-nummer kan angripare också ändra transaktioner, rapportera transaktioner som aldrig hände till betalningsbehandlingsservern och, mer intressant, kan generera transaktioner för framtida tidpunkter, sa Nohl. Allt detta är möjligt för EMV-korten som är brett utplacerade i Europa, sade han.
EMV-kort är också kända som chip-and-pin-kort eftersom de har ett chip inbyggt i dem för ytterligare säkerhet. En EMV-aktiverad ATM eller PoS kommer att verifiera äktheten hos både PIN-numret och de data som är lagrade på kortets chip innan du godkänner en transaktion.
I teorin kan sannolikheten för nätverksbaserade attacker begränsas genom att använda PoS-terminalerna i ett nätverkssegment som är skild från huvudnätverket genom brandväggar. Men det görs sällan i praktiken, eftersom enheter som Artema Hybrid marknadsförs som säkra även om nätverket är äventyrat, sa Nohl.
Nohl noterade att VeriFone var underrättad om sårbarheten för månader sedan. VeriFone har informerats om att ett kommersiellt oberoende säkerhetsföretag har genomfört laboratorietester för att försöka bryta mot programmets integritet för Artema Hybrid-betalningen. enheter som distribueras i Tyskland ", säger Dave Faoro, VerifFones vicepresident och chefsbetalningssäkerhetschef, i ett uttalande som skickas via e-post. "Sedan den första indikationen har vi jobbat i nära samarbete med ett godkänt DK-laboratorium för att undersöka detta, men det har inte kunnat replikera angreppsscenariot."
"Artema Hybrid-enheterna konstruerades och testades för att uppfylla DK-säkerhetskraven," sade Faoro. "I nuläget var säkerhetsmodulen eller den krypterade PIN-koden kompromissad i detta rapporterade angreppsscenario."
VeriFone har också behållit oberoende penetrationstestföretag för att bedöma konsekvenserna av överträdelsesscenarierna som föreslås av SRLabs. De tyska forskarna har emellertid varit ovilliga att dela med sig av detaljer som möjliggör oberoende verifikation av de påstådda frågorna, sade Faoro. Den tyska bankindustrin tar denna nya form av attack på allvar, även om det bara är teoretiskt, sade Deutsche Kreditwirtschaft i ett uttalande på sin hemsida på torsdag. Även om angripare lyckas skaffa kreditkortsuppgifter och PIN-nummer, kan det inte missbrukas eftersom de också behöver chipdata från originalkortet, säger organisationen.
Emellertid var EMV-tekniken konstruerad för att vara bakåt- kompatibel med bankomater i länder där tekniken inte har implementerats än. Det har redan funnits fall där cyberkriminella skapade förfalskade kort med magnetbanddata kopierat från EMV-kort och använde dem för att ta ut pengar från länder som USA där chipinformationen inte kontrolleras av bankautomater. Deutsche Kreditwirtschaft bekräftade denna möjlighet och noterade att kreditkort Ägarna är inte ansvariga för skador som härrör från ett EMV-kort som klonas och missbrukas utanför Girocard-systemet - det interbanknät som förbinder alla bankomater i Tyskland.
Nohl nekade att spekulera om andra enheter från VeriFone eller olika tillverkare är troliga att vara sårbar mot liknande attacker. Men det här fallet visar att allvarliga sårbarheter i PoS-enheter kan passera obemärkt under de nuvarande säkerhetscertifieringsprocesserna som används av banksektorn, sa han.
SRLabs forskare kommer att demonstrera sina attacker under en show som kommer att lufta torsdag kväll på tysk tv , Sade Nohl.
Artem Hybrid PoS-terminalen som kommer att hackas under showen har inte berörts av forskarna i förväg och kommer att ingå i en konfiguration som inrättats av oberoende professorer som kommer att efterlikna en stormarknads betalningsinfrastruktur, sade.
När kreditkortsuppgifterna och PIN-numret kommer att fångas, kommer forskarna att skapa ett förfalskat kort, ta det till en bankomat och ta ut pengar med det, sa Nohl. "På den tiden tror jag inte att någon kan hävda att detta bara är en teoretisk attack längre."
När Abby Cohen och Andrew Brimer bestämde sig för att lokalisera sin IT-igångsättning, Sparo Labs, i St. Louis, ansåg ingen att det var en Midwest-plats som en utmaning att locka fram de bästa teknikerna. kan växa ett bra företag var som helst så länge du kan få rätt personer som en del av ditt lag, säger Cohen, vars företag utvecklar hårdvara och mjukvara som gör det möjligt för människor att spåra och övervaka astma i realtid med hjälp av en smartphone. > Detta tema är echoed av andra Midwest-
CloudFlare har lanserat en domännamnsregistreringstjänst med förbättrade säkerhetsåtgärder som är utformade för att förhindra domänkapning, en allvarlig attack som kan har omfattande konsekvenser för företagen. CloudFlare har lanserat en domännamnsregistreringstjänst med förbättrade säkerhetsåtgärder som utformats för att förhindra domänkapning, en allvarlig attack som kan få omfattande konsekvenser för företagen.
Dess registrator håller ett nära öga på domännamnsregistreringar och ändringar i registreringar i syfte att förhindra att angripare tar kontroll över ett domännamn, säger Ryan Lackey, som arbetar med CloudFlares säkerhetsproduktstrategi.