Mai corect spus ”ghidul” pentru securizarea ATM-urilor. Secțiunea 4.2 se numește Security of basic software și are în vedere:

• Prevent abuse of OS and reduce the attack surface of the ATM OS platform (Windows) and BIOS.
• Prevent exploitation of public domain vulnerabilities in the Open Protocols stack.
• Reduce attack surface from public and private networks.
• Prevent abuse by software suppliers.
• Use effective network isolation and intrusion detection/mitigation tools.
• Trace/log OS activity.
• Protect sensitive functions and enforcement mechanisms for appropriate key-loading procedures
• Protect against unauthorized changes.
• Protect against the unauthorized remote control of the application
• Protect again unauthorized installation of software.

Nu există doar o singură aplicație  sau serviciu care să asigure conformitatea reală cu PCI DSS! Valabil, de multe ori,  și pentru alte cerințe Cele care declară așa ceva, sînt mai mult de tip check-box pentru a lua ochi auditorilor :).

Ieri am asistat la o demonstrație prin care poate fi exploatat un ATM via modemul GPRS pe baza FOTA (Firmware Over The Air). Există soluții care pot satisface recomandările PCI DSS contribuind și la reducerea suprafeței de atac: McAfee Integrity Control. Această suită combină de fapt facilitățile a două alte aplicații: Application Control (whitelist) și Change Control. Cîteva informații despre cele două soluții.

1. Application control

Poate lucra în următoarele moduri:

Enabled

• Permite doar aplicațiilor autorizate să ruleze pe endpoint
• Previne rularea de cod neautorizat (binar, script)
• Protejeazăîmpotrivaatacurilorîn memoria endpoint-ului

Observe (disponibil doar pentru Windows)
Aplicația este activă dar nu asigură protecție, realizînd doar jurnalizare.

Update
Aplicația rulează și permite modificări ad-hoc.

Disabled -aplicația este oprită

Autorizarea programelor care rulează pe endpoint se face după următoarea precedență:

• după cifra de control
• după certificat sau producător
• după nume
• adaugat manual în listă.

Dacă un program este blocat după cifra de control dar apoi i se permite rularea prin whitelist (este autorizat), programul va rămîne blocat. Dacă unprogram este autorizat după cifra de control iar apoi este blocat după nume, programul va rula. Există reguli predefinite dar în același timp se permite definirea de reguli proprii și gruparea acestora.

2. Change Control

Permite monitorizarea și prevenirea schimbărilor la nivelul sistemului de fișiere, regiștri și conturi utilizator. În timp real se poate:

• detecta, asigura trasabilitatea și valida orice modificare
• elimina schimbările ad hoc folosind reguli de protecție
• asigura conformitatea cu politicile și regulile prestabilite
• Cine? Cînd?Ce?De ce? (user name, timp, nume program, conținut fișier/regiștri)