для чего предназначен стилус на pos терминале
POS терминал
В супермаркетах, на заправках, в гостиницах расплатиться за товары (услуги) можно не только наличными, но и банковской картой. Но при одном условии — подключен POS-терминал.
Аппараты последнего поколения принимают как традиционные карты, так и модифицированные с чипом. Кредитку можно вставить в специальное отверстие, ввести пин-код или просто приложить к экрану. В последние годы активно развиваются технологии бесконтактной оплаты. Покупателю достаточно иметь при себе смартфон с установленным банковским приложением.
Выше — одно из определений термина POS-терминал. Но есть и второе — более емкое и обширное. Под POS-терминалом понимается сочетание программного и технического обеспечения, предназначенное для проведения оплаты при совершении торговых операций. Это — система, позволяющая формировать кассовые чеки, отсылать информацию о продажах ОФД, рассчитывать сдачу, создавать отчеты для руководителя или контролирующих органов.
POS-система: что это и для кого
Под POS-системой понимаются технические средства, используемые кассиром в работе. Это:
В отличие от POS-терминала в системе фискальная память размещается не в процессорном блоке, а непосредственно в фискальном регистраторе.
Обязательно! Комплекс программ для POS–терминала должен быть сертифицирован и внесен в реестр ККТ.
POS-терминалы для торговли онлайн
Любое предприятие, продающее товары или услуги, должно предусмотреть возможность приема оплаты в безналичном варианте. Магазины, кафе, гостиницы устанавливают POS-терминалы. Но что делать тем, кто работает в интернете?
Решение найдено и для них! Появились и активно используются виртуальные терминалы оплаты. Покупатель может находиться в тысячах километров от кассового аппарата. Он не прикладывает карту, а вводит ее данные в специальном окне.
ПОС-терминал: что может отдельное устройство и комплекс
Для начала выясним, как работает POS-терминал, если речь идет о комплексе устройств, автоматизирующих торговлю.
Покупатель подходит к кассе, выкладывает товары на транспортерную ленту. Далее процесс выглядит так:
Дополнительно POS-терминалы позволяют принимать к учету бонусные карты, открывать/закрывать кассовые смены.
Если же говорить о POS-терминале, как устройстве для эквайринга, то он может:
Обратите внимание! Если на определенном этапе магазин или иная организация перестанет принимать безналичные платежи, POS-терминал перейдет в разряд никому не нужной техники. Ее останется продать или вернуть арендодателю.
Чтобы полноценно использовать такой POS-терминал, необходим договор с банком. Деньги будут поступать не наличными в кассу, а напрямую на расчетный счет юридического лица или предпринимателя. За свои услуги обслуживающий банк берет комиссию от 0,8 до 4,9% от суммы выручки.
Современные онлайн-кассы как правило комплектуются готовыми пос-терминалами, т.к для корректной работы по 54 ФЗ необходимо стабильное подключение к сети интернет.
POS-терминалы: доступные модификации
В зависимости от технических характеристик, предоставляемых возможностей POS-терминалы относятся к одному из следующих типов:
POS-терминалы для платежей банковскими картами — что это такое
Малое предпринимательство хоть и отличается небольшим объемом оборотных средств, но требует того уровня технологического сервиса, что и крупные организации.
Такие услуги, как установка платежных POS-терминалов и эквайринг, имеют возрастающий спрос, так как обладают рядом преимуществ и расширяют возможности бизнеса.
POS-терминал — что это и для чего нужен
В основном малые предприниматели обращаются в банковские структуры за предоставлением расчетно-кассовых услуг. К ним относятся переводы и платежи поставщикам, перечисления в налоговую и фонды, инкассация наличности, а также управление остатками на предпринимательском счете и многое другое.
В перечень предоставляемых услуг входит также установка платежных POS-терминалов. Их функцией является списание денег со счета платежной карты, принадлежащей покупателю, и зачисление их на счет предпринимателя, предоставляющего товар или услугу.
Оплата товаров и услуг при помощи банковских карточек стала достаточно распространенной. Большинство магазинов и сервисов оснащены специализированными терминалами, при помощи которых можно произвести оплату карточными средствами.
Все торговые точки, имеющие терминалы для приема безналичных платежей, имеют на входе и у кассы информационную наклейку. На ней расположены логотипы карточных систем, которые принимаются в данном терминале. С их помощью можно оплачивать товары и услуги безналичным переводом средств.
Принцип работы
Технологический прогресс сделал возможным проведение безналичного платежа с банковской карты за несколько секунд. Пошагово эта процедура происходит так:
Пользуясь эквайринговыми услугами банка предприниматель может:
На сегодня существует несколько типов платежных терминалов, которые имеют различия в функциях, предназначении, возможностях, цене и ряде параметров.
Эквайринг — типы и применение
Существует 3 типа эквайринга, предусматривающего использование платежных POS-терминалов.
Мобильные терминалы для безналичных карточных расчетов
Применение mPOS-терминалов для оплаты является новым видом предоставления услуг эквайринга, имеющим далеко идущие перспективы развития. Ими будет удобно воспользоваться курьерским службам, перевозчикам, службам такси, сотрудникам сервисных, ремонтных и строительных организаций, няням, репетиторам и прочим специалистам, оказывающим услуги на выезде.
На территории РФ данная услуга появилась сравнительно недавно — в 2012 году. Большая часть банковских организаций начали сотрудничество с мобильными эквайринг-сервисами Payme, iPay, LifePay, SumUp, а также 2can.
Принцип работы
Работа мобильного оборудования не представляет технической сложности. Владелец бизнеса приобретает картридер и устанавливает соответствующее приложение на мобильный гаджет, который подключен к 3G-интернету. После этого достаточно зарегистрироваться — и можно пользоваться полным объемом услуг платежного терминала для платежей с помощью банковской карты.
Стоимость
В зависимости от характеристик модели и потребностей предпринимателя, стоимость картридера может быть от 3000 рублей и выше. Некоторые поставщики услуги предлагают картридер бесплатно или включают его стоимость в комиссионные за пользование услугой.
Размер комиссионных в разных компаниях составляет 2,5-2,75% от суммы переведенных денежных средств и составляет единую оговоренную величину, вне зависимости от общего оборота.
Виды
Платежные терминалы mPOS различаются по следующим характеристикам:
Достоинства
Отличительные преимущества mPOS-терминалов перед стационарными платежными устройствами:
Запуск мобильных терминалов занимает минимум времени и требуют только установки на смартфон специального приложения и наличия самого устройства.
Недостатки
К минусам терминалов mPOS можно причислить:
Сравнение предложений нескольких сервисов
Рассмотрим тройку наиболее распространенных сервисов, предоставляющих услуги мобильных платежных терминалов и сравним их основные условия:
| Наименование | Комиссионная ставка | Стоимость устройства | Тип подключения | Перечисление во все банки | Кто может установить |
| 2can | 2,75% | 3490 р | Аудио-разъем | Да | Предприниматели и организации |
| LifePay | 2+% | 3490 р | Аудио-разъем | Да | Предприниматели и организации |
| Pay-me | 2,75% | 7700 р | Bluetooth-соединение | Да | Предприниматели и организации |
Для ИП и предприятий, имеющих оборот от 1000000 рублей и более, обычно предусмотрены комиссионные скидки и различные выгодные предложения. В основном, большинство компаний предлагаю сходные условия, за исключением Pay-me, ставки которой несколько выше, чем у других.
Применение платежных POS-терминалов в малом предпринимательстве
С установкой платежного терминала для безналичных платежей предприниматель получает новые бизнес-возможности:
Заключение
Использование платежных POS-терминалов приносит выгоду не только предпринимателям, но и банковским организациям. Приблизительно 74% от всего банковского эквайринга принадлежит ведущим банкам России, в том числе и таким гигантам, как Газпромбанк, Сбербанк, Русский Стандарт и другие.
Перед установкой платежного терминала следует внимательно изучить рынок предложений от различных компаний, их ставки, отличительные особенности и технические возможности. Таким образом, можно подобрать максимально удобный и выгодный вариант для каждой специфики деятельности.
Установка POS-терминалов набирает популярность, позволяя малым предпринимателям расширять свои возможности и увеличивать прибыль за счет увеличения клиентского охвата рынка.
Дополнительные услуги эквайринга обеспечивают максимальный комфорт платежных операций при минимуме затрат, чем заслужили признание среди малого бизнеса и выездных типов сервиса.
POS-терминалы
Настолько широкое распространение POS-терминалов объясняется удобством оплаты при помощи карты как для покупателя, так и для продавца. В этой статье мы разберемся, что представляют из себя POS-терминалы, как ими пользоваться и насколько это безопасно, какими они бывают и как выбрать устройство для торговой точки.
Определение
Понятие «POS-терминал» имеет три значения:
В более широком смысле POS-терминал воспринимается как комплекс программного обеспечения и технического оборудования, представляющий собой единый моноблок (чаще) или несколько отдельных устройств (реже).
В некоторых случаях POS-терминалом не совсем корректно называют POS-системы, которые представляют собой полноценное рабочее место кассира. Оно предусматривает наличие встроенного фискального регистратора и больший набор функциональных возможностей.
Устройство
Конструкция терминала для эквайринга (платежа с карты) может несколько отличаться в зависимости от особенностей модели или назначения устройства. Стандартная комплектация предусматривает наличие следующих элементов:
Назначение и принцип работы
Современный POS-терминал предназначен для приема оплаты с использованием следующих платежных инструментов:
Важным достоинством терминалов для эквайринга выступает простой и понятный принцип работы. Он предусматривает такую последовательность действий продавца и покупателя:
Продавец-кассир указывает на терминале, привязанном подключенном к нему компьютере или кассовом аппарате сумму покупки. После этого он и предлагает покупателю вставить карточку в POS-терминал, провести ею по считывающей поверхности устройства или просто приложить к дисплею, в зависимости от типа карты.
Покупатель выполняет одну из перечисленных операций в зависимости от вида используемой для оплаты банковской карты. Если карточка вставляется в терминал, пин-код вводится обязательно. При совершении покупки от 1 тыс. рублей бесконтактным способом также потребуется введение пин-кода. Кроме того, другие ограничения в размере платежа без пин-кода могут устанавливаться и владельцем карточки.
Данные о карточке и величине покупки передаются в процессинговый центр банка, оказывающего услуги эквайринга.
Сведения о финансовой операции обрабатываются в центре обработки данных международной или национальной платежной системы (Visa и MasterCard или МИР). На этом этапе проверяется отсутствие карты в стоп-листе. При положительном результате данные о сделке направляются в банк, выпустивший пластик.
Банк-эмитент проверяет наличие на карточном счету достаточного для оплаты количества средств. На каждом из трех описанных этапов проверки могут возникнуть проблемы, которые приведут к отказу в совершении операции или запросу дополнительных данных от покупателя. В этом случае последний получает один из трех ответов:
POS-терминал передает в процессинговый центр информацию об успешном завершении оплаты.
Функции POS-терминалов
Востребованность услуг эквайринга объясняется не только удобством использования банковской карты в качестве платежного средства, но и обширным функционалом современных POS-терминалов. Перечень доступных операций определяется тем, какое из значений данного термина используется.
POS-терминал как отдельное устройство выполняет следующие функции:
прием оплаты с использованием банковской карты или бесконтактных платежных инструментов;
печать чеков с реквизитами совершаемой финансовой операции;
возврат средств покупателю при отмене сделки, если оплата производилась безналичным способом;
составление отчетов о совершенных операциях.
POS-терминал как комплекс программного обеспечения и технического оборудования способен производить такие действия:
Особенности POS-системы и отличия от POS-терминала
Под POS-системой понимается программно-аппаратный комплекс, который используется для осуществления всех кассовых операций. К ним относятся не только прием и выдача денежных средств, но и взвешивание товара, а также фискальный учет реализованных товаров и услуг.
POS-система представляет собой полноценное рабочее место кассира. По сути, она является усовершенствованной версией обычного POS-терминала, основными отличиями которой выступают:
POS, безопасность и вот это вот все. Разбираем уязвимости популярной Retail-системы
Всем привет. Сегодня хотелось бы с вами поговорить о Point of Sale (далее POS) системах, их архитектуре и безопасности. Вероятно, постпраздничный шок от длинных очередей в магазинах прошел, и самое время посмотреть, что же находится за этой завесой социальных коммуникаций. Исследование, описанное ниже, было проведено @chipik и мной.
Современные POS-системы представляют собой комбинацию программных и аппаратных решений, позволяющих проводить платежные операции и облегчающих ежедневные бизнес-процессы. Говоря о POS-ах, обычно имеют в виду кассовые аппараты, терминалы оплаты и другие привычные состовляющие торговых магазинов. Однако, архитектура POS не ограничивается только этими элементами. Что же касается безопасности, то, казалось бы, это тема не новая: начиная с 2012 года, почти на каждой конференции BlackHat USA был доклад о платежных системах (тут, тут, тут, тут). Но все эти доклады, будучи очень близки к обсуждаемой теме, все же немного о другом.
Чтобы стало понятнее, давайте рассмотрим процедуру оплаты в обычном магазине:
Сначала покупатель проводит картой по считывателю терминала для оплаты своих покупок. Данные кредитной карты поступают в терминал, откуда отправляются в POS-систему. Далее, POS-система связывается с PSP (Payment Service Provider), который, в зависимости от типа кредитной карты, обращается в банк для прохождения процедуры авторизации транзакции. Как раз в этот момент покупателю предлагается ввести PIN-код для подтверждения транзакции. Если все прошло успешно, код авторизации возвращется из банковской сети в PSP и передается в POS-систему и терминал. Все вышеописанные коммуникации происходят в течении пары секунд.
Исследования и атаки, которые упоминались в начале, в основном направлены на платежные терминалы, на взаимодействие с ними покупателей. Сегодня же будет рассмотрена другая часть – POS-системы, через которые проходят данные о транзакции.
Мы уже несколько раз говорили о различных бизнес-процессах, в чем же они заключаются? Рассмотрим, например, классический сетевой магазин. В магазине есть менеджер, скорее всего, их несколько. Каждое утро менеджеру необходимо открывать магазин, а затем и POS-терминалы. Хочется заметить, что POS-терминалы – это не то же самое, что и платежные терминалы. Первое изображение – это платежный терминал, а второе – POS-терминал.
Во время запуска POS-терминалы синхронизируют время и получают обновленные параметры с сервера магазина, включая цены на товары, информацию об их наличии и другие служебные данные. После этого кассиры могут залогиниться за своими рабочими местами и начать работу. Очевидно, что каждое действие на кассе логируется.
В конце дня менеджеру необходимо повторить процедуру в обратном порядке: сначала закрыть кассы, а после – магазин. После этого действия ни одна транзакция не может быть проведена до открытия магазина. Во время закрытия POS-терминалы отправляют свои логи на сервер. Это и есть те бизнес-процессы, о которых упоминалось выше. Именно их POS-системы позволяют упростить и облегчить.
На рынке POS-систем решений довольно много, и подразделяются они на группы продуктов для малых, средних и крупных организаций.
По большей части, они имеют схожую архитектуру. В этой статье мы подробно рассмотрим решение компании SAP: «SAP Point of Sale». Мы также исследовали продукт компании Oracle – MICROS, в котором нашли похожие уязвимости, закрытые в январе 2018 года (CVE-2018-2636).
О компании SAP можно узнать подробнее на официальном сайте. В двух словах: SAP разрабатывает большие ERP-решения для крупных компаний. POS-системы как продукт появились у SAP в 2005 году, когда она поглотила другую фирму – Triversity Transactionware GM, занимающуюся исключительно POS-решениями.
Архитектура SAP POS
Архитектура этой системы состоит из трех частей: Front Office, Back Office и Head office. К первой относят клиентскую часть, т.е. POS client и Mobile POS Client, являющиеся POS-терминалами, за которыми работают кассиры. Front Office соединен с Back Office, где находятся непосредственно локальный сервер магазина (Xpress Server), база данных (Database) и решение для локального управления POS-системой (Store manager), используя которую, менеджер открывает и закрывает магазин и терминалы.
Говоря о локальном решении, мы имеем в виду конкретный магазин, поскольку SAP POS – это продукт для крупных организаций, и архитектурно он задумывался для сети магазинов с центральным управлением. Иными словами, в этом случае, локальное решение – это POS-система одного из магазинов сети.
Глобальное управление сетью магазина осуществляется из головного офиса, с использованием Store Configurator, который соединен со всеми серверами магазинов.
Общий обзор сделан, теперь давайте рассмотрим, как все это устроено поподробнее. А двигаться будем в следующем порядке:
Head office
Store Configurator представляет собой приложение, которое позволяет настраивать в POS-системах абсолютно все. Нет, не так, АБСОЛЮТНО все, начиная с пользователей и внешнего вида экрана кассира и заканчивая шифрованием и иными настройками безопасности.
Как же все это реализовано? После внесения изменений в Store Configurator администратору необходимо нажать «convert», и на файловой системе в папке «Store Configurator/data/parm/» будут созданы специальные файлы с этими параметрами.
Содержимое файлов – это текстовое представление параметров, указанных в Store Configurator. На изображении ниже – файл rcptlogo.rcp.
Далее, администратору необходимо скопировать эти файлы в папку «/Xpress Server/parm/» каждого сервера магазина. Среди файлов, созданных Store Configurator, есть один «особый». Он называется «newparm.trg», и содержит в себе один лишь символ «Z». Xpress Server (сервер магазина), каждые 30 секунд проверяет папку «/parm/» на наличие этого файла. Если находит его, применяет обновленные параметры из загруженных файлов и удаляет «newparm.trg». Таким образом, этот файл выступает в роли своеобразного триггера обновлений.
Back office
Следующий на очереди — Back Office, а точнее – коммуникации внутри него. Он состоит, как уже было сказано ранее, из Xpress Server, Database и Store Manager. Все эти компоненты могут быть установлены как на одной машине, так и на разных. Store Manager взаимодействует с базой по стандартным портам и в данном случае очень напоминает Store Configurator с ограниченным функционалом и той лишь разницей, что записывает изменения параметров в базу данных напрямую, используя stored-процедуры.
В рамках исследования системы были найдены две забавные процедуры: ssp_insert_backdoor и ssp_delete_backdoor. Основная их цель – создать пользователя с именем «back» и паролем «door» и повышенными привилегиями. Конечно же, сделано это лишь на тот случай, когда все пользователи в POS-системе забудут свои данные авторизации.
Взаимодействие Store Manager и Xpress Server осуществляется по порту 2202, и выглядит более интересным. Изучая функционал Store Manager, мы обнаружили раздел Store Administration, который предоставляет любопытные возможности:
Посмотрев пакеты, которые Store Manager отправляет на порт 2202 Xpress Server-а (куда же без WireShark), мы увидели plaint-text команды. «It`s telnet protocol and the port is used for monitoring and not critical configuration,» – узнали мы из документации. Окей, а что если мы попробуем подключиться к этому порту с посторонней машины?
Как оказалось, никакого white list не предусмотрено. По умолчанию, этот порт открыт, и нет никаких рекомендаций по его закрытию в Security Guide. Естественно, ограничить доступ к портам можно сторонними средствами, но мы же смотрим на безопасность POS-системы, верно?
После подключения к Xpress Server на порт 2202 нас встречает приветственное сообщение с версией POS системы. Команда «help» возвращает список доступных функций:
Из названий этих функций вполне понятно их назначение. Отсутствие какой-либо проверки позволяет анонимно открывать и закрывать POS-терминалы, мониторить все, что происходит на них (например, при покупке в консоль выводится содержимое чека) или просто выключить Xpress Server.
Стало очень интересно, как реализованы эти функции в коде, и все ли команды отображены в выводе «help». Процесс, обрабатывающий приходящие запросы, – xps.exe. Немного реверса, и был найден перечень возможных команд. Их оказалось чуть больше 17… их 74. 74 команды принимает и обрабатывает Xpress Server с порта 2202. Описывать все было бы слишком долго, остановимся на самых интересных.
APM-VALIDATE-PASSWD – позволяет проверить данные авторизации, введенные пользователем. Эта команда возвращает три различных кода: 0 – если логин и пароль введен правильно, 1 — если неправильный пароль, 10 — если пользователя с таким логином не существует. Очевидно, ничто не мешает потенциальному нарушителю, находясь в локальной сети магазина, перебрать все возможные комбинации логинов и паролей (логин может состоять только из цифр) и получить данные для доступа к POS-терминалам.
Но brute-force — это же не очень круто, поэтому существует иная команда, Reset password, которая изменяет пароль пользователя на новый. Все, что нужно знать, – это логин, который может быть получен перебором. И еще одно маленькое уточнение. В этой POS-системе логин может состоять только из цифр, что значительно облегчает гипотетический перебор.
Команды FILE-FIND, FILE-OPEN и FILE-READ позволяют найти, открыть и прочитать данные на файловой системе Xpress Server. Вы же еще помните, что все это происходит без регистрации и смс, анонимно? Любопытно, что параметры команды FILE-OPEN передаются напрямую в C++ функцию fopen(), и если неправильно указать режим, то приложение Xpress Server получает ошибку и завершает свою работу.
Перейдем к последней части обзора.
Front office
POS-client, он же POS-терминал, подключается к серверу по порту 2200. Вся информация, все транзакции и вообще все коммуникации происходят именно по этому порту и только в таком направлении: инициатором является клиент, а сервер просто принимает и отвечает на запросы. Если вспомнить бизнес-процессы, то все происходит следующим образом. В начале дня, когда менеджер открывает POS-терминал, он отправляет пакет на сервер: «Сервер, я терминал номер 5, я открыт, пришли мне новые параметры и давай синхронизируем дату и время». В конце дня, когда менеджер закрывает POS-терминал, он отправляет на сервер свои логи. Ну и, конечно же, после каждой транзакции данные о ней и об изменении количества товаров также отправляются на сервер. Посмотрев трафик между POS-терминалом и Xpress Server, мы обнаружили, что пакеты на получение и загрузку файлов имеют определенную структуру:
Len – длина отправляемого пакета. Where – место, куда записываем данные. What – место, откуда берем данные. End – пара NULL-байт. Type – тип пакета, в зависимости от которого с пакетом будут выполнены те или иные действия. Пакеты могут быть:
Так, например, для того, чтобы получить файл с настройками у сервера, POS-client отправляет пакет типа R на порт 2200:
В ответе POS-client получает содержимое запрашиваемого файла и записывает его себе в специальную директорию. При попытке продублировать отправляемый POS-client-ом пакет с другой машины в ответе было также получено содержимое файла на сервере. Как мы видим, здесь также нет никаких проверок: порт 2200 Xpress Server принимает и обрабатывает пакеты от любой машины.
Это показалось забавным, но на чтении файлов далеко не уедешь. Давайте попробуем собрать набор пакетов для загрузки своего файла на сервер. Ведь POS-client как-то же записывает логи на сервер, правильно?
Во-первых, отправляем пакет типа S. Поле Where содержит путь на сервере, куда мы будем записывать данные, поле What необязательно, поскольку мы все делаем вручную, но очень важен размер Size, в котором мы указываем размер следующего, второго, пакета. Он будет типа F — FILE_DATA и будет состоять из своего размера и данных (содержимое), которые мы хотим записать на сервер. Ну и третий, последний пакет типа С — конец файла. После этого, Xpress Server записывает файл в указанную директорию и возвращает пакет типа G — GOOD. Любопытно, что если отправить пакет с неправильным полем Size, Xpress Server удалит файл на сервере. Ниже вы можете увидеть видео-POC анонимной записи, чтения и удаления файла:
Таким образом, из-за отсутствия каких-либо проверок, любой человек, который может подключиться к этому порту, может читать, записывать и удалять файлы на сервере.
И что из всего этого можно получить? Давайте посмотрим, чего можно достигнуть, скомбинировав вышеописанные возможности.
Итак, атакующему необходимо иметь доступ в локальную сеть магазина. Обычно получить его не составляет особого труда, т.к. периферийные устройства, включая весы, регулярно стоят в залах, и доступ к ним не ограничен.
Давайте суммируем наши знания о системе:
Комбинация этих особенностей позволяет изменить любой параметр в SAP POS-системе.
Допустим, атакующий хочет приобрести какой-то товар, скажем, за доллар.
Вот, собственно, и все. Но чего-то все же не хватает, а именно — возможности удаленного выполнения команд на сервере. А она, в общем-то, есть.
Каждый раз, когда Xpress Server обновляет параметры, т.е. находит триггер-файл «newparm.trg», он ищет и запускает два «.bat» файла: «XPSPARM.BAT» и «StopTN.BAT». А это означает только одно – атакующий может их перезаписать и выполнить скрипт с reverse-shell на себя.
Это будет выглядеть примерно так: атакующий заменяет файл «XPSPARM.BAT» на свой, используя порт 2200; записывает файл «newparm.trg», тем самым вызывая обновление параметров и запуск «*.bat» файла.
Шифрование
Да, в SAP POS применяется шифрование, но по умолчанию, «из коробки», оно отключено. Если шифрование настроено, то все важные данные передаются в виде шифротекста. Стоит уточнить, что шифруются именно данные, а не коммуникации между элементами системы. Например, если мониторить транзакции на терминале с включенным шифрованием, то мы получим в ответе шифротекст только вместо номера кредитной карты, остальные же данные будут переданы в открытом виде.
В этой таблице приведены имена таблиц и поля, которые должны пройти процедуру шифрования. В то же время, есть дополнительная таблица «CryptoRegister», где перечислено то же самое, но с указанием «уровня» шифрования. Так, например, пароли пользователей хранятся в виде хэш-значения и имеют уровень шифрования 4, а номера кредитных карт шифруются 3DES и имеют уровень 3.
SAP POS использует для хранения и генерации ключей инструмент «TWSecurity». При его запуске создается специальный «контейнер», и доступ в него возможен только по паролю, в котором хранится ключ шифрования. Поскольку 3DES – это симметричный алгоритм, ключ должен быть одинаковым на всех элементах системы: Front Office, Back office и Head office. Т.е. после создания контейнера его необходимо экспортировать на все части POS-системы. Доступ к ключу осуществляется только по токену, который прописан в реестре. И все было бы круто, но есть одно «НО».
Ключ (вернее его токен), который используется для шифрования данных, задается в Store Configurator… а это значит, что он конвертируется, как и другие параметры, в специальный файл, и может быть изменен атакующим на пустое значение для отключения шифрования в SAP POS.
«Мы патчили, патчили и наконец-то запатчили!»… или что делать в сложившейся ситуации
На данный момент, описаные в этой статье уязвимости закрыты. Да, не с первого раза, получилось почти со второго. Так, первая SAP Note 2476601 вышла 11 июля 2017 года, имела CVSS 8.1 и носила название «Missing Authentication checks in SAP Point of Sale (POS) Retail Xpress Server». В ней был запатчен доступ к порту 2202 (telnet). Это было сделано добавлением нового параметра «BACKOFFICEIPADDRESS», который по умолчанию имеет значение «localhost». Но, в то же время, не было ни одного упоминания о второй уязвимости на порту 2200, которая прекрасно работала и позволяла злоумышленникам удаленно исполнять команды, давая возможность «обойти» свежий июльский патч, просто изменив этот параметр. Наша команда сообщила об этом недочете SAP Product Security Response Team, которая выпустила целых две SAP Note – 2520064 и 2520232, 18 августа 2017 года. SAP Note 2520232 удаляет две stored procedure: «ssp_insert_backdoor» и «ssp_delete_backdoor». SAP Note 2520064 принес больше изменений. Этот патч добавил 3DES шифрование почти ко всем пакетам, которыми обмениваются различные элементы SAP POS: POS-client, Xpress Server, Store Configurator, Store Manager. Т.е. сейчас, даже имея возможность подключения к открытым портам, не зная ключа, у нас нет возможности повлиять на POS-систему: сервер не понимает приходящие к нему незашифрованные пакеты и просто отбрасывает их.
Это действительно интересное решение, но и здесь не обошлось без казусов. Почти сразу после выхода SAP Note на форумах стало появлятся множество сообщений о том, что не работает Store Manager. Дело в том, что SAP забыл о Store Manager, вернее о том, что этот компонент взаимодействует не только с Xpress Server, но и с базой данных. Когда Store Manager отправляет зашифрованный пакет в Базу данных, она возвращает ошибку в открытом тексте, которую Store Manager не может расшифровать и просто crash-ится. В связи с этим, вышел финальный патч, который исправляет ошибку предыдущего патча. Тем не менее, лучшим решением для защиты от возможных атак на вашу инфрастурктуру являются пусть и не всегда удачные, но регулярные обновления.
True story
А вот и любопытные вести с запада: Forever 21, Калифорнийская компания, «US fashion retailer», которая занимается продажей одежды по всему миру с 1984 (815 магазинов, 57 стран, США, Австралия, Бразилия, Китай, Франция и т.д.), 28 декабря 2017 года подтвердила информацию о том, что часть ее POS-систем была скопроментирована в период с 3 апреля по 18 ноября (. ). Эксперты утверждают, что злоумышленники имели анонимный доступ в сеть POS-систем и использовали его для установки вредоносных программ с целью сбора информации о кредитных картах покупателей (номер карты, срок ее действия, владелец, код проверки подлинности). Забавно, что шифрование критических данных в этих системах было отключено (да-да, не работало) аккурат в период с 3 апреля по 18 ноября. Видимо, шифрование не является большой проблемой не только в SAP-системах. К сожалению, точной информации о том, какие именно POS-системы были скопрометированы, найти не удалось. Если верить новостям, то 28 июня 2017 года Forever 21 подписала контракт с Toshiba Global Commerce Solutions о поставке своих систем, но к этому моменты текущие системы уже были скомпроментированы.