В ноябре 2006 года произошел отказ в работе одного из серверов компании Wal-Mart, что само по себе не было уникальным событием, учитывая обширную сеть и количество серверов компании. Данный инцидент привлек внимание специалистов: причина отказа — запуск утилиты L0phtCrack, используемой для подбора паролей пользовательских аккаунтов (Системы IDS/IPS (п.11.4), антивирусное ПО (п.5.1, 5.2) не выявило зловредную утилиту, что говорит о неактивности этих средств, либо неправильной настройке).
При расследовании инцидента было выявлено, что зловредное ПО было установлено удаленно с использованием доступа под разделяемой учетной записью администратора сети (п.8.5.8 Запрет на использование разделяемых учетных записей). Злоумышленник получил доступ к скомпрометированному серверу посредством VPN-туннеля, воспользовавшись учетной записью канадского сотрудника, покинувшего Wal-Mart, но вовремя не удаленного из системы (п.8.5.4 Доступ для каждого сотрудника при его увольнении должен немедленно аннулироваться). Нарушитель оставался подключенным к серверу в течение 7 часов до момента его отказа, также было установлено, что соединение осуществлялось с ip-адреса в Минске.
После блокирования скомпрометированного аккаунта злоумышленник предпринял ещё несколько попыток зайти под другими учетными записями, скомпрометированными им в то время, когда у него был доступ к сети.
При изучении журналов аудита сотрудниками безопасности компании было установлено, что злоумышленник имел доступ к серверам компании по крайней мере с июня 2005. Определение точной даты было затруднено тем, что в журнале фиксировались только неудачные попытки аутентификации (п.10.2 5 Необходимо производить аудит использования механизмов идентификации и аутентификации, п.10.3.4 В журналах необходимо фиксировать индикатор успеха или отказа). По заявлениям службы безопасности Wal-Mart при расследовании было выявлено порядка 800 машин, доступ к которым пытался получить или получил злоумышленник, используя перебор паролей (п.8.5.13 Количество неудачных попыток получения доступа должно быть ограничено блокированием идентификатора пользователя по крайней мере после 6 неудачных попыток, что делает вероятность подбора ничтожно малой). При этом главной целью компрометации стали компьютеры отдела разработки, сотрудники которого работали над приложениями, участвующими в обработке данных платежных карт.
В результате проникновения мошенник получил доступ к конфиденциальной информации компании, исходным кодам приложений для POS-терминалов, лог-файлам, схемам транзакций, таким как «POS Store Systems Technical Specifications TLOG Encryption and Financial Flows Draft 03/04/2006», представляющую из себя схему движения данных в течение всего процесса транзакции от POS-терминала в точке продажи до банка-эмитента карты.
Меры по шифрованию данных платежных карт Wal-Mart предприняла только за 3 месяца до обнаружения вторжения с целью получения соответствия стандарту PCI DSS, поэтому утверждение, что эти данные не были скомпрометированы, вызывает сомнение. Также стоит заметить, что срок обязательного соответствия уже был просрочен на год с середины 2004 года.
В декабре 2005 года аудиторы компании CyberTrust проверили выборку из 5 сетей компании Wal-Mart и выявили многочисленные нарушения безопасности и стандарта. В резервных копиях журналов транзакций на серверах UNIX в открытом виде содержалась информация о номерах, именах держателей и сроках действия платежных карт (п.3.4 Номера PAN должны быть приведены к нечитаемому виду вне зависимости от места хранения). На многих серверах, сетевых устройствах и прикладном ПО для доступа использовались одинаковые аутентификационные данные по всей стране (п.8.5.8 Запрет на использование разделяемых паролей), в ряде случаев использовались слабые пароли (п.8.5.10 Длина паролей должна составлять не менее 7 символов, п.8.5.11 Пароли должны содержать как цифры, так и буквы), таким образом, при компрометации одного контроллера POS злоумышленник потенциально получал доступ к данным по всей сети.
Несмотря на большое количество нарушений, уже в августе 2006 года компания Wal-Mart по заверениям руководителя отдела безопасности исправила все выявленные несоответствия требованиям стандарта и получила статус соответствия стандарту PCI DSS от компании VeriSign ровно за один квартал до взлома.
История компрометации компании Wal-Mart в очередной раз показывает, что прохождение процедуры формальной оценки соответствия стандарту PCI DSS и поддержание реального уровня безопасности (в том числе добросовестно выполняя требования этого стандарта) не эквивалентные понятия. Значительно большее количество проблем с безопасностью можно было бы избежать, если соответствующие требования PCI DSS выполнялись бы в полном объеме. Конечно, есть много вопросов и к аудитору QSA в данной истории, но это область ответственности Совета PCI. Тем не менее, выявленные в ходе расследования этого инцидента факты, по моему мнению, доказывают необходимость тщательного выбора аудитора QSA как на этапе достижения соответствия, так и при проведении сертификационного on-site аудита. Совместная работа с аудитором позволит обеспечить внедрение надежной системы информационной безопасности на всех этапах, а не просто создать иллюзию соответствия «для галочки» или обеспечить выполнение требований на период проведения сертификационного аудита.
Данная утилита L0phtCrack не сетевая, следовательно системы IDS/IPS её обнаруживать не должны, т.к. это не их профиль.
То же самое и с невыявлением данной утилиты антивирусными средствами - утилита не является вирусом или прочим -ware и выявлению данным классом программ не подлежит. Она предназначена для нужд администрирования, а что касается её нецелевого использования в данном конкретном случае, так и молотком можно не только гвоздь забить.