Сеть американских ресторанов и развлекательных центров «Dave & Buster’s» следующие 20 лет будет находиться под бдительным наблюдением Федеральной торговой комиссии (ФТК). «D & B» является одной из жертв Альберта Гонсалеса, который в 2009 году похитил данные о более чем 170 млн. кредитных и дебетовых карт, и только 130 тысяч PAN были украдены у «Dave & Buster’s».

В ходе проверок выяснилось, что «практики безопасности, используемые в «D & B», не смогли обеспечить надлежащий уровень безопасности данных о держателях карт в корпоративной сети». Иными словами, они не соответствуют PCI.

В частности Федеральная торговая комиссия установила, что сеть «Dave & Buster’s» не смогла обеспечить:

Двадцать лет нахождения под особым контролем со стороны Федеральной торговой комиссии — вот цена, которую заплатит компания «Dave & Buster’s» за несоответствие требованиям стандарта PCI DSS.

Источник: http://www.merchant911.org/blog/index.php/2010/06/24/card-breach-victim-gets-twenty-years-probation/

Источник: http://www.storefrontbacktalk.com/securityfraud/dave-busters-gets-20-years-in-gonzales-settlement/

Для повышения уровня безопасности платежной системы, Visa остаётся приверженной стратегии оказания всесторонней помощи своим участникам и клиентам в понимании их обязанностей в области обеспечения безопасности данных о держателях карт и защите платежной индустрии. Для реализации принципов этой стратегии Visa публикует Оповещения об угрозах безопасности данных в случае обнаружения в отрасли уязвимостей, подверженных активно развивающимся видам атак, а также для информирования о лучших практиках безопасности.

Участники платежной системы могут распространять эти оповещения своим партнерам, чтобы помочь обеспечить их осведомленность об уязвимостях, подверженных активно развивающимся видам атак и своевременное принятие ими мер по снижению рисков.

Клавиатурные шпионы: перехват нажатий клавиш и снимков экрана

В последние недели Visa зафиксировала рост числа атак с использованием клавиатурных шпионов в среде торогово-сервисных предприятий. Клавитаруный шпион — это вредоносное программное обеспечение, реализующее методы перехвата и записи нажатий клавиш, широко доступное в сети Интернет.

Клавиатурные шпионы, как и другие виды вредоносного программного обеспечения, могут распространяться как составные части троянов и вирусов, пересылаемых по электронной почте и активизирующихся при открытии опасного вложения в письмо или при переходе по заражённой ссылке. Также они могут быть установлены злоумышленником при наличии у него локального или удаленного доступа к компьютеру жертвы.

Определенные виды клавиатурных шпионов, зафиксированные Visa, пересылают данные о держателях карт на адреса электронной почты, либо передают их по прямому IP-соединению на узлы сети, контролируемые злоумышленниками. Обычно в таких случаях злоумышленник обладает возможностью установки клавиатурного шпиона на POS-систему благодаря наличию небезопасных механизмов удаленного доступа и недостаточно защищенной конфигурации сетевого оборудования. Анализ рядя клавиатурных шпионов показал, что для передачи данных за пределы сети организации они применяют протоколы FTP и SMTP, используя их стандартные порты (20, 21 и 25).

Рекомендуемые способы снижения рисков, связанных с клавиатурными шпионами

Принимая во внимание тот факт, что обнаружение клавиатурных шпионов может быть весьма проблематично, следующие меры должны быть применены в рамках поддержки соответствия организации требованиям стандарта PCI DSS с целью минимизации риска компрометации критичных систем, таких как POS-системы, серверы обработки транзакций и серверы баз данных:

• Отключить ненужные механизмы удаленного доступа. В случае необходимости такого доступа, он должен включаться только на период его непосредственного использования. Не использовать стандартные и простые пароли, применять только те приложения для удаленного доступа, которые реализуют стойкие механизмы безопасности. Всегда применять двухфакторную аутентификацию.

• Обеспечить безопасную конфигурацию сети. Организации должны использовать выделенный межсетевой экран, реализуя строгие правила контроля входящего и исходящего сетевого трафика, разрешая только соединения на те порты и сервисы, которые необхоимы для ведения бизнеса. Отключить FTP, SMTP и иные небезопасные порты в случае отсутствия необходимости в таких сервисах.

• Непрерывно отслеживать, какие программы установлены на всех системах, своевременно обнаруживать неизвестные приложения и принимать соответствующие меры (удаление, отключение, безопасное конфигурирование и т. д.) для минимизации риска компрометации данных.

• Выполнять периодические проверки наличия любых неизвестных устройств, в том числе устройств, подключенных к клавиатурам и мышкам.

• Выполнять периодические проверки наличия в своих системах клавиатурных шпионов, идентифицированных Visa в ходе расследований инцидентов компрометации данных (см. Таблицу 1).

• Установить современное антивирусное программное обеспечение и поддердживать его в актуальном состоянии. Если антивирусное программное обеспечение поддерживает эвристический анализ, следует его включить с целью обнаружения ранее неизвестных видов клавиатурных шпионов. Большинство антивирусных систем способны их обнаружить.

• Установить анти-шпионское программное обеспечение с целью обнаружения клавиатурных шпионов и их удаления из систем организации.

• Применять системы мониторинга сети и узлов (IDS/IPS), с целью своевременного обнаружения попыток соединений с IP-адресов злоумышленников или на их IP-адреса. Эта мера даст организации шанс предотвратить передачу клавиатурным шпионом накопленных критичных данных за пределы сети.

В случае обнаружения факта нарушения безопаности, немедленно оповестите банк-эквайер. Также Вы можете обратиться в Службу контроля мошеннческих действий Visa: cemeafraudcontrol@visa.com.

Таблица 1. Клавиатурные шпионы, идентифицированные Visa
(по состоянию на 11 марта 2010 года)

Англоязычный оригинал: http://usa.visa.com/download/merchants/key-logger-key-stroke-and-screen-capture.pdf.

Хакер из Майами Альберт Гонсалес (Albert Gonzalez), обвиняемый в краже данных более чем о 130 млн дебетовых и кредитных карточек, признал свою вину, сообщает BFM.RU.

От его действий пострадали такие компании, как 7-Eleven Inc., Hannaford Brothers Co., два американских ритейлера и крупный поставщик услуг Heartland Payment Systems Inc., о чем сообщалось ранее.

По данным Reuters, адвокат Гонсалеса попросил суд смягчить наказание и учесть факты того, что хакер страдает интернет-зависимостью, употреблял наркотики и страдает мягкой формой аутизма.

Киберпреступнику грозит тюремное заключение на срок от 17 до 25 лет. Приговор будет вынесен в марте 2010 года, сообщает источник.

В последнее время участились инциденты, связанные с кражей карточных данных, в ходе которых злоумышленники узнают PIN-коды карт. Различная информация об уязвимостях, способствующих получению PIN в открытом виде, появились давно, но на тот момент представляла по большей части академический интерес. Учитывая существующие проблемы алгоритмов шифрования, озвученные в соответствующих документах и докладах, их реализация была лишь вопросом времени. Спешу вас поздравить, сейчас данные атаки стали реальностью, что подтверждается не одним авторитетным источником. Инцидент, описываемый в нижеприведенной заметке, ещё раз доказывает серьёзность проблемы. По заявлениям компании Verizon данную проблему можно решить только кардинальной сменой структуры платёжных систем.

11 ноября 2009 года

«Масштабы и охват взлома банкоматов RBS WorldPay являются беспрецедентными. Преступники украли 9 миллионов долларов в течение нескольких часов с 2100 банкоматов по всему миру. Обвинительное заключение было вынесено 10 ноября 2009 года. Я всегда слежу за судебными процессами, связанными с компьютерной преступностью, поскольку это зачастую единственная возможность узнать подробности методов злоумышленника и уязвимостей жертвы. Например, до вынесения обвинительного заключения я не нашел ни одного описания того, как именно нападавшие нарушили периметр безопасности Heartland Payment Systems. В том случае это была SQL-иньекция в общедоступном веб-приложении. Что же мы можем узнать из обвинительного заключения по делу RBS WorldPay?

В обвинительном заключении говорится, что нападавшие были способны подделывать карточки и узнавать PIN-коды, чтобы снимать наличные через банкомат. Как известно, PIN-коды, как наиболее критичная информация, хранятся в зашифрованном виде. В обвинительном заключении указывается, что злоумышленники смогли выполнить обратную инженерию алгоритма вычисления PIN-кодов. Я хотел бы обратить на это внимание, потому что они нашли способ расшифрования хранимого зашифрованного значения PIN-кода. Если это так, то это говорит об огромной уязвимости в методах хранения PIN-кодов банками. Существует множество алгоритмов хранения PIN, и некоторые старые из них весьма уязвимы. Например, в работе Decimalization table attacks for PIN cracking (англ.) исследователи Майк Бонд (Mike Bond) и Петр Зелински (Piotr Zielinski) описывают атаку на алгоритм, разработанный в эпоху банкоматов IBM 3624, и до сих пор используемый многими устройствами. Также как и в хранилище хеш-значений паролей в ОС Windows, обеспечение обратной совместимости с устаревшими методами шифрования может обернуться увеличением числа уязвимостей (речь идёт о LM и NTLM хешах – прим. ред.). Я надеюсь, что ФБР и Секретная Служба поделились подробностями новой атаки со всеми банками США.

Мы знаем то, что для того, чтобы добраться до зашифрованных PIN-кодов, злоумышленники проникли внутрь периметра RBS WorldPay. В обвинительном заключении говорится о том, что нападавшие использовали уязвимости в компьютерной сети RBS WorldPay. Это крайне туманная формулировка. Был ли это плохо настроенный межсетевой экран, уязвимость веб-приложения, отсутствие обновления на одном из серверов, или нечто другое? Это было бы интересно узнать с практической точки зрения, потому что если RBS WorldPay не выделяет достаточно ресурсов защите от подобных угроз, то вряд ли другие организации делают это.

В заключение некоторые интересные подробности. В обвинительном заключении приведены SQL-запросы, которые были выполнены злоумышленниками для управления базой данных банка, чтобы изменить денежные лимиты на счетах некоторых карт и удалить информацию о транзакциях. Неясно, каким образом злоумышленники получили доступ к серверу баз данных, был ли это доступ к командной строке самого сервера, другой машины, или SQL-инъекция. Однозначно понятно то, что игра окончена, когда злоумышленник получает возможность модифицировать таблицы баз данных. Я надеюсь, что вскоре станут известны подробности, из которых индустрия платежных карт сможет извлечь полезные уроки».

Дополнительные материалы по уязвимостям PIN:
The unbearable lightness of PIN cracking (англ.)
Formal Analysis of PIN Block Attacks (англ.)

Chris Wysopal, VERACODE
http://www.veracode.com/blog/2009/11/we-need-to-learn-more-about-the-rbs-worldpay-atm-attack/

Прокуратура штата Нью-Джерси предъявила обвинения жителю Майами Альберту Гонзалезу (Albert Gonzalez), который, по версии следствия, похитил данные о 130 млн кредитных и дебетовых карт, сообщает BFM.RU. Это крупнейшее в истории США хищение карточной информации, отмечается в сообщении.

По данным сыщиков, 28-летнему Гонзалезу помогали двое подельников, которые являются выходцами из России. Им также предъявлено обвинение.

Как сообщает BBC, хакеры взломали систему расчетов нескольких розничных сетей, в том числе сети супермаркетов 7-Eleven, Hannaford Brothers, платежного оператора Heartland Payment Systems - и ещё двух неназванных компаний. Обвинение утверждает, что злоумышленники намеревались продать похищенные данные.

По данным сообщения, если Гонзалеза признают виновным, ему грозит до 20 лет тюрьмы за мошенничество с использованием электронных средств и еще 5 лет за участие в преступном сговоре. Кроме того, ему придется заплатить штраф в 250 тысяч долларов по каждой из двух статей обвинения.

После успешного заражения банкомат приобретал возможность вывода собранных данных на бумажный чек по команде, набранной с клавиатуры банкомата.

С использованием полученных номеров карт и пин-кодов изготавливались дубликаты карт, при помощи которых мошенники снимали деньги. Четверых молодых людей обвиняют в хищении 5 миллионов рублей. Дело передано в Приморский районный суд Санкт-Петербурга.

Следователи установили, что организатором преступной группы был 22-летний москвич, который контролировал процесс изготовления и сбыта пластиковых карт, поддельных документов, удостоверяющих личность, а также подложных заявлений на открытие электронных сертификатов системы WebMoney. В ходе обысков по месту жительства подозреваемых была изъята вычислительная техника, устройства, позволяющие изготавливать пластиковые карты с магнитной полосой и логотипом любого банка, а также более 100 штук поддельных пластиковых карт.

Всем задержанным участникам группировки предъявлено обвинение по четырём статьям УК РФ — «мошенничество», «незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну», «изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов», а также «подделка документов, государственных наград, штампов, печатей, бланков».

1. Является ли адекватным поведение МПС (Visa, в ответ на сообщение, удалила Heartland из списка PCI Compliant сервис-провайдеров), ведь если сегодня ты присутствуешь в «белых» списках PCI, а завтра тебя оттуда удаляют, то какова цена этим спискам, то есть статусу PCI Compliant, а значит и самому сертификату.
2. Гарантирует ли стандарт PCI DSS защиту от инцидентов, связанных с компрометацией данных платежных карт. Иначе говоря, вопрос ставится таким же образом: какова цена этому сертификату.

В ответ на первый вопрос хочется обратиться непосредственно к самому стандарту, который сопоставляет уровню сервис-провайдера его обязательства по прохождению сертификации. Среди прочего там перечислены «все сервис-провайдеры, которые были скомпрометированы». То есть, Visa поступила в строгом соответствии со стандартом, и пострадавшая сторона не сможет считаться PCI Compliant, пока не приведет свою информационную систему в соответствие, устранив бреши в безопасности.

Второй вопрос я намеренно оставил в такой формулировке. Позволю себе процитировать некоторых «экспертов», высказавших свое мнение по поводу обсуждаемого вопроса: «либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты». Вообще, само понятие «стандарта, гарантирующего защиту» звучит довольно странно и напоминает известную шутку про вероятность встретить на Невском проспекте НЛО — ровно 50% («либо встретите, либо нет»). К сожалению, кроме шуток, часто приходится наблюдать непонимание разницы между терминами «соответствие» (compliance) и «проверка соответствия» (validation). Вместе с тем очевидно, что первое означает континуальный процесс, который должен поддерживаться в течение времени, а стандарт PCI DSS лишь предъявляет ряд требований к этому процессу. QSA-аудитор же может только зафиксировать факт выполнения этих требований в отдельных момент времени, т.е. выполнить проверку соответствия. Если сразу после того, как за аудитором захлопнулась дверь, проверяемая организация отключила антивирусные средства или убрала систему обнаружения вторжений, повышается в таком случае риск компрометации? Очевидно, что да. Является ли это упущением стандарта PCI DSS и говорит ли о его непригодности? Очевидно, что нет.

Поэтому когда мы говорим о том, какова цена сертификату и коррелирует ли его наличие с величиной риска, довольно глупо обращаться за аргументами к «истории неудач». Вместо этого не следует забывать, что все зависит главным образом от того, насколько грамотно выполнены требования стандарта и как хорошо налажен процесс контроля и управления безопасностью, диктуемый этим стандартом.