http://www.pcidss.ru/blog/ PCI DSS Blog Заметки о стандарте PCI DSS (Payment Card Industry Data Security Standard) http://www.pcidss.ru/blog/230.html http://www.pcidss.ru/blog/230.html Дистанционный съём информации с RFID-карточки: ничего сложного

На хакерской конференции Shmoocon, которая прошла в Вашингтоне в минувший уикенд (27-29 января) известный специалист по безопасности Кристин Пейджет (Kristin Paget) из компании Recursion Ventures провела демонстрацию дистанционного считывания конфиденциальной информации с банковской карты, оснащённой радиочипом RFID. Вообще-то, об уязвимости бесконтактных карточек говорят уже лет пять, но нынешняя демонстрация показала, что надёжной защиты безопасности до сих пор не появилось. Для считывания информации с карт использовалось недорогое оборудование совокупной стоимостью в пару сотен долларов.

Для дистанционного считывания номера карты, срока действия и одноразового номера CVV использовался кард-ридер Vivotech, который можно купить на eBay за $50. Далее, с помощью намагничивающего устройства стоимостью $300 эти данные можно записать на чистую карту.

Во время демонстрации Пейджет пригласила на сцену добровольца, который не вынимал из кармана кошелёк с карточкой. Считывание данных и намагничивание новой карточки заняло пару минут, после чего Пейджет достала iPhone с модулем Square, который позволяет принимать платежи, и перевела $15 на свой счёт, используя только что сделанный клон карточки. Чтобы ни у кого не оставалось сомнений в правдивости фокуса, Пейджет показала номер клонированной карточки на большом экране со сцены.

Бесконтактные карточки появились в обращении относительно недавно, и платёжные системы широко рекламируют их как удобное средство платежа. По данным Smart Card Association, сейчас в обращении находится около 100 млн таких карт. Соответствующая технология у компании Visa называется payWave, у MasterCard — PayPass, у Discover — Zip, а у American Express — ExpressPay. Все они одинаково уязвимы для съёма данных.

В данном случае хакерский RFID кард-ридер ничем не отличается от легального терминала торговой точки. Самое сложное в такой атаке — приблизить кард-ридер на максимально близкое расстояние к кошельку с карточкой. На практике это можно сделать в переполненном транспорте или в очереди, спрятав устройство в кармане и «случайно» столкнувшись с владельцем карты. В принципе, физический контакт даже необязателен, достаточно максимально близко приблизиться к жертве.

Данный тип атаки — не какая-то дыра в безопасности, а фундаментальный изъян платёжной системы, которую специально сделали максимально простой в использовании. В нынешней версии технологии RFID-карты не передают беспроводным способом имя пользователя, PIN-код и трёхзначный постоянный CVV. Представители платёжных систем говорят, что за шесть лет не задокументировано ни единого случая подобного рода мошенничества, что является доказательством достаточной защиты для такого рода атак, где злоумышленнику трудно сохранить свою анонимность.

В самом деле, использование одноразового CVV делает возможным проведение только одной транзакции с клонированной карточки, а при попытке второй транзакции она будет заблокирована.

По мнению Пейджет, это означает только то, что злоумышленнику нужно посетить оживлённое место, где за один вечер можно набрать множество «одноразовых» карт. По словам специалиста, они в компании Recursion Ventures сейчас работают над созданием специального бумажника Guardbunny с RFID-детектором, который будет сигнализировать о попытке сканирования — глаза у кролика на бумажнике начинают светиться и он издаёт громкие звуки. Кроме того, в бумажнике будет проактивная защита против сканирования вместо малоэффективных алюминиевой прокладки, которую сейчас вшивают в кошельки и которая не спасает от мощного сканера.



Автор Алина Оприско
Комментарии к заметке
Тэги: mastercard | visa | исследования

]]> Алина Оприско http://www.pcidss.ru/blog/226.html http://www.pcidss.ru/blog/226.html Статистика по фроду в 2011 году: кардеры сняли $3,4 млрд в магазинах США

Процессинговая компания CyberSource (подразделение корпорации Visa) опубликовала отчёт 2012 Online Fraud Report со статистикой по кардерским операциям в интернете. На первый взгляд, кардерство идёт на спад: доля фродовых транзакций в интернете упала с 0,9% в 2010 году до 0,6% в 2011 году, то есть до минимального уровня за последние 13 лет, в течение которых проводились измерения.

Однако, фродовые транзакции по размеру оказались больше обычных, и поэтому доля мошенничества в общем обороте интернет-торговли по сравнению с прошлым годом выросла до 1,0% (здесь и далее приводятся цифры для США), хотя в целом она постепенно снижается уже много лет.

Потери в абсолютном выражении продолжают расти. Общий объём фродовых транзакций в прошлом году составил $3,4 млрд, что на $700 млн больше, чем годом ранее.

Заказы из-за границы в американских магазинах показывают уровень фрода 2,0%, что втрое выше среднего.

Конечно, нельзя сказать, что все эти деньги ($3,4 млрд) ушли в карманы злоумышленников. Всё-таки обналичка денег с карт — очень трудоёмкий процесс, который требует оплаты больших комиссионных на каждом этапе. Часть средств по фродовым транзакциям уходят на оплату покупок в интернет-магазинах, а часть просто спускается в казино. Кроме того, большая часть записанных в фрод транзакций вовсе никак не связаны с мошенничеством.

Неприятной тенденцией для платёжных систем является тот факт, что фродовые транзакции стало труднее распознавать. Об этом говорят опросы интернет-магазинов. Сейчас они отвергают около 5% всех заказов в магазине на основании подозрения в мошенничестве, в том числе отвергаются 7,3% зарубежных заказов и 2,8% американских. Всё больше магазинов (75%) прибегают к проведению операций вручную, а не в автоматическом режиме. Сейчас на рассмотрение соответствующих отделов отправляется уже 27% всех транзакций (в прошлом году было 24%).

Исследования также показывают бурное развитие сектора мобильной коммерции и активизацию мошенников на этом направлении. Данный сектор считается самым опасным в ближайшие годы.

Напоследок приведём диаграмму с указанием инструментов, которые используют магазины для скрининга транзакций. Голубой цвет соответствует использованию или планам использования, синий — реальное использование, оранжевый — намерение использовать в будущем.



Автор Алина Оприско
Комментарии к заметке
Тэги: visa | исследования | ДБО

]]> Алина Оприско http://www.pcidss.ru/blog/211.html http://www.pcidss.ru/blog/211.html Банки и эмитенты кредитных карт развивают EMV-технологии

EMV – стандарт, созданный Europay, MasterCard и Visa для платёжных чиповых карт с кредитно-дебетовыми приложениями, широко используется в Европе и других странах по всему миру.

Кредитные карты, которые содержат встроенный микропроцессор, в настоящее время гораздо более безопасны, чем любая другая форма кредитных карт, в том числе и стандартные карты с магнитной полосой, информацию с которых слишком легко украсть в банкоматах и терминалах.

Сейчас крупнейшие банки и ритейлеры стремятся сделать EMV новым стандартом в США.

Visa недавно объявила о планах расширить свою программу инновационных технологий в США, которые будут стимулировать ритейлеров поддерживать карты с микрочипами.

Между тем, Citi объявили о выпуске собственной корпоративной Citi Chip и PIN-карты, которая предназначена для держателей карт США, выезжающих за границу. Банк Америки сделал аналогичное заявление о расширении технологии кредитных карт, направленных на международных путешественников.

Также Wells Fargo уже тестирует EMV-карты в США со своей Visa Smart Card, которая включает в себя традиционную магнитную полосу, а также микропроцессор, для того чтобы сделать карту универсальной и работающей во всем мире. Пилотная программа Wells Fargo включает в себя 15 000 клиентов, которые регулярно совершают поездки.

Благодаря всем этим крупным игрокам удалось добиться значительного внедрения EMV-технологий. Полное принятие новейших технологий уже кажется неизбежным, теперь это только вопрос времени.

EMV-технологии являются более безопасными, а также работают лучше, чем карты с магнитной полосой.

Источник: http://www.infosecisland.com/blogview/18810-Banks-and-Credit-Card-Issuers-Move-Toward-Chip-and-PIN.html



Автор Алина Оприско
Комментарии к заметке
Тэги: mastercard | visa | банки

]]> Алина Оприско http://www.pcidss.ru/blog/179.html http://www.pcidss.ru/blog/179.html В Европе появятся карты Visa со встроенным дисплеем
Не так давно платежная система Visa анонсировала банковскую карту для безопасных интернет-платежей. Отличительной особенностью устройства под названием CodeSure Matrix Display Card стало наличие ЖК-дисплея и числовой клавиатуры с батарейкой.

Миниатюрный дисплей (48x8 пикселей) расположен на оборотной стороне карты: на нем отображаются одноразовые числовые ПИН коды, подтверждающие проведение транзакций. Поскольку карта предполагает использование без предъявления ее физического носителя, ввод подтверждающего ПИН-кода позволяет гарантированно установить личность клиента.

Новинка может одновременно выступать в качестве обычной дебетовой или кредитной карты Visa или даже предоплатной карты, сообщает интернет-ресурс ReadWriteWeb. При этом устройство способно поддерживать, в том числе, сервисы онлайнового или мобильного банкинга.

Технологическими партнерами Visa в реализации проекта выступили компании NagraID Security (поставщик дисплея) и Emue Technologies (разрабочик системы аутентификации).

На протяжении года карту CodeSure тестировали в ряде европейских банков. Успешное завершение испытаний позволит предложить новинку потребителям банковских услуг в Европе уже в самое ближайшее время.



Автор Александра Голик
Комментарии к заметке
Тэги: visa | обновления

]]> Александра Голик http://www.pcidss.ru/blog/124.html http://www.pcidss.ru/blog/124.html Послабление Visa для торгово-сервисных предприятий в США На самом деле, речь идет о том, чтобы сделать такое послабление только торгово-сервисным предприятиям, работающим в США и использующим POS-терминалы, поддерживающие указанные технологии, остальные организации должны соответствовать стандарту в той же мере, что и раньше. Кроме того, сообщение не является новостью - об этом нововведении сотрудники Visa рассказывали еще на конференции PCI DSS Russia в марте этого года.
Эта мера принимается для популяризации платежей, проведенных таким образом, поскольку они защищеннее, чем платежи с использованием магнитной полосы.

Автор Павел Федоров
Комментарии к заметке
Тэги: стандарт | visa

]]> Павел Федоров http://www.pcidss.ru/blog/67.html http://www.pcidss.ru/blog/67.html Почему стандарты PCI существуют?

В связи с резким ростом количества статей и докладов о стандарте PCI DSS и доводах считать его бесполезным, я решил, что следует рассказать о том, почему разрабатывались стандарты PCI.

В 1999 Visa USA начала работать над программой обеспечения безопасности данных о клиенте (Customer Information Security Program, CISP). Первая официальная версия CISP была выпущена летом 2003 года с указанием Visa как можно скорее определить мерчантов, соответствующих требованиям CISP. Первоначальный импульс для CISP был обусловлен увеличением платежей, которые были результатом незаконного использования счетов кредитных карт. Анализ этих платежей выявил, что сотрудники торгово-сервисных предприятий стали все чаще использовать доступ к POS-терминалам и системам обработки учетных данных для получения номеров кредитных карт и их последующего использования в мошеннических целях.

В то время как развитие CISP прогрессировало, Visa USA также стала замечать, что количество случаев компрометации данных на сайтах электронной коммерции (e-Commerce) возросло, а информация о кредитных картах, хранящаяся в базе, утекает к злоумышленнику и используется в мошеннических целях. Причина оказалась в том, что разработчики приложений использовали такую же модель разработки ПО для e-Commerce как и для POS. В результате оказалось, что данные о держателях карт хранились в базах данных в сети Интернет.

По прошествии приблизительно года работы Visa USA, MasterCard International начал разработку стандарта защиты данных веб-сайтов (Site Data Protection standard, SDP). В отличие от CISP, в SDP внимание было сфокусировано на обеспечении безопасности веб-сайтов электронной коммерции. MasterCard следил за быстрыми темпами роста мошенничества, связанного с компрометацией данных на сайтах электронной коммерции, и его анализ, как и анализ Visa USA, выявил, что большинство интернет-сайтов e-Commerce, хранящих данные о держателях карт в БД, были недостаточно хорошо защищены. В результате для решения данной проблемы MasterCard разработал SDP-стандарт, устанавливающий базисный уровень информационной и сетевой безопасности для веб-сайтов электронной коммерции.

Работа над CISP двигалась вперед, были получены дополнительные статистические данные по вопросам безопасности, и Visa USA начала понимать, что именно приложения онлайн платежей являются самой главной проблемой, служащей причиной компрометации данных о держателях карт. Как результат, Visa USA разработала стандарт сертификации платежных приложений (Payment Application Best Practices, PABP), который был опубликован в конце 2004 года и настоятельно рекомендован к использованию производителями программного обеспечения в качестве критерия защищенности их ПО.

Существует мнение, что стандарты PCI были разработаны лишь для того, чтобы минимизировать потери МПС и банков, а для мерчантов не представляют никакой пользы. Однако PCI стандарты были призваны защитить каждое звено в процессе транзакции. Когда происходит нарушение, первое что запоминают люди — это платежный бренд, затем, скорее всего, мерчанта или поставщика услуг, далее франчайзи, если он есть. МПС, поставщики услуг и франчайзеры поняли, что рискуют своей репутацией, не смотря на то, что проблему, в общем-то, зачастую создавали франчайзи мерчанты. Независимо от того, с чьей стороны было произведено нарушение, как правило, бренды международных платежных систем претерпевали самый сильный удар по репутации. Как следствие, МПС пришли к твердому решению защищать свое имя и репутацию.

Недавно также было высказано мнение о том, что стандарт PCI DSS не нужен, потому что рыночные предприятия будут сами решать вопросы безопасности при проведении транзакций. Однако, во-первых, проблема состоит в том, что большинство мерчантов и поставщиков услуг не уверены в том, что они несут ответственность за обеспечение безопасности данных о держателях карт даже после того, как они могли подвергнуться нарушениям. Они считают, что обеспечение безопасности ДДК — проблема международных платежных систем, поскольку МПС генерируют платежные карты. К сожалению, безопасность ДДК не может контролироваться МПС, поэтому мерчанты и поставщики услуг также должны нести ответственность. Во-вторых, проблема заключается в том, что базовых требований безопасности нет. У каждой организации свое мнение на этот счет, и разный взгляд и отношение к угрозам безопасности. В результате в некоторых организациях обеспечивается высокая защита данных о держателях карт (например, в банках), а в других — низкая. Низкая защищенность некоторых звеньев системы ставит под угрозу обеспечение безопасности ДДК во всей системе — в этом заключается проблема такого подхода. Как следствие, в мире, где все взаимосвязано, организации с высоким уровнем безопасности находятся под угрозой, если они являются партнерами тех организаций, в которых этот уровень низкий. Следствием этого явилось признание МПС того, что необходим единый стандарт для обеспечения прочной основы платежной безопасности.

Мы надеемся, что с этой точки зрения можно понять, почему стандарты существуют и используются для обеспечения необходимой безопасности ДДК.

Автор: PCIGuru

Оригинал заметки: http://pciguru.wordpress.com/2010/07/03/why-the-pci-standards-exist/



Автор Максим Екимовский
Комментарии к заметке
Тэги: mastercard | стандарт | visa

]]> Максим Екимовский http://www.pcidss.ru/blog/58.html http://www.pcidss.ru/blog/58.html Эксперты Сообщества PCIDSS.RU примут участие в PCI SSC Community Meeting

В период с 18 по 20 октября состоится европейская сессия международного мероприятия PCI Security Standards Council Community Meeting-Barcelona, проводимого Советом PCI SSC. Сообществу экспертов по безопасности индустрии платежных карт будут представлены обновленные версии стандартов PCI DSS и PA-DSS.

Помимо нововведений, которые коснутся требований стандартов, в рамках конференции между представителями Совета PCI SSC, международных платежных систем, а также QSA и ASV компаний состоятся тематические беседы, в ходе которых будут обсуждаться актуальные вопросы, относящиеся к процедуре аудита, определению области аудита и применимости требований стандартов.

Эксперты Сообщества PCIDSS.RU примут активное участие в данном мероприятии с целью выхода на новый уровень взаимодействия с регуляторами отрасли и получения информации из первых рук.

Все интересующие вас вопросы, которые бы вы хотели задать Совету PCI SSC, представителям международных платежных систем, либо которые, по вашему мнению, требуют обсуждения в широком международном кругу экспертов по безопасности платежной отрасли, вы можете оставить в комментариях к этой заметке, либо прислать нам по адресу info@pcidss.ru. Отобранные нашими экспертами вопросы будут вынесены на обсуждение в рамках планируемого мероприятия.



Автор Сергей Шустиков
Комментарии к заметке
Тэги: mastercard | конференция | стандарт | pci ssc | visa | pa-dss

]]> Сергей Шустиков http://www.pcidss.ru/blog/57.html http://www.pcidss.ru/blog/57.html Защита от клавиатурных шпионов, рецепты от Visa

Для повышения уровня безопасности платежной системы, Visa остаётся приверженной стратегии оказания всесторонней помощи своим участникам и клиентам в понимании их обязанностей в области обеспечения безопасности данных о держателях карт и защите платежной индустрии. Для реализации принципов этой стратегии Visa публикует Оповещения об угрозах безопасности данных в случае обнаружения в отрасли уязвимостей, подверженных активно развивающимся видам атак, а также для информирования о лучших практиках безопасности.

Участники платежной системы могут распространять эти оповещения своим партнерам, чтобы помочь обеспечить их осведомленность об уязвимостях, подверженных активно развивающимся видам атак и своевременное принятие ими мер по снижению рисков.

Клавиатурные шпионы: перехват нажатий клавиш и снимков экрана

В последние недели Visa зафиксировала рост числа атак с использованием клавиатурных шпионов в среде торогово-сервисных предприятий. Клавитаруный шпион — это вредоносное программное обеспечение, реализующее методы перехвата и записи нажатий клавиш, широко доступное в сети Интернет.

Клавиатурные шпионы, как и другие виды вредоносного программного обеспечения, могут распространяться как составные части троянов и вирусов, пересылаемых по электронной почте и активизирующихся при открытии опасного вложения в письмо или при переходе по заражённой ссылке. Также они могут быть установлены злоумышленником при наличии у него локального или удаленного доступа к компьютеру жертвы.

Определенные виды клавиатурных шпионов, зафиксированные Visa, пересылают данные о держателях карт на адреса электронной почты, либо передают их по прямому IP-соединению на узлы сети, контролируемые злоумышленниками. Обычно в таких случаях злоумышленник обладает возможностью установки клавиатурного шпиона на POS-систему благодаря наличию небезопасных механизмов удаленного доступа и недостаточно защищенной конфигурации сетевого оборудования. Анализ рядя клавиатурных шпионов показал, что для передачи данных за пределы сети организации они применяют протоколы FTP и SMTP, используя их стандартные порты (20, 21 и 25).

Рекомендуемые способы снижения рисков, связанных с клавиатурными шпионами

Принимая во внимание тот факт, что обнаружение клавиатурных шпионов может быть весьма проблематично, следующие меры должны быть применены в рамках поддержки соответствия организации требованиям стандарта PCI DSS с целью минимизации риска компрометации критичных систем, таких как POS-системы, серверы обработки транзакций и серверы баз данных:

  • Отключить ненужные механизмы удаленного доступа. В случае необходимости такого доступа, он должен включаться только на период его непосредственного использования. Не использовать стандартные и простые пароли, применять только те приложения для удаленного доступа, которые реализуют стойкие механизмы безопасности. Всегда применять двухфакторную аутентификацию.

  • Обеспечить безопасную конфигурацию сети. Организации должны использовать выделенный межсетевой экран, реализуя строгие правила контроля входящего и исходящего сетевого трафика, разрешая только соединения на те порты и сервисы, которые необхоимы для ведения бизнеса. Отключить FTP, SMTP и иные небезопасные порты в случае отсутствия необходимости в таких сервисах.

  • Непрерывно отслеживать, какие программы установлены на всех системах, своевременно обнаруживать неизвестные приложения и принимать соответствующие меры (удаление, отключение, безопасное конфигурирование и т. д.) для минимизации риска компрометации данных.

  • Выполнять периодические проверки наличия любых неизвестных устройств, в том числе устройств, подключенных к клавиатурам и мышкам.

  • Выполнять периодические проверки наличия в своих системах клавиатурных шпионов, идентифицированных Visa в ходе расследований инцидентов компрометации данных (см. Таблицу 1).

  • Установить современное антивирусное программное обеспечение и поддердживать его в актуальном состоянии. Если антивирусное программное обеспечение поддерживает эвристический анализ, следует его включить с целью обнаружения ранее неизвестных видов клавиатурных шпионов. Большинство антивирусных систем способны их обнаружить.

  • Установить анти-шпионское программное обеспечение с целью обнаружения клавиатурных шпионов и их удаления из систем организации.

  • Применять системы мониторинга сети и узлов (IDS/IPS), с целью своевременного обнаружения попыток соединений с IP-адресов злоумышленников или на их IP-адреса. Эта мера даст организации шанс предотвратить передачу клавиатурным шпионом накопленных критичных данных за пределы сети.

В случае обнаружения факта нарушения безопаности, немедленно оповестите банк-эквайер. Также Вы можете обратиться в Службу контроля мошеннческих действий Visa: cemeafraudcontrol@visa.com.

Таблица 1. Клавиатурные шпионы, идентифицированные Visa
(по состоянию на 11 марта 2010 года)

Имя файла

Размер

MD5

bpkhk.dll

489 984

35f5478e190cc6614a6a5d4f1f380855

bpk.exe

1 090 560

663267d3ed4af3582ea57ba03fb0da92

401 408

18bc32bb8a8d5a85cdafad5a4ecc4c73

bpkr.exe

747 520

7231b6c5ca6addd905db7677200833e2

fstsmtp.exe

1 560 661

80ee23ede41504b1a83654334148306f

xxx.exe

Неизвестен

994ffae187f4e567c6efee378af66ad0

SMTPListener.exe

Неизвестен

5e289e10a2f3fe6b3080825f5dbf588f

dll32.exe

438 272

bae0fb25bcf05a5da7fde8dce759ee0d

ToolKeylogger.exe

2 007 040

4cf8307cac714fe4f2cbc5d46f5cf243

ToolKeylogger.xml

6,432

3f4ad41f10ec18a7f27f2339ee500dda

Англоязычный оригинал: http://usa.visa.com/download/merchants/key-logger-key-stroke-and-screen-capture.pdf.



Автор Сергей Шустиков
Комментарии к заметке
Тэги: инцидент | visa | pin

]]> Сергей Шустиков http://www.pcidss.ru/blog/36.html http://www.pcidss.ru/blog/36.html Visa дала рекомендации по шифрованию данных

В документе "Лучшие практики Visa по шифрованию полей данных" международная платежная система выделила ряд задач, которые необходимо решить при внедрении криптографических средств защиты данных о держателях карт, что в свою очередь необходимо для выполнения требований стандарта PCI DSS:

- ограничить циркуляцию данных о держателях карт и критичных аутентификационных данных в открытом виде только точками шифрования и расшифрования;

- использовать надежные решения по управлению ключами, соответствующие международным и/или региональным стандартам;

- использовать длины ключей и криптографические алгоритмы, соответствующие международным и/или региональным стандартам;

- защитить устройства, выполняющие криптографические операции, от физической и логической компрометации;

- для бизнес-процессов, использовать дополнительную учетную запись или идентификатор транзакции, которые не используют PAN после авторизации. Например, при выполнении повторяющихся платежных операций, поддержки программ лояльности клиента или управления инцидентами мошенничества.

Рекомендации Visa по этим вопросам на русском языке можно прочитать здесь.



Автор Алексей Ендовский
Комментарии к заметке
Тэги: шифрование | выполнение требований | visa

]]> Алексей Ендовский