http://www.pcidss.ru/blog/ PCI DSS Blog Заметки о стандарте PCI DSS (Payment Card Industry Data Security Standard) http://www.pcidss.ru/blog/133.html http://www.pcidss.ru/blog/133.html Для кражи PIN-кодов мошенники вооружатся тепловизорами
Исследователи из Калифорнийского университета в Сан-Диего сообщили о новой возможной угрозе для пользователей банкоматов — краже PIN-кодов посредством считывания тепловых отпечатков пальцев на клавиатуре банкомата с помощью тепловизионной камеры, или тепловизора. По мнению исследователей, по распределению тепла на использованных кнопках PIN-пада мошенники смогут с большей эффективностью вычислять PIN-коды банковских карт потенциальных жертв, нежели посредством традиционных способов, например, записи процесса набора PIN-кода на обычную видеокамеру.

Поскольку тепло распределяется на кнопках не равномерно, в зависимости от последовательности ввода цифр, преступникам, как считают исследователи, будет достаточно просто установить комбинацию цифр, использованную жертвой. При этом если сканирование произвести в пределах минуты после ввода PIN-кода владельцем карты можно выяснить точный порядок набора цифр.

Исследователям из Калифорнийского университета также удалось установить, что эффективность данного способа считывания PIN-кода зависит от силы нажима на кнопки PIN-пада при вводе цифр (чем сильнее владелец карты нажимает на кнопки — тем точнее результат сканирования), а также от материала, из которого изготовлены кнопки. В случае если кнопки выполнены из пластика, атака будет успешной, если же кнопки металлические — возможность атаки практически исключена. Чтобы защититься от таких атак исследователи советуют оснащать банкоматы исключительно металлическими клавиатурами.

Тем не менее, следует учитывать, что при определенной температуре воздуха тепловые отпечатки могут быть также зафиксированы с помощью тепловизора и на кнопках из металла. Таким образом, оптимального средства защиты от атак такого типа на сегодняшний день исследователями предложено не было.



Автор Александра Голик
Комментарии к заметке
Тэги: инцидент | утечка данных | pin

]]> Александра Голик http://www.pcidss.ru/blog/127.html http://www.pcidss.ru/blog/127.html Новый механизм для онлайн-транзакций: card-present или нет?
Новые идеи для обеспечения безопасности платежей электронной коммерции появляются стремительно, и некоторые новаторы слишком торопятся представить новинку. Показательный пример: 26 июля сервис Jumio анонсировал сервис Netswipe, который позволяет клиентам электронной коммерции обрабатывать платежные карты с помощью веб-камер своих компьютеров. Программное обеспечение Netswipe, используя веб-камеру, сканирует карты с использованием защищенного видеоканала; далее программа определяет, реальная карта или поддельная, а затем извлекает номер карты. Идея умна. Однако слова изобретателей о card-present транзакциях при удаленном использовании, кажутся сомнительными.

Безусловно, чтобы привлечь внимание крупных розничных продавцов, Card-present - правильное слово: они знают, что это означает более низкие ставки за проведение транзакций. Но что именно значит проводить card-present транзакции, когда карта присутствует только на дальнем конце подключения к интернету?

"Это тип транзакций, при которых магнитная полоса карты читается в процессе авторизации", сказал про термин "card-present” PCI-обозреватель и QSA Уолт Конвей. "Я не думаю, что моя веб-камера может делать подобные операции. В лучшем случае, Jumio мог бы стать эквивалентом транзакции с подтверждением pin-кодом ".

Netswipe также утверждает, что Jumio соответствует стандартам PCI, хотя до сих пор нет никаких документов о том, как именно стандарт PCI DSS может применяться для подобных дистанционных платежных приложений. Также не вызывают доверия неоднократные заявления о "запатентованном решении Netswipe", которое, на самом деле, находится на рассмотрении о выдаче патента.

Основатель Jumio Даниэль Маттес описывает Netswipe как "Square без оборудования". Ирония заключается в том, что Square на самом деле может проводить card-present транзакции, потому что считывает магнитную полосу. Нет оборудования - нет card-present транзакций.

Это не первая попытка использовать камеру для сканирования платежных карт - AisleBuyer и Card.io уже пробовали сделать это. Приятно видеть, что платежные проекты начинают проявлять внимание к тому, что важно для розничных ритейлеров.

Теперь внимание ритейлеров можно удержать, только если компания действительно сможет предоставить продукт, который позволит сократить ставки по транзакциям.

Frank Hayes, StorefrontBacktalk
http://storefrontbacktalk.com/e-commerce/card-present-transactions-from-across-the-web-not-exactly/



Автор Александра Голик
Комментарии к заметке
Тэги: pin | обновления | pci dss

]]> Александра Голик http://www.pcidss.ru/blog/57.html http://www.pcidss.ru/blog/57.html Защита от клавиатурных шпионов, рецепты от Visa

Для повышения уровня безопасности платежной системы, Visa остаётся приверженной стратегии оказания всесторонней помощи своим участникам и клиентам в понимании их обязанностей в области обеспечения безопасности данных о держателях карт и защите платежной индустрии. Для реализации принципов этой стратегии Visa публикует Оповещения об угрозах безопасности данных в случае обнаружения в отрасли уязвимостей, подверженных активно развивающимся видам атак, а также для информирования о лучших практиках безопасности.

Участники платежной системы могут распространять эти оповещения своим партнерам, чтобы помочь обеспечить их осведомленность об уязвимостях, подверженных активно развивающимся видам атак и своевременное принятие ими мер по снижению рисков.

Клавиатурные шпионы: перехват нажатий клавиш и снимков экрана

В последние недели Visa зафиксировала рост числа атак с использованием клавиатурных шпионов в среде торогово-сервисных предприятий. Клавитаруный шпион — это вредоносное программное обеспечение, реализующее методы перехвата и записи нажатий клавиш, широко доступное в сети Интернет.

Клавиатурные шпионы, как и другие виды вредоносного программного обеспечения, могут распространяться как составные части троянов и вирусов, пересылаемых по электронной почте и активизирующихся при открытии опасного вложения в письмо или при переходе по заражённой ссылке. Также они могут быть установлены злоумышленником при наличии у него локального или удаленного доступа к компьютеру жертвы.

Определенные виды клавиатурных шпионов, зафиксированные Visa, пересылают данные о держателях карт на адреса электронной почты, либо передают их по прямому IP-соединению на узлы сети, контролируемые злоумышленниками. Обычно в таких случаях злоумышленник обладает возможностью установки клавиатурного шпиона на POS-систему благодаря наличию небезопасных механизмов удаленного доступа и недостаточно защищенной конфигурации сетевого оборудования. Анализ рядя клавиатурных шпионов показал, что для передачи данных за пределы сети организации они применяют протоколы FTP и SMTP, используя их стандартные порты (20, 21 и 25).

Рекомендуемые способы снижения рисков, связанных с клавиатурными шпионами

Принимая во внимание тот факт, что обнаружение клавиатурных шпионов может быть весьма проблематично, следующие меры должны быть применены в рамках поддержки соответствия организации требованиям стандарта PCI DSS с целью минимизации риска компрометации критичных систем, таких как POS-системы, серверы обработки транзакций и серверы баз данных:

  • Отключить ненужные механизмы удаленного доступа. В случае необходимости такого доступа, он должен включаться только на период его непосредственного использования. Не использовать стандартные и простые пароли, применять только те приложения для удаленного доступа, которые реализуют стойкие механизмы безопасности. Всегда применять двухфакторную аутентификацию.

  • Обеспечить безопасную конфигурацию сети. Организации должны использовать выделенный межсетевой экран, реализуя строгие правила контроля входящего и исходящего сетевого трафика, разрешая только соединения на те порты и сервисы, которые необхоимы для ведения бизнеса. Отключить FTP, SMTP и иные небезопасные порты в случае отсутствия необходимости в таких сервисах.

  • Непрерывно отслеживать, какие программы установлены на всех системах, своевременно обнаруживать неизвестные приложения и принимать соответствующие меры (удаление, отключение, безопасное конфигурирование и т. д.) для минимизации риска компрометации данных.

  • Выполнять периодические проверки наличия любых неизвестных устройств, в том числе устройств, подключенных к клавиатурам и мышкам.

  • Выполнять периодические проверки наличия в своих системах клавиатурных шпионов, идентифицированных Visa в ходе расследований инцидентов компрометации данных (см. Таблицу 1).

  • Установить современное антивирусное программное обеспечение и поддердживать его в актуальном состоянии. Если антивирусное программное обеспечение поддерживает эвристический анализ, следует его включить с целью обнаружения ранее неизвестных видов клавиатурных шпионов. Большинство антивирусных систем способны их обнаружить.

  • Установить анти-шпионское программное обеспечение с целью обнаружения клавиатурных шпионов и их удаления из систем организации.

  • Применять системы мониторинга сети и узлов (IDS/IPS), с целью своевременного обнаружения попыток соединений с IP-адресов злоумышленников или на их IP-адреса. Эта мера даст организации шанс предотвратить передачу клавиатурным шпионом накопленных критичных данных за пределы сети.

В случае обнаружения факта нарушения безопаности, немедленно оповестите банк-эквайер. Также Вы можете обратиться в Службу контроля мошеннческих действий Visa: cemeafraudcontrol@visa.com.

Таблица 1. Клавиатурные шпионы, идентифицированные Visa
(по состоянию на 11 марта 2010 года)

Имя файла

Размер

MD5

bpkhk.dll

489 984

35f5478e190cc6614a6a5d4f1f380855

bpk.exe

1 090 560

663267d3ed4af3582ea57ba03fb0da92

401 408

18bc32bb8a8d5a85cdafad5a4ecc4c73

bpkr.exe

747 520

7231b6c5ca6addd905db7677200833e2

fstsmtp.exe

1 560 661

80ee23ede41504b1a83654334148306f

xxx.exe

Неизвестен

994ffae187f4e567c6efee378af66ad0

SMTPListener.exe

Неизвестен

5e289e10a2f3fe6b3080825f5dbf588f

dll32.exe

438 272

bae0fb25bcf05a5da7fde8dce759ee0d

ToolKeylogger.exe

2 007 040

4cf8307cac714fe4f2cbc5d46f5cf243

ToolKeylogger.xml

6,432

3f4ad41f10ec18a7f27f2339ee500dda

Англоязычный оригинал: http://usa.visa.com/download/merchants/key-logger-key-stroke-and-screen-capture.pdf.



Автор Сергей Шустиков
Комментарии к заметке
Тэги: инцидент | visa | pin

]]> Сергей Шустиков http://www.pcidss.ru/blog/38.html http://www.pcidss.ru/blog/38.html Изучение инцидента: атака на RBS WorldPay

В последнее время участились инциденты, связанные с кражей карточных данных, в ходе которых злоумышленники узнают PIN-коды карт. Различная информация об уязвимостях, способствующих получению PIN в открытом виде, появились давно, но на тот момент представляла по большей части академический интерес. Учитывая существующие проблемы алгоритмов шифрования, озвученные в соответствующих документах и докладах, их реализация была лишь вопросом времени. Спешу вас поздравить, сейчас данные атаки стали реальностью, что подтверждается не одним авторитетным источником. Инцидент, описываемый в нижеприведенной заметке, ещё раз доказывает серьёзность проблемы. По заявлениям компании Verizon данную проблему можно решить только кардинальной сменой структуры платёжных систем.

11 ноября 2009 года

«Масштабы и охват взлома банкоматов RBS WorldPay являются беспрецедентными. Преступники украли 9 миллионов долларов в течение нескольких часов с 2100 банкоматов по всему миру. Обвинительное заключение было вынесено 10 ноября 2009 года. Я всегда слежу за судебными процессами, связанными с компьютерной преступностью, поскольку это зачастую единственная возможность узнать подробности методов злоумышленника и уязвимостей жертвы. Например, до вынесения обвинительного заключения я не нашел ни одного описания того, как именно нападавшие нарушили периметр безопасности Heartland Payment Systems. В том случае это была SQL-иньекция в общедоступном веб-приложении. Что же мы можем узнать из обвинительного заключения по делу RBS WorldPay?

В обвинительном заключении говорится, что нападавшие были способны подделывать карточки и узнавать PIN-коды, чтобы снимать наличные через банкомат. Как известно, PIN-коды, как наиболее критичная информация, хранятся в зашифрованном виде. В обвинительном заключении указывается, что злоумышленники смогли выполнить обратную инженерию алгоритма вычисления PIN-кодов. Я хотел бы обратить на это внимание, потому что они нашли способ расшифрования хранимого зашифрованного значения PIN-кода. Если это так, то это говорит об огромной уязвимости в методах хранения PIN-кодов банками. Существует множество алгоритмов хранения PIN, и некоторые старые из них весьма уязвимы. Например, в работе Decimalization table attacks for PIN cracking (англ.) исследователи Майк Бонд (Mike Bond) и Петр Зелински (Piotr Zielinski) описывают атаку на алгоритм, разработанный в эпоху банкоматов IBM 3624, и до сих пор используемый многими устройствами. Также как и в хранилище хеш-значений паролей в ОС Windows, обеспечение обратной совместимости с устаревшими методами шифрования может обернуться увеличением числа уязвимостей (речь идёт о LM и NTLM хешах – прим. ред.). Я надеюсь, что ФБР и Секретная Служба поделились подробностями новой атаки со всеми банками США.

Мы знаем то, что для того, чтобы добраться до зашифрованных PIN-кодов, злоумышленники проникли внутрь периметра RBS WorldPay. В обвинительном заключении говорится о том, что нападавшие использовали уязвимости в компьютерной сети RBS WorldPay. Это крайне туманная формулировка. Был ли это плохо настроенный межсетевой экран, уязвимость веб-приложения, отсутствие обновления на одном из серверов, или нечто другое? Это было бы интересно узнать с практической точки зрения, потому что если RBS WorldPay не выделяет достаточно ресурсов защите от подобных угроз, то вряд ли другие организации делают это.

В заключение некоторые интересные подробности. В обвинительном заключении приведены SQL-запросы, которые были выполнены злоумышленниками для управления базой данных банка, чтобы изменить денежные лимиты на счетах некоторых карт и удалить информацию о транзакциях. Неясно, каким образом злоумышленники получили доступ к серверу баз данных, был ли это доступ к командной строке самого сервера, другой машины, или SQL-инъекция. Однозначно понятно то, что игра окончена, когда злоумышленник получает возможность модифицировать таблицы баз данных. Я надеюсь, что вскоре станут известны подробности, из которых индустрия платежных карт сможет извлечь полезные уроки».

Дополнительные материалы по уязвимостям PIN:
The unbearable lightness of PIN cracking (англ.)
Formal Analysis of PIN Block Attacks (англ.)

Chris Wysopal, VERACODE
http://www.veracode.com/blog/2009/11/we-need-to-learn-more-about-the-rbs-worldpay-atm-attack/



Автор Александр Поляков
Комментарии к заметке
Тэги: инцидент | pin

]]> Александр Поляков