http://www.pcidss.ru/blog/ PCI DSS Blog Заметки о стандарте PCI DSS (Payment Card Industry Data Security Standard) http://www.pcidss.ru/blog/235.html http://www.pcidss.ru/blog/235.html Карточных преступников останавливают микрочипы и пин-коды

Аналитическая компания FICO опубликовала результаты последнего исследования в сфере карточного мошенничества в Европе. Анализу специальной программой FICO® Falcon® Fraud Consortium подверглись 55 миллиона активных кредитных карт, на основе чего был сделан вывод: в период с марта 2009 по март 2011 годы подделка платежных карт снизилась на 60%.

Данные FICO показывают, что 69% всех счетов, ставших объектом внимания мошенников, подверглись нападению именно при помощи карт, с этим связано 72% всех потерь мошенничества. 30% от всего количества преступлений составляют преступления в 10 областях. Их список возглавляют такие категории, как отели/жилье, туристические агентства и банкоматы.

“Наше исследование зафиксировало серьезные изменения, которое произошли в области мошенничества в Европе, – сказал Мартин Варвик (Martin Warwick), руководитель соответствующего отдела FICO в Европе, на Ближнем Востоке и в Африке. – Микрочипы и одноразовые ПИН-коды намного снизили уровень подделки карт и другие формы карточного мошенничества в Великобритании, где всего лишь три года совершалось примерно 60% преступлений с кредитными картами в Европе. В ответ преступники стали расширять границы своей работы, приходя в менее защищенные в этом смысле страны, например, в Германию, а также меняя направления своей деятельности, переквалифицируясь в онлайн-мошенников”.

Материалом исследования стали карты, выпущенные в Германии, Великобритании, Ирландии, Нидерландах, Польше, Швейцарии и Турции. Интересно, что за указанный двухлетний период из всех карт, изученных FICO, только 1% пострадал от мошенничества. Последние версии аналитических инструментов FICO (FICO® Falcon® Fraud Manager) доступны всем клиентам компании.



Автор Алина Оприско
Комментарии к заметке
Тэги: исследования | банки

]]> Алина Оприско http://www.pcidss.ru/blog/230.html http://www.pcidss.ru/blog/230.html Дистанционный съём информации с RFID-карточки: ничего сложного

На хакерской конференции Shmoocon, которая прошла в Вашингтоне в минувший уикенд (27-29 января) известный специалист по безопасности Кристин Пейджет (Kristin Paget) из компании Recursion Ventures провела демонстрацию дистанционного считывания конфиденциальной информации с банковской карты, оснащённой радиочипом RFID. Вообще-то, об уязвимости бесконтактных карточек говорят уже лет пять, но нынешняя демонстрация показала, что надёжной защиты безопасности до сих пор не появилось. Для считывания информации с карт использовалось недорогое оборудование совокупной стоимостью в пару сотен долларов.

Для дистанционного считывания номера карты, срока действия и одноразового номера CVV использовался кард-ридер Vivotech, который можно купить на eBay за $50. Далее, с помощью намагничивающего устройства стоимостью $300 эти данные можно записать на чистую карту.

Во время демонстрации Пейджет пригласила на сцену добровольца, который не вынимал из кармана кошелёк с карточкой. Считывание данных и намагничивание новой карточки заняло пару минут, после чего Пейджет достала iPhone с модулем Square, который позволяет принимать платежи, и перевела $15 на свой счёт, используя только что сделанный клон карточки. Чтобы ни у кого не оставалось сомнений в правдивости фокуса, Пейджет показала номер клонированной карточки на большом экране со сцены.

Бесконтактные карточки появились в обращении относительно недавно, и платёжные системы широко рекламируют их как удобное средство платежа. По данным Smart Card Association, сейчас в обращении находится около 100 млн таких карт. Соответствующая технология у компании Visa называется payWave, у MasterCard — PayPass, у Discover — Zip, а у American Express — ExpressPay. Все они одинаково уязвимы для съёма данных.

В данном случае хакерский RFID кард-ридер ничем не отличается от легального терминала торговой точки. Самое сложное в такой атаке — приблизить кард-ридер на максимально близкое расстояние к кошельку с карточкой. На практике это можно сделать в переполненном транспорте или в очереди, спрятав устройство в кармане и «случайно» столкнувшись с владельцем карты. В принципе, физический контакт даже необязателен, достаточно максимально близко приблизиться к жертве.

Данный тип атаки — не какая-то дыра в безопасности, а фундаментальный изъян платёжной системы, которую специально сделали максимально простой в использовании. В нынешней версии технологии RFID-карты не передают беспроводным способом имя пользователя, PIN-код и трёхзначный постоянный CVV. Представители платёжных систем говорят, что за шесть лет не задокументировано ни единого случая подобного рода мошенничества, что является доказательством достаточной защиты для такого рода атак, где злоумышленнику трудно сохранить свою анонимность.

В самом деле, использование одноразового CVV делает возможным проведение только одной транзакции с клонированной карточки, а при попытке второй транзакции она будет заблокирована.

По мнению Пейджет, это означает только то, что злоумышленнику нужно посетить оживлённое место, где за один вечер можно набрать множество «одноразовых» карт. По словам специалиста, они в компании Recursion Ventures сейчас работают над созданием специального бумажника Guardbunny с RFID-детектором, который будет сигнализировать о попытке сканирования — глаза у кролика на бумажнике начинают светиться и он издаёт громкие звуки. Кроме того, в бумажнике будет проактивная защита против сканирования вместо малоэффективных алюминиевой прокладки, которую сейчас вшивают в кошельки и которая не спасает от мощного сканера.



Автор Алина Оприско
Комментарии к заметке
Тэги: mastercard | visa | исследования

]]> Алина Оприско http://www.pcidss.ru/blog/226.html http://www.pcidss.ru/blog/226.html Статистика по фроду в 2011 году: кардеры сняли $3,4 млрд в магазинах США

Процессинговая компания CyberSource (подразделение корпорации Visa) опубликовала отчёт 2012 Online Fraud Report со статистикой по кардерским операциям в интернете. На первый взгляд, кардерство идёт на спад: доля фродовых транзакций в интернете упала с 0,9% в 2010 году до 0,6% в 2011 году, то есть до минимального уровня за последние 13 лет, в течение которых проводились измерения.

Однако, фродовые транзакции по размеру оказались больше обычных, и поэтому доля мошенничества в общем обороте интернет-торговли по сравнению с прошлым годом выросла до 1,0% (здесь и далее приводятся цифры для США), хотя в целом она постепенно снижается уже много лет.

Потери в абсолютном выражении продолжают расти. Общий объём фродовых транзакций в прошлом году составил $3,4 млрд, что на $700 млн больше, чем годом ранее.

Заказы из-за границы в американских магазинах показывают уровень фрода 2,0%, что втрое выше среднего.

Конечно, нельзя сказать, что все эти деньги ($3,4 млрд) ушли в карманы злоумышленников. Всё-таки обналичка денег с карт — очень трудоёмкий процесс, который требует оплаты больших комиссионных на каждом этапе. Часть средств по фродовым транзакциям уходят на оплату покупок в интернет-магазинах, а часть просто спускается в казино. Кроме того, большая часть записанных в фрод транзакций вовсе никак не связаны с мошенничеством.

Неприятной тенденцией для платёжных систем является тот факт, что фродовые транзакции стало труднее распознавать. Об этом говорят опросы интернет-магазинов. Сейчас они отвергают около 5% всех заказов в магазине на основании подозрения в мошенничестве, в том числе отвергаются 7,3% зарубежных заказов и 2,8% американских. Всё больше магазинов (75%) прибегают к проведению операций вручную, а не в автоматическом режиме. Сейчас на рассмотрение соответствующих отделов отправляется уже 27% всех транзакций (в прошлом году было 24%).

Исследования также показывают бурное развитие сектора мобильной коммерции и активизацию мошенников на этом направлении. Данный сектор считается самым опасным в ближайшие годы.

Напоследок приведём диаграмму с указанием инструментов, которые используют магазины для скрининга транзакций. Голубой цвет соответствует использованию или планам использования, синий — реальное использование, оранжевый — намерение использовать в будущем.



Автор Алина Оприско
Комментарии к заметке
Тэги: visa | исследования | ДБО

]]> Алина Оприско http://www.pcidss.ru/blog/176.html http://www.pcidss.ru/blog/176.html Разработчики из Германии взломали смарт-карты MF3ICD40 RFID, защищающие кредитки и платежи
Неуязвимость еще одной глобально используемой шифровальной системы безопасности – кодировки, используемой для защиты смарт-карт – поставлена под сомнение учеными из Германии.

Как сообщает газета The Local, смарт-карты, применяемые в различных областях – от систем накопительных скидок до кредитных карт и проездных билетов, работают по схеме, которую немецкие хакеры сумели взломать, используя оборудование стоимостью в несколько тысяч евро.

Как поясняет источник, группа исследователей сумела разработать систему, которая позволяет создавать копии ключей и перехватывать и даже изменять их данные. Ученые Дэвид Освальд и Кристоф Паар объявили, что смогли взломать карты DESFire MF3ICD40 RFID, используемые в транспортной системе Чешской Республики, США и Австралии. По некоторым данным, в 2004 году систему стали использовать в NASA.

То, что взломать систему карт удалось, подтвердили в компании-производителе NXP, отмечает газета.

Как поясняет портал «Хакер», атака, разработанная учеными из Рурского университета в Германии, занимает 7 часов, это время, за которое восстанавливается секретный код, защищающий Mifare DESFire MF3ICD40; она не оставляет после себя никаких следов.

Источник: Газета.Ru



Автор Александра Голик
Комментарии к заметке
Тэги: исследования

]]> Александра Голик http://www.pcidss.ru/blog/175.html http://www.pcidss.ru/blog/175.html 40% россиян оплачивают покупки в Интернете с помощью пластиковых карт
Исследование агентства РБК.research «Российский рынок интернет-торговли: товары 2011» позволило установить, что сегодня большинство россиян (72%) оплачивают совершенные в интернет-магазинах покупки наличными, отдавая деньги в руки курьеру после доставки товара, либо осуществляя оплату при самовывозе товара. Многие игроки рынка связывают это с некоторыми ментальными особенностями российских интернет-пользователей. Однако нельзя забывать и такой факт: подобный способ оплаты, по мнению самих интернет-пользователей, является более безопасным, чем оплата товара, производимая «пластиковыми» деньгами (ввиду возможности полного или частичного списания денег с карты).

По мнению аналитиков, подобная боязнь, а в некоторых случаях даже предубежденность против «пластиковых» денег, является временным явлением, которое будет постепенно сглаживаться по мере развития российского рынка интернет-торговли. Так, лишь за последний год доля интернет-пользователей, оплативших покупки при помощи пластиковых карт выросла на 10,5%, составив 39,6% от числа интернет-пользователей, совершавших покупки товаров в интернет-магазинах.

Обратная ситуация наблюдается при рассмотрении возможности оплаты по почте наложенным платежом. Так, если в 2010 году доля респондентов, совершивших оплату товара по почте, составляла 36,8%, то сегодня данный показатель находится на уровне лишь 29,6%.

Источник: http://marketing.rbc.ru/news_research/24/10/2011/562949981814909.shtml



Автор Александра Голик
Комментарии к заметке
Тэги: исследования

]]> Александра Голик http://www.pcidss.ru/blog/140.html http://www.pcidss.ru/blog/140.html Банки блокируют все большее количество незаконных денежных переводов
Киберпреступники все чаще выбирают своей целью банковские счета. Но банкам, похоже, удается все лучше предотвращать махинации, до того, как похищенные средства покинут финансовое учреждение.

Центр анализа и обмена информацией между финансовыми службами (FS-ISAC) провел опрос 77 финансовых учреждений на тему: какое количество взломов коммерческих счетов было зарегистрировано ими в 2009 году и в первые шесть месяцев 2010 года. FS-ISAC состоит из группы банков, которые делятся друг с другом информацией о возможных угрозах и взаимодействуют с правительством по важным инфраструктурынм вопросам. В его состав, в числе прочих, входят такие банки как Citi, Prudential, Bank of America, JPMorgan Chase, Goldman Sachs и Wells Fargo.

В ходе опроса, результаты которого были представлены сегодня, FS-ISAC выяснил, что 21 финансовое учреждение зарегистрировало в общей сложности 108 случаев захвата коммерческих счетов в течение первых 6 месяцев 2010 года, по сравнению с 86 случаями за весь 2009 год.

В 36% случаев захвата, зафиксированных в первой половине 2010 года, в случае, когда мошенникам удавалось начать транзакцию денежных средств, банки успешно прекращали перевод прежде, чем деньги покидали финансовое учреждение. Тогда как за весь 2009 год было заблокировано только 20% незаконных денежных переводов.

Исследование не раскрывает, какой именно метод использовался для блокировки незаконных транзакций. Также FS-ISAC не приводит детальный обзор видов атак, которыми пользовались киберприступники. Однако широко известно, что преступники используют трояны типа ZeuS для компрометации компьютеров, используемых сотрудниками для перевода средств. Банки считают вредоносное ПО, созданное злоумышленниками для быстрого незаконного перевода средств, одной из самых больших опасностей, когда речь идет о захвате счетов.

Несмотря на то, что банки все успешнее блокируют незаконные переводы денежных средств со взломанных счетов, они все-равно происходят с обескураживающей частотой.

В 27% случаев захвата, произошедших в первом полугодии 2010 года, транзакция денежных средств была успешно проведена и средства были выведены за пределы финансового учреждения. В 2009 году — 63% случаев захвата окончились незаконным переводом средств. FS-ISAC заявил, что в ближайшее время намерен сделать еще один обзор, чтобы составить окончательное мнение о событиях, произошедших в 2010 году, а также, центр планирует проведение дальнейших исследований в 2011 году.

Что же касается суммы денег, официально считающейся утерянной в результате взлома коммерческих счетов, согласно исследованиям общая сумма в 2009 году составила $15,7 млн., а в первой половине 2010 года — $10.44 млн.

Хотя исследование FS-ISAC не является показательным для всей банковской отрасли США, оно хорошо освещает масштаб угрозы киберпреступности, которая представляет собой определенную проблему для бизнеса, поскольку банки, по закону, не обязаны возвращать средства, выведенные с коммерческого счета обманным путем.



Автор Александра Голик
Комментарии к заметке
Тэги: инцидент | исследования | банки

]]> Александра Голик http://www.pcidss.ru/blog/121.html http://www.pcidss.ru/blog/121.html Каждый десятый швед стал в этом году жертвой киберворов
Объем интернет-мошенничества растет день ото дня, констатирует шведский телеканал СВТ по итогам опроса на эту тему. Оказалось, что каждый десятый респондент так или иначе становился жертвой киберворов при осуществлении операций с банковским счетом или кредитной картой.

Наиболее распространенными видами мошенничества являются скимминг (использование потайного устройства для считывания кредитной карты), фарминг (скрытое перенаправление на ложный IP-адрес) и фишинг (получение доступа к конфиденциальным данным интернет-пользователя, таким как пароль или логин).

Авторы опроса приходят к выводу, что владельцы карт мало заботятся о безопасности операций через банкомат или интернет-банк.

Из 1100 респондентов 8 проц приходилось в этом году блокировать свой счет либо самим, либо через банк из-за подозрений, что кто-то пытается добраться до их денег, или же когда деньги просто исчезали со счета.

Банки, как обычно, не склонны обнародовать реальную статистику мошенничества и объемы похищенных средств, однако, несмотря на это, они все же признают увеличение активности интернет-жуликов.

"У меня нет под рукой цифр, свидетельствующих о кражах со счетов в том или ином объеме. Что касается попыток заставить клиентов банков выдать код к генератору разовых паролей и коды к банковским картам, то они растут", - рассказал в интервью телеканалу начальник безопасности "Сведбанк" Бертиль Ельвен.



Автор Александра Голик
Комментарии к заметке
Тэги: инцидент | исследования

]]> Александра Голик http://www.pcidss.ru/blog/104.html http://www.pcidss.ru/blog/104.html DSecRG предупреждает об опасных возможностях антивирусной системы Касперского

Специалисты исследовательского центра Digital Security Research Group (DSecRG)  предупреждают администраторов об опасных возможностях антивирусной системы Касперского.   Исследователи выявили, что при стандартных настройках Kaspersky Administration Kit возможна компрометация всей сети компании, где используется данное решение.  Для того, чтобы злоумышленник мог воспользоваться этой уязвимостью, достаточно, чтобы в сети компании была развернута антивирусная защита Касперского, предназначенная для корпоративного сегмента. Как правило,  выделяется центральный  сервер, который управляет всеми антивирусными агентами на защищаемых  рабочих  станциях и серверах.  При этом этот сервер выполняет штатные действия по расписанию, которые, в совокупности с неосведомленностью администраторов, позволяют получить административный доступ к любому ресурсу корпоративной сети.  DSecRG в рамках своей работы сообщила о проблеме разработчику, в результате чего Лаборатория Касперского выпустила соответствующее уведомление в своей базе знаний - http://support.kaspersky.ru/faq/?qid=208640363.

Однако специалисты DSecRG вынуждены отметить, что данное  уведомление не полностью раскрывает суть проблемы.  Сотрудники лаборатории Касперского рекомендуют использовать в качестве учётной записи, из-под  которой запускается сервис Сервера администрирования, доменную учетную запись, которая является членом группы Локальных Администраторов на компьютере Сервера администрирования. Однако именно из-за этого и могут возникнуть проблемы, так как часто администраторы включают эту учетную запись в группу Локальных Администраторов не только на сервере администрирования,  но и  на всех защищаемых антивирусом хостах, что и приводит к появлению дыры в защите. Так же исследователи предупреждают, что подобные проблемы могут возникнуть не только с антивирусом Касперского, но и с продуктами других производителей, например, со сканером безопасности GFILANGuard или какой-либо DLP системой, которые также могут использовать привилегированные учетные записи в штатном режиме. Подробное  техническое  описание проблемы Вы можете получить в информационном сообщении от DSecRG - http://dsecrg.ru/pages/vul/show.php?id=318

Данное исследование проводилось в рамках инициативы исследовательского центра DSecRG по повышению защищённости продуктов российских производителей. В позапрошлом и прошлом году были предприняты первые шаги в этой области, когда DSecRG проанализировали безопасность банк - клиентов. В этом году внимание будет уделено другим критичным для бизнеса приложениям российских производителей.



Автор Павел Федоров
Комментарии к заметке
Тэги: исследования | dsecrg

]]> Павел Федоров http://www.pcidss.ru/blog/98.html http://www.pcidss.ru/blog/98.html Шпионаж, Саботаж и Фрод: на конференции BlackHat рассказали об атаках на ERP-системы
На прошедшей недавно конференции BlackHat DC 2011 исследователи из лаборатории DSecRG российской компании Digital Security рассказали об атаках на корпоративные бизнес - приложения, которые могут быть использованы злоумышленниками для реализации шпионажа, саботажа и мошеннических действий в отношении конкурентов. На конференции были представлены неизвестные ранее методы атак на популярные ERP-системы, такие как SAP, JD Edwards, а также на СУБД Open Edge, которая является универсальной платформой для разработки кастомизированных бизнес-приложений.

Несмотря на то, что производители, такие как SAP и Oracle, регулярно выпускают обновления безопасности в своих продуктах, компании всё-равно подвержены атакам, направленным на архитектурные уязвимости и ошибки конфигурации. В докладе Александра Полякова, технического директора Digital Security и руководителя исследовательского центра DSecRG, было уделено внимание архитектурным уязвимостям перечисленных систем, и были продемонстрированы различные методы эксплуатации этих уязвимостей. Данные уязвимости в большинстве своём просто невозможно закрыть, что влечёт за собой возможность их эксплуатации в дальнейшем.

“Очень немногие администраторы SAP-систем регулярно устанавливают обновления и крайне мало специалистов, которые глубоко разбираются в технических деталях безопасной настройки ERP-систем, в лучшем случае ограничиваясь проблемами SOD. Вот почему мы видим небезопасно настроенные системы в результате наших работ по анализу защищенности”, - отметил Александр Поляков.

В его докладе приводился пример того, как в ходе аудита была обнаружена установленная ERP-система JD Edwards версии 10-и летней давности, которая имела архитектурную уязвимость, позволяющую любому пользователю получить доступ ко всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД « Open Edge database» (Progress company), которая используется во многих компаниях из Fortune TOP 100 companies. В данном приложении была обнаружена тривиальная ошибка в процессе аутентификации. Проверка хэша пароля была реализована на клиентской части, в результате чего возможна аутентификация в систему под любым пользователем, не зная пароля и даже имени пользователя. Проблема заключается в том, что данная уязвимость так и не будет исправлена производителем по причине необходимости переписывания всей архитектуры приложения.

Ещё один пример - это система SAP SRM, используемая среди всего прочего для организации системы тендеров. В результате одной архитектурной уязвимости любой поставщик может получить доступ к тендерам других поставщиков, а также загрузить троянскую программу в сеть конкурента, например, с целью промышленного шпионажа.

“Большинство из рассмотренных в докладе примеров говорит о том, что безопасность ERP-приложений находится на уровне 10-летней давности, и с текущей тенденцией вывода бизнес-приложений в Интернет для обмена данными между филиалами компаний или взаимоотношений с поставщиками все эти системы стали доступны широкому кругу лиц, стремящихся использовать бреши приложений в корыстных целях. До сих пор компании тратили миллионы долларов, устраняя SOD конфликты, и учитывая, что это неотъемлемая часть безопасности ERP, количество уязвимостей уровня приложения все же растёт в геометрической прогрессии, как и интерес к этим системам у злоумышленников”, – отметил Александр Поляков.



Автор Александра Голик
Комментарии к заметке
Тэги: исследования | sap | dsecrg | erp | blackhat

]]> Александра Голик http://www.pcidss.ru/blog/90.html http://www.pcidss.ru/blog/90.html Мониторинг вместо запрета

«Мониторинг вместо запрета» — экскаватор с такой надписью на борту сегодня снес добрую половину той баррикады, что разделяет службу информационной безопасности и всю остальную компанию, в которой она функционирует, на два противоборствующих лагеря. На выставке Infosecurity Russia 2010, Владимир Наймарк рассказал о своем опыте применения подхода «мониторинг вместо запрета». При таком подходе, служба информационной безопасности предпочитает, там где это возможно, не запрещать сотрудникам доступ к тому или иному функционалу, а контролировать корректность его использования. Например, сотрудникам не запрещается использовать со своих рабочих мест сервис ICQ, но для снижения риска утечки информации трафик контролируется DLP-системой. В результате, сотрудники чувствуют себя на работе более комфортно, а риски информационной безопасности остаются на приемлемом уровне.

Мне представляется оптимальной такая модель реализации этого подхода:

если некая функциональность информационной инфраструктуры может быть полезна сотрудникам в служебных или даже личных целях, и при этом есть возможность обеспечить мониторинг, снижающий риск от неправомерного ее использования до приемлемого уровня, то использование такого сервиса следует сотрудникам разрешить.

Конечно, обеспечение такого контроля потребует дополнительных затрат. Однако, эти затраты, в большинстве случаев, компенсируются за счет возросшей функциональности сервисов и лояльности сотрудников, а также средств, сэкономленных на запретительных механизмах и процессе выборочного предоставления доступа. Кроме того, эти затраты будут более контролируемыми и управляемыми.



Автор Евгений Безгодов
Комментарии к заметке
Тэги: конференция | исследования

]]> Евгений Безгодов http://www.pcidss.ru/blog/83.html http://www.pcidss.ru/blog/83.html Компания SAP открыла раздел, посвященный уязвимостям в ее продуктах

Компания SAP, с которой исследовательский центр Digital Security Research Group на протяжении нескольких лет сотрудничает в области поиска и анализа уязвимостей, открыла раздел с описанием последних уязвимостей в ее продуктах и благодарностью исследователям.

Александр Поляков, руководитель исследовательского центра DSecRG:
«С начала этого года наша компания совместно со специалистами SAP Product Security Response Team вела активную работу над формированием данного раздела и формализацией процесса работы SAP с исследовательскими подразделениями. Результатом этой работы стало внедрение системного подхода к взаимодействию в процессе уведомления и устранения обнаруженных уязвимостей и информирования SAP Product Security Response Team об актуальных угрозах. Следствием данного сотрудничества является повышение качества продуктов SAP. Теперь каждый заказчик SAP может ознакомиться с последними уязвимостями продуктов не только через SAP Notes, но и в данном специальном разделе. В дальнейшем, мы планируем расширение нашего сотрудничества в сторону совместной разработки рекомендаций по защите продуктов SAP в исследуемых нами областях».

Илья Медведовский, директор Digital Security:
«Непрерывно занимаясь подобными исследованиями, DSecRG на текущий момент является основным партнером компании SAP по поиску уязвимостей (мировым лидером по количеству опубликованных уязвимостей) и информированию об актуальных угрозах, что говорит о высокой квалификации наших специалистов, и позволяет нашим клиентам быть уверенными в качестве наших продуктов и услуг, связанных с безопасностью SAP».



Автор Ольга Юрова
Комментарии к заметке
Тэги: исследования | sap

]]> Ольга Юрова http://www.pcidss.ru/blog/82.html http://www.pcidss.ru/blog/82.html Результаты ежегодного исследования безопасности отечественных систем дистанционного банковского обслуживания

На конференции «INFOBEZ-EXPO/ИнфоБезопасность», проходившей 5-7 октября 2010 г. в Москве в Экспоцентре на Красной Пресне, специалисты DSecRG рассказали о проблемах безопасности в отечественных банковских продуктах. В частности, внимание было обращено на отсутствие у разработчиков процедур тестирования безопасности собственного кода, что приводит к проявлению классических уязвимостей. При этом было рассказано как про ошибки в клиентской части ПО, так и в серверной.

В рамках выступлений специалистами DSecRG был продемонстрирован эксплоит, нацеленный на клиентское ПО системы Банк-Клиент, который не обнаруживался антивирусами и использовал последние методики для обхода защитных механизмов ОС (DEP/ASLR), что возможно не только потому, что в коде присутствуют ошибки, но и потому, что разработчики часто пренебрегают использованием защитных механизмов операционной системы.

Алексей Синцов, ведущий аудитор компании Digital Security:
“Все что было сказано и продемонстрировано, необходимо лишь для того, чтобы банки и разработчики ПО для банков поняли, что взламывать можно все, включая их продукты. Сейчас очень важно поднять качество кода отечественного ПО, ведь найти ошибку, скажем, в Банк-Клиенте сейчас легче, чем в популярном западном ПО. Поэтому необходимо обращать внимание на такое положение дел, ведь злоумышленники тоже ищут эти уязвимости и используют их в своих целях, и мы должны максимально усложнить им эту задачу”.

В целом, за 2009-2010 годы исследовательским центром DSecRG были обнаружены ошибки в коде большинства популярных банковских решений таких компаний, как BSS, INIST, ЦФТ, R-Style и Сигнал-КОМ. Производители были своевременно уведомлены о данных уязвимостях и сообщили об их успешном закрытии и отправке обновлений всем клиентам.

В связи со спецификой продуктов, в которых были найдены уязвимости, детальная техническая информация опубликована только на закрытом форуме Ассоциации Российских Членов Европей.

Более подробную информацию об обнаруженных уязвимостях в банковских продуктах можно получить на сайте исследовательского центра:

http://dsecrg.ru/pages/vul/show.php?id=202

http://dsecrg.ru/pages/vul/show.php?id=203

http://dsecrg.ru/pages/vul/show.php?id=204



Автор Александра Голик
Комментарии к заметке
Тэги: конференция | исследования | ДБО | dsecrg | digital security

]]> Александра Голик http://www.pcidss.ru/blog/56.html http://www.pcidss.ru/blog/56.html Кому доверить свою платежную инфраструктуру?

Стандарт PCI DSS определяет, что все поставщики услуг, имеющие доступ к данным о держателях карт (ДДК), либо способные повлиять на их безопасность, должны пройти сертификацию. В число таких поставщиков входят и хостинг-провайдеры. При этом, согласно требованию 12.8, каждая организация, использующая услуги таких поставщиков, в рамках работ по достижению соответствия стандарту, должна убедиться в том, что все эти поставщики соответствуют его требованиям.

Стремясь выполнить это требование, российские компании сталкиваются с тем, что в России отсутствуют сертифицированные по PCI DSS хостинг-провайдеры. Поэтому давайте обратимся к европейскому рынку, и посмотрим, что там предлагают. При этом нас будут интересовать услуги размещения физических или виртуальных серверов на площадке хостинг-провайдера.

В качестве источника информации возьмем Перечень поставщиков услуг, подтвердивших соответствие PCI DSS (List of PCI DSS validated service providers), опубликованный европейским подразделением международной платежной системы VISA, актуальный на 4 мая 2010 года. Этот документ подходит для наших целей, потому что он описывает европейский сегмент рынка. В качестве альтернативы можно рассмотреть аналогичный документ от MasterCard Compliant Service Providers, однако, он не содержит информации о географическом расположении перечисленных организаций и видах предоставляемых ими услуг. Поэтому, исходя из предположения, что большинство хостинг-провайдеров , получивших статус соответствия PCI DSS, предоставили информацию о себе в обе рассматриваемые платежные системы, остановимся на перечне от VISA.

Из документа были выбраны те компании, которые заявили, что предоставляют хостинг в качестве основного вида сертифицируемых услуг. Затем, был проведен анализ сайтов этих компаний, и из них выбраны только те, которые предлагают услуги по размещению физических или виртуальных серверов.

В итоге, был получен перечень из шести хостинг-провайдеров, обладающих статусом соответствия PCI DSS и предоставляющих на рынке стран Европы интересующие нас услуги:

Atos Origin - компания предлагает размещение как физических, так и виртуальных серверов;

DATAPIPE - предлагает размещение как физических, так и виртуальных серверов. Сертифицированный по PCI DSS дата-центр расположен на территории Великобритании;

DanDomain - предлагает размещение физических или виртуальных серверов, а также аренду собственных физических серверов. Стоимость размещения виртуального сервера начинается от 67 евро в месяц и зависит от набора дополнительных услуг и объема трафика. Размещение физического сервера стоит от 100 евро в месяц;

Foreshore – предлагает размещение физических серверов на своей площадке;

Informations Technlogie Austria - предлагает размещение виртуальных серверов под управлением различных операционных систем;

TelecityGroup - предлагает размещение физических серверов на своей площадке.



Автор Евгений Безгодов
Комментарии к заметке
Тэги: соответствие | выполнение требований | исследования | pci dss

]]> Евгений Безгодов http://www.pcidss.ru/blog/45.html http://www.pcidss.ru/blog/45.html Digital Security Research Group: новый этап сотрудничества с Ассоциацией Российских членов Европей

С момента существования исследовательского цента Digital Security Research Group его специалистами было обнаружено множество уязвимостей в различных бизнес-приложениях и системах таких производителей, как SAP, Oracle и многих других.

В последнее время в отдельное направление деятельности специалисты центра выделили вопросы поиска уязвимостей систем дистанционного банковского обслуживания. В рамках этой стратегии осенью 2009 года исследовательский центр начал сотрудничество с Ассоциацией Российских Членов Европей (АРЧЕ), регулярно публикуя на закрытом форуме Ассоциации уязвимости, обнаруженные DSecRG в процессе исследовательской деятельности в банк-клиентах основных российских производителей.

Анализ защищенности осуществляется для систем Интернет-Банка крупнейших российских разработчиков BSS, INIST, R-Style InterBank, а его результаты доступны только участникам закрытого форума АРЧЕ в связи с особой критичностью данной информации.

Медведовский И., директор Digital Security:

«Подобное взаимодействие исследовательского центра с кредитно-финансовыми организациями позволяет сфокусировать внимание банков на актуальной проблеме защищенности используемых ими систем ДБО, каждая из которых хотя и имеет общее ядро, обладает индивидуальными особенностями с учетом специфики конкретного банка. При этом отмечу, что наши исследования, как и любая другая подобная "волонтерская" деятельность во всем мире (в отличие от официальных выполняемых нами работ по анализу защищенности), не пытается претендовать на полноту. Именно поэтому, даже несмотря на то, что находимые нами в процессе исследовательской деятельности уязвимости уже устранены производителями, банкам следует как минимум ежегодно проводить полноценный аудит защищенности своих систем ДБО, т.к. их защищенность в наших реалиях - это, прежде всего, проблема самого банка, а не проблема производителя системы ДБО».



Автор Александра Голик
Комментарии к заметке
Тэги: сообщество | пентест | исследования

]]> Александра Голик