Platební karty a útoky proti nim

Transkript

1 Platební karty a útoky proti nim Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 2011 Kybernalita ZS 2011/12, Předn. 4 Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM. Platební karty a útoky proti nim. Přednáška 5/13, 2011

2 Platební karty a útoky proti nim Temata Nepřímé útoky na debetní/kreditní karty. Phishing, pharming, smishing, vishing atd. Fyzická bezpečnost kontaktních a bezkontaktních čipů platebních karet Datová bezpečnost karet Otázka bezpečnosti používání karet v elektronickém obchodování Vývoj zabezpečení v karetní oblasti Ochrana karet Karty na Internetu hazard nebo vyšší komfort? Virtuální karty řeší problém? Kombinace virtuálních a klasických prvků RFID Slabá místa obchodníci, ATM

3 Platební karty a útoky proti nim Začal rok 2010 a v Německu přestalo fungovat přes 20 milionů platebních karet Vybrat peníze nelze u 20 milionů ze 45 milionů vydaných bankovních karet Eurocheque a kreditních karet nefunguje 3,5 milionu z 8 milionů. Místo ochrany před podvody přinesla nejnovější generace bankovních karet na přelomu roku svým uživatelům jen nepříjemnosti. Bankomaty Postbank a Commerzbank odmítly vydat peníze milionům klientů. Podle německých médií se chyba týká 25 milionů bankovních karet. Zatím není jasné, zda bude nutné karty stáhnout z oběhu nebo jestli bude možné provést opravu centrálně, napsal server Financial Times Deutschland. Kvůli počítačové chybě spojené se změnou letopočtu v Německu přestalo od začátku roku fungovat a nefunguje ještě nyní více než 20 milionů bankovních a kreditních karet Eurocheque (EC) od spořitelen a regionálních bank. Uvedla to dnes federace odvětví DSGV. Oficiální potvrzení hypotézy o chybě kvůli letopočtu však zatím od institucí není. "Karty jsou v oběhu už déle, ale problémy se vyskytly až po změně letopočtu, software si očividně s novým rokem neporadil, zřejmě se jedná o programovací chybu v bezpečnostnímčipu," řekla serveru mluvčí Commerzbank. S vadnými kartami je také nemožné platit v řadě obchodů. Federace doufá, že se platby v obchodech s těmito kartami podaří obnovit do příštího pondělí, napsala agentura AFP. Klienti se k penězům dostanou jen v bance, když zaplatí Vybrat peníze nelze u 20 milionů ze 45 milionů vydaných bankovních karet EC a kreditních karet nefunguje 3,5 milionu z osmi milionů. Není tak s jejich použitím možné vybírat peníze u bankomatů v Německu i v zahraničí.

4 Platební karty a útoky proti nim PCI doporučení/požadavky pro ověřené dodavatele čtecích zařízení PCI Data Security Standard PCI požadavky na vyhodnocení bezpečnosti kvalifikovaným hodnotitelem PCI procedury auditu

5 Doporučení PCI Data security Platební karty a útoky proti nim Provozujte bezpečnou síť 1. Instalujte a udržujte firewall, abyste chránili uživatelská data držitelů karet 2. nepoužívejte hesla, která implicitně nastavují dodavatelé systémů Chraňte data 3. Chraňte data držitelů karet 4. pokud používáte veřejné sítě, šifrujte komunikaci Sledujte zranitelnosti 5. Používejte anti-virus a pravidelně jej aktualizujte 6. Vyvíjejte a udržujte bezpečné systémy a aplikace Aplikujte program řízeného přístupu 7. Řiďte se zásadou NTK (need to know) 8. Přiřaďte unikátní identifikátor každému, kdo přistupuje do vašeho systému 9. Omezte fyzický přístup k datům Pravidelně sledujte a testujte síť 10. zaznamenávejte každý přístup k síťovým zdrojům a datům uživatelů/držitelů karet 11. pravidelně kontrolujte bezpečnostní systémy a procesy Udržujte politiku informační bezpečnosti 12. udržujte aktuální bezpečnostní politiku a seznamte s ní všechny zaměstnance

6 Platební karty a útoky proti nim Data na kartě 3 stopy Používá se PIN a/nebo bezpečnostní kód karty (CVV2/CVS/CID) card security code (CSC), někdy Card Verification Data (CVD), Card Verification Value (CVV nebo CVV2), Card Verification Value Code (CVVC), Card Verification Code (CVC or CVC2), Verification Code (V-Code nebo V Code), nebo Card Code Verification (CCV) V zásadě analogová data (F/2F) kodované (Differential Manchester encoding, také biphase mark code (BMC) nebo FM1, je řádkový kód, kde se kombinují signály datové a hodinové tak, aby vzniknul samosynchronizující datový řetěz. Vzniká tak diferenciální kódování, které využívá přechodu k indikaci logické hodnoty. zahrnuje data karty včetně hodinového pulsu 0 1

7 Platební karty a útoky proti nim PAN (Primary Account Number číslo na kartě dle ISO/IEC 7812 typicky 16 míst) na kartě až 19 bitů: 6 míst IIN (Issuer Identification Number) 12 míst IAI (Individual Account Identifier) 1 kontrolní číslice (Luhnův algoritmus) Druhy dat na kartě Cardholder Data includes: Primary Account Number (PAN) Cardholder Name Expiration Date Service Code Sensitive Authentication Data includes: Full magnetic stripe data or equivalent data on a chip CAV2/CVC2/CVV2/CID PINs/PIN blocks

8 Bezpečnost platebních karet Standardy: ISO/IEC Tři paralelní záznamy/stopy, různé kódování a hustota Track 1: 210 bits per inch, 6+1 (6 bitů+parita) bit, 79 alfanumerických znaků Track 2: 75 bits per inch, 4+1 bit, 40 numerických znaků Track 3: 210 bits per inch ISO/IEC 4909: 4+1 bit, 107 numerických znaků (zastaralé) ISO/IEC 7811: 6+1 bit, 79 alfanumerických (American Association of Motor Vehicle Administrators, AAMVA)

9 Format kod PAN Separator Prijmeni Separator Suffix Separator prijmeni Krestni jmeno Iniciala Titul Separator Datum expirace Kod sluzby Platební karty a útoky proti nim Stopa 1

10 Platební karty a útoky proti nim Kód služby: První číslice 1: International interchange OK 2: International interchange, use IC (chip) where feasible 5: National interchange only except under bilateral agreement 6: National interchange only except under bilateral agreement, use IC (chip) where feasible 7: No interchange except under bilateral agreement (closed loop) 9: Test Druhá číslice 0: Normal 2: Contact issuer via online means 4: Contact issuer via online means except under bilateral agreement Třetí číslice 0: No restrictions, PIN required 1: No restrictions 2: Goods and services only (no cash) 3: ATM only, PIN required 4: Cash only 5: Goods and services only (no cash), PIN required 6: No restrictions, use PIN where feasible 7: Goods and services only (no cash), use PIN where feasible

11 Platební karty a útoky proti nim Stopa 2 Stopa 3 se většinou nepoužívá, VISA ji vůbec neuvádí užší magnetický proužek

12 Platební karty a útoky proti nim Nepřímé útoky na debetní/kreditní karty. Phishing, pharming, smishing, vishing atd. Phishing Jde o útoky v zásadě na uživatele, přes kterého se útočník snaží dopstat k údajům o účtech a z těchto následně odčerpat prostředky. vishing/smishing Vishing je obdobou phishingu a k útoku využívá telefon nebo VoIP. V případě takového vishingového útoku obdržíte telefonát milý vstřícný hlas bude tvrdit cosi o bezpečnostních problémech s Vaším bankovním účtem a přesvědčovat Vás, abyste volali například na jejich telefonní číslo z důvodu například reaktivace kreditní nebo platební karty. To platí i o smishingu. Tehdy se tyto údaje vyžadují přes SMS zprávu, kdy jste vyzvání, abyste zavolali na bezplatné telefonníčíslo a potvrdili své údaje, nebo obdržíte nahranou telefonickou zprávu s žádostí o zadání údajů k Vašemu bankovnímu účtu. Pokud informace poskytnete => problém.

13 Platební karty a útoky proti nim Phishing Guten Tag, wir bedauern, Ihnen mitteilen zu müssen, dass ihre Kreditkarte aus Sicherheitsgründen vorläufig gesperrt wurde. Um Sie gegen den Missbrauch ihrer Kreditkarte zu bewahren, haben wir neue Sicherheitsmechanismen eingeführt. Um diese einzuschalten und gleichzeitig ihre Kreditkarte zu entsperren, brauchen Sie nur das Online-Formular auszufüllen. Bitte folgen Sie den Link, um die Sicherheitsmassnahmen einzuschalten. Bitte füllen sie das Formular vollständig und sorgfältig aus! Bitte beachten Sie, dass ihre Kreditkarte solange gesperrt bleibt, bis Sie das Formular vollständig ausgefüllt haben. CreditCard Association, 5 Rue des Artisans 8170 Bettembourg, Luxembourg adresa skryta za odkazem: phpsendmail87340.defaultsessiononpageany ru/priv/cc/verification.html

14 Bitte geben Sie Ihre Kreditkartennummer ein Bitte geben Sie Ihre Verfalldatum ein Bitte geben Sie Ihre Die Prüfnummer ein Bitte geben Sie Ihre Geburtsdatum ein Bitte geben Sie Ihre Kreditkartenkontonummer ein

15 Platební karty a útoky proti nim Pharming (napadení DNS a přepsání IP adresy) V r. 2008/9 problém s DNS servery... Po určitou dobu byli uživatelé vydáni na pospas masově provedenému pharmingu Firewall Vendors Scramble to Fix DNS Problem povzbudivý titulek (týkalo se i Microsoftu, Cisco Systems,...). Podstata firewally ruší určité rysy práce DNS a tím umožňují útočníkům napadnout DNS servery. Citát:... The scope of the problem initially took some DNS experts by surprise, said Dan Kaminsky, the IOActive researcher who first discovered the DNS bug. "This is to some degree our fault," he said in an interview. "We underestimated the number of firewalls out there that were deployed in front of DNS servers." "Cisco, Juniper, Citrix, and a number of other firewall vendors have been absolutely scrambling to update their equipment," he added... A U.S.-based company that processes credit card transactions for more than 250,000 businesses has uncovered a massive security breach, officials said

16 Platební karty a útoky proti nim 4 základní kategorie zařízení pro krádež dat z magnetické karty 1. Nemodifikovaný COTS(Commercial-Off-The- Self) MSRs 2. modifikovaný COTS MSRs 3. COTS MSR bez sw, pouze hw 4. unikátní zařízení - jednoúčelové Krádež PIN kódu miniaturní kamery, videokamery, nahrávací multimediální zařízení, průhledné klávesnice narušení PED (PIN Entry Device)

17 Platební karty a útoky proti nim - skimming

18 Internet a platební karty RFID samo o sobě představuje sice hezké a líbivé řešení, nicméně její nasazení se jeví jako poněkud předčasné (viz možnost bezkontaktního přečtení údajů, modifikace čipu, snadné zničení atd.) a stále nedotažené

19 Platební karty a útoky proti nim - RFID Standardy Rozhraní Frekvence ISO A/B, ISO 15693, ISO , NFC, I-CODE EM4x02 EM4x50 EM4x05 (ISO 11784/5 FDX-B) Hitag 1 / 2 / S Q5 TI 64 bit R/O & R/W TI 1088 bit Multipage Serial RS232 USB Bluetooth USB PC/SC Compact Flash Handheld / Serial RS232 Chip & RFID 125 / khz 125 khz MHz Je to málo nebo hodně????

20 Platební karty a útoky proti nim lze v případě neschopnosti přečíst čip, tento zlikvidovat elektrickou nebo neelektrickou cestou a využít standardního magnetického proužku pak není zapotřebí zadávat PIN Adam Laurie, odborník na RFID demonstroval na Black Hat konferenci jak lze s pomocí Python skriptu (Python je programovací jazyk open source).přečíst data na RFID čipové kartě. RFID zneužití může být velice široké a to dokonce v mnohem větším rozsahu než u klasických karet. Obrana společností provozujících systémy platebních karet byla jednoduchá. Karty ušetříčas...

21 Platební karty a útoky proti nim - RFID Nebezpečí je mnoho a přibývají Nejde pouze o útoky přímo proti platebním kartám, zle i proti společnostem, které platby kartou přijímají zejména herní. Příklad vývoje: čip pro implantaci do lidského těla

22 Internet a platební karty Geniální útoky bývají ty nejjednodušší. Příklad: ke klávesnci čtečky paralelně připojené dráty, které snímají veškeré údaje tam zadávané Sejmutí karty mobilním telefonem během manipulace s ní v obchodě atd. Rozhodující je lidská nedbalost a nevšímavost...nelze nahradit žádným technickým zařízením..

23 Internet a platební karty Karty na internetu Většinou nevíte, kdo je na druhé straně Nelze zajistit trasu transakce Transakce kartou jsou méně chráněny než EB. Nebezpečí známého phishingu a pharmingu Nutná verifikace cílové stránky

24 Internet a platební karty Virtualizace karet Problém posouvá na jinou úroveň, ale v zásadě neřeší Ochrana uživatele v zásadě stejná z transakčního hlediska Ochrana účtu Možnost zvýšení ochrany při generování náhodných sekvencí v čísle karty

25 Internet a platební karty Bezpečnost virtuálních transakcí je často podceňována Monday, August Casino Virtual Currency Theft - Subverting Loyalty Programs Loyalty programs. The prototypical virtual currency. What could go wrong? Plenty, as a number of Las Vegas casinos are finding. Employees are stealing player loyalty points and putting them into dummy accounts under their control. They are also simply creating bogus accounts and issuing tons of loyalty points to them.

26 Internet a platební karty Kombinace prvků možné vylepšení? Payment card with internally generated virtual account numbers for its magnetic stripe encoder and user display leden 2009, United States Patent americká specialita zaměřují se pouze na magnetické proužky, čipy jsou opomíjeny.

27 Internet a platební karty Př. typické karty, která má PAN a datum expirace, kde prvních 6 číslic představuje systém, číslo banky, X je virtuálníčíslo, Y je kontrolníčíslice X XXXY 12/06. Platná virtuálníčísla pak budou: , , ,

28 Internet a platební karty Kombinace prostředků ochrany a snímání, tak jak byla uvedena rozhodně eliminuje nebezpečí, které představují hackeři v masovém měřítku viz např. krádež údajů o 130 mil. karet v USA, kde byly napadeny servery i platebních společností. Riziko představují tedy nejenom karty samotné, ale i poskytovatelé služeb, ATM a obchodníci.

29 Platební karty a útoky proti nim Děkuji za pozornost Dotazy?