A gdje ste ono ostavili broj kreditne
kartice?
Marko Jertec, ECS
marko.jertec@ecs.hr
Igor Gregurec, ECS
igor.gregurec@ecs....
Ukratko
 Globalni trendovi u kartičnoj sigurnosti
 Motivi pokretanja napada na kartične podatke
 Koje su najčešće mete ...
Globalni trendovi u kartičnoj sigurnosti
Globalni trendovi
 u 2010. obavljeno više od 2.5 bilijuna
transakcija kreditnim karticama
 Svake sekunde obavi se oko 10...
Globalni rizici
 u 89 % slučajeva cilj upada je kraĎa
korisničkih podataka (brojevi kreditnih
kartica, osobni podaci, pos...
Što žele?
Kako dolaze do toga što žele?
Najrizičnije vrste podataka
85%
8%
3%2%
2%
Kartični podaci
Osobni podaci
Poslovne tajne
Podaci za prijavu u
sustav
Podaci ...
Najčešće metode upada
 Izvor: Trustwave, 2011
Anatomija napada
Identificiranje ranjivih
web stranica putem
tražilice
Pronalazak ranjivih
web stranica pomoću
specijalizi...
Nije sve izgubljeno – PCI DSS
Što je PCI DSS
• PCI DSS predstavlja najbolje od VISA i MasterCard pravila (iznimno
tehnički standard)
• Trenutno u verzij...
Kartični podaci
Broj kartice Čip Datum isteka valjanosti
Magnetski zapis Broj kreditne kartice i verifikacijski broj
sasto...
Zašto se to mora učiniti?
Zdrav razum
Kome je namijenjen PCI DSS?
• Svim trgovcima (merchants)
– Svako tko prima kreditne i debitne kartice
– Neovisno o:
• Veli...
Što dalje?
• Uskladiti se s PCI DSS-om (provesti projekt)
– Usklađenost ne znači da su sustavi u potpunosti sigurni
u svak...
Stanje u Hrvatskoj
Stanje u Hrvatskoj
Hvala!
(WS13) Marko Jertec: A gdje ste ono ostavili broj kreditne kartice
Upcoming SlideShare
Loading in …5
×

(WS13) Marko Jertec: A gdje ste ono ostavili broj kreditne kartice

437 views

Published on

Published in: Education, Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
437
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
3
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

(WS13) Marko Jertec: A gdje ste ono ostavili broj kreditne kartice

  1. 1. A gdje ste ono ostavili broj kreditne kartice? Marko Jertec, ECS marko.jertec@ecs.hr Igor Gregurec, ECS igor.gregurec@ecs.hr
  2. 2. Ukratko  Globalni trendovi u kartičnoj sigurnosti  Motivi pokretanja napada na kartične podatke  Koje su najčešće mete napada?  Nije sve izgubljeno – PCI DSS  Ciljevi standarda  Zašto biti sukladan?  Stanje u Hrvatskoj 2
  3. 3. Globalni trendovi u kartičnoj sigurnosti
  4. 4. Globalni trendovi  u 2010. obavljeno više od 2.5 bilijuna transakcija kreditnim karticama  Svake sekunde obavi se oko 10.000 transakcija nekom vrstom platnih kartica  u razdoblju od 2003 – 2010 prevareno je oko 11.1 milijun ljudi (USA)  u opticaju je oko 609 milijuna kreditnih kartica (USA) Izvor: www.creditcards.com
  5. 5. Globalni rizici  u 89 % slučajeva cilj upada je kraĎa korisničkih podataka (brojevi kreditnih kartica, osobni podaci, poslovne tajne).  Najrizičnija poslovanja: ugostiteljstva, restorani, hoteli, maloprodaja.  Premještanje fokusa s bankarskog sektora na “mekanije” mete.  “Password1” i dalje je najčešća lozinka!!  Neosviještenost o važnosti sigurnosti i dalje je primarni povod povećanju broja kraĎa podataka. Izvor: Trustwave Global Security Report 2012, Verizon Data Breaches Report 2011
  6. 6. Što žele? Kako dolaze do toga što žele?
  7. 7. Najrizičnije vrste podataka 85% 8% 3%2% 2% Kartični podaci Osobni podaci Poslovne tajne Podaci za prijavu u sustav Podaci o klijentima  Izvor: Trustwave, 2011  Cijena jednog broja kreditne kartice na crnom tržištu ~ $10
  8. 8. Najčešće metode upada  Izvor: Trustwave, 2011
  9. 9. Anatomija napada Identificiranje ranjivih web stranica putem tražilice Pronalazak ranjivih web stranica pomoću specijaliziranih alata Iskorištavanje poznatih ranjivosti ili upload malicioznog “koda”. Kartični podaci nisu pohranjeni? Modificiranje forme za unos podataka. Kartični podaci pohranjeni? Pristup bazi podataka s kartičnim podacima. “Otvaranje” stalnog pristupa web stranici. ILI Pretraga sustava za ostalim vrijednim podacima.
  10. 10. Nije sve izgubljeno – PCI DSS
  11. 11. Što je PCI DSS • PCI DSS predstavlja najbolje od VISA i MasterCard pravila (iznimno tehnički standard) • Trenutno u verziji 2.0 (peta po redu iteracija). • Stupio na snagu 14.prosinca 2004. godine. • 2012. dolaze novi (čitaj: teži i opširniji) zahtjevi. • Prihvaćen i od strane Amex-a, JCB-a, Discover-a
  12. 12. Kartični podaci Broj kartice Čip Datum isteka valjanosti Magnetski zapis Broj kreditne kartice i verifikacijski broj sastoji se od “Track 1” Card Verification Value 2 (CVV2) zapisani su i Track 2” podataka na poleđini kartice Track i CVV2 ne smiju se pohranjivati ni nakon autorizacije!
  13. 13. Zašto se to mora učiniti? Zdrav razum
  14. 14. Kome je namijenjen PCI DSS? • Svim trgovcima (merchants) – Svako tko prima kreditne i debitne kartice – Neovisno o: • Veličini organizacije • Tržišnoj vertikali • Online trgovini ili face-to-face trgovini • Bilo čemu drugom (kad je u pitanju kartično poslovanje)! • Svim pružateljima usluga plaćanja karticama • Razvijateljima kartičnih aplikacija • Zaprimateljima i izdavateljima platnih kartica
  15. 15. Što dalje? • Uskladiti se s PCI DSS-om (provesti projekt) – Usklađenost ne znači da su sustavi u potpunosti sigurni u svakom trenutku, ali znači da se sigurnost kartičnog poslovanja promatra kao trajni i holistički proces. – Svatko prema svojim obavezama • PCI DSS nije cilj, već osnova sigurnosti. • Prestati pohranjivati brojeve kreditnih kartica (bez njih se poslovati može normalno). • Krenuti danas!
  16. 16. Stanje u Hrvatskoj
  17. 17. Stanje u Hrvatskoj
  18. 18. Hvala!

×