(WS13) Marko Jertec: A gdje ste ono ostavili broj kreditne kartice
1. A gdje ste ono ostavili broj kreditne
kartice?
Marko Jertec, ECS
marko.jertec@ecs.hr
Igor Gregurec, ECS
igor.gregurec@ecs.hr
2. Ukratko
Globalni trendovi u kartičnoj sigurnosti
Motivi pokretanja napada na kartične podatke
Koje su najčešće mete napada?
Nije sve izgubljeno – PCI DSS
Ciljevi standarda
Zašto biti sukladan?
Stanje u Hrvatskoj
2
5. Globalni trendovi
u 2010. obavljeno više od 2.5 bilijuna
transakcija kreditnim karticama
Svake sekunde obavi se oko 10.000
transakcija nekom vrstom platnih kartica
u razdoblju od 2003 – 2010 prevareno je
oko 11.1 milijun ljudi (USA)
u opticaju je oko 609 milijuna kreditnih
kartica (USA)
Izvor: www.creditcards.com
6. Globalni rizici
u 89 % slučajeva cilj upada je kraĎa
korisničkih podataka (brojevi kreditnih
kartica, osobni podaci, poslovne tajne).
Najrizičnija poslovanja: ugostiteljstva,
restorani, hoteli, maloprodaja.
Premještanje fokusa s bankarskog sektora
na “mekanije” mete.
“Password1” i dalje je najčešća lozinka!!
Neosviještenost o važnosti sigurnosti i dalje
je primarni povod povećanju broja kraĎa
podataka.
Izvor: Trustwave Global Security Report 2012, Verizon Data Breaches Report 2011
8. Najrizičnije vrste podataka
85%
8%
3%2%
2%
Kartični podaci
Osobni podaci
Poslovne tajne
Podaci za prijavu u
sustav
Podaci o klijentima
Izvor: Trustwave, 2011
Cijena jednog broja kreditne kartice na crnom tržištu ~ $10
10. Anatomija napada
Identificiranje ranjivih
web stranica putem
tražilice
Pronalazak ranjivih
web stranica pomoću
specijaliziranih alata
Iskorištavanje poznatih
ranjivosti ili upload
malicioznog “koda”.
Kartični podaci nisu
pohranjeni?
Modificiranje forme za
unos podataka.
Kartični podaci
pohranjeni? Pristup
bazi podataka s
kartičnim podacima.
“Otvaranje” stalnog
pristupa web stranici.
ILI
Pretraga sustava za
ostalim vrijednim
podacima.
12. Što je PCI DSS
• PCI DSS predstavlja najbolje od VISA i MasterCard pravila (iznimno
tehnički standard)
• Trenutno u verziji 2.0 (peta po redu iteracija).
• Stupio na snagu 14.prosinca 2004. godine.
• 2012. dolaze novi (čitaj: teži i opširniji) zahtjevi.
• Prihvaćen i od strane Amex-a, JCB-a, Discover-a
13. Kartični podaci
Broj kartice Čip Datum isteka valjanosti
Magnetski zapis Broj kreditne kartice i verifikacijski broj
sastoji se od “Track 1” Card Verification Value 2 (CVV2) zapisani su
i Track 2” podataka na poleđini kartice
Track i CVV2 ne smiju se pohranjivati ni nakon autorizacije!
15. Kome je namijenjen PCI DSS?
• Svim trgovcima (merchants)
– Svako tko prima kreditne i debitne kartice
– Neovisno o:
• Veličini organizacije
• Tržišnoj vertikali
• Online trgovini ili face-to-face trgovini
• Bilo čemu drugom (kad je u pitanju kartično poslovanje)!
• Svim pružateljima usluga plaćanja karticama
• Razvijateljima kartičnih aplikacija
• Zaprimateljima i izdavateljima platnih kartica
16. Što dalje?
• Uskladiti se s PCI DSS-om (provesti projekt)
– Usklađenost ne znači da su sustavi u potpunosti sigurni
u svakom trenutku, ali znači da se sigurnost kartičnog
poslovanja promatra kao trajni i holistički proces.
– Svatko prema svojim obavezama
• PCI DSS nije cilj, već osnova sigurnosti.
• Prestati pohranjivati brojeve kreditnih kartica
(bez njih se poslovati može normalno).
• Krenuti danas!