Bezpečnost
Případová studie zcizení
dat u zpracovatele Heartland
Pokračování z čísla cardmag#4 / 2009
Před rokem, 20. ledna 2009, těsně před inauguračním projevem
prezidenta Obamy, společnost Heartland Payment Services
oznámila, že u ní došlo ke zcizení údajů o kartách.
Následující vyšetřování ukázalo, že došlo k dosud největšímu
zcizení dat, kdy instalací malware bylo kompromitováno na
130 mil. karet ve 673 institucích. Jak vypadá situace u
postižených bank, kartových společností, zadrženého
obviněného a náprava škod po roce? Došlo k posílení
bezpečnosti? Zatím se řeší otázky náhrad škod finančním
isntitucím a postiženým klientům na podkladě skutečně
vzniklých a prokázaných škod. Skryté škody v poškození jména
bank a platebních společností se budou odstraňovat dlouho.
Z podaných žalob bankovními institucemi na odškodnění proti
společnosti Heartland vyplývá, že se ke krádeži dat
podvodníci chystali již po určitou dobu. Ale podívejme se na
průběh podrobněji.
2006: Listina práv obchodníků
Heartland vytvořil „Listinu práv obchodníků“, jako odvětvový
standard pro poctivost, čestnost, a transparentnost
zpracování platebních karet. Zdůrazňoval potřebu mít
takového poskytovatele služeb, který nabízí odpovídající
míru bezpečnosti. Žaloba tvrdí, že Heartland chtěl nejen
získávat obchodníky, ale zejména ujistit nejširší veřejnost,
že Heartland má nasazena příslušná bezpečnostní opatření.
2007, duben: Certifikace Heartlandu na shodu s PCI DSS
standardem
Heartland ujišťoval finanční instituce, že jejich procesor
je zabezpečen.
2007, prosinec: Počátek narušení
Již 26.12.2007 se neautorizované osoby pokusily napojit na
počítačovou síť Heartlandu a získat přístup k důvěrným
finančním datům ohledně asi 130 miliónům karet. VISA vydala
varování ohledně „podezřelé aktivity týkající se účtů
držitelů karet“ ponejprve v říjnu 2008, až téměř po roce. IT
tým Heartlandu pak pracoval s forenzními experty z VISA, MC,
American Express a Discover na propojení podezřelých
transakcí se zpracovatelskou činností Heartlandu.
2008, listopad: „Nedostatečný“ standard PCI
Žaloba dále uvádí, že vedení Heartlandu dobře vědělo, že
„pouhé minimum standardu PCI není dostatečnou ochranou před
útokem důmyslných hackerů“. Vedení totiž uvedlo, že „jsme
přesvědčeni, že je nanejvýš nutné se posunout na vyšší
standard pro zpracování transakcí, který může být
implementován bez čekání na změnu platební infrastruktury“.
2009, leden : Nález podezřelých souborů
Průnik byl proveden do aplikace „Passport“, která se používá
na zpracování kreditních a debetních transakcí a odesílání
plateb obchodníkům. Dne 12.1.2009 byly objeveny podezřelé
soubory a 13.1.2009 byl odhalen malware, program, který ony
soubory vytvořil. Po týdnu, dne 20.1.2009 byl celý problém
zveřejněn s tím, že Heartland spolupracuje s tajnou službou.
2009, březen: Heartland byl vyňat ze seznamu prověřených
zpracovatelů VISA
2009, duben : Heartland se znovu prostřednictví auditora
certifikoval na shodu s PCI standardem
2009, květen : MasterCard uložil pokutu sponzorujícím bankám
Heartlandu
K 30. červnu 2009 Heartland uvedl, že jej narušení dat stálo
32 mil. USD, z toho pokuta MC převýšila 6 mil USD.
2009, srpen : End-to-end šifrování
Heartland oznámil, že v současné době implementuje u svých
obchodníků proces šifrování end-to-end (citlivé údaje se
přenášejí šifrovány od terminálu až ke zpracovateli
transakcí a dále do platební společnosti). Tento přístup by
měl obchodníkům nabídnout „nejvyšší úroveň beta bezpečnosti
na trhu“ (beta úroveň znamená úroveň danou systémem
v ověřování).
2009, srpen: Hackeři obviněni
Ministerstvo spravedlnosti v New Jersey obžalovalo 3
jednotlivce, spojené s průnikem do databáze Heartlandu.
Jedním z nich je Alber Gonzales, který se také podílel na
případu krádeže dat u obchodního řetězce TJX. Další dvě
osoby žijí v Rusku. Žaloba uvádí, že obvinění v období říjen
2006 až květen 2008 osnovali spiknutí za účelem proniknout
do systému Heartlandu a zcizit čísla platebních karet.
Jakmile čísla získali, rozdělili je do dávek vhodných k
„velkoobchodní“ distribuci po internetu a nabídli je k
prodeji.
Po proniknutí do systému typem útoku „SQL Injection“
(vložení instrukcí do dotazovacího jazyka), spiklenci
instalovali program zachycující čísla karet v reálném čase
tak jak byla zpracovávána v síti. Také umístili do
narušeného systému malware, nazývané „zadní vrátka“, které
jim umožňovalo pozdější opětovný přístup do sítě. Spiklenci
dále zakryli narušení systému naprogramováním malware
způsobem, který vylučoval jeho odhalení anti-virovým
programem, a vymazáním počítačových souborů, které by jinak
prozradily jejich neautorizovanou přítomnost v systému.
Následné kroky Heartlandu: „Kavalírský“ přístup
Heartland k tomu, co bylo později označeno jako „dosud
největší krádeží dat“, zaujal kavalírský postoj, alespoň
podle v tisku uveřejněných prohlášení: „Povaha narušení je
taková, že pro podvodníky je zcela nemožné provádět
transakce bez přítomnosti karty neboť víme zcela jistě, že
nezískali jednu potřebnou informaci, a tou je adresa.
V důsledku toho nelze očekávat, že by zloději provedli
masivní podvodný útok na internetové obchodníky.“
Jako obecné varování plynoucí ze žaloby lze uvést jeden
problém, který je Heartlandu vyčítán. Mnoho států má
uzákoněno, že v případě krádeže dat musí bezprostředně
informovat ohrožené spotřebitele, pokud jsou jejich finanční
data kompromitována v důsledku napadení. Žaloba viní
Heartland, že neučinil nic, aby individuelně informoval
zákazníky (kromě informace na webových stránkách a v tisku)
a přesunul tuto povinnost (a návazné podstatné výdaje) na
finanční instituce, které musely absorbovat miliónové
dolarové náklady na neautorizované platby, výdaje a ztráty.
Viník
Hecker Albet Gonzales, přiznal vinu na prolomení se do
systémů Heartlandu, řetězce obchodů Hannahfor Brothers,
řetězce 7-Eleven a dalších dvou národních obchodníků.
Gonzales a další dva neidentifikovaní Rusové byli obviněni
z krádeže dat o 130 miliónech držitelích karet od
zpracovatele transakcí a dalších společností. Již dříve byli
Gonzales a 10 dalších spolupachatelů obviněni z prolomení
systému u zpracovatele TJX (45 mil. zcizených karet). Oba
případy byly u soudu spojeny a Gonzales čelí trestu ve výši
15 až 25 let. Připomeňme, že Gonzales, 28 let, je potomek
kubánských přistěhovalců, první počítač dostal v 8 letech,
v 9 letech aktivně odstraňoval počítačové viry. Byl znám pod
přezdívkami "segvec", "soupnazi" a "j4guar17". Na střední
škole patřil k nepřizpůsobivým počítačovým maniakům.
S přáteli se pomocí školního počítače naboural do vládního
počítače v Indii, kde zanechali zprávu o své kultuře. Indie
pak údajně musela zrušit vydání vládních šeků.
V případě zcizených dat u Heartlandu Gonzales kontroloval
několik serverů tvořící hackerské platformy, a zpřístupňoval
tyto servery dalším hackerům s vědomím, že je použijí pro
vložení zlovolných programů („malicious“ software) a
spuštění útoků proti firmám. Malware použité proti několika
společnostem bylo nalezeno také na serveru, který
kontroloval Gonzales. Gonzales malware testoval oproti více
antivirovým programům, aby zjistil, zda nejsou jeho programy
odhalitelné anti-virovými programy.
Oběti
Dosud Heartland zaplatil společnosti American Experess
náhradu ve výši 3,6 mil. USD a nesl náklady na pokuty
vyměřené sponzorujícím bankám společnostmi VISA a MasterCard
ve výši 12,5 miliónů USD. V lednu 2010 Heartland oznámil, že
na základě dohody s VISA Inc. zaplatí bankám vydávající
debetní a kreditní VISA karty částku 60 mil. USD k úhradě
ztrát. To je dosud největší náhrada za škodu způsobenou
kompromitací dat, neboť za dřívější škodu v listopadu 2007 u
obchodníka TJX (ve společnosti vlastnící diskontní řetězce
včetně TJ Maxx and Marshalls) byla vyplacena náhrada 40,9
mil. USD. Výplata bude provedena za podmínky spoluúčasti
vydavatelů VISA, neboť okamžitá náhrada napomůže snížit
ztráty vydavatelům. Na druhé straně se vydavatelé i VISA
mají zříci právní a finanční odpovědnosti a nároku na další
odškodnění. Pro Heartland to je skutečně velmi dobrý
výsledek, protože dohoda jej chrání před nekonečnými
právními spory a náhradou skutečné škody (která v menším
případě TJX dosáhla více než 139 mil. USD). Dohoda
naznačuje, že se všichni poučili z případu TJX, jsou
zkušenější a uvědomují si, že je lepší přátelská rychlá
dohoda než vleklé právní spory. Na druhou stranu podvodníci
získali více než 50 mil. USD, což je závratná suma na to, že
byla získána pomocí jednoduchých chytrých prográmků.
Případ však není uzavřen, banky musí s odškodněním vyjádřit
souhlas; VISA odhaduje, že skutečná škoda by mohla dosáhnout
140 mil. USD, i když skutečnou škodu nemusí znát ani VISA.
Experti radí bankám, aby dohodu pečlivě zvážili, neboť:
-
nabízí
poškozeným bankám nízkou náhradu
-
dává jim
málo času na rozhodnutí (15 dní)
-
zbavuje
Heartland a další společnosti odpovědnosti.
Zlepšení ochrany - PCI standard
Na jeden důležitý aspekt celého příběhu upozornil auditor
Matt Davies, vedoucí auditu a shody společnosti Secure State,
vyhodnocující rizika firem. Mezi zpracovateli zavládlo
zjištění, že „se to mohlo stát i nám“, a jiní se začali
ptát, kde se vlastně stala chyba. Pracovníci Heartlandu se
pokoušeli svá pochybení zdůvodnit odkazy na to, co udělali
ostatní, namísto přiznání toho, co neučinili oni sami.
Odvedli diskuzi na problematiku PCI DSS (Payment Card
Industry data Security Standard), a nikoli na vlastní
narušení shody (Heartland byl certifikován na shodu s PCI),
resp. na potřebu její pravidelné kontroly.
V důsledku tohoto případu acquieři a zpracovatelé nyní
nabízejí obchodníkům lepší ochranné techniky pro jejich
data, které napomohou vyjmout jejich zpracování z rozsahu
standardu PCI. Nemusí se zabránit zcizení dat, ale více se
ochrání obchodníci. Je také v běhu zavádění programu QSA
Quality Assurance (zajištění kvality kvalifikovaným
hodnotitelem bezpečnosti) a noví kvalifikovaní hodnotitelé
bezpečnosti (QSA) musí podstoupit mnohem přísnější proces,
než jim Rada PCI udělí oprávnění. Dalším správným krokem pro
napadené entity bude vedle obnovy vydání karet také zavedení
automatického monitoringu kreditu (zůstatku) na kartě, nebo
ochrana spotřebitelů postižených násilným vniknutím.
Další kroky se musí týkat malých obchodníků. Velké řetězce,
vydávající a přijímající banky a zpracovatelé činí pokroky
v přibližování se požadavkům shody s PCI, ale u malých
obchodníků jsou problémy, které je ponechávají mimo oblast
spolehlivé bezpečnosti. Podle jiného bezpečnostního experta
na PCI (Anton Chuvakin), platební infrastruktura zůstává
stále nezabezpečena; možná se skrytě připravují změny uvnitř
kartových společností, ale zatím se mnoho nemění. Existují
sice iniciativy týkající se back-office tokenizace a end-to-end
šifrování, ale k dosažení bezpečnostního statutu je velmi
důležitá standardizace. Techniky musí být implementovány do
standardu PCI; pokud se vyskytují jen u některých
zpracovatelů, kriminálníci si rychle vyhledají jiné,
nezabezpečené zpracovatele. Ovšem „rychle standardizovat“ je
protimluv, takže můžeme očekávat předstírání a hašteření po
několik dalších let, než budou implementována opatření ke
snížení útoků na data napříč odvětvím platebních karet.
Pozornost se také obrací k odolným terminálům (tamper
resistant terminals). Vyvíjí se dynamická autentizace dat (dynamic
data authentication) s digitálním otiskem karty, která by
měla vyloučit přenášení čísla karty k obchodníkovi.
Nutnou doufat, že naznačená opatření se dostatečně rychle
uplatní v praxi.
cardmag |
ft |
internetové zdroje
Vishing - krádež identity účtu nebo karty
Po léta známe spamové (nevyžádané) e-maily, které se snaží
z adresátů vylákat důvěrné údaje o jejich platební kartě
(číslo karty a PIN) pod záminkou, že na karty klientovy
instituce byly učiněny pdezřelé transakce a všechny karty
musely být zablokovány. Alternativně se může jednat o číslo
účtu nebo přístup do internetového bankovnictví, s odvoláním
na pokusy o neoprávněné přístupy. Naléhavý pokyn
k okamžitému řešení je doplněno odkazem na podvodné
internetové stránky. Sdělení údajů má napomoci rychlému
obnovení funkčnosti karty (účtu). Tento modus operandi
nazýváme phishing (lovení údajů) a mohou mu podlehnout i
zkušení a poučení držitelé karet, dostanou-li se pod časový
tlak, a zejména napodobí-li podvodníci dokonale stránku
dotyčné banky, jak se stalo i v České republice. Psali jsme
o tom již v cardmag#3/2006
s doporučením,
aby místo
odpovědi na mail nebo vytočení uvedeného čísla raději
dvakrát zkontrolovali stav svého účtu.
S rozvojem zákaznických center, které jsou vybaveny
automatizovanou hlasovou službou, a s tím, jak si klienti
zvykli na jejich automatické telefonické odpovídače, se i
podvodníci posunuli na vyšší technologickou platformu. Snaží
se vylákat důvěrné informace po telefonu, hlasem, proto
novému způsobu se dostalo označení vishing (= voice
+ fishing). První zprávy
o této metodě se objevují již od června 2006, ale v loňském
i letošním roce jsou zaznamenávány další a další případy
v anglicky mluvících zemích (v USA se v roce 2009 výskyt
těchto podvodů zvýšil 6x). Je jen otázka času, kdy bude útok
veden i v češtině.
Vishing je tedy forma phishingu (rybaření), kdy jedinec
obdrží místo e-mailu, cíleného na vylákání osobních
informací, telefonní hovor zaměřený na získání kritických
informací od klienta banky nebo úvěrové instituce; typicky
jde o čísla platebních karet nebo jiných informací (krádež
identity). Z hlediska prosazování práva je velmi
komplikované vishing monitorovat nebo sledovat, i když
existují technologie, které mohou identifikovat pokusy o
vishing sledováním anomálií v telefonním provozu. Jedním
takovým příkladem jsou vícenásobná volání z určitého skype-čísla
na zákaznická centra. Zpětně vysledovat hovory není pro
policii obtížní, zúčtovací informace jsou dostupné o každém
hovoru, ale podvodníci používají bílé koně a to pátrání
ztěžuje a prodražuje.
Spotřebitelům lze jen doporučit, aby při podezřelém
telefonátu doporučujícím někam zatelefonovat a sdělit číslo
karty nebo účtu, byli nanejvýš opatrní. Nejlépe je zavěsit a
po té informovat svou banku na čísle, které je uvedeno
v jejích oficiálních dokumentech.
Hovor je veden automatem obvykle tímto modus operandi: „Vaše
karta byla dočasně zablokována, neboť se stala terčem útoku
třetí strany. Stiskněte nyní „1“, a budete přesměrování na
bezpečnostní oddělení. Toto varování nepodceňujte.“ Klienti,
kteří uposlechnou, jsou požádání o natypování svého čísla
karty a PINu.
Na straně podvodníka tomu předchází získání telefonních
čísel metodou wardialing, která využívá modemu
k automatickému prohledávání seznamu telefonních čísel v
místním okruhu telefonní ústředny (nebo mobilního operátora)
k vyhledání osobních čísel účastníků; čísel počítačů a faxů,
které obvykle odpovídají na první zazvonění. V tom případě
modem zavěsí. Pokud dotyčný na hovor odpoví, ozve se mu
automatický záznam (velmi často syntetizátor řeči podle
napsaného textu) např. s výše uvedeným obsahem. Současně se
na displeji telefonu jako ID volajícího zobrazí podvodníkem
podsunuté číslo, což přispívá k posílení přesvědčení, že jde
o skutečné číslo instituce.
Vishing není ilegální činnost, ale v některých státech
(např. v USA) připravují legislativu, která postaví mimo
zákon manipulaci s telefonním číslem, aby předstíralo volání
někoho jiného. Na druhou stranu manipulace s číslem (a
zejména skrývání čísla) může být zcela legitimní, např.
lékař volající svému pacientovi, nebo advokát klientovi,
nemusí zveřejňovat svoji domácí linku, policie telefonuje
zásadně se skrytým telefonním číslem apod.
SmiShing
Dalším vývojovým krokem v obalamutění spotřebitelů je
využívání mobilních telefonů k zasílání textových zpráv (SMS)
s obdobným varováním a výzvou, aby klient zavolal na určené
telefonní číslo. Název je odvozen z „sms
phishing“.
Lze použít jak k vylákání čísla karty, tak čísla účtu, spolu
s doplňujícími informacemi, jako je PIN, adresa, rodné číslo
nebo číslo sociálního pojištění, apod. Záminka ke zpětnému
telefonátu může být různá: pokus o zneužití čísla účtu/karty
nebo přijetí refundace na dříve provedenou transakci.
Tyto podvodné pokusy se tváří velmi realisticky, protože
často obsahují varování před vyzrazením osobních informací,
což u napadené osoby vyvolá přesvědčení, že jej skutečně
volá jeho banka/finanční instituce. U libovolné záminky je
navíc je zdůrazněna naléhavost zpětného volání upozorněním
na poplatek, např. 2 USD za den, pokud nebude záležitost
vyřešena.
cardmag |
ft
Wincor Nixdorf - Snaha o zvýšení bezpečnosti u bankomatů
Společnost Wincor Nixdorf AG pořádala v lednu 2010 svou pravidelnou
třídenní akci „Wincor World 2010“ v Paderborn v Německu. Její tiskové ohlasy jsou více než pozitivní. Společnost zde
představila inovativní produkty na ochranu bankomatů, které
brání neoprávněné manipulaci s kartou, nabízí portfolio
řešení pro minimalizaci risku a komponenty pro monitorování
poboček a systémů.
Wincor Nixdorf představil své první anti-skimovací zařízení
již v roce 2003, a od té doby je jen vylepšoval. Letošní
modul Anti-Skimming II detekuje skimovací zařízení a spouští
tichý poplach a současně zahajuje další akce, např.
monitorování okolí videokamerou. Také vysílá sílné
interferujíící magnetické pole, které zabraňuje přečtení
citlivých dat z karty. Výhodou tohoto řešení je, že při
současném zabránění skimovacího útoku může činnost bankomatu
dále pokračovat a zákazniíci jím nejsou dále ovlivněni.
Další technologie ochraňující bankomaty před zlovolnou
manipulací (jako jsou libanonské smyčky na zadržení karty
nebo falešné PIN klávesnice) je tzv. Optical Security Guard,
který díky moderní analytickému software pro rozpoznávání
objektů může detekovat změny provedené na operačním panelu
bankomatu. Tato funkčnost je využita u systémů CINEO a
bankomatů série Procash 8000.
Po zvýšenou úroveň autentizace byly vyvinuty doplňující
biometrické metody pro kontrolu identity a kontrolu přístupu
a uplatněny u různých zařízení, včetně biometrických sensorů
na skenování žilek a senzory na otisky prstů, které mohou
určit, zda použitý prst je reálný a živý.
U bankomatů série ProCash 4000 jsou instalovány kazety na
bankovky se zařízením na jejich poničení speciálním
inkoustem. Zařízení je spuštěno při vyjmutí kazet pro
provedené autorizace, když je s kazetou třeseno nebo je
změněna její poloha. U trezorovaých zařízeních byla zesílena
ochrana před poničením výbušným plynem.
Wincor nabízí třípilířový přístup k řešení problematik
bezpečnostních systémů. První pilíř spočívá v analýze
rizika, kdy je experty vyhodnoceno potencionální riziko
hrozící bance. Vyhodnocují se obchodní procesy, informační a
komunikační struktury a pracovní prostředí. Klasifikují se
požadavky na ochranu a formulují se koncepty řešení s
přihlédnutím k existujícím pravidlům a omezením.
Druhý políř sestává z implementace přizpůsobených
bezpečnostních opatřeních, řešeních a technologií výše
popsaných. Třetí pilíř sestává z nabídky kontrol a
monitorování rizika. Příkladem je propojení signalizace
útoku s videosystémem k zajištění rychlé detekce trestních
útoků a tak ochránit systém a budovy. V celku tyto kroky
dokumentují trvalou snahu jednoho z dodavatelů bankomatů pro
český trh o jejich zlepšování a zabezpečování bankomatového
prostředí.
cardmag |
ft |
internetové zdroje
|