(ws13) marko jertec: a gdje ste ono ostavili broj kreditne kartice

A gdje ste ono ostavili broj kreditne

kartice?

Marko Jertec, ECS

marko.jertec@ecs.hr

Igor Gregurec, ECS

igor.gregurec@ecs.hr

Ukratko

Globalni trendovi u kartičnoj sigurnosti

Motivi pokretanja napada na kartične podatke

Koje su najčešće mete napada?

Nije sve izgubljeno – PCI DSS

Ciljevi standarda

Zašto biti sukladan?

Stanje u Hrvatskoj

2

Globalni trendovi u kartičnoj sigurnosti

Globalni trendovi

u 2010. obavljeno više od 2.5 bilijuna

transakcija kreditnim karticama

Svake sekunde obavi se oko 10.000

transakcija nekom vrstom platnih kartica

u razdoblju od 2003 – 2010 prevareno je

oko 11.1 milijun ljudi (USA)

u opticaju je oko 609 milijuna kreditnih

kartica (USA)

Izvor: www.creditcards.com

Globalni rizici

u 89 % slučajeva cilj upada je kraĎa

korisničkih podataka (brojevi kreditnih

kartica, osobni podaci, poslovne tajne).

Najrizičnija poslovanja: ugostiteljstva,

restorani, hoteli, maloprodaja.

Premještanje fokusa s bankarskog sektora

na “mekanije” mete.

“Password1” i dalje je najčešća lozinka!!

Neosviještenost o važnosti sigurnosti i dalje

je primarni povod povećanju broja kraĎa

podataka.

Izvor: Trustwave Global Security Report 2012, Verizon Data Breaches Report 2011

Što žele?

Kako dolaze do toga što žele?

Najrizičnije vrste podataka

85%

8%

3%2%

2%

Kartični podaci

Osobni podaci

Poslovne tajne

Podaci za prijavu u sustav

Podaci o klijentima

Izvor: Trustwave, 2011

Cijena jednog broja kreditne kartice na crnom tržištu ~ $10

Najčešće metode upada

Izvor: Trustwave, 2011

Anatomija napada

Identificiranje ranjivih

web stranica putem

tražilice

Pronalazak ranjivih

web stranica pomoću

specijaliziranih alata

Iskorištavanje poznatih

ranjivosti ili upload

malicioznog “koda”.

Kartični podaci nisu

pohranjeni?

Modificiranje forme za

unos podataka.

Kartični podaci

pohranjeni? Pristup

bazi podataka s

kartičnim podacima.

“Otvaranje” stalnog

pristupa web stranici.

ILI

Pretraga sustava za

ostalim vrijednim

podacima.

Nije sve izgubljeno – PCI DSS

Što je PCI DSS

• PCI DSS predstavlja najbolje od VISA i MasterCard pravila (iznimno

tehnički standard)

• Trenutno u verziji 2.0 (peta po redu iteracija).

• Stupio na snagu 14.prosinca 2004. godine.

• 2012. dolaze novi (čitaj: teži i opširniji) zahtjevi.

• Prihvaćen i od strane Amex-a, JCB-a, Discover-a

Kartični podaci

Broj kartice Čip Datum isteka valjanosti

Magnetski zapis Broj kreditne kartice i verifikacijski broj

sastoji se od “Track 1” Card Verification Value 2 (CVV2) zapisani su

i Track 2” podataka na poleđini kartice

Track i CVV2 ne smiju se pohranjivati ni nakon autorizacije!

Zašto se to mora učiniti?

Zdrav razum

Kome je namijenjen PCI DSS?

• Svim trgovcima (merchants)

– Svako tko prima kreditne i debitne kartice

– Neovisno o:

• Veličini organizacije

• Tržišnoj vertikali

• Online trgovini ili face-to-face trgovini

• Bilo čemu drugom (kad je u pitanju kartično poslovanje)!

• Svim pružateljima usluga plaćanja karticama

• Razvijateljima kartičnih aplikacija

• Zaprimateljima i izdavateljima platnih kartica

Što dalje?

• Uskladiti se s PCI DSS-om (provesti projekt)

– Usklađenost ne znači da su sustavi u potpunosti sigurni

u svakom trenutku, ali znači da se sigurnost kartičnog

poslovanja promatra kao trajni i holistički proces.

– Svatko prema svojim obavezama

• PCI DSS nije cilj, već osnova sigurnosti.

• Prestati pohranjivati brojeve kreditnih kartica

(bez njih se poslovati može normalno).

• Krenuti danas!

Stanje u Hrvatskoj

Stanje u Hrvatskoj

Hvala!