Platební karty a útoky proti nim Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze © Zdeněk Blažek, 2011
Kybernalita ZS 2011/12, Předn. 4 https://edux.fit.cvut.cz/MI-KYB-1
Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti
Ing. Zdeněk Blažek, CSc. CISM.
Platební karty a útoky proti nim.
Přednáška 5/13, 2011
Platební karty a útoky proti nim
Temata • • • • • • • • • • •
Nepřímé útoky na debetní/kreditní karty. Phishing, pharming, smishing, vishing atd. Fyzická bezpečnost kontaktních a bezkontaktních čipů platebních karet Datová bezpečnost karet Otázka bezpečnosti používání karet v elektronickém obchodování Vývoj zabezpečení v karetní oblasti Ochrana karet Karty na Internetu – hazard nebo vyšší komfort? Virtuální karty – řeší problém? Kombinace virtuálních a klasických prvků RFID Slabá místa – obchodníci, ATM …
Platební karty a útoky proti nim Začal rok 2010 a v Německu přestalo fungovat přes 20 milionů platebních karet • Vybrat peníze nelze u 20 milionů ze 45 milionů vydaných bankovních karet Eurocheque a kreditních karet nefunguje 3,5 milionu z 8 milionů. • Místo ochrany před podvody přinesla nejnovější generace bankovních karet na přelomu roku svým uživatelům jen nepříjemnosti. Bankomaty Postbank a Commerzbank odmítly vydat peníze milionům klientů. • Podle německých médií se chyba týká 25 milionů bankovních karet. Zatím není jasné, zda bude nutné karty stáhnout z oběhu nebo jestli bude možné provést opravu centrálně, napsal server Financial Times Deutschland. • Kvůli počítačové chybě spojené se změnou letopočtu v Německu přestalo od začátku roku fungovat a nefunguje ještě nyní více než 20 milionů bankovních a kreditních karet Eurocheque (EC) od spořitelen a regionálních bank. Uvedla to dnes federace odvětví DSGV. Oficiální potvrzení hypotézy o chybě kvůli letopočtu však zatím od institucí není. • "Karty jsou v oběhu už déle, ale problémy se vyskytly až po změně letopočtu, software si očividně s novým rokem neporadil, zřejmě se jedná o programovací chybu v bezpečnostním čipu," řekla serveru mluvčí Commerzbank. • S vadnými kartami je také nemožné platit v řadě obchodů. Federace doufá, že se platby v obchodech s těmito kartami podaří obnovit do příštího pondělí, napsala agentura AFP. • Klienti se k penězům dostanou jen v bance, když zaplatí • Vybrat peníze nelze u 20 milionů ze 45 milionů vydaných bankovních karet EC a kreditních karet nefunguje 3,5 milionu z osmi milionů. Není tak s jejich použitím možné vybírat peníze u bankomatů v Německu i v zahraničí.
Platební karty a útoky proti nim
• PCI doporučení/požadavky pro ověřené dodavatele čtecích zařízení • PCI Data Security Standard • PCI požadavky na vyhodnocení bezpečnosti kvalifikovaným hodnotitelem • PCI procedury auditu •
https://www.pcisecuritystandards.org/security_standards/documents.php
Platební karty a útoky proti nim Doporučení PCI Data security Provozujte bezpečnou síť • 1. Instalujte a udržujte firewall, abyste chránili uživatelská data držitelů karet • 2. nepoužívejte hesla, která implicitně nastavují dodavatelé systémů Chraňte data • 3. Chraňte data držitelů karet • 4. pokud používáte veřejné sítě, šifrujte komunikaci Sledujte zranitelnosti • 5. Používejte anti-virus a pravidelně jej aktualizujte • 6. Vyvíjejte a udržujte bezpečné systémy a aplikace Aplikujte program řízeného přístupu • 7. Řiďte se zásadou NTK (need to know) • 8. Přiřaďte unikátní identifikátor každému, kdo přistupuje do vašeho systému • 9. Omezte fyzický přístup k datům Pravidelně sledujte a testujte síť • 10. zaznamenávejte každý přístup k síťovým zdrojům a datům uživatelů/držitelů karet • 11. pravidelně kontrolujte bezpečnostní systémy a procesy Udržujte politiku informační bezpečnosti • 12. udržujte aktuální bezpečnostní politiku a seznamte s ní všechny zaměstnance
Platební karty a útoky proti nim Data na kartě 3 stopy •Používá se PIN a/nebo bezpečnostní kód karty (CVV2/CVS/CID) card security code (CSC), někdy Card Verification Data (CVD), Card Verification Value (CVV nebo CVV2), Card Verification Value Code (CVVC), Card Verification Code (CVC or CVC2), Verification Code (V-Code nebo V Code), nebo Card Code Verification (CCV)
•V zásadě analogová data • (F/2F) kodované (Differential Manchester encoding, také biphase mark code (BMC) nebo FM1, je řádkový kód, kde se kombinují signály datové a hodinové tak, aby vzniknul samosynchronizující datový řetěz. Vzniká tak diferenciální kódování, které využívá přechodu k indikaci logické hodnoty.
• zahrnuje data karty včetně hodinového pulsu
0
1
Platební karty a útoky proti nim • • • •
PAN (Primary Account |Number – číslo na kartě dle ISO/IEC 7812 typicky 16 míst) na kartě až 19 bitů: 6 míst IIN (Issuer Identification Number) ≤12 míst IAI (Individual Account Identifier) 1 kontrolní číslice (Luhnův algoritmus)
Druhy dat na kartě Cardholder Data includes:
Sensitive Authentication Data includes:
• Primary Account Number (PAN)
• Full magnetic stripe data or equivalent data on a chip
• Cardholder Name
• CAV2/CVC2/CVV2/CID
• Expiration Date
• PINs/PIN blocks
• Service Code
Bezpečnost platebních karet • Standardy: ISO/IEC 7810 – 7813 • Tři paralelní záznamy/stopy, různé kódování a hustota – Track 1: 210 bits per inch, 6+1 (6 bitů+parita) bit, 79 alfanumerických znaků – Track 2: 75 bits per inch, 4+1 bit, 40 numerických znaků – Track 3: 210 bits per inch • ISO/IEC 4909: 4+1 bit, 107 numerických znaků (zastaralé) • ISO/IEC 7811: 6+1 bit, 79 alfanumerických (American Association of Motor Vehicle Administrators, AAMVA)
Platební karty a útoky proti nim Stopa 1
Format kod PAN Separator Prijmeni Separator Suffix Separator prijmeni Krestni jmeno Iniciala Titul Separator Datum expirace Kod sluzby
Platební karty a útoky proti nim Kód služby: • První číslice – – – –
1: International interchange OK 2: International interchange, use IC (chip) where feasible 5: National interchange only except under bilateral agreement 6: National interchange only except under bilateral agreement, use IC (chip) where feasible – 7: No interchange except under bilateral agreement (closed loop) – 9: Test
•
Druhá číslice – 0: Normal – 2: Contact issuer via online means – 4: Contact issuer via online means except under bilateral agreement
•
Třetí číslice – – – – – – – –
0: No restrictions, PIN required 1: No restrictions 2: Goods and services only (no cash) 3: ATM only, PIN required 4: Cash only 5: Goods and services only (no cash), PIN required 6: No restrictions, use PIN where feasible 7: Goods and services only (no cash), use PIN where feasible
Platební karty a útoky proti nim Stopa 2
Stopa 3 se většinou nepoužívá, VISA ji vůbec neuvádí – užší magnetický proužek
Platební karty a útoky proti nim
Nepřímé útoky na debetní/kreditní karty. Phishing, pharming, smishing, vishing atd. Phishing Jde o útoky v zásadě na uživatele, přes kterého se útočník snaží dopstat k údajům o účtech a z těchto následně odčerpat prostředky.
vishing/smishing Vishing je obdobou phishingu a k útoku využívá telefon nebo VoIP. V případě takového vishingového útoku obdržíte telefonát – milý vstřícný hlas bude tvrdit cosi o bezpečnostních problémech s Vaším bankovním účtem a přesvědčovat Vás, abyste volali například na jejich telefonní číslo z důvodu například reaktivace kreditní nebo platební karty. To platí i o smishingu. Tehdy se tyto údaje vyžadují přes SMS zprávu, kdy jste vyzvání, abyste zavolali na bezplatné telefonní číslo a potvrdili své údaje, nebo obdržíte nahranou telefonickou zprávu s žádostí o zadání údajů k Vašemu bankovnímu účtu. Pokud informace poskytnete => problém.
Platební karty a útoky proti nim Phishing •
Guten Tag, wir bedauern, Ihnen mitteilen zu müssen, dass ihre Kreditkarte aus Sicherheitsgründen vorläufig gesperrt wurde. Um Sie gegen den Missbrauch ihrer Kreditkarte zu bewahren, haben wir neue Sicherheitsmechanismen eingeführt. Um diese einzuschalten und gleichzeitig ihre Kreditkarte zu entsperren, brauchen Sie nur das Online-Formular auszufüllen. Bitte folgen Sie den Link, um die Sicherheitsmassnahmen einzuschalten.
http://www.creditcard.com/online/cc_measures/verification.php?country=de?app=543283 •
Bitte füllen sie das Formular vollständig und sorgfältig aus! Bitte beachten Sie, dass ihre Kreditkarte solange gesperrt bleibt, bis Sie das Formular vollständig ausgefüllt haben. CreditCard Association, 5 Rue des Artisans 8170 Bettembourg, Luxembourg
•
e-mail adresa skryta za odkazem:
•
http://www.creditcard.com.---------phpsendmail87340.defaultsessiononpageany774023442.ru/priv/cc/verification.html
Bitte geben Sie Ihre Kreditkartennummer ein Bitte geben Sie Ihre Verfalldatum ein Bitte geben Sie Ihre Die Prüfnummer ein Bitte geben Sie Ihre Geburtsdatum ein Bitte geben Sie Ihre Kreditkartenkontonummer ein
Platební karty a útoky proti nim
Pharming (napadení DNS a přepsání IP adresy) V r. 2008/9 problém s DNS servery.... Po určitou dobu byli uživatelé vydáni na pospas masově provedenému pharmingu
Firewall Vendors Scramble to Fix DNS Problem – povzbudivý titulek (týkalo se i Microsoftu, Cisco Systems, ....). Podstata – firewally ruší určité rysy práce DNS a tím umožňují útočníkům napadnout DNS servery. Citát: „... The scope of the problem initially took some DNS experts by surprise, said Dan Kaminsky, the IOActive researcher who first discovered the DNS bug. "This is to some degree our fault," he said in an e-mail interview. "We underestimated the number of firewalls out there that were deployed in front of DNS servers." •"Cisco, Juniper, Citrix, and a number of other firewall vendors have been absolutely scrambling to update their equipment," he added....“ •A U.S.-based company that processes credit card transactions for more than 250,000 businesses has uncovered a massive security breach, officials said - 2009.
Platební karty a útoky proti nim
• 4 základní kategorie zařízení pro krádež dat z magnetické karty 1. Nemodifikovaný COTS(Commercial-Off-TheSelf) MSRs 2. modifikovaný COTS MSRs 3. COTS MSR bez sw, pouze hw 4. unikátní zařízení - jednoúčelové • Krádež PIN kódu – miniaturní kamery, videokamery, nahrávací multimediální zařízení, průhledné klávesnice … – narušení PED (PIN Entry Device)
Platební karty a útoky proti nim - skimming
Internet a platební karty • RFID samo o sobě představuje sice hezké a líbivé řešení, nicméně její nasazení se jeví jako poněkud předčasné (viz možnost bezkontaktního přečtení údajů, modifikace čipu, snadné zničení atd.) a stále nedotažené
Platební karty a útoky proti nim - RFID
Standardy
Rozhraní
Frekvence
• • • • • • • • • • • •
Serial RS232 USB Bluetooth USB PC/SC Compact Flash Handheld / Serial RS232 Chip & RFID
125 / 134.2 kHz 125 kHz 13.56 MHz
ISO 14443 A/B, ISO 15693, ISO 18000-3, NFC, I-CODE EM4x02 EM4x50 EM4x05 (ISO 11784/5 FDX-B) Hitag 1 / 2 / S Q5 TI 64 bit R/O & R/W TI 1088 bit Multipage
Je to málo nebo hodně????
Platební karty a útoky proti nim
lze v případě neschopnosti přečíst čip, tento zlikvidovat elektrickou nebo neelektrickou cestou a využít standardního magnetického proužku – pak není zapotřebí zadávat PIN Adam Laurie, odborník na RFID demonstroval na Black Hat konferenci jak lze s pomocí Python skriptu (Python je programovací jazyk – open source).přečíst data na RFID čipové kartě. RFID zneužití může být velice široké a to dokonce v mnohem větším rozsahu než u klasických karet. Obrana společností provozujících systémy platebních karet byla jednoduchá. Karty ušetří čas....
Platební karty a útoky proti nim - RFID
• Nebezpečí je mnoho a přibývají Nejde pouze o útoky přímo proti platebním kartám, zle i proti společnostem, které platby kartou přijímají – zejména herní ….
Příklad vývoje: čip pro implantaci do lidského těla
Internet a platební karty Geniální útoky bývají ty nejjednodušší. • Příklad: ke klávesnci čtečky paralelně připojené dráty, které snímají veškeré údaje tam zadávané • Sejmutí karty mobilním telefonem během manipulace s ní v obchodě atd. Rozhodující je lidská nedbalost a nevšímavost....nelze nahradit žádným technickým zařízením. .
Internet a platební karty • Karty na internetu – Většinou nevíte, kdo je na druhé straně – Nelze zajistit trasu transakce – Transakce kartou jsou méně chráněny než EB. – Nebezpečí známého phishingu a pharmingu • Nutná verifikace cílové stránky
Internet a platební karty Virtualizace karet Problém posouvá na jinou úroveň, ale v zásadě neřeší Ochrana uživatele v zásadě stejná z transakčního hlediska Ochrana účtu Možnost zvýšení ochrany při generování náhodných sekvencí v čísle karty
Internet a platební karty Bezpečnost virtuálních transakcí je často podceňována • Monday, August 17. 2009 Casino Virtual Currency Theft - Subverting Loyalty Programs Loyalty programs. The prototypical virtual currency. What could go wrong? Plenty, as a number of Las Vegas casinos are finding. Employees are stealing player loyalty points and putting them into dummy accounts under their control. They are also simply creating bogus accounts and issuing tons of loyalty points to them.
Internet a platební karty • Kombinace prvků – možné vylepšení? Payment card with internally generated virtual account numbers for its magnetic stripe encoder and user display leden 2009, United States Patent 7472829 americká specialita – zaměřují se pouze na magnetické proužky, čipy jsou opomíjeny.
Internet a platební karty • Př. typické karty, která má PAN a datum expirace, kde prvních 6 číslic představuje systém, číslo banky, X je virtuální číslo, Y je kontrolní číslice • 5561 6504 248X XXXY 12/06. • Platná virtuální čísla pak budou: – 5561 6504 2481 9345 1206, – 5561 6504 2489 5468 1206, – 5561 6504 2483 1634 1206,
Internet a platební karty • Kombinace prostředků ochrany a snímání, tak jak byla uvedena rozhodně eliminuje nebezpečí, které představují hackeři v masovém měřítku – viz např. krádež údajů o 130 mil. karet v USA, kde byly napadeny servery i platebních společností. • Riziko představují tedy nejenom karty samotné, ale i poskytovatelé služeb, ATM a obchodníci.
Platební karty a útoky proti nim
Děkuji za pozornost Dotazy?