• Non ci sono risultati.

Attacco a Heartland Payment Systems

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Attacco a Heartland Payment Systems"

Copied!
16
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 16 pagine )

Testo completo

(1)

Attacco a Heartland Payment Systems

Otilia Rus

Pierpaolo Basso

(2)

Heartland Payment Systems

• Una delle più grandi società di transazioni elettroniche

• Fortune 1000 company (2008)

• Intermediario tra i POS e le reti di Visa, Mastercard, America Express, ecc..

• Più di 250 mila clienti gestendo 4,2 miliardi di transazioni per un

ammontare di 80 miliardi di dollari all’anno

(3)

Gli attaccanti

Albert Gonzalez

a 14 anni hackera il sito della NASA

inizialmente membro del gruppo Shadowcrew in in seguito collabora con l’FBI, in cambio dell’immunità , per per arrestare il resto dei suoi membri

screen names: soupnazi, cumbajohny, segvec

• pianifica e porta a buon termine gli attacchi a numerose compagnie Heartland P.S,Hannaford Brothers,TJ Maxx,7-Eleven,ecc

• «Operation Get Rich or Die Tryin’» riguarda l’attacco a Heartland

• la sua rete comprende

 Programmatori / Hacker : Patrick Toey, Stephen Watt e Annex e Grig(EU)

 Criminali : Maksym Yastremskiy (UA) , moltipli soggetti russi

(4)

Metodo,vulnerabilità e scopo

Il metodo usato per compromettere la rete di Heartland è quello della SQL Injection (tramite il Leaseweb Server e l’ESTHOST Server)

 La SQL Injection inserisce comandi addizionali al codice degli web script

 Il codice modificato è stato localizzato in una pagina web in cui veniva fatto il login – pagina utilizzata da più di 8 anni

Questo codice era pervaso da una vulnerabilità che:

•Non è stata rilevata né dagli audit interni ed esterni di Heartland né dalle procedure di monitoraggio interno del sistema

•Ha consentito l’estensione dell’attacco dalla rete aziendale alla rete del sistema di pagamento

Scopo

 catturare i dati- in chiaro- delle carte di credito mentre questi transitavano all’interno del sistema di elaborazione del pagamento

 contraffare carte di credito per un valore, sul mercato nero, di 10$ - 50$/pcs

(5)

L’esecuzione dell’attacco

Il gruppo controlla computer connessi a Internet per

• Immagazzinare malware

• Lanciare l’attacco alla rete di Heartland e non solo

• Ricevere i dati delle carte di credito e di debito situati nella rete dell’Azienda

Nei seguenti mesi, gli hacker

 piazzano il malware nella rete aziendale

 riescono a nascondere i tentativi di accesso alla rete del sistema di pagamento

 by-passano i rilevamenti di diversi antivirus usati da Heartland

 Installano uno sniffer in grado di catturare i dati transitanti delle carte di credito (il numero,la data di scadenza e, in alcuni casi, i nomi dei proprietari) inviandoli alla piattaforma degli hacker

attraverso delle backdoor installate in precedenza

(6)
(7)

Coprire le tracce dell’attacco

Il gruppo:

• by-passa i rilevamenti di diversi antivirus usati da Heartland (il malware fu testato in precedenza su circa 20 programmi antivirus ed è stato scritto in modo tale da cancellare i computer file che avrebbero smascherato la sua esistenza)

• maschera gli indirizzi IP d’origine tramite l’uso di proxy

• prende in affitto numerosi server e tutti sotto falso nome ; inoltre, i server vengono periodicamente cambiati

• immagazzina l’enorme quantità di dati su più server, nei quali erano stati disabilitati in precedenza i programmi che tengono evidenza del traffico in entrata ed in uscita

• comunica solo attraverso canali privati e criptati

(8)

Detection

Heartland viene contattata da Visa e MasterCard –verso la fine del 2007- per via di ripetute transazioni sospette, ragion per cui

l’Azienda lancia un’investigazione interna.

I risultati dell’audit pervengono solo nella primavera del 2008, nonostante Heartland abbia ingaggiato 2 aziende per l’analisi forense, e il malware(sniffer) viene descritto come “estremamente sofisticato”

perché:

 in ultima analisi è stato rilevato grazie alla traccia lasciata da alcuni file temp - .tmp che non avevano una corrispondente applicazione o sistema operativo - sottoprodotti dello sniffer e una ricerca più

ostinata ha localizzato i file in porzioni non allocate degli hard disk dei server

 i tecnici del reparto IT hanno affermato semplicemente che i files in questione erano “not in a format we use” – in ammissione della

propria colpa

(9)

Conclusioni

La mancata rilevazione del malware esistente nella propria rete indica che Heartland

 Non stava eseguendo il monitoraggio –su una base giornaliera- dell’integrità dei file

 Non monitorava né filtrava il traffico in uscita

 Non analizzava i log data forniti dai firewall e da altri dispositivi di

sicurezza

(10)

Sicurezza prima dell’attacco

 Conformità allo standard PCI DSS (Payment Card Industry Data Security Standard, standard per aziende che devono gestire le carte di credito dei principali circuiti, tra cui Visa, MasterCard, American Express)

 Cifratura dei dati memorizzati nei database Vulnerabilità:

✘ Dati delle carte di credito/debito in chiaro mentre transitano all'interno della rete di Heartland per essere processati

Gli attaccanti hanno utilizzato uno sniffer in grado di catturare i dati

delle carte di credito mentre questi transitavano all’interno del sistema

(11)

E3 Encryption

Heartland vide nella crittografia end-to-end la tecnologia migliore per affrontare nell’immediato i rischi relativi ai dati in transito, come quelli trasferiti tra i commercianti, i suoi sistemi proprietari, e dei suoi partner di rete. Heartland (in collaborazione con Voltage security) sviluppò, quindi, il sistema di crittografia end-to-end E3.

Il sistema prevede:

• la cifratura dei dati in transito

• la cifratura dei dati memorizzati

ed è basato sull’ AES (Advanced Encryption Standard), un algoritmo di cifratura a blocchi che è stato utilizzato come standard anche dal

governo degli Stati Uniti

(12)

Per definire il sistema di cifratura end-to-end sono state individuate

cinque zone di crittografia (punti in cui i dati devono essere decifrati per essere processati e poi cifrati nuovamente) che costituiscono la catena di elaborazione dei pagamenti:

1) Il sistema di elaborazione del pagamento del commerciante, incluso il terminale situato presso il punto di vendita.

2) La trasmissione dei dati della carta dai sistemi del commerciante ai sistemi per l’elaborazione del pagamento di Heartland

3) L'elaborazione interna che avviene nei sistemi informatici e nei moduli hardware di sicurezza (HSM) di Heartland

4) La memorizzazione dei dati nel sistemi di archiviazione interni di Heartland

E3 Encryption

(13)

5 Zone

(14)

Heartland stabilì come punto di partenza per la cifratura il momento in cui la carta viene strisciata nei POS, quando le cifre memorizzate

magneticamente (dati analogici) vengono convertite in dati digitali dal lettore della banda magnetica.

 Il PAN (primary account number) e gli altri dati della carta( il titolare, il numero della carta, ecc) vengono codificati utilizzando la

crittografia presente in moduli di sicurezza anti-manomissione (TRM) presenti nei POS

 Lo stesso valeva per le carte a banda magnetica con PIN

La crittografia end-to-end, in particolare, richiedeva che, una volta eseguita la cifratura, i dati delle carte di pagamento non venissero trasmessi in chiaro tra le parti che costituiscono la catena di

E3 Encryption

(15)

Heartland Secure è una soluzione completa per la sicurezza dei dati delle carta di credito/debito che combina tre tecnologie:

• Tecnologia chip card elettronica EMV per assicurare che la carta del consumatore è genuina

• Crittografia end-to-end E3

• Tecnologia di Tokenizzazione , che sostituisce i dati delle carte con i

”tokens" che possono essere utilizzati come valori di ritorno per autorizzare le transazioni, ma sono inutilizzabili se intercettati

Heartland Secure

(16)

Riferimenti

Scarica adesso ( PPTX - 16 pagine - 4.45 MB )

Documenti correlati

FOGLIO INFORMATIVO Richiesta tramite Banca Carte di Credito Nexi Aziendali

Alle carte revolving è associata una linea di credito di tipo rotativo: ciò significa che ogni volta che il Professionista o il Dipendente effettua acquisti o Operazioni di anticipo

Domanda della carta supplementare di un pacchetto banking Bonviva carte di credito

Il cliente risponde per i procuratori e per altri terzi che si legittimano nei confronti di Swiss card tramite mezzi di legittimazione personali del cliente (in merito

Manuale procedimentale per la disciplina delle piccole spese, di pronta cassa e d'utilizzo delle carte di credito [file.pdf]

Il presente regolamento disciplina quindi la gestione delle spese economali e/o di pronta cassa ed i pagamenti fatti con carte di credito o con altri strumenti elettronici

Club Italia: Claroni, Londra modello per introduzione pagamento con carte di credito contactless

196 del 2003 e quindi in qualsiasi momento potrà richiedere l’integrazione, l’aggiornamento o la cancellazione dei dati personali registrati presso Club Italia. Dichiaro di

bonus.ch: la pandemia di coronavirus ha dato un forte impulso alle carte di credito contactless!

Con la crisi sanitaria, l'uso della carta di credito, e in particolare della tecnologia "contactless" (pagamento senza contatto), ha raggiunto livelli da record

Carte di credito business e inerenza dei costi

Ad esempio, se un soggetto paga con carta di credito aziendale vitto ed alloggio – certificati da documenti non intestati (ma potrebbe essere anche il caso di assenza completa

CARTE DI CREDITO CARTASI BLACK

In caso di smarrimento, furto o sottrazione indebita della Carta, fino al momento della ricezione da parte dell’Emittente della comunicazione di cui sopra, il Titola- re è

FOGLIO INFORMATIVO SERVIZI DI PAGAMENTO SOCI diversi dagli strumenti di pagamento (Banca virtuale, carte di debito e credito)

Con la prestazione di servizi di pagamento, il cliente ha la possibilità di effettuare pagamenti a terzi o di riceverli, utilizzando il conto corrente acceso presso la banca.