Attacco a Heartland Payment Systems Otilia Rus Pierpaolo Basso HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO.

Slides:



Advertisements
Presentazioni simili
Tecnologie Internet di comunicazione
Advertisements

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
ERREsoft1 Applicazioni Pierluigi Ridolfi Università di Roma La Sapienza 15 marzo 2000.
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Percorsi didattici Informatica e Telecomunicazioni.
Informatica e Telecomunicazioni
INTERNET: RISCHI E PERICOLI
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
1C2GRUPPO : HELPING1. 1C2GRUPPO : HELPING2 Una rete può essere definita un insieme di nodi dislocati in posti differenti, capace di consentire la comunicazione.
Le reti informatiche!! Le reti di telecomunicazioni hanno permesso una maggior diffusione delle informazioni che possono essere trasmesse e ricevute.
I computer nella vita di ogni giorno I computer servono per svolgere operazioni che richiedono calcoli complessi, tempi brevi, precisione, ripetitività,
IL NOSTRO LABORATORIO. Di INFORMATICA..
IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Nuove truffe on line Frodi con carte di credito.
Luglio 2004 Internet1 INTERNET Luglio Internet2 Qualche numero In questo momento circa 100 milioni di persone sono interconnesse in rete e consultano.
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
WEB COMMERCE (siti Web aziendali) tipologie Siti di presenza Siti di vetrina Siti di vendita.
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
Struttura dei sistemi operativi (panoramica)
Commercio Elettronico e Transazioni Commerciali in Internet Betty BronziniCorso di Sicurezza 2003.
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea.
1 THE INTERNET: una rete di reti La storia in breve Le regole della comunicazione.
Semplice prototipo di Building Automation con una rete Ethernet
Social network Internet. Eun sito web di reti sociali, ad accesso gratuito. È il secondo sito più visitato al mondo, preceduto solo da Google. Il.
In questo tutorial viene spiegato come creare un nuovo account di posta elettronica in Mozilla Thunderbird Nella pagina di accesso veloce agli strumenti,
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Modulo 1: 1.3 Le Reti.
Internet Keyed Payment Protocol Pietro Montanari & Cosimo Basile.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
ECDL Patente europea del computer
SICUREZZA DEI DATI Panaro Emilia IV A SIA.
Modulo 1 - Concetti di base della Tecnologia dell'Informazione
Le norme Payment Card Industry Data Security Standard (PCI DSS)
Nuovo indirizzo di studi: INFORMATICA E TELECOMUNICAZIONI
L’applicazione integrata per la gestione proattiva delle reti IT
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Stefano Di Giovannantonio ECM Consulting Solution Expert
Non solo Gestione Documentale Day "Apparecchiature di elaborazione testi prossima uscita vedrà 'l'inizio del ufficio senza carta …" 1975.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
UNIVERSITA’ DEGLI STUDI DI PERUGIA
Valentina Giorgetti Chiara Mogini
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
ECDL Patente europea del computer
Le reti di calcolatori ©Apogeo 2004.
Sicurezza aziendale informatica. Protezione Regolamenti – Normative - Informazione Spear phishing (una pagina esplicativa qui)qui.
L’architettura a strati
Gli strumenti elettronici di regolamento Il regolamento del contratto di vendita ECONOMIA AZIENDALE - Classe 2C AFM - a.s. 2013/ Approfondimento.
Indice Tematico Cos’è Internet Chi esegue gli attacchi e perché? Attacchi Tecniche di difesa Sicurezza nei pagamenti.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Carta Regionale dei Servizi
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
Sicurezza informatica
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 1 -Domain Name System Ernesto Damiani Lezione 1 – Nomi e indirizzi.
UNITA’ 04 Uso Sicuro del Web.
Comunicazioni. 5.1 POSTA ELETTRONICA 5.1 POSTA ELETTRONICA.
Informatica Lezione 8 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
Informatica Lezione 10 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
IT SECURITY Comunicazioni. Posta elettronica I messaggi ( ) commerciali viaggiano in rete “criptati”, cioè scritti con una “chiave pubblica” nota.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Presentazione Servizi. Di Cosa Ci Occupiamo Hera02 cura per le Aziende i seguenti tre assetti: 1 – I servizi di Telecomunicazioni: Connessione Dati verso.
ECDL European Computer Driving Licence
Prof. Paolo Antonucci.  Cookie: piccolo file di testo che restituisce al web server informazioni sulla macchina alla quale inviare la pagina web  Web.
La Carta Regionale dei Servizi e i suoi molteplici usi, dalla Sanità ai Servizi degli Enti Locali.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
Transcript della presentazione:

Attacco a Heartland Payment Systems Otilia Rus Pierpaolo Basso HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTIONCONCLUSIONI

Heartland Payment Systems Una delle più grandi società di transazioni elettroniche Fortune 1000 company (2008) Intermediario tra i POS e le reti di Visa, Mastercard, America Express, ecc.. Più di 250 mila clienti gestendo 4,2 miliardi di transazioni per un ammontare di 80 miliardi di dollari all’anno HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTIONCONCLUSIONI

Gli attaccanti Albert Gonzalez a 14 anni hackera il sito della NASA inizialmente membro del gruppo Shadowcrew in in seguito collabora con l’FBI, in cambio dell’immunità, per per arrestare il resto dei suoi membri screen names: soupnazi, cumbajohny, segvec pianifica e porta a buon termine gli attacchi a numerose compagnie Heartland P.S,Hannaford Brothers,TJ Maxx,7-Eleven,ecc «Operation Get Rich or Die Tryin’» riguarda l’attacco a Heartland la sua rete comprende  Programmatori / Hacker : Patrick Toey, Stephen Watt e Annex e Grig(EU)  Criminali : Maksym Yastremskiy (UA), moltipli soggetti russi HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTIONCONCLUSIONI

Metodo,vulnerabilità e scopo Il metodo usato per compromettere la rete di Heartland è quello della SQL Injection (tramite il Leaseweb Server e l’ESTHOST Server)  La SQL Injection inserisce comandi addizionali al codice degli web script  Il codice modificato è stato localizzato in una pagina web in cui veniva fatto il login – pagina utilizzata da più di 8 anni Questo codice era pervaso da una vulnerabilità che: Non è stata rilevata né dagli audit interni ed esterni di Heartland né dalle procedure di monitoraggio interno del sistema Ha consentito l’estensione dell’attacco dalla rete aziendale alla rete del sistema di pagamento Scopo  catturare i dati- in chiaro- delle carte di credito mentre questi transitavano all’interno del sistema di elaborazione del pagamento  contraffare carte di credito per un valore, sul mercato nero, di 10$ - 50$/pcs HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTIONCONCLUSIONI

L’esecuzione dell’attacco Il gruppo controlla computer connessi a Internet per Immagazzinare malware Lanciare l’attacco alla rete di Heartland e non solo Ricevere i dati delle carte di credito e di debito situati nella rete dell’Azienda Nei seguenti mesi, gli hacker piazzano il malware nella rete aziendale riescono a nascondere i tentativi di accesso alla rete del sistema di pagamento by-passano i rilevamenti di diversi antivirus usati da Heartland Installano uno sniffer in grado di catturare i dati transitanti delle carte di credito (il numero,la data di scadenza e, in alcuni casi, i nomi dei proprietari) inviandoli alla piattaforma degli hacker attraverso delle backdoor installate in precedenza HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTIONCONCLUSIONI

HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTIONCONCLUSIONI

Coprire le tracce dell’attacco Il gruppo: by-passa i rilevamenti di diversi antivirus usati da Heartland (il malware fu testato in precedenza su circa 20 programmi antivirus ed è stato scritto in modo tale da cancellare i computer file che avrebbero smascherato la sua esistenza) maschera gli indirizzi IP d’origine tramite l’uso di proxy prende in affitto numerosi server e tutti sotto falso nome ; inoltre, i server vengono periodicamente cambiati immagazzina l’enorme quantità di dati su più server, nei quali erano stati disabilitati in precedenza i programmi che tengono evidenza del traffico in entrata ed in uscita comunica solo attraverso canali privati e criptati HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTIONCONCLUSIONI

Detection Heartland viene contattata da Visa e MasterCard –verso la fine del per via di ripetute transazioni sospette, ragion per cui l’Azienda lancia un’investigazione interna. I risultati dell’audit pervengono solo nella primavera del 2008, nonostante Heartland abbia ingaggiato 2 aziende per l’analisi forense, e il malware(sniffer) viene descritto come “estremamente sofisticato” perché:  in ultima analisi è stato rilevato grazie alla traccia lasciata da alcuni file temp -.tmp che non avevano una corrispondente applicazione o sistema operativo - sottoprodotti dello sniffer e una ricerca più ostinata ha localizzato i file in porzioni non allocate degli hard disk dei server  i tecnici del reparto IT hanno affermato semplicemente che i files in questione erano “not in a format we use” – in ammissione della propria colpa HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTIONCONCLUSIONI

Conclusioni La mancata rilevazione del malware esistente nella propria rete indica che Heartland  Non stava eseguendo il monitoraggio –su una base giornaliera- dell’integrità dei file  Non monitorava né filtrava il traffico in uscita  Non analizzava i log data forniti dai firewall e da altri dispositivi di sicurezza HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTIONCONCLUSIONI

Sicurezza prima dell’attacco Conformità allo standard PCI DSS (Payment Card Industry Data Security Standard, standard per aziende che devono gestire le carte di credito dei principali circuiti, tra cui Visa, MasterCard, American Express) Cifratura dei dati memorizzati nei database Vulnerabilità: ✘ Dati delle carte di credito/debito in chiaro mentre transitano all'interno della rete di Heartland per essere processati Gli attaccanti hanno utilizzato uno sniffer in grado di catturare i dati delle carte di credito mentre questi transitavano all’interno del sistema di elaborazione di Heartland

E3 Encryption Heartland vide nella crittografia end-to-end la tecnologia migliore per affrontare nell’immediato i rischi relativi ai dati in transito, come quelli trasferiti tra i commercianti, i suoi sistemi proprietari, e dei suoi partner di rete. Heartland (in collaborazione con Voltage security) sviluppò, quindi, il sistema di crittografia end-to-end E3. Il sistema prevede: la cifratura dei dati in transito la cifratura dei dati memorizzati ed è basato sull’ AES (Advanced Encryption Standard), un algoritmo di cifratura a blocchi che è stato utilizzato come standard anche dal governo degli Stati Uniti

Per definire il sistema di cifratura end-to-end sono state individuate cinque zone di crittografia (punti in cui i dati devono essere decifrati per essere processati e poi cifrati nuovamente) che costituiscono la catena di elaborazione dei pagamenti: 1)Il sistema di elaborazione del pagamento del commerciante, incluso il terminale situato presso il punto di vendita. 2)La trasmissione dei dati della carta dai sistemi del commerciante ai sistemi per l’elaborazione del pagamento di Heartland 3)L'elaborazione interna che avviene nei sistemi informatici e nei moduli hardware di sicurezza (HSM) di Heartland 4)La memorizzazione dei dati nel sistemi di archiviazione interni di Heartland 5)Il trasferimento dei dati da Heartland alle reti dei gestori delle carte di credito/debito E3 Encryption

5 Zone

Heartland stabilì come punto di partenza per la cifratura il momento in cui la carta viene strisciata nei POS, quando le cifre memorizzate magneticamente (dati analogici) vengono convertite in dati digitali dal lettore della banda magnetica.  Il PAN (primary account number) e gli altri dati della carta( il titolare, il numero della carta, ecc) vengono codificati utilizzando la crittografia presente in moduli di sicurezza anti-manomissione (TRM) presenti nei POS  Lo stesso valeva per le carte a banda magnetica con PIN La crittografia end-to-end, in particolare, richiedeva che, una volta eseguita la cifratura, i dati delle carte di pagamento non venissero trasmessi in chiaro tra le parti che costituiscono la catena di elaborazione delle transazioni (zone 2, 3, 4 e 5). E3 Encryption

Heartland Secure è una soluzione completa per la sicurezza dei dati delle carta di credito/debito che combina tre tecnologie: Tecnologia chip card elettronica EMV per assicurare che la carta del consumatore è genuina Crittografia end-to-end E3 Tecnologia di Tokenizzazione, che sostituisce i dati delle carte con i ”tokens" che possono essere utilizzati come valori di ritorno per autorizzare le transazioni, ma sono inutilizzabili se intercettati Heartland Secure