Перейти к содержанию
AM_Bot

Безопасность по стандарту PCI DSS не спасла от крупной утечки

Recommended Posts

AM_Bot

23 марта гигант карточной системы платежей – компания Visa – нанесла публичный удар компании Хартленд, ведущей системе дебетовых и кредитных платежей США, удалив её из своего списка организаций, предоставляющих услуги электронных платежей, которые соблюдают стандарт безопасности индустрии платежных карт – PCI DSS. Организации, предоставляющие услуги электронных платежей, соответствующие правилам данного стандарта, обязаны обеспечить защиту конфиденциальной информации держателей банковских карт, а также бороться с воровством персональных данных и мошенничеством.читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересная новость. Первая утечка из компании, сертифицированной по активно продвигаемому стандарту PCI DSS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Сергей Ильин ага интересно...

Ситуация щекотливая: компания официально подтвердила своё соответствие стандарту по защите платёжных карт - и уже через месяц случается утечка. Причём, утечка не гипотетическая, когда конфиденциальные данные просто могли стать известны посторонним лицам. А вполне реальная утечка - с мошенническими покупками, арестами и покаяниями злоумышленников. Логически следует признать, что либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты.

Представители Хартленда открыто указывают на второй вариант, а "Виза", один из разработчиков PCI DSS, естественно, настаивает на первом

Успешное проникновение свидетельствует только о том, что систему можно взломать (о чем известно заранее по-определению, т.к. абсолютно безопасных систем не бывает), а неуспешное проникновение свидетельствует только о том, что исполнитель не смог взломать вашу систему (вам это о чем нибудь говорит? может ему просто времени не хватило? или этот не смог, а другой сможет). Сухой остаток от пентеста - это возможная идентификация и устранение нескольких уязвимостей. Так стоит ли пыжиться исполнителю, а заказчику тратить весьма приличные деньги (работа квалифицированного взломщика стоит от $1000 в день и выше, а там таких взломщиков будет несколько) ради того, чтобы обнаружить и устранить несколько уязвимостей (и остаться с кучей других уязвимостей и в полном неведении относительно реальной защищенности своих систем)?
http://www.iso27000.ru/blogi/aleksandr-ast...vchinka-vydelki
Реальный пример: я служащий компании ХХХ приезжаю к заказчику рассказывать про сетевую безопасность. Заказчик у меня спрашивает что такое пен-тест. Я рассказываю. Мне говорят: а вот тут из вашей компании приезжали (из другого отдела) аудиторы, посмотрели на пен-тест проведённый сторонней конторой (лицензированной на проведение пен-тестов) и сказали что это не пен-тест. Мы их спрашиваем, а что такое пен-тест. Аудиторы отвечают: мы не скажем. Мы, аудиторы, отвечаем на вопрос о том, пен тест у вас проведён или не пен тест. А на вопрос что такое пентест мы не отвечаем.

..., ведь это вымогательство. С ним сталкивается народ и пишет статьи...

Реально информационная безопасность интересна только энтузиастам. Банковские служащие в гробу её видели. Им по*** на финансовые показатели банка, они зарплату получают не за это, а за соответсвие требованиям PCIDSS а это значит, что ничто, даже нормативные акты, которые они постараются формально соблюсти, не способно повысить безопасность их предприятий. И хлеб у нас с вами будет всегда.

http://www.securitylab.ru/opinion/377294.php

Было б интересно узнать мнения здешних аудиторов и экспертов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ seevbon

Настоящих экспертов, которые могли бы реально тестировать это всё на практике ОЧЕНЬ мало, а те, которые это умеют этим не занимаются. Поэтому в этой области так много понтов со стороны поставщиков услуг, и так много Страха, Неуверенности, и Сомнений со стороны клиентов. Какой ярлык на это всё вешать - пусть этим занимаются другие... :rolleyes:

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

понравилась и новость, и комментарии. Вердикт - ответит ассессор (аудитор). Ну, и систему в "доверенные" я так просто бы не вносил. п. 5 стандарта читайте внимательно. Ассессор прикинул, что антивирь есть и проигнорировал остальные требования п. 5. А зря...

Теперь о пен - тесте. Многие пишут. Кстати, при всем уважении к Позитиву- продукт не СЕРТИФИЦИРОВАН. Поэтому писание обидок от них неинтересно. Третье-ассессор обязан его провести. Квалификация - вопрос второй. Третье - все "банкиры" от ИТ так любят "безопасность" , что промолчу - сам знаю. теперь - для лошариков - стандарт не только требует обеспечения требований, но и облегчает расследования инцидентов. И ежели нефтяники и алюминиевые пацаны (ссылки см. выше) сотворят нечто- те же "ненужно-липовые" документы (при желании владельца) обеспечат им место пошивщика рукавиц на несколько лет. Хотя -может, для них круто шить рукавицы рядом с опальными олигархами? последнее - чистое ИМХО

И последнее - стандарт хреновый? ОБЫЧНО ТАК ГОВОРЯТ ТЕ, КОТОРЫЕ ЕГО НЕ СОБЛЮДАЮТ

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov

На данный момент PCI SSC (организация, ответственная за продвижение и развитие стандарта) начала шерстить компании-аудиторов на предмет качества их работы.

По Хартленду - по информации, которую я собрал - к ним был внедрён зловред, причём куда-то очень близко к процессингу (выпуску карт).Причём данный зловред сливал информацию наружу.

Поэтому потенциально я вижу тут уже 3 нарушения требований стандарта:

1. Требования по межсетевому экранированию

2. Требования по антивирусному ПО

3. Требования по IPS и контролю целостности

Почему, что и как?

Лично у меня два основных варианта:

1. Схалтурила компания-аудитор.

2. После аудита, произошли какие-либо изменения.

Естественно это всё спекуляции на основе собранной публичной информации.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Поэтому потенциально я вижу тут уже 3 нарушения требований стандарта:

Не в качестве оправдания пострадавшей компании, но все же хотелось бы понять каким образом компания могла защититься. Атака явно целевая. Троян писали конкретно под эту компанию, знали, что делают. Иначе атака бы с большой вероятностью провалилась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

даже целевая атака при соблюдении требований малоэффективна. Здесь стоит говорить о несоблюдении-я уже об этом говорил. Либо-соглашусь с nremezov - ассессор отработал не полностью

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
1. Требования по межсетевому экранированию

2. Требования по антивирусному ПО

3. Требования по IPS и контролю целостности

Трой, скорее всего был целевым. Поэтому он просто не был (да и не мог быть в принципе) задетектирован ни антивирусом, ни IPS.

даже целевая атака при соблюдении требований малоэффективна.

Не соглашусь. Как раз наоборот- целевая атака всегда высокоэффективна. Это бомбёжки по площадям малоэффективны, а "умная" бомба практически всегда (с вероятностью 99%) попадает в цель.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

повторюсь-при соблюдении ВСЕХ требований. Второе - кстати для вас - есть требование наличия HIPS,которое обычно пропускают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я тут порылся и нашел более раннюю утечку из организации, сертифицированной по PCI DSS. Инциденту не один месяц, выводов как мы видим выше не сделано или этого оказалось недостаточно. <_<

http://www.anti-malware.ru/node/618

Информация о транзакциях компании Forever 21 по банковским картам была похищена в результате нескольких хакерских атак в течение 2003-2007 гг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

ну, я так понимаю эту статью - в 2003 году начались атаки (стандарта не было), в 2007 получен статус соответствия и дата прекращения утечек - 2007. И статуса соответствия никто никого не лишал. Это немного в пользу сертификации

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov
Трой, скорее всего был целевым. Поэтому он просто не был (да и не мог быть в принципе) задетектирован ни антивирусом, ни IPS.

Илья, естественно целевые атаки эффективнее. Но в стандарте есть жёсткие требования по межсетевому экранированию - трояну же надо было как-то сливать инфу... а это уже лишний трафик из доверенной сети в недоверенные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Почему то у меня сложилось впечатление, что те компании которые предоставляют услуги электронных платежей и которые даже прошли сертификацию по PCI DSS не любят в этом сознаваться. Особенно российские. Не считают это конкурентным преимуществом? Можно прочесть про защиту клиентов например через гос. страхование вкладов. А про защиту клиентов соответствием стандарту разве что через поиск по сайтам этих компаний можно узнать. Может быть глядя на стандарт изнутри обладатели сертификата понимают что гордиться особенно нечем? Или не хотят дразнить конкурентов которые сертификата еще не имеют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Про Россию мне трудно судить. По Украине

http://www.portmone.com.ua/v2/ru/security/

http://upc.ua/ua/news-ua/980.htm

http://diamantbank.ua/uk/press_centre/#news_342

Что охватывает примерно всех

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      В каких случаях классический HIPS приносит реальную пользу ? Я не видел нигде в интернете внятного руководства по настройке классического HIPS в антивирусе, только в общих чертах рассказывают, как его настраивать. Такого руководства в принципе не может быть, то есть что и когда конкретно надо разрешать или запрещать ?
      Под классическим HIPS-ом я подразумеваю (на примере антивирусов) - компонент "Контроль Программ" в Kaspersky Internet Security, "Превентивная защита" в Dr Web, HIPS в Eset Nod, Comodo и в других антивирусах. Допустим, в HIPS запрещены потенциально опасные действия (которые могут влиять на безопасность всей операционной системы), такие как загрузка драйверов, низкоуровневый доступ к диску, низкоуровневый доступ к клавиатуре, внедрение кода в другие процессы, установка прав отладчика и т.п.
      Пользователь запускает программу, антивирусный комплекс угрозу не обнаруживает (файловый антивирус, поведенческий блокиратор, облако), HIPS в автоматическом режиме запрещает программе выполнять эти действия, и программа завершает свою работу, сообщая об ошибке, или ничего не сообщая, или работает некорректно (или пользователь сам запрещает эти действия, если включен интерактивный режим). Что делать пользователю ? Если он разрешит выполнять эти действия (или какое-то одно действие разрешит) при повторном запуске этой программы, и программы окажется вредоносной, то система будет заражена. Если пользователь запретит эти действия, то программа может завершить свою работу или работать с ошибками, хотя программа легитимная. То есть сообщение " Такая-то программа собирается загрузить такой-то драйвер" говорит только о том, что сейчас будет загружен драйвер. По этому сообщения нельзя вынести вердикт - вредоносная ли эта программа, или легитимная. В каких случаях это сообщение может принести реальную пользу ? То есть если программа (запущенная пользователем, или уже работающая) окажется вредоносной, пользователь понял бы это и вовремя нажал бы "запретить это действие". Или любое другое сообщение - "программа пытается получить низкоуровневый доступ к диску " и т.д.
    • Лукин Вадим
      Попробуйте бесплатную версию антивируса Avast https://biblsoft.ru/windows/security/antivirus/144-avast-free-antivirus . Отлично защищает от вирусов, блокирует рекламу и другие угрозы, которые могут нанести вред вашему ПК. Одна программа вмещает в себе много защитных средств, как по мне, достаточно удобно.
    • SQx
      Приветствую,

      По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида: WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION возможно ли добавить в новых версиях?

      Предположительно эти записи находятся в следующем файле: C:\Windows\system32\wbem\repository\INDEX.BTR P.S. C этим встретился в одной из тем по лечению.
       
    • Зотов Тимур
      стандартный виндовс защитник не подходит? 
    • ГришаСмернов
      Для начало Вам стоит определиться каким бюджетом вы располагаете. Если Вы думаете, что купите стиральную машинку за 10 тыс., то Вы глубоко заблуждаетесь. Покупка эта не из дешевых. Да и жалеть денег на машинку не стоит, если хотите, чтобы она прослужила Вам долго. Перед тем как идти в магазин, почитайте эту статью https://tehno-rating.ru/591-kak-vybrat-stiralnuyu-mashinu-avtomat.html . Мне она замечательно помогла, когда я мучился со своей покупкой. В итоге руководствуясь дельными советами из этой статьи, купил себе хорошую машинку и даже куда дешевле, чем думал.
×