Перейти к содержанию
AM_Bot

Безопасность по стандарту PCI DSS не спасла от крупной утечки

Recommended Posts

AM_Bot

23 марта гигант карточной системы платежей – компания Visa – нанесла публичный удар компании Хартленд, ведущей системе дебетовых и кредитных платежей США, удалив её из своего списка организаций, предоставляющих услуги электронных платежей, которые соблюдают стандарт безопасности индустрии платежных карт – PCI DSS. Организации, предоставляющие услуги электронных платежей, соответствующие правилам данного стандарта, обязаны обеспечить защиту конфиденциальной информации держателей банковских карт, а также бороться с воровством персональных данных и мошенничеством.читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересная новость. Первая утечка из компании, сертифицированной по активно продвигаемому стандарту PCI DSS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Сергей Ильин ага интересно...

Ситуация щекотливая: компания официально подтвердила своё соответствие стандарту по защите платёжных карт - и уже через месяц случается утечка. Причём, утечка не гипотетическая, когда конфиденциальные данные просто могли стать известны посторонним лицам. А вполне реальная утечка - с мошенническими покупками, арестами и покаяниями злоумышленников. Логически следует признать, что либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты.

Представители Хартленда открыто указывают на второй вариант, а "Виза", один из разработчиков PCI DSS, естественно, настаивает на первом

Успешное проникновение свидетельствует только о том, что систему можно взломать (о чем известно заранее по-определению, т.к. абсолютно безопасных систем не бывает), а неуспешное проникновение свидетельствует только о том, что исполнитель не смог взломать вашу систему (вам это о чем нибудь говорит? может ему просто времени не хватило? или этот не смог, а другой сможет). Сухой остаток от пентеста - это возможная идентификация и устранение нескольких уязвимостей. Так стоит ли пыжиться исполнителю, а заказчику тратить весьма приличные деньги (работа квалифицированного взломщика стоит от $1000 в день и выше, а там таких взломщиков будет несколько) ради того, чтобы обнаружить и устранить несколько уязвимостей (и остаться с кучей других уязвимостей и в полном неведении относительно реальной защищенности своих систем)?
http://www.iso27000.ru/blogi/aleksandr-ast...vchinka-vydelki
Реальный пример: я служащий компании ХХХ приезжаю к заказчику рассказывать про сетевую безопасность. Заказчик у меня спрашивает что такое пен-тест. Я рассказываю. Мне говорят: а вот тут из вашей компании приезжали (из другого отдела) аудиторы, посмотрели на пен-тест проведённый сторонней конторой (лицензированной на проведение пен-тестов) и сказали что это не пен-тест. Мы их спрашиваем, а что такое пен-тест. Аудиторы отвечают: мы не скажем. Мы, аудиторы, отвечаем на вопрос о том, пен тест у вас проведён или не пен тест. А на вопрос что такое пентест мы не отвечаем.

..., ведь это вымогательство. С ним сталкивается народ и пишет статьи...

Реально информационная безопасность интересна только энтузиастам. Банковские служащие в гробу её видели. Им по*** на финансовые показатели банка, они зарплату получают не за это, а за соответсвие требованиям PCIDSS а это значит, что ничто, даже нормативные акты, которые они постараются формально соблюсти, не способно повысить безопасность их предприятий. И хлеб у нас с вами будет всегда.

http://www.securitylab.ru/opinion/377294.php

Было б интересно узнать мнения здешних аудиторов и экспертов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ seevbon

Настоящих экспертов, которые могли бы реально тестировать это всё на практике ОЧЕНЬ мало, а те, которые это умеют этим не занимаются. Поэтому в этой области так много понтов со стороны поставщиков услуг, и так много Страха, Неуверенности, и Сомнений со стороны клиентов. Какой ярлык на это всё вешать - пусть этим занимаются другие... :rolleyes:

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

понравилась и новость, и комментарии. Вердикт - ответит ассессор (аудитор). Ну, и систему в "доверенные" я так просто бы не вносил. п. 5 стандарта читайте внимательно. Ассессор прикинул, что антивирь есть и проигнорировал остальные требования п. 5. А зря...

Теперь о пен - тесте. Многие пишут. Кстати, при всем уважении к Позитиву- продукт не СЕРТИФИЦИРОВАН. Поэтому писание обидок от них неинтересно. Третье-ассессор обязан его провести. Квалификация - вопрос второй. Третье - все "банкиры" от ИТ так любят "безопасность" , что промолчу - сам знаю. теперь - для лошариков - стандарт не только требует обеспечения требований, но и облегчает расследования инцидентов. И ежели нефтяники и алюминиевые пацаны (ссылки см. выше) сотворят нечто- те же "ненужно-липовые" документы (при желании владельца) обеспечат им место пошивщика рукавиц на несколько лет. Хотя -может, для них круто шить рукавицы рядом с опальными олигархами? последнее - чистое ИМХО

И последнее - стандарт хреновый? ОБЫЧНО ТАК ГОВОРЯТ ТЕ, КОТОРЫЕ ЕГО НЕ СОБЛЮДАЮТ

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov

На данный момент PCI SSC (организация, ответственная за продвижение и развитие стандарта) начала шерстить компании-аудиторов на предмет качества их работы.

По Хартленду - по информации, которую я собрал - к ним был внедрён зловред, причём куда-то очень близко к процессингу (выпуску карт).Причём данный зловред сливал информацию наружу.

Поэтому потенциально я вижу тут уже 3 нарушения требований стандарта:

1. Требования по межсетевому экранированию

2. Требования по антивирусному ПО

3. Требования по IPS и контролю целостности

Почему, что и как?

Лично у меня два основных варианта:

1. Схалтурила компания-аудитор.

2. После аудита, произошли какие-либо изменения.

Естественно это всё спекуляции на основе собранной публичной информации.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Поэтому потенциально я вижу тут уже 3 нарушения требований стандарта:

Не в качестве оправдания пострадавшей компании, но все же хотелось бы понять каким образом компания могла защититься. Атака явно целевая. Троян писали конкретно под эту компанию, знали, что делают. Иначе атака бы с большой вероятностью провалилась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

даже целевая атака при соблюдении требований малоэффективна. Здесь стоит говорить о несоблюдении-я уже об этом говорил. Либо-соглашусь с nremezov - ассессор отработал не полностью

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
1. Требования по межсетевому экранированию

2. Требования по антивирусному ПО

3. Требования по IPS и контролю целостности

Трой, скорее всего был целевым. Поэтому он просто не был (да и не мог быть в принципе) задетектирован ни антивирусом, ни IPS.

даже целевая атака при соблюдении требований малоэффективна.

Не соглашусь. Как раз наоборот- целевая атака всегда высокоэффективна. Это бомбёжки по площадям малоэффективны, а "умная" бомба практически всегда (с вероятностью 99%) попадает в цель.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

повторюсь-при соблюдении ВСЕХ требований. Второе - кстати для вас - есть требование наличия HIPS,которое обычно пропускают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я тут порылся и нашел более раннюю утечку из организации, сертифицированной по PCI DSS. Инциденту не один месяц, выводов как мы видим выше не сделано или этого оказалось недостаточно. <_<

http://www.anti-malware.ru/node/618

Информация о транзакциях компании Forever 21 по банковским картам была похищена в результате нескольких хакерских атак в течение 2003-2007 гг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

ну, я так понимаю эту статью - в 2003 году начались атаки (стандарта не было), в 2007 получен статус соответствия и дата прекращения утечек - 2007. И статуса соответствия никто никого не лишал. Это немного в пользу сертификации

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov
Трой, скорее всего был целевым. Поэтому он просто не был (да и не мог быть в принципе) задетектирован ни антивирусом, ни IPS.

Илья, естественно целевые атаки эффективнее. Но в стандарте есть жёсткие требования по межсетевому экранированию - трояну же надо было как-то сливать инфу... а это уже лишний трафик из доверенной сети в недоверенные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Почему то у меня сложилось впечатление, что те компании которые предоставляют услуги электронных платежей и которые даже прошли сертификацию по PCI DSS не любят в этом сознаваться. Особенно российские. Не считают это конкурентным преимуществом? Можно прочесть про защиту клиентов например через гос. страхование вкладов. А про защиту клиентов соответствием стандарту разве что через поиск по сайтам этих компаний можно узнать. Может быть глядя на стандарт изнутри обладатели сертификата понимают что гордиться особенно нечем? Или не хотят дразнить конкурентов которые сертификата еще не имеют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Про Россию мне трудно судить. По Украине

http://www.portmone.com.ua/v2/ru/security/

http://upc.ua/ua/news-ua/980.htm

http://diamantbank.ua/uk/press_centre/#news_342

Что охватывает примерно всех

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Mawa27
      Всем привет.Ребят,хочу порекомендовать компанию https://proektor-expert.ru/  ,по ремонту проекторов  .Здесь отличные специалисты,которые быстро исправят поломку по доступным ценам.Думаю многим пригодится.
    • aleks87
      Новое казино Booi 200% на депозит . Бонусы казино Booi Встречайте новое, горячее казино Буй от команды создателей культовой Play Fortuna ! Эта азартная площадка порадует игроманов выгоднымибездепозитными бонусами, есть приветственный пакет, а основная изюминка проекта возврат ставок- Rebate. Это решение без преувеличений является инновационным. Официальный сайт казино Буй поразил удачным дизайном, который ярко выделяет заведение среди прочих. Онлайн казино Booi честно и быстро платит, турниры проводит с большими призовыми фондами до 6 000 евро. Да что говорить- рекомендуется к игре на деньги и бонусы.
      Как бывалый моряк, скажу – казино Буй порядочное и надежное заведение. Почему, как моряк? Да потому, что тут плавать не переплавать. Вас встретит огромное количество бонусов, акций, турниров и инноваций с возвратом денег за ставки. Различные кэшбеки и приветственные бонусы окатят вас с ног до головы. А сколько здесь игровых автоматов, ужас! Ну, в хорошем смысле слова. Я оценил лишь 5 моделей и уже заработал 5000 рублей с какой-то пятисотки. В общем, рекомендую всем доверить свои бабки молодому казино Booi и вы увидите, что Капитан оказался прав! ИнформацияПоддерживаемые языки: Английский, Немецкий, Русский Количество игр: 1217 Игровая валюта: Доллар США, Евро, Российский рубль Минимальный депозит: 5 USD Минимальная сумма вывода: 10 USD Лимиты по выводу: 3 000 EUR в день Сроки вывода: 0-24 часа Платежные cистемы: ecoPayz, Maestro, MasterCard, Neteller, PayAnyWay, PerfectMoney, QIWI, Skrill, SMS-платежи, SOFORT, Visa, WebMoney, Интер Касса, Криптовалюты, Яндекс.Деньги Игровые провайдеры: NetEnt, Betsoft Gaming, Big Time Gaming (BTG), Booongo, Elk Studios, Endorphina, Evolution Gaming, Habanero Systems, Microgaming (Quickfire), NoLimit City, Play’n’GO, Push Gaming, Quickspin, Relax Gaming, Thunderkick, Yggdrasil Gaming, Blueprint Gaming, Amatic, Red Tiger Gaming Название на английском: Booi! Casino Бонусы в Booi Casino Приветственный бонус: Все игроманы портала могут значительно увеличить свой первый депозит на целых 200% от заведения. При этом максимальный бонус составляет целых 200 долларов. Чтобы активировать стартовое поощрение, необходимо внести сумму, превышающую 20 долларов. Вейджер поощрения – х20.Бездопозитный бонус 333 рубля: Если вы недавно стали членом игрового клуба Буй, не забудьте взять с собой приз в 333 бесплатных рублей! Играть без капиталовложений проще и, конечно же, дешевле, а тут еще и выдают бонус просто за подтверждение почты и мобильного номера телефона. Бонус сразу не вывести, необходимо учитывать правило отыгрыша по вейджеру-х40! Забрать Официальный сайт казино Booi геометрия ваших побед Дизайн официального сайта казино Буй отметился удачным сочетанием ярких и темных цветов. Все элементы интерфейса выполнены в стиле гиометрических фигур. Нестандартная визуальная подача заставляет геймеров остановиться и попробовать ассортимент новинок и бонусов. На стартовой страничке размещается слайдер громадных размеров, рекламирующий стартовые бонусы новых зарегистрированных игроков, турниры с внушительным призовым фондом в 100 000 долларов и другие не менее яркие поощрения. Игровая панель установлена чуть выше и выполнена в виде горизонтальной строчки с категориями: Игры, Промо, Турниры. В левом верхнем углу размещается логотип казино Буй, нарисованный в виде косой надписиBooi! и мартышки, которая вцепилась в букву B. В противоположном углу виднеется две навигационных кнопки: Регистрация и Войти. Уйма внимания любителей азартных развлечений приковано к игровому залу виртуальной игральной площадки Буй. Он разработан в виде огромного списка слотов, напоминающих иконки на рабочем столе компьютера. На них размещаются основные герои слотов и название, что позволяет игрокам изначально понять, в чем суть определенного игрового автоматв. Промотав игровой зал Booi casino, можно заметить перечень дополнительных категорий с левой стороны под ним. Здесь же имеется выбор языка интерфейса: русский и английский. Игроман может найти ценную информацию в таких категориях: О нас. Правила и условия. Ответственная игра. Партнерам. Правее от них располагается перечень самых популярных платежных систем для пополнения и вывода выигрышей: Visa/MasterCard, Maestro, Qiwi, WebMoney, Яндекс.Деньги, Skrill, Neteller. Регистрация нового аккаунта на сайтеЗакончив рассматривать удачно созданный игровой сайт, переходим к процедуре создания нового игрового профиля. Для этого необходимо клацнуть по кнопке Регистрация, расположенной в шапке сайта. При этом вас перекинет на новую вкладку, где перед глазами возникнет регистрационная анкета с предложением введения таких данных: электронный адрес почты, пароль для входа, никнейм игрока, валюта. Заполнив эти простые поля, вы нажимаете на боксик с подписью «Мне исполнилось 18 лет и я принимаю правила и условия», подтверждая регистрацию на сайте. Отнеситесь со всей серьезностью к изучению правил перед регистрацией. Даже если вы заядлый игроман, не знающий поражений, прочтите правила портала, ведь они могут отличатся от привычных вам в других азартных заведениях!Игровой зал казино Буй с лучшими слотамиКаждый бывалый игрок или зеленый новичок гемблинг индустрии найдет для себя подходящую версию аппарата на сайте casino Booi. Это обусловливается тем фактом, что новейшее заведение оснащено наиболее ходовой подборкой игральных устройств. Разработчики игорной площадки долгое время изучали конкурентов, выявляя спрос на определенные виды азартных забав. Такой подход и изучение нашенских порталов и иностранных гигантов гемблинга позволил воссоздать огромный список самых лучших игр. ПЕРЕЙТИ В КАЗИНО Раздел Слоты игрового зала Буй казино, содержит огромное колличество классических моделей эмуляторов типа однорукий бандит. Любители данной линейки автоматов точно оценят такие предложенные названия: Big Bad Wolf, Book of Aztec, Dead of Alive и т.д. Среди невообразимого числа разновидностей автоматов также можно встретить и совсем недавно созданные автоматы: Cazino Zeppelin, Champions of Rome, Carnaval Forever.Любителям интеллектуальных развлечений больше подойдет сборка игр, размещенных в категории Настольные игры. Игроки с радостью встретят большо число столов в блэкджек, покер, рулетку, баккару и другие игры. Такой подход позволит геймерам, предпочитающим карты, подобрать наиболее интересную версию классических настольных и карточных игр.А те игроки, которым интересны карточные игры, но они еще не имеют достаточных навыков и не знают все комбинации наизусть, рекомендуем остановить свой выбор на видеопокере. Одноименный раздел подобных развлечений предложит большое число вариаций видеопокера:** Aces Eight Poker, All American Poker, Jack or Better.**Однако, если вам порядком надоели все виды развлечений, включая слоты и настольные забавы, возможно вас порадует подборка интересных лотерей? Опробуйте свою везучесть, испытайте судьбу, играя в популярные лотереи казино Буй: Big Instant Win Break, Bingo Bonanza, Cashapillar.В игровом зале представлены модели азартных устройств с прогрессивным джекпотом. И если в других конкурентных площадках такие игры редкость или имеются, но в небольшом количестве, то здесь их пруд пруди. Встречайте самые интересные развлечения с возможностью сорвать главный куш портала: 88 Dragon, A Night Paris, Bell of Fortune и т.д. Если вы хотите провести азартный досуг в компании настоящих игроков и живого крупье, обратите ваше внимание на категорию Live-игры. Только здесь вы найдете внушительное число видов рулетки, покера, баккары, блэкджека, и все это с настоящими профессиональными крупье. Вам скрасят досуг симпатичные девушки, идеально знающие правила игры и владеющие несколькими языками. Такая игра с применением веб-камеры позволит совершить виртуальное путешествие в реальный игровой клуб. Таков парадокс.Мобильная версия Буй казино Забудьте о тех временах, когда вам приходилось бежать с работы домой в надежде засесть за компьютером и сыграть в любимые игровые автоматы. Забудьте о тех очередях на компьютер с домашними. Используйте свой смартфон или планшет на полную – включите мобильную версию интернет-казино Буй и наслаждайтесь азартной игрой прямо в офисе или на отдыхе с друзьями. Круглосуточные игровые баталии ожидают вас на дисплее телефона на базе ОС Android или iOS. Тем более, для игры в такие автоматы достаточно простой и бюджетной модели. Подключайтесь к мобильному интернету и начинайте зарабатывать прямо сейчас!   РЕГИСТРАЦИЯ В КАЗИНО
    • aleks87
      На  форуме  вы  найдете  лучшее  казино  с  подробным обзором  и описанием  А  так же бонусы  за регистрацию http://forum-cazino-online.ru
    • Анатолий
      WordPress поддерживает около 15 миллионов веб-сайтов по всему миру — и это консервативная оценка. На сегодняшний день платформа является самой доминирующей системой управления контентом (CMS), которая занимает 60% мирового рынка CMS. Если у вас есть веб-сайт, он, вероятно, работает на WordPress. Источник: 6 признаков вашего сайта WordPress взломан
    • Анатолий
      Остерегайтесь сетевых акций Остерегайтесь этой потенциальной уязвимости, если вы открываете приложения на Mac: исследователь безопасности разработал способ, с помощью которого производители вредоносных программ могут обойти защиту macOS Gatekeeper для запуска вредоносного кода.

      Ключ в том, как macOS обращается с сетевыми ресурсами и считает их безопасными: систему можно обмануть, открыв архив zip-файлов, содержащий вредоносный код.

      Источник: Исследователь безопасности обнаруживает уязвимость macOS
×