PCI съвместимост – процес и точки на уязвимост
Нека разгледаме кои са участниците в процеса на транзакции с банкови карти и съответно кои са критичните точки на уязвимост в този процес, при които може да стане злоупотреба с информацията от банковите карти на клиентите.
Клиента си открива сметка в банка по избор и банката му издава карта, с която клиента да може да тегли пари от ATM устройства, както и да извършва електронни разплащания от сметката си.
Банката на клиента може да му издаде и кредитна карта на някоя от глобалните световни банки, притежатели на съответните права, най-известните от които са MasterCard и Visa.
Клиента отива в магазин (или сайт) и решава да си закупи продукт или услуга и да заплати с пари от картата си. Всеки е извършвал такива разплащания, затова ще се спра на това, което се случва от момента на въвеждане на сумата и PIN кода до издаване на касовата бележка (или потвърждаването на транзакцията при пазаруване от електронен магазин).
Информацията от устройството постъпва в процесора на доставчика на услуги или самото PTS устройство има вграден софтуер, чрез който се свързва с търговската банка, която обслужва търговеца.
Ако клиента ползва банкова карта на някоя от споменатите банки, собственици на правата на картата, по собствена за марката защитена мрежа търговската банка се свързва с банката издател на картата и двете банки разменят информация дали има такъв клиент и дали той има достатъчно пари в сметката си за да се извърши транзакцията.
В идеалният случай банката издател на картата потвърждава самоличността на клиента и наличната сума и потвърждава транзакцията.
Накрая търговската банка изпраща информация през софтуерното приложение, че сумата е редовно заплатена и PIN устройството издава касова бележка в потвърждаване на сделката.
Критични точки на уязвимост
Според експертите по сигурността на информацията, следните звена представляват критични точки на уязвимост в процеса на разплащане с електронни карти:
- Безжични мрежи
- Липса на адекватна сегментация на интернет мрежата
- Външен пробив в софтуерно приложение
- Външен пробив в PIN устройство
- Пробив чрез служител с достъп до защитена информация
- Принтери с мрежов достъп, използвани за прехвърляне на информацията от банковите карти на хартия.
- Лоша физическа охрана на сградата и устройствата, съдържащи информацията от банковите карти
Вече споменахме за най-големата кражба на информация от електронни карти през системата на TJX.
При разследването се е установило, че пробивът е започнал чрез прихващане на данни за логване на клиент през безжична мрежа от кафене в Амстердам и най-елементарна mysql инжекция чрез която престъпниците са получили достъп до базата данни с информацията на всички клиенти.
Докато някой си е купувал часовник или парфюм пиейки си кафето в тузарско бистро в Амстердам някой друг с лаптоп наблизо е бил на лов ...
Инструкции за работа с безжични мрежи
При работа с wireless мрежи да се имат предвид следните възможни уязвимости:
- да се променят настройките по подразбиране
- да се променя Wireless Equivalent Privacy (WEP) поне веднъж месечно поради доказана неефективност, дори ако е възможно да се деактивира и да се ползва WiFi Protected Access (WPA and WPA2) криптиране
- да се промени Service Set Identifier (SSID) – идентификацията на мрежата
В следващата статия ще разгледаме подробно какви са основните цели и изисквания на PCI стандарта, какви инструменти се ползват за доказване на съвместимост и как се разделят бизнесите на нива според годишният брой транзакции.