PCI съвместимост – процес и точки на уязвимост

Нека разгледаме кои са участниците в процеса на транзакции с банкови карти и съответно кои са критичните точки на уязвимост в този процес, при които може да стане злоупотреба с информацията от банковите карти на клиентите.

Клиента си открива сметка в банка по избор и банката му издава карта, с която клиента да може да тегли пари от ATM устройства, както и да извършва електронни разплащания от сметката си.

Банката на клиента може да му издаде и кредитна карта на някоя от глобалните световни банки, притежатели на съответните права, най-известните от които са MasterCard и Visa.

electronic-banking-process

Клиента отива в магазин (или сайт) и решава да си закупи продукт или услуга и да заплати с пари от картата си. Всеки е извършвал такива разплащания, затова ще се спра на това, което се случва от момента на въвеждане на сумата и PIN кода до издаване на касовата бележка (или потвърждаването на транзакцията при пазаруване от електронен магазин).

Информацията от устройството постъпва в процесора на доставчика на услуги или самото PTS устройство има вграден софтуер, чрез който се свързва с търговската банка, която обслужва търговеца.

Ако клиента ползва банкова карта на някоя от споменатите банки, собственици на правата на картата, по собствена за марката защитена мрежа търговската банка се свързва с банката издател на картата и двете банки разменят информация дали има такъв клиент и дали той има достатъчно пари в сметката си за да се извърши транзакцията.

В идеалният случай банката издател на картата потвърждава самоличността на клиента и наличната сума и потвърждава транзакцията.

Накрая търговската банка изпраща информация през софтуерното приложение, че сумата е редовно заплатена и PIN устройството издава касова бележка в потвърждаване на сделката.

Критични точки на уязвимост

Според експертите по сигурността на информацията, следните звена представляват критични точки на уязвимост в процеса на разплащане с електронни карти:

  • Безжични мрежи
  • Липса на адекватна сегментация на интернет мрежата
  • Външен пробив в софтуерно приложение
  • Външен пробив в PIN устройство
  • Пробив чрез служител с достъп до защитена информация
  • Принтери с мрежов достъп, използвани за прехвърляне на информацията от банковите карти на хартия.
  • Лоша физическа охрана на сградата и устройствата, съдържащи информацията от банковите карти

Вече споменахме за най-големата кражба на информация от електронни карти през системата на TJX.

При разследването се е установило, че пробивът е започнал чрез прихващане на данни за логване на клиент през безжична мрежа от кафене в Амстердам и най-елементарна mysql инжекция чрез която престъпниците са получили достъп до базата данни с информацията на всички клиенти.

Докато някой си е купувал часовник или парфюм пиейки си кафето в тузарско бистро в Амстердам някой друг с лаптоп наблизо е бил на лов ...

Инструкции за работа с безжични мрежи

При работа с wireless мрежи да се имат предвид следните възможни уязвимости:

  • да се променят настройките по подразбиране
  • да се променя Wireless Equivalent Privacy (WEP) поне веднъж месечно поради доказана неефективност, дори ако е възможно да се деактивира и да се ползва WiFi Protected Access (WPA and WPA2) криптиране
  • да се промени Service Set Identifier (SSID) – идентификацията на мрежата

В следващата статия ще разгледаме подробно какви са основните цели и изисквания на PCI стандарта, какви инструменти се ползват за доказване на съвместимост и как се разделят бизнесите на нива според годишният брой транзакции.