sexta-feira, 28 de agosto de 2009

Skimming Prevention: Best Practices for Merchants

O PCI Council disponibilizou um novo documento explicando como funciona as técnicas de skimming e as melhores práticas para proteção nos estabelecimentos comerciais.

As técnicas de skimming consistem basicamente em duas atividades por parte dos carders:

1 - A clonagem do cartão em terminais de venda (POS) ou nos terminais de bancos (ATM) através do famoso chupa-cabra que irá copiar os dados contidos na tarja magnética.




2 - A captura da senha pessoal do portador do cartão (PIN), através de câmeras de vídeo instaladas perto do terminal.



Dicas úteis:

- Não aceite ajuda de estranhos quando estiver utilizando algum terminal eletrônico do banco. Caso precise de auxílio, procure por um funcionário do banco.
- Cuide se ao digitar sua senha pessoal, alguém está muito próximo de você.
- Cobre do gerente do seu banco sobre os recursos de segurança física disponíveis na agência, como vigias e câmeras de vídeo.
- Não perca de vista o seu cartão. Caso seja necessário, acompanhe o funcionário do estabelecimento até o POS.

Links relacionados:

https://www.pcisecuritystandards.org/docs/skimming_prevention_form.zip

quarta-feira, 26 de agosto de 2009

OpenPCI Toolkit no SBSeg 2009


Em Setembro estarei em Campinas (Unicamp), participando do IX Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) para apresentar o OpenPCI Toolkit. Acredito que o interesse por assuntos envolvendo fraudes com cartões e a necessidade de aderência ao PCI DSS aumente cada vez mais, seja no meio acadêmico, como na sociedade em geral.

Também lembrando que este trabalho tem co-autoria do professor e coordenador do curso superior em Segurança da Informação (Unisinos), Leonardo Lemes Fagundes (Auditor Líder ISO 27001).


Dear Juliano Dapper,

We are delighted to inform you that your submission #60694 to SBSeg 2009, "OpenPCI: Um toolkit para atender os requisitos técnicos do PCI DSS", has been accepted. Congratulations! This year we had 22 extended abstract submissions, which went through a rigorous, double-blind selection process by the Technical Program Committee. Out of the 22 abstracts submitted, only 9 were accepted.



Links relacionados:

http://sbseg2009.inf.ufsm.br/sbseg2009/
http://www.exatec.unisinos.br/_professores/gerador.php?professor=leo

sexta-feira, 21 de agosto de 2009

Radisson Hotels Suffer Data Breach


Mais um caso de comprometimento de dados de cartão, agora em uma rede de hotéis (USA e Canada).

"Between November 2008 and May 2009, the computer systems of some Radisson Hotels & Resorts in the U.S. and Canada were accessed without authorization. This past spring, the company was able to confirm an intrusion. The investigation is ongoing".

"The accessed computer systems contained guest information such as the name printed on a credit or debit card, the account number and the expiration date on the card. "We do not know, however, whether a particular name, credit or debit card number or card expiration date were in fact accessed or taken," he says".

The hotel says at this time, "it appears to be an unauthorized attack from an outside source, and have no reason to believe it was an insider."

Links relacionados:

http://www.bankinfosecurity.com/articles.php?art_id=1721
http://www.radisson.com/openletter/openletter.html
http://www.radisson.com/openletter/openletter-faq.html

quarta-feira, 19 de agosto de 2009

Racker roubou dados de milhões de cartões de crédito


Apesar do erro de escrita (Racker), a notícia é muito relevante e já foi amplamente divulgada em diversos sites do mundo. BTW, o termo mais correto para este tipo de quadrilha é carders.

Coloco aqui algumas partes do que diz um documento da corte de New Jersey (USA) sobre o caso:

Defendant Albert Gonzalez, a/k/a “segvec,” a/k/a “soupnazi,” a/k/a “j4guar17” (“GONZALEZ”), resided in or near Miami, Florida.

Methods of Hacking Utilized by Defendants.

“SQL Injection Attacks” were methods of hacking into and gaining unauthorized access to computers connected to the Internet.

“Malware” was malicious computer software programmed to, among other things, identify, store, and export information on computers that were hacked, including information such as credit and debit card numbers and corresponding personal identification information of cardholders (“Card Data”), as well as to evade detection by anti-virus programs running on those computers.

Beginning on or about December 26, 2007, Heartland was the victim of a SQL
- 3 - Injection Attack on its corporate computer network that resulted in malware being placed on its payment processing system and the theft of more than approximately 130 million credit and debit card numbers and corresponding Card Data.


Links relacionados:

http://jornalnacional.globo.com/Telejornais/JN/0,,MUL1271975-10406,00-RACKER+ROUBOU+DADOS+DE+MILHOES+DE+CARTOES+DE+CREDITO.html

http://www.wired.com/threatlevel/2009/08/tjx-hacker-charged-with-heartland/

terça-feira, 18 de agosto de 2009

Self-Assessment Questionnaire

O Self-Assessment Questionnaire (SAQ) é um documento disponibilizado pelo PCI Council e que pode ser utilizado para a auto-avaliação das empresas (Merchant e Service Providers) em relação ao seus nível de conformidade com o PCI DSS.

O SAQ será a base para a construção do Instrumento para Análise de Aderência com o PCI DSS disponível no OpenPCI Toolkit.

Após marcar quais requisitos do PCI DSS a empresa ainda não atende, o instrumento para análise de aderência irá gerar um relatório de não-conformidade, indicando qual ferramenta disponível no toolkit poderá ser utilizada para atender a não-conformidade.

Mas lembre-se! O foco do OpenPCI Toolkit é auxiliar somente no atendimento dos requisitos técnicos do PCI DSS, como implementação de firewall, análise de vulnerabilidades, etc.

segunda-feira, 10 de agosto de 2009

Não basta ser pai, tem que participar.

Tinha um comercial antigo da Gelol que usava essa frase e podemos trazer ela para o contexto dos meios de pagamento eletrônico.

Não basta ser "compliant", tem que agir e melhorar nas questões relacionadas a proteção dos dados do portador do cartão.

Não existe sistema 100% seguro, apesar de alguns mágicos da área de SI e TI venderem isso como uma verdade absoluta :-)

http://www.bankinfosecurity.com/articles.php?art_id=1691&pg=1

quinta-feira, 6 de agosto de 2009

Clonagem de cartões no Brasil aumenta quase 50%

Bandidos fingem que são técnicos de manutenção e substituem os aparelhos por outros preparados para fraude. Nos caixas eletrônicos, trocam peças e roubam números e senhas.

http://jornalnacional.globo.com/Telejornais/JN/0,,MUL1257829-10406,00-CLONAGEM+DE+CARTOES+NO+BRASIL+AUMENTA+QUASE.html

The Real Cost of Data Breach ... continuação

Da série, quanto custa não investir em segurança.

Heartland Says Breach Has Cost It $32 Million This Year, Including $22.1 Million In Card Brand Fines, Settlement Offer.

Heartland Payment Systems on Tuesday (Aug. 4) said it spent $32 million this year paying for costs related to the major data breach it disclosed in January, including $22.1 million to cover fines from key payment card brands and a settlement offer. Heartland did not say how the $22.1 million was split between the fines and the settlement offer, but it did provide clues.

For example, the breach costs of just the second quarter came to $19.4 million and it said that the “majority” of those costs was for the settlement offer, suggesting that the settlement was more than $9.7 million. Legal fees make that precise calculation tricky as well as the lack of a percentage of that majority. “The remainder of the expenses and accruals related to the Processing System Intrusion recorded in the three and six months ended June 30, 2009 were primarily for legal fees and costs the Company incurred for investigations, remedial actions and crisis management services,” Heartland said.

Fonte:
http://www.storefrontbacktalk.com/securityfraud/heartland-says-breach-has-cost-it-32-million-this-year-including-22-1-million-in-card-brand-fines-settlement-offer/

terça-feira, 4 de agosto de 2009

The Real Cost of Data Breach

what is the real cost of data breach? The short answer is more than you think, rising all the time, and more likely to hit you than you’d like to believe.

É caro investir em segurança? Seu diretor não consegue entender porque motivos ele deveria investir em treinamento/educação para os colaboradores, apoiar a criação de um SGSI (Sistema de Gestão de Segurança da Informação) ou o seu programa de compliance com o PCI DSS ?

Talvez o artigo do Robert Halsey ajude ele :-)

http://www.pcicomplianceguide.org/merchants-20090416-cost-data-breach.php

segunda-feira, 3 de agosto de 2009

Data Breach Report

Pesquisei alguns casos de comprometimento de cartões de crédito e débito nos últimos anos. Algumas das empresas envolvidas publicaram notas oficiais e até criaram sites específicos para divulgar o incidente. A pesquisa ainda continua ....




Fonte:
https://www.pcisecuritystandards.org/pdfs/DataBreachesArticle.pdf
http://www.bankinfosecurity.com
http://www.careandprotect.com
http://www.2008breach.com
http://www.privacyrights.org/ar/ChronDataBreaches.htm

domingo, 2 de agosto de 2009

Quer conhecer mais sobre o PCI DSS?

O PCI DSS é um padrão de segurança criado pelas bandeiras de cartão de crédito com o objetivo de criar mecanismos para a proteção dos dados do portador de cartão.

Para quem quer conhecer mais sobre este padrão e não dispõem de recursos para comprar livros, recomendo a leitura do artigo escrito pelo Eduardo Neves da Conviso.

http://camargoneves.com/archives/3

Boa leitura!

sábado, 1 de agosto de 2009

Network Solutions Data Breach: 573,000 Cardholders at Risk

"To add more pain to the breach, Network Solutions says it was PCI compliant at the time of the breach".

O que será que eles querem provar com isso? De qualquer forma o Bob Russo (General Manager do PCI Council) respondeu.

"Just because a company has passed its compliance validation, it doesn't mean that the need for vigilance of security measures should stop."

"Until a forensics investigation is completed, an organization can not comment accurately on its compliance status."

"Security doesn't stop with PCI compliance validation."

Mais informações em:
http://www.bankinfosecurity.com/articles.php?art_id=1660&rf=073109eb
http://www.careandprotect.com