OpenPCI Toolkit

assalto.com.br

2010-11-22T15:01:00.002-02:00

TCC - Um Toolkit para atender os requisitos técnicos do PCI DSS

2010-11-19T15:55:00.005-02:00

Após quase um ano estou publicando meu tcc sobre o OpenPCI Toolkit.

Pouca coisa mudou de lá pra cá em relação ao PCI DSS, então pode-se dizer que o trabalho está bem atualizado ainda.

http://www.slideshare.net/fjdapper/um-toolkit-para-atender-os-requisitos-tcnicos-do-pci-dss

PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

2010-10-29T16:37:00.002-02:00

Ontem foi o lançamento da versão 2.0 do PCI DSS e do PA-DSS. A versão 2.0 do PCI DSS melhorou o entedimento de alguns requisitos e incorporou apenas um novo ítem que se tornará exigência somente em 2012.

Segue uma lista de algumas mudanças:

- Melhor alinhamento com os requisitos do PA-DSS
- Enfatiza que o ambiente de dados do portador do cartão é composto por pessoas, processos e tecnologia
- WPA não é mais aceito para segurança de redes sem fio
- Recomenda-se usar um ranking de vulnerabilidades de acordo com o risco para o ambiente (em 30/06 de 2012 passa a ser um requisito).
- Em ambientes virtualizados, deverá ser identificado e considerado no escopo de avaliação todas as máquinas virtuais presentes no mesmo servidor de virtualização, além do próprio servidor (Hypervisor).

No requisito 12.1.2 o PCI Council pisou na bola e incluiu a ISO 27005 como exemplo de metodologia para análise de risco.

Isto é um grande equívoco, pois a ISO 27005 fornece apenas diretrizes para o processo de gestão de riscos, conforme previsto na ISO 27001.

As documentações oficiais estão disponíveis no link abaixo:

https://www.pcisecuritystandards.org/services_professionals/

The Definitive Overview of Payment Industry Fraud and Measures to Prevent It

2010-10-11T09:35:00.006-03:00

http://www.theukcardsassociation.org.uk/files/ukca/fraud_the_facts_2010.pdf

É bom ser colorado!

2010-08-19T09:30:00.002-03:00

CISSP é a próxima meta!

2010-07-02T17:19:00.008-03:00

Termimando a faculdade e agora minha próxima meta é obter a certificação CISSP.

Certificações fazem parte da minha vida profissional desde 2003 quando fiz a Cisco CCNA e depois a LPI 2. Fui um dos 3 representantes do RS a fazer a primeira prova mundial da LPI 3, mas infelizmente só passei em uma delas e não tentei mais.

Ok, mas o que eu ganho em ser certificado? Bom, algumas pessoas se certificam apenas pra fazer marketing pessoal, particularmente procuro usar o período de preparação para aprender e melhorar como profissional. Também levo em consideração que algumas oportunidades profissionais podem surgir com uma certificação como a CISSP.

Espero manter um cronograma de estudos, mas com a chegada da minha filha prevista para o final do agosto, talvez o ritmo dos estudos fique mais devagar.

Fun with ATM Skimmers, Part III

2010-05-10T17:26:00.001-03:00

http://krebsonsecurity.com/2010/05/fun-with-atm-skimmers-part-iii/

Sobem as cortinas dos cartões

2010-04-30T14:37:00.002-03:00

Fonte: Horus

Free! Check if your credit card has been stolen!

2010-04-23T08:50:00.006-03:00

Ótima iniciativa do Anti-Phishing Working Group para conscientizar as pessoas sobre a segurança de seus dados de cartão.

Não acredite em tudo que você encontra na internet.

http://ismycreditcardstolen.com

Downloads do OpenPCI Toolkit

2010-04-20T15:27:00.002-03:00

Número de downloads via SourceForge.

PCI Data Security Standards Rock

2010-04-12T10:21:00.016-03:00

Heartland Hacker Sentenced to 20 Years

2010-04-05T10:31:00.000-03:00

http://www.bankinfosecurity.com/articles.php?art_id=2344

Continuidade

2009-12-16T08:49:00.003-02:00

Olá pessoal,

Estive afastado por algum tempo devido a entrega do meu trabalho de conclusão, sendo que ontem foi a minha banca final. Recebi nota 9 pelo trabalho do OpenPCI Toolkit, uma nota que considero muito boa, principalmente por se tratar de um projeto novo e quem tem muito a crescer ainda.

Como estamos chegando em época de natal,ano novo e férias, não vou conseguir trabalhar muito no OpenPCI, mas acredito que no começo de 2010 estarei retomando as atividades e planejando a nova versão.

Desejo a todos um ótimo natal com suas famílias e que 2010 seja um ano repleto de novos desafios e oportunidades.

[]sss ...

Second-hand ATM trade opens up fraud risk

2009-11-19T09:14:00.001-02:00

Fonte:
http://www.theregister.co.uk/2009/11/18/second_hand_atm_fraud_risk/

Questionário de avaliação

2009-10-21T09:11:00.005-02:00

Após o lançamento da primeira versão do OpenPCI Toolkit, estou disponibilizando um pequeno questionário que será utilizado para avaliar se este projeto está atingindo seu objetivo inicial e também para implementar melhorias futuras.

São apenas 4 perguntas e um espaço livre para comentários e sugestões.

Conto com a participação de todos!

Para acessar o questionário de avaliação clique aqui -> Questionário

OpenPCI Toolkit disponível para download

2009-10-18T18:24:00.028-02:00

A primeira versão do OpenPCI Toolkit já está disponível para download. Algumas informações importantes para que for utilizar a versão 1.0:

1 - Esta versão ainda não possui instalada as ferramentas OpenIAM e StrongKey.
2 - O usuário padrão do sistema é pci-dss e a senha é compliance. Não se esqueça de trocar a senha!
2 - A instalação só está funcionando quando a opção live é selecionada na inicialização. Após carregar o ambiente gráfico, acesse o menu Ferramentas, Administração e clique em Instalar o OpenPCI Toolkit no computador.
3 - O md5 da imagem é 0de268a71173a6fffa642e3724f745b3

Já estou trabalhando na nova versão e em breve estarei divulgando as novidades.

A imagem ISO está disponível no site do Código Livre e em breve estará no FTP da Unicamp também.

Gostaria de agradecer ao pessoal do Código Livre e ao Rubens Queiroz (Dicas-L) pelo apoio na hospedagem da imagem ISO.

Dúvidas e sugestões podem ser encaminhadas aqui no blog ou pelo e-mail fjdapper@gmail.com

Retornando do sbseg

2009-10-01T08:35:00.004-03:00

Retornei ontem de Campinas onde apresentei o OpenPCI Toolkit no sbseg 2009, evento realizado no centro de convenções da Unicamp.

Apesar do pouco tempo (+-20 minutos) para apresentação, o resultado foi positivo. Conversei com alguns profissionais certificados pelo PCI Council (QSA - Qualified Security Assessors) e percebi que o projeto poderá ter uma boa aceitação pelas empresas e profissionais envolvidos com as atividades de adequação ao PCI DSS.

Estou trabalhando para disponibilizar ainda na primeira quinzena de outubro a primeira versão do toolkit para que mais pessoas possam testar e avaliar.

A apresentação utilizada está disponível no slideshare.

Apresentação Sbseg 2009

View more presentations from fjdapper.

Em breve, mais informações!

OpenPCI Toolkit Tools

2009-09-28T09:50:00.002-03:00

Publiquei no youtube mais um vídeo da execução de algumas ferramentas que fazem parte do OpenPCI Toolkit.

Amanhã estarei na Unicamp em Campinas participando do SBSEG e acredito que na primeira semana de outubro estarei disponibilizando uma imagem ISO para quem quiser testar o OpenPCI Toolkit.

[]sss ...

OpenPCI Toolkit em ação

2009-09-25T09:21:00.001-03:00

Coloquei no youtube um pequeno vídeo que mostra na prática o funcionamento básico do OpenPCI Toolkit.

Em breve novos vídeos!

Novas telas do OpenPCI Toolkit

2009-09-03T13:46:00.018-03:00

Estou colocando mais algumas telas do ambiente de trabalho do OpenPCI Toolkit. Provavelmente irei mudar algumas coisas na parte de apresentação para o usuário, mas ainda não tenho definido como ficará o layout final.

1 - Tela de login

2 - Área de trabalho

Sugestões são muito bem vindas!

Skimming Prevention: Best Practices for Merchants

2009-08-28T16:50:00.012-03:00

O PCI Council disponibilizou um novo documento explicando como funciona as técnicas de skimming e as melhores práticas para proteção nos estabelecimentos comerciais.

As técnicas de skimming consistem basicamente em duas atividades por parte dos carders:

1 - A clonagem do cartão em terminais de venda (POS) ou nos terminais de bancos (ATM) através do famoso chupa-cabra que irá copiar os dados contidos na tarja magnética.

2 - A captura da senha pessoal do portador do cartão (PIN), através de câmeras de vídeo instaladas perto do terminal.

Dicas úteis:

- Não aceite ajuda de estranhos quando estiver utilizando algum terminal eletrônico do banco. Caso precise de auxílio, procure por um funcionário do banco.
- Cuide se ao digitar sua senha pessoal, alguém está muito próximo de você.
- Cobre do gerente do seu banco sobre os recursos de segurança física disponíveis na agência, como vigias e câmeras de vídeo.
- Não perca de vista o seu cartão. Caso seja necessário, acompanhe o funcionário do estabelecimento até o POS.

Links relacionados:

https://www.pcisecuritystandards.org/docs/skimming_prevention_form.zip

OpenPCI Toolkit no SBSeg 2009

2009-08-26T14:18:00.007-03:00

Em Setembro estarei em Campinas (Unicamp), participando do IX Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) para apresentar o OpenPCI Toolkit. Acredito que o interesse por assuntos envolvendo fraudes com cartões e a necessidade de aderência ao PCI DSS aumente cada vez mais, seja no meio acadêmico, como na sociedade em geral.

Também lembrando que este trabalho tem co-autoria do professor e coordenador do curso superior em Segurança da Informação (Unisinos), Leonardo Lemes Fagundes (Auditor Líder ISO 27001).

Dear Juliano Dapper,

We are delighted to inform you that your submission #60694 to SBSeg 2009, "OpenPCI: Um toolkit para atender os requisitos técnicos do PCI DSS", has been accepted. Congratulations! This year we had 22 extended abstract submissions, which went through a rigorous, double-blind selection process by the Technical Program Committee. Out of the 22 abstracts submitted, only 9 were accepted.

Links relacionados:

http://sbseg2009.inf.ufsm.br/sbseg2009/
http://www.exatec.unisinos.br/_professores/gerador.php?professor=leo

Radisson Hotels Suffer Data Breach

2009-08-21T17:22:00.002-03:00

Mais um caso de comprometimento de dados de cartão, agora em uma rede de hotéis (USA e Canada).

"Between November 2008 and May 2009, the computer systems of some Radisson Hotels & Resorts in the U.S. and Canada were accessed without authorization. This past spring, the company was able to confirm an intrusion. The investigation is ongoing".

"The accessed computer systems contained guest information such as the name printed on a credit or debit card, the account number and the expiration date on the card. "We do not know, however, whether a particular name, credit or debit card number or card expiration date were in fact accessed or taken," he says".

The hotel says at this time, "it appears to be an unauthorized attack from an outside source, and have no reason to believe it was an insider."

Links relacionados:

http://www.bankinfosecurity.com/articles.php?art_id=1721
http://www.radisson.com/openletter/openletter.html
http://www.radisson.com/openletter/openletter-faq.html

Racker roubou dados de milhões de cartões de crédito

2009-08-19T08:26:00.005-03:00

Apesar do erro de escrita (Racker), a notícia é muito relevante e já foi amplamente divulgada em diversos sites do mundo. BTW, o termo mais correto para este tipo de quadrilha é carders.

Coloco aqui algumas partes do que diz um documento da corte de New Jersey (USA) sobre o caso:

Defendant Albert Gonzalez, a/k/a “segvec,” a/k/a “soupnazi,” a/k/a “j4guar17” (“GONZALEZ”), resided in or near Miami, Florida.

Methods of Hacking Utilized by Defendants.

“SQL Injection Attacks” were methods of hacking into and gaining unauthorized access to computers connected to the Internet.

“Malware” was malicious computer software programmed to, among other things, identify, store, and export information on computers that were hacked, including information such as credit and debit card numbers and corresponding personal identification information of cardholders (“Card Data”), as well as to evade detection by anti-virus programs running on those computers.

Beginning on or about December 26, 2007, Heartland was the victim of a SQL
- 3 - Injection Attack on its corporate computer network that resulted in malware being placed on its payment processing system and the theft of more than approximately 130 million credit and debit card numbers and corresponding Card Data.

Links relacionados:

http://jornalnacional.globo.com/Telejornais/JN/0,,MUL1271975-10406,00-RACKER+ROUBOU+DADOS+DE+MILHOES+DE+CARTOES+DE+CREDITO.html

http://www.wired.com/threatlevel/2009/08/tjx-hacker-charged-with-heartland/

Self-Assessment Questionnaire

2009-08-18T08:47:00.008-03:00

O Self-Assessment Questionnaire (SAQ) é um documento disponibilizado pelo PCI Council e que pode ser utilizado para a auto-avaliação das empresas (Merchant e Service Providers) em relação ao seus nível de conformidade com o PCI DSS.

O SAQ será a base para a construção do Instrumento para Análise de Aderência com o PCI DSS disponível no OpenPCI Toolkit.

Após marcar quais requisitos do PCI DSS a empresa ainda não atende, o instrumento para análise de aderência irá gerar um relatório de não-conformidade, indicando qual ferramenta disponível no toolkit poderá ser utilizada para atender a não-conformidade.

Mas lembre-se! O foco do OpenPCI Toolkit é auxiliar somente no atendimento dos requisitos técnicos do PCI DSS, como implementação de firewall, análise de vulnerabilidades, etc.

Não basta ser pai, tem que participar.

2009-08-10T10:24:00.003-03:00

Tinha um comercial antigo da Gelol que usava essa frase e podemos trazer ela para o contexto dos meios de pagamento eletrônico.

Não basta ser "compliant", tem que agir e melhorar nas questões relacionadas a proteção dos dados do portador do cartão.

Não existe sistema 100% seguro, apesar de alguns mágicos da área de SI e TI venderem isso como uma verdade absoluta :-)

http://www.bankinfosecurity.com/articles.php?art_id=1691&pg=1

Clonagem de cartões no Brasil aumenta quase 50%

2009-08-06T21:57:00.001-03:00

Bandidos fingem que são técnicos de manutenção e substituem os aparelhos por outros preparados para fraude. Nos caixas eletrônicos, trocam peças e roubam números e senhas.

http://jornalnacional.globo.com/Telejornais/JN/0,,MUL1257829-10406,00-CLONAGEM+DE+CARTOES+NO+BRASIL+AUMENTA+QUASE.html

The Real Cost of Data Breach ... continuação

2009-08-06T09:11:00.001-03:00

Da série, quanto custa não investir em segurança.

Heartland Says Breach Has Cost It $32 Million This Year, Including $22.1 Million In Card Brand Fines, Settlement Offer.

Heartland Payment Systems on Tuesday (Aug. 4) said it spent $32 million this year paying for costs related to the major data breach it disclosed in January, including $22.1 million to cover fines from key payment card brands and a settlement offer. Heartland did not say how the $22.1 million was split between the fines and the settlement offer, but it did provide clues.

For example, the breach costs of just the second quarter came to $19.4 million and it said that the “majority” of those costs was for the settlement offer, suggesting that the settlement was more than $9.7 million. Legal fees make that precise calculation tricky as well as the lack of a percentage of that majority. “The remainder of the expenses and accruals related to the Processing System Intrusion recorded in the three and six months ended June 30, 2009 were primarily for legal fees and costs the Company incurred for investigations, remedial actions and crisis management services,” Heartland said.

Fonte:
http://www.storefrontbacktalk.com/securityfraud/heartland-says-breach-has-cost-it-32-million-this-year-including-22-1-million-in-card-brand-fines-settlement-offer/

The Real Cost of Data Breach

2009-08-04T13:22:00.002-03:00

what is the real cost of data breach? The short answer is more than you think, rising all the time, and more likely to hit you than you’d like to believe.

É caro investir em segurança? Seu diretor não consegue entender porque motivos ele deveria investir em treinamento/educação para os colaboradores, apoiar a criação de um SGSI (Sistema de Gestão de Segurança da Informação) ou o seu programa de compliance com o PCI DSS ?

Talvez o artigo do Robert Halsey ajude ele :-)

http://www.pcicomplianceguide.org/merchants-20090416-cost-data-breach.php

Data Breach Report

2009-08-03T22:29:00.006-03:00

Pesquisei alguns casos de comprometimento de cartões de crédito e débito nos últimos anos. Algumas das empresas envolvidas publicaram notas oficiais e até criaram sites específicos para divulgar o incidente. A pesquisa ainda continua ....

Fonte:
https://www.pcisecuritystandards.org/pdfs/DataBreachesArticle.pdf
http://www.bankinfosecurity.com
http://www.careandprotect.com
http://www.2008breach.com
http://www.privacyrights.org/ar/ChronDataBreaches.htm

Quer conhecer mais sobre o PCI DSS?

2009-08-02T21:10:00.004-03:00

O PCI DSS é um padrão de segurança criado pelas bandeiras de cartão de crédito com o objetivo de criar mecanismos para a proteção dos dados do portador de cartão.

Para quem quer conhecer mais sobre este padrão e não dispõem de recursos para comprar livros, recomendo a leitura do artigo escrito pelo Eduardo Neves da Conviso.

http://camargoneves.com/archives/3

Boa leitura!

Network Solutions Data Breach: 573,000 Cardholders at Risk

2009-08-01T11:16:00.002-03:00

"To add more pain to the breach, Network Solutions says it was PCI compliant at the time of the breach".

O que será que eles querem provar com isso? De qualquer forma o Bob Russo (General Manager do PCI Council) respondeu.

"Just because a company has passed its compliance validation, it doesn't mean that the need for vigilance of security measures should stop."

"Until a forensics investigation is completed, an organization can not comment accurately on its compliance status."

"Security doesn't stop with PCI compliance validation."

Mais informações em:
http://www.bankinfosecurity.com/articles.php?art_id=1660&rf=073109eb
http://www.careandprotect.com

Clonagem de cartões

2009-07-31T21:48:00.000-03:00

Clonagem, chupa-cabra, tarja magnética, carder ...

Nomes estranhos para a maioria da população brasileira, mas que começam a ganhar espaço na mídia. Assista a dois vídeos que tratam deste assunto e aprenda a como tentar se proteger.

http://www.grupoctv.com.br/g-ctv/cli/i_video100.asp?cod=56642

http://www.clippingtv.com.br/upload/imagem_video/69351.wmv

Blogs interessantes

2009-07-31T17:56:00.000-03:00

Alguns blogs que costumo acompanhar e que abordam assuntos envolvendo o PCI DSS e a indústria de cartões de pagamento.

http://www.bankinfosecurity.com/

http://www.storefrontbacktalk.com/

http://chuvakin.blogspot.com/

http://pcianswers.com/

http://www.paymentsystemsblog.com/

http://blog.elementps.com/

http://www.pcicomplianceguide.org/

http://www.finextra.com/

http://www.securitim.com/blog.html

http://www.privacyrights.org/ar/ChronDataBreaches.htm

Boa leitura!

Livros sobre PCI DSS

2009-07-31T17:40:00.000-03:00

Já comprei vários livros, alguns bons outros nem tanto. Quando o assunto é PCI DSS, a literatura ainda é pequena se comparado com outros tópicos da área de segurança.

Indico aqui três publicações que podem auxiliar a conhecer um pouco mais sobre tudo que envolve este assunto.

Payment Card Industry Data Security Standard Handbook
http://www.amazon.com/Payment-Industry-Security-Standard-Handbook/dp/0470260467/ref=sr_1_1?ie=UTF8&s=books&qid=1249072798&sr=8-1

PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance
http://www.amazon.com/PCI-Compliance-Understand-Implement-Effective/dp/1597491659/ref=sr_1_3?ie=UTF8&s=books&qid=1249072798&sr=8-3

PCI Compliance for Dummies
http://www.qualys.com/forms/ebook/pcifordummies/

Boa leitura!

Artigo para Antebellum

2009-07-31T17:16:00.000-03:00

Com um pouco de atraso, mas ainda está valendo :-)

Artigo que escrevi para a revista eletrônica da ISSA Brasil, falando sobre o processo de conformidade com o PCI DSS.

http://www.issabrasil.org/wp-content/uploads/2008/10/antebellum006.pdf

Starting OpenPCI Toolkit.

2009-07-31T16:23:00.000-03:00