quarta-feira, 16 de dezembro de 2009

Continuidade

Olá pessoal,

Estive afastado por algum tempo devido a entrega do meu trabalho de conclusão, sendo que ontem foi a minha banca final. Recebi nota 9 pelo trabalho do OpenPCI Toolkit, uma nota que considero muito boa, principalmente por se tratar de um projeto novo e quem tem muito a crescer ainda.

Como estamos chegando em época de natal,ano novo e férias, não vou conseguir trabalhar muito no OpenPCI, mas acredito que no começo de 2010 estarei retomando as atividades e planejando a nova versão.

Desejo a todos um ótimo natal com suas famílias e que 2010 seja um ano repleto de novos desafios e oportunidades.

[]sss ...

quinta-feira, 19 de novembro de 2009

Second-hand ATM trade opens up fraud risk



Fonte:
http://www.theregister.co.uk/2009/11/18/second_hand_atm_fraud_risk/

quarta-feira, 21 de outubro de 2009

Questionário de avaliação

Após o lançamento da primeira versão do OpenPCI Toolkit, estou disponibilizando um pequeno questionário que será utilizado para avaliar se este projeto está atingindo seu objetivo inicial e também para implementar melhorias futuras.

São apenas 4 perguntas e um espaço livre para comentários e sugestões.

Conto com a participação de todos!

Para acessar o questionário de avaliação clique aqui -> Questionário

domingo, 18 de outubro de 2009

OpenPCI Toolkit disponível para download

A primeira versão do OpenPCI Toolkit já está disponível para download. Algumas informações importantes para que for utilizar a versão 1.0:

1 - Esta versão ainda não possui instalada as ferramentas OpenIAM e StrongKey.
2 - O usuário padrão do sistema é pci-dss e a senha é compliance. Não se esqueça de trocar a senha!
2 - A instalação só está funcionando quando a opção live é selecionada na inicialização. Após carregar o ambiente gráfico, acesse o menu Ferramentas, Administração e clique em Instalar o OpenPCI Toolkit no computador.
3 - O md5 da imagem é 0de268a71173a6fffa642e3724f745b3

Já estou trabalhando na nova versão e em breve estarei divulgando as novidades.

A imagem ISO está disponível no site do Código Livre e em breve estará no FTP da Unicamp também.



Gostaria de agradecer ao pessoal do Código Livre e ao Rubens Queiroz (Dicas-L) pelo apoio na hospedagem da imagem ISO.

Dúvidas e sugestões podem ser encaminhadas aqui no blog ou pelo e-mail fjdapper@gmail.com

quinta-feira, 1 de outubro de 2009

Retornando do sbseg

Retornei ontem de Campinas onde apresentei o OpenPCI Toolkit no sbseg 2009, evento realizado no centro de convenções da Unicamp.

Apesar do pouco tempo (+-20 minutos) para apresentação, o resultado foi positivo. Conversei com alguns profissionais certificados pelo PCI Council (QSA - Qualified Security Assessors) e percebi que o projeto poderá ter uma boa aceitação pelas empresas e profissionais envolvidos com as atividades de adequação ao PCI DSS.

Estou trabalhando para disponibilizar ainda na primeira quinzena de outubro a primeira versão do toolkit para que mais pessoas possam testar e avaliar.

A apresentação utilizada está disponível no slideshare.



Em breve, mais informações!

segunda-feira, 28 de setembro de 2009

OpenPCI Toolkit Tools

Publiquei no youtube mais um vídeo da execução de algumas ferramentas que fazem parte do OpenPCI Toolkit.



Amanhã estarei na Unicamp em Campinas participando do SBSEG e acredito que na primeira semana de outubro estarei disponibilizando uma imagem ISO para quem quiser testar o OpenPCI Toolkit.

[]sss ...

sexta-feira, 25 de setembro de 2009

OpenPCI Toolkit em ação

Coloquei no youtube um pequeno vídeo que mostra na prática o funcionamento básico do OpenPCI Toolkit.



Em breve novos vídeos!

quinta-feira, 3 de setembro de 2009

Novas telas do OpenPCI Toolkit

Estou colocando mais algumas telas do ambiente de trabalho do OpenPCI Toolkit. Provavelmente irei mudar algumas coisas na parte de apresentação para o usuário, mas ainda não tenho definido como ficará o layout final.

1 - Tela de login


2 - Área de trabalho


Sugestões são muito bem vindas!

sexta-feira, 28 de agosto de 2009

Skimming Prevention: Best Practices for Merchants

O PCI Council disponibilizou um novo documento explicando como funciona as técnicas de skimming e as melhores práticas para proteção nos estabelecimentos comerciais.

As técnicas de skimming consistem basicamente em duas atividades por parte dos carders:

1 - A clonagem do cartão em terminais de venda (POS) ou nos terminais de bancos (ATM) através do famoso chupa-cabra que irá copiar os dados contidos na tarja magnética.




2 - A captura da senha pessoal do portador do cartão (PIN), através de câmeras de vídeo instaladas perto do terminal.



Dicas úteis:

- Não aceite ajuda de estranhos quando estiver utilizando algum terminal eletrônico do banco. Caso precise de auxílio, procure por um funcionário do banco.
- Cuide se ao digitar sua senha pessoal, alguém está muito próximo de você.
- Cobre do gerente do seu banco sobre os recursos de segurança física disponíveis na agência, como vigias e câmeras de vídeo.
- Não perca de vista o seu cartão. Caso seja necessário, acompanhe o funcionário do estabelecimento até o POS.

Links relacionados:

https://www.pcisecuritystandards.org/docs/skimming_prevention_form.zip

quarta-feira, 26 de agosto de 2009

OpenPCI Toolkit no SBSeg 2009


Em Setembro estarei em Campinas (Unicamp), participando do IX Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) para apresentar o OpenPCI Toolkit. Acredito que o interesse por assuntos envolvendo fraudes com cartões e a necessidade de aderência ao PCI DSS aumente cada vez mais, seja no meio acadêmico, como na sociedade em geral.

Também lembrando que este trabalho tem co-autoria do professor e coordenador do curso superior em Segurança da Informação (Unisinos), Leonardo Lemes Fagundes (Auditor Líder ISO 27001).


Dear Juliano Dapper,

We are delighted to inform you that your submission #60694 to SBSeg 2009, "OpenPCI: Um toolkit para atender os requisitos técnicos do PCI DSS", has been accepted. Congratulations! This year we had 22 extended abstract submissions, which went through a rigorous, double-blind selection process by the Technical Program Committee. Out of the 22 abstracts submitted, only 9 were accepted.



Links relacionados:

http://sbseg2009.inf.ufsm.br/sbseg2009/
http://www.exatec.unisinos.br/_professores/gerador.php?professor=leo

sexta-feira, 21 de agosto de 2009

Radisson Hotels Suffer Data Breach


Mais um caso de comprometimento de dados de cartão, agora em uma rede de hotéis (USA e Canada).

"Between November 2008 and May 2009, the computer systems of some Radisson Hotels & Resorts in the U.S. and Canada were accessed without authorization. This past spring, the company was able to confirm an intrusion. The investigation is ongoing".

"The accessed computer systems contained guest information such as the name printed on a credit or debit card, the account number and the expiration date on the card. "We do not know, however, whether a particular name, credit or debit card number or card expiration date were in fact accessed or taken," he says".

The hotel says at this time, "it appears to be an unauthorized attack from an outside source, and have no reason to believe it was an insider."

Links relacionados:

http://www.bankinfosecurity.com/articles.php?art_id=1721
http://www.radisson.com/openletter/openletter.html
http://www.radisson.com/openletter/openletter-faq.html

quarta-feira, 19 de agosto de 2009

Racker roubou dados de milhões de cartões de crédito


Apesar do erro de escrita (Racker), a notícia é muito relevante e já foi amplamente divulgada em diversos sites do mundo. BTW, o termo mais correto para este tipo de quadrilha é carders.

Coloco aqui algumas partes do que diz um documento da corte de New Jersey (USA) sobre o caso:

Defendant Albert Gonzalez, a/k/a “segvec,” a/k/a “soupnazi,” a/k/a “j4guar17” (“GONZALEZ”), resided in or near Miami, Florida.

Methods of Hacking Utilized by Defendants.

“SQL Injection Attacks” were methods of hacking into and gaining unauthorized access to computers connected to the Internet.

“Malware” was malicious computer software programmed to, among other things, identify, store, and export information on computers that were hacked, including information such as credit and debit card numbers and corresponding personal identification information of cardholders (“Card Data”), as well as to evade detection by anti-virus programs running on those computers.

Beginning on or about December 26, 2007, Heartland was the victim of a SQL
- 3 - Injection Attack on its corporate computer network that resulted in malware being placed on its payment processing system and the theft of more than approximately 130 million credit and debit card numbers and corresponding Card Data.


Links relacionados:

http://jornalnacional.globo.com/Telejornais/JN/0,,MUL1271975-10406,00-RACKER+ROUBOU+DADOS+DE+MILHOES+DE+CARTOES+DE+CREDITO.html

http://www.wired.com/threatlevel/2009/08/tjx-hacker-charged-with-heartland/

terça-feira, 18 de agosto de 2009

Self-Assessment Questionnaire

O Self-Assessment Questionnaire (SAQ) é um documento disponibilizado pelo PCI Council e que pode ser utilizado para a auto-avaliação das empresas (Merchant e Service Providers) em relação ao seus nível de conformidade com o PCI DSS.

O SAQ será a base para a construção do Instrumento para Análise de Aderência com o PCI DSS disponível no OpenPCI Toolkit.

Após marcar quais requisitos do PCI DSS a empresa ainda não atende, o instrumento para análise de aderência irá gerar um relatório de não-conformidade, indicando qual ferramenta disponível no toolkit poderá ser utilizada para atender a não-conformidade.

Mas lembre-se! O foco do OpenPCI Toolkit é auxiliar somente no atendimento dos requisitos técnicos do PCI DSS, como implementação de firewall, análise de vulnerabilidades, etc.

segunda-feira, 10 de agosto de 2009

Não basta ser pai, tem que participar.

Tinha um comercial antigo da Gelol que usava essa frase e podemos trazer ela para o contexto dos meios de pagamento eletrônico.

Não basta ser "compliant", tem que agir e melhorar nas questões relacionadas a proteção dos dados do portador do cartão.

Não existe sistema 100% seguro, apesar de alguns mágicos da área de SI e TI venderem isso como uma verdade absoluta :-)

http://www.bankinfosecurity.com/articles.php?art_id=1691&pg=1

quinta-feira, 6 de agosto de 2009

Clonagem de cartões no Brasil aumenta quase 50%

Bandidos fingem que são técnicos de manutenção e substituem os aparelhos por outros preparados para fraude. Nos caixas eletrônicos, trocam peças e roubam números e senhas.

http://jornalnacional.globo.com/Telejornais/JN/0,,MUL1257829-10406,00-CLONAGEM+DE+CARTOES+NO+BRASIL+AUMENTA+QUASE.html

The Real Cost of Data Breach ... continuação

Da série, quanto custa não investir em segurança.

Heartland Says Breach Has Cost It $32 Million This Year, Including $22.1 Million In Card Brand Fines, Settlement Offer.

Heartland Payment Systems on Tuesday (Aug. 4) said it spent $32 million this year paying for costs related to the major data breach it disclosed in January, including $22.1 million to cover fines from key payment card brands and a settlement offer. Heartland did not say how the $22.1 million was split between the fines and the settlement offer, but it did provide clues.

For example, the breach costs of just the second quarter came to $19.4 million and it said that the “majority” of those costs was for the settlement offer, suggesting that the settlement was more than $9.7 million. Legal fees make that precise calculation tricky as well as the lack of a percentage of that majority. “The remainder of the expenses and accruals related to the Processing System Intrusion recorded in the three and six months ended June 30, 2009 were primarily for legal fees and costs the Company incurred for investigations, remedial actions and crisis management services,” Heartland said.

Fonte:
http://www.storefrontbacktalk.com/securityfraud/heartland-says-breach-has-cost-it-32-million-this-year-including-22-1-million-in-card-brand-fines-settlement-offer/

terça-feira, 4 de agosto de 2009

The Real Cost of Data Breach

what is the real cost of data breach? The short answer is more than you think, rising all the time, and more likely to hit you than you’d like to believe.

É caro investir em segurança? Seu diretor não consegue entender porque motivos ele deveria investir em treinamento/educação para os colaboradores, apoiar a criação de um SGSI (Sistema de Gestão de Segurança da Informação) ou o seu programa de compliance com o PCI DSS ?

Talvez o artigo do Robert Halsey ajude ele :-)

http://www.pcicomplianceguide.org/merchants-20090416-cost-data-breach.php

segunda-feira, 3 de agosto de 2009

Data Breach Report

Pesquisei alguns casos de comprometimento de cartões de crédito e débito nos últimos anos. Algumas das empresas envolvidas publicaram notas oficiais e até criaram sites específicos para divulgar o incidente. A pesquisa ainda continua ....




Fonte:
https://www.pcisecuritystandards.org/pdfs/DataBreachesArticle.pdf
http://www.bankinfosecurity.com
http://www.careandprotect.com
http://www.2008breach.com
http://www.privacyrights.org/ar/ChronDataBreaches.htm

domingo, 2 de agosto de 2009

Quer conhecer mais sobre o PCI DSS?

O PCI DSS é um padrão de segurança criado pelas bandeiras de cartão de crédito com o objetivo de criar mecanismos para a proteção dos dados do portador de cartão.

Para quem quer conhecer mais sobre este padrão e não dispõem de recursos para comprar livros, recomendo a leitura do artigo escrito pelo Eduardo Neves da Conviso.

http://camargoneves.com/archives/3

Boa leitura!

sábado, 1 de agosto de 2009

Network Solutions Data Breach: 573,000 Cardholders at Risk

"To add more pain to the breach, Network Solutions says it was PCI compliant at the time of the breach".

O que será que eles querem provar com isso? De qualquer forma o Bob Russo (General Manager do PCI Council) respondeu.

"Just because a company has passed its compliance validation, it doesn't mean that the need for vigilance of security measures should stop."

"Until a forensics investigation is completed, an organization can not comment accurately on its compliance status."

"Security doesn't stop with PCI compliance validation."

Mais informações em:
http://www.bankinfosecurity.com/articles.php?art_id=1660&rf=073109eb
http://www.careandprotect.com

sexta-feira, 31 de julho de 2009

Clonagem de cartões

Clonagem, chupa-cabra, tarja magnética, carder ...

Nomes estranhos para a maioria da população brasileira, mas que começam a ganhar espaço na mídia. Assista a dois vídeos que tratam deste assunto e aprenda a como tentar se proteger.

http://www.grupoctv.com.br/g-ctv/cli/i_video100.asp?cod=56642

http://www.clippingtv.com.br/upload/imagem_video/69351.wmv

Blogs interessantes

Alguns blogs que costumo acompanhar e que abordam assuntos envolvendo o PCI DSS e a indústria de cartões de pagamento.

http://www.bankinfosecurity.com/

http://www.storefrontbacktalk.com/

http://chuvakin.blogspot.com/

http://pcianswers.com/

http://www.paymentsystemsblog.com/

http://blog.elementps.com/

http://www.pcicomplianceguide.org/

http://www.finextra.com/

http://www.securitim.com/blog.html

http://www.privacyrights.org/ar/ChronDataBreaches.htm

Boa leitura!

Livros sobre PCI DSS

Já comprei vários livros, alguns bons outros nem tanto. Quando o assunto é PCI DSS, a literatura ainda é pequena se comparado com outros tópicos da área de segurança.

Indico aqui três publicações que podem auxiliar a conhecer um pouco mais sobre tudo que envolve este assunto.

Payment Card Industry Data Security Standard Handbook
http://www.amazon.com/Payment-Industry-Security-Standard-Handbook/dp/0470260467/ref=sr_1_1?ie=UTF8&s=books&qid=1249072798&sr=8-1

PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance
http://www.amazon.com/PCI-Compliance-Understand-Implement-Effective/dp/1597491659/ref=sr_1_3?ie=UTF8&s=books&qid=1249072798&sr=8-3

PCI Compliance for Dummies
http://www.qualys.com/forms/ebook/pcifordummies/

Boa leitura!

Artigo para Antebellum

Com um pouco de atraso, mas ainda está valendo :-)

Artigo que escrevi para a revista eletrônica da ISSA Brasil, falando sobre o processo de conformidade com o PCI DSS.

http://www.issabrasil.org/wp-content/uploads/2008/10/antebellum006.pdf

Starting OpenPCI Toolkit.