P4ym3n7 5 Fr4ud - UNAM · 2015-06-24 · Contramedidas: EMV – PCI DSS 3.0 El estándar EMV define...
Transcript of P4ym3n7 5 Fr4ud - UNAM · 2015-06-24 · Contramedidas: EMV – PCI DSS 3.0 El estándar EMV define...
Javier Perez-Gabriel Bergel/
Congreso Seguridad en Computo 2014
P4ym3n7´5 Fr4ud
Contexto
Point of Sale (POS)
Crimen Organizado
Modalidades de Fraude
Modelos de POS Vulnerados
Noticias
Videos
Contramedidas: EMV – PCI DSS 3.0
Sistemas de Pagos NFC
• NFC - Tipos de comunicación
• NFC - Mifare Crypto 1
• NFC - Mifare Crypto 1: Ataques
• NFC - Mifare Crypto 1: Ataques : Herramientas
• NFC - Mifare Crypto 1 - DEMO Ataque
• NFC - Tarjetas de Crédito y Debito
• NFC - Tarjetas de Crédito y Debito Como Protegerse
Recomendaciones
Conclusiones
P4ym3nt´5 Fr4ud
Contexto
Point of Sale (POS)
2 marcas principales en Latam: Verifone (USA) e Ingenico (Francia).
Sistema Operativo propietario, Linux. Poseen tamper (secuencial y paralelo). Poseen Hardware Security Module (HSM) para llaves de
encriptacion. Soportan protocolos de encriptación (DES, 3DES,
DUKPT). Control de acceso con clave, perfiles. Cumplen con normativa PCI PTS (1.0-4.0)
• Tienen la motivación. • Tienen tiempo. • Conocimientos tecnicos, know how. • Estan muy organizados y
“comparten la información”. • Negocio muy lucrativo, genera igual
o mas dividendos que el Narcotrafico
Crimen Organizado
Modalidades de Fraude
Skimmer clasico, no depende de la tecnologia (pasado de moda).
Extraccion y Copia de la data almacenada en POS (almacenamiento local y no encriptada).
Evesdroping (Dial Up) POS Fantasma o de Palo (software factory, SO no
firmado) Tampering:
Circuito integrado (cabezal magnetico y Pinpad) + Memoria
Circuito integrado + Bluetooth (Activo, on demand) Circuito integrado + GPRS, GSM
Modelos de POS Vulnerados
VX 510 VX 670 Pinpad VX800 Pinpad VX810
Todos PCI PTS 1.0, en proceso de caducación, ya no se pueden comprar mas equipos despues de abril 2014.
5100 Pinpad 3070
Noticias
Videos
https://www.youtube.com/watch?v=Bw6Ah8RXcLg
https://www.youtube.com/watch?v=eyR_rY0lgHM
https://www.youtube.com/watch?v=UdAIvxbnTkA
https://www.youtube.com/watch?v=5rETaIUYXZo
Contramedidas: EMV – PCI DSS 3.0
El estándar EMV define la interacción entre las tarjetas IC y los dispositivos de procesamiento de tarjetas IC a nivel físico, eléctrico, de datos y de aplicación, para transacciones finales. 2010 S.J. Murdoch, S. Drimer, R Anderson, M Bond, “Chip and Pin is Broken” – University of Cambridge. 2011 A. Barisani, D. Bianco, A. Lauri, Z. Franken “Chip & PIN is Definitely Broken” Vulnerabilidades:
Permite comprar sin PIN CVM Downgrade Schim, Skimer para Chip
…Y PCI DSS 3.0?
Sistemas de Pago
NFC
NFC
NEAR FIELD COMUNICATION - Conjunto de protocolos- Comunicación entre 2
dispositivos - Basados en estándares de RFID - ISO 14443 - Frecuencia 13.56 MHz- Menos de 4 cms.
NFC - Tipos de comunicación
Pasivo: El dispositivo Iniciador genera el campo electromagnético y el dispositivo destino se comunica con éste modulando la señal recibida. En este modo, el dispositivo destino obtiene la energía necesaria para funcionar del campo electromagnético generado por el Iniciador.
NFC - Tipos de comunicación
Activo: Tanto el dispositivo Iniciador como el destino se comunican generando su propio campo electromagnético. En este modo, ambos dispositivos requieren de una fuente de alimentación para funcionar.
NFC - Mifare Crypto 1
Karsten Nohl y Henryk Ploetz, presentaron la ingeniería inversa de la criptografia de los chips MIFARE Classic en diciembre de 2007 en la edición número 24 del Chaos Computer Congress de Berlín, para ello usaron un microscopio ademas de un lector RFID open-source.
NFC - Mifare Crypto 1: Ataques
Tres ataques conocidos1. - Interceptar el trafico (ProxmarkIII+CRAPTO1) - Llaves por defecto (NESTED)3. - Sin llaves (DarkSide Attack)
NFC - Mifare Crypto 1: Ataques : Herramientas
1.- Proxmark III: Es un dispositivo que permite interceptar, leer, escribir,emular y clonar tarjetas RFID. Implementa el estandar ISO14443a el cual es usado por Mifare para la comunicacion - http://proxmark3.com/
NFC - Mifare Crypto 1 - DEMO Ataque
Transporte Chile: “Transantiago” y “Metro” Tarjeta Mifare: “ bip!”
NFC - Mifare Crypto 1 - DEMO Ataque
Transporte Chile: “Transantiago” y “Metro” Tarjeta Mifare: “ bip!”
NFC - Tarjetas de Crédito y Debito
- Nombre y Apellidos. - Número de tarjeta de crédito. - Fecha de Caducidad. - Track2 de la banda magnética. - Historial de compras.
NFC - Tarjetas de Crédito y Debito
“Hacking the NFC credit cards for fun and debit ;)” Renaud Lifchitz - [email protected] 8.8 Computer Security Conference October 24-25, 2013 – Santiago, Chile
NFC - Tarjetas de Crédito y Debito
NFC - Tarjetas de Crédito y Debito Como Protegerse
o también ……
Recomendaciones
Mantener un inventario, Auditar el inventario. Hacer Ethical Hacking a los POS, ATM, etc. A todo!!!!(por lo menos anual). Auditar nuevos protocolos como EMV, NFC, etc. Modificar, afinar los sistemas de monitoreo y detección de fraude. Incluir al área de Riesgos o Seguridad de la Información en los procesos de compra de nuevas tecnologías. Cumplir con la exigencias de las marcas. Capacitar y sensibilizar a los colaboradores, proveedores sobre estos riesgos. “Compartir” la información, investigaciones e incidentes, actuar en bloque, como industria.
Conclusiones
La tecnología avanza…. Avanzan las modalidades de fraude. El fraude es parte del negocio, se deben buscar las formas de disminuirlo, no se puede eliminar… Es necesario adelantarse a las amenazas, mas inteligencia… Compre con billetes ;)