P4ym3n7 5 Fr4ud. Javier Perez-Gabriel Bergel/ Congreso Seguridad en Computo 2014

Transcripción

1 P4ym3n7 5 Fr4ud Javier Perez-Gabriel Bergel/ Congreso Seguridad en Computo 2014

2 Contexto Point of Sale (POS) Crimen Organizado Modalidades de Fraude Modelos de POS Vulnerados Noticias Videos Contramedidas: EMV PCI DSS 3.0 Sistemas de Pagos NFC NFC - Tipos de comunicación NFC - Mifare Crypto 1 NFC - Mifare Crypto 1: Ataques NFC - Mifare Crypto 1: Ataques : Herramientas NFC - Mifare Crypto 1 - DEMO Ataque NFC - Tarjetas de Crédito y Debito NFC - Tarjetas de Crédito y Debito Como Protegerse Recomendaciones Conclusiones

3 P4ym3nt 5 Fr4ud

4 Contexto

5 Point of Sale (POS) 2 marcas principales en Latam: Verifone (USA) e Ingenico (Francia). Sistema Operativo propietario, Linux. Poseen tamper (secuencial y paralelo). Poseen Hardware Security Module (HSM) para llaves de encriptacion. Soportan protocolos de encriptación (DES, 3DES, DUKPT). Control de acceso con clave, perfiles. Cumplen con normativa PCI PTS ( )

6

7 Crimen Organizado Tienen la motivación. Tienen tiempo. Conocimientos tecnicos, know how. Estan muy organizados y comparten la información. Negocio muy lucrativo, genera igual o mas dividendos que el Narcotrafico

8 Modalidades de Fraude Skimmer clasico, no depende de la tecnologia (pasado de moda). Extraccion y Copia de la data almacenada en POS (almacenamiento local y no encriptada). Evesdroping (Dial Up) POS Fantasma o de Palo (software factory, SO no firmado) Tampering: Circuito integrado (cabezal magnetico y Pinpad) + Memoria Circuito integrado + Bluetooth (Activo, on demand) Circuito integrado + GPRS, GSM

9

10

11

12

13 Modelos de POS Vulnerados VX 510 VX 670 Pinpad VX800 Pinpad VX Pinpad 3070 Todos PCI PTS 1.0, en proceso de caducación, ya no se pueden comprar mas equipos despues de abril 2014.

14 Noticias

15 Videos

16 Contramedidas: EMV PCI DSS 3.0 El estándar EMV define la interacción entre las tarjetas IC y los dispositivos de procesamiento de tarjetas IC a nivel físico, eléctrico, de datos y de aplicación, para transacciones finales S.J. Murdoch, S. Drimer, R Anderson, M Bond, Chip and Pin is Broken University of Cambridge A. Barisani, D. Bianco, A. Lauri, Z. Franken Chip & PIN is Definitely Broken Vulnerabilidades: Permite comprar sin PIN CVM Downgrade Schim, Skimer para Chip Y PCI DSS 3.0?

17 Sistemas de Pago NFC

18 NFC NEAR FIELD COMUNICATION - Conjunto de protocolos- Comunicación entre 2 dispositivos - Basados en estándares de RFID - ISO Frecuencia MHz- Menos de 4 cms.

19

20 NFC - Tipos de comunicación Pasivo: El dispositivo Iniciador genera el campo electromagnético y el dispositivo destino se comunica con éste modulando la señal recibida. En este modo, el dispositivo destino obtiene la energía necesaria para funcionar del campo electromagnético generado por el Iniciador.

21 NFC - Tipos de comunicación Activo: Tanto el dispositivo Iniciador como el destino se comunican generando su propio campo electromagnético. En este modo, ambos dispositivos requieren de una fuente de alimentación para funcionar.

22

23 NFC - Mifare Crypto 1 Karsten Nohl y Henryk Ploetz, presentaron la ingeniería inversa de la criptografia de los chips MIFARE Classic en diciembre de 2007 en la edición número 24 del Chaos Computer Congress de Berlín, para ello usaron un microscopio ademas de un lector RFID open-source.

24 NFC - Mifare Crypto 1: Ataques Tres ataques conocidos1. - Interceptar el trafico (ProxmarkIII+CRAPTO1) - Llaves por defecto (NESTED)3. - Sin llaves (DarkSide Attack)

25 NFC - Mifare Crypto 1: Ataques : Herramientas 1.- Proxmark III: Es un dispositivo que permite interceptar, leer, escribir,emular y clonar tarjetas RFID. Implementa el estandar ISO14443a el cual es usado por Mifare para la comunicacion -

26 NFC - Mifare Crypto 1 - DEMO Ataque Transporte Chile: Transantiago y Metro Tarjeta Mifare: bip!

27 NFC - Mifare Crypto 1 - DEMO Ataque Transporte Chile: Transantiago y Metro Tarjeta Mifare: bip!

28 NFC - Tarjetas de Crédito y Debito - Nombre y Apellidos. - Número de tarjeta de crédito. - Fecha de Caducidad. - Track2 de la banda magnética. - Historial de compras.

29 NFC - Tarjetas de Crédito y Debito Hacking the NFC credit cards for fun and debit ;) Renaud Lifchitz - renaud.lifchitz@oppida.fr 8.8 Computer Security Conference October 24-25, 2013 Santiago, Chile

30 NFC - Tarjetas de Crédito y Debito

31 NFC - Tarjetas de Crédito y Debito Como Protegerse o también

32 Recomendaciones Mantener un inventario, Auditar el inventario. Hacer Ethical Hacking a los POS, ATM, etc. A todo!!!!(por lo menos anual). Auditar nuevos protocolos como EMV, NFC, etc. Modificar, afinar los sistemas de monitoreo y detección de fraude. Incluir al área de Riesgos o Seguridad de la Información en los procesos de compra de nuevas tecnologías. Cumplir con la exigencias de las marcas. Capacitar y sensibilizar a los colaboradores, proveedores sobre estos riesgos. Compartir la información, investigaciones e incidentes, actuar en bloque, como industria.

33 Conclusiones La tecnología avanza. Avanzan las modalidades de fraude. El fraude es parte del negocio, se deben buscar las formas de disminuirlo, no se puede eliminar Es necesario adelantarse a las amenazas, mas inteligencia Compre con billetes ;)

34 GRACIAS Gabriel Javier