Безопасность платежных приложений, стандарт PA DSS
- 1. Безопасность платежных приложений, стандарт PA-DSS Александр Поляков,Digital Security Руководитель направления аудита ИБ, PCI QSA, PA-QSA Руководитель исследовательской лаборатории DSecRG
- 2. Безопасность платѐжных приложений, стандарт PA-DSS Безопасность приложений Attack Vector Looking deeper into hacking activity, it is apparent that the bulk of attacks continues to target applications and services rather than the operating systems or platforms on which they run. Of these, remote access services and web applications were the vector through which the attacker gained access to corporate systems in the vast majority of cases. While network devices do sometimes serve as the avenue of attack, it was considerably less often in 2008. На лицо глобальная тенденция По данным “Verizon 2009 Data Breach Investigations Report” http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf © 2002—2010, Digital Security 2
- 3. Безопасность платёжных приложений, стандарт PA-DSS Безопасность приложений • По данным IBM X-Force в базе порядка 44000 уязвимостей в различном ПО на 2009 год • Исследовательский центр DSecRG – обнаружено порядка 150 уязвимостей за 2009 и порядка 250 уязвимостей за 2008 • В мире десятки компаний, которые ищут уязвимости • Огромное количество независимых исследователей http://dsec.ru/press_releases/?news_id=187 http://www.risspa.ru/ibm_midyear_security_report_2009 © 2002—2010, Digital Security 3
- 4. Безопасность платёжных приложений, стандарт PA-DSS Распределение атак по типам приложений По данным Verizon 2009 Data Breach Investigations Report http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf © 2002—2010, Digital Security 4
- 5. Безопасность платёжных приложений, стандарт PA-DSS Что крадут? Verizon: 85% карточные данные Trustwave: 98% карточные данные http://www.blackhat.com/presentations/bh-dc-10/Percoco_Nicholas/BlackHat-DC-2010-Percoco-Global-Security-Report-2010-slides.pd http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf © 2002—2010, Digital Security 5
- 6. Безопасность платёжных приложений, стандарт PA-DSS Процент соответствия PCI DSS на момент инцидента Verizon: Trustwave: http://www.blackhat.com/presentations/bh-dc-10/Percoco_Nicholas/BlackHat-DC-2010-Percoco-Global-Security-Report-2010-slides.pd http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf © 2002—2010, Digital Security 6
- 7. Безопасность платёжных приложений, стандарт PA-DSS Образ грабителя Раньше Сейчас © 2002—2010, Digital Security 7
- 8. Безопасность платёжных приложений, стандарт PA-DSS http://pcworld.about.com/od/webbasedapplications/PCI-App-Security-Who-s-Guardi.htm © 2002—2010, Digital Security 8
- 9. Безопасность платёжных приложений, стандарт PA-DSS Application security is at the Умный в гору не пойдѐт heart of the Payment Card Industry (PCI) security standards and requirements. In the last few years, data breaches have resulted in hundreds of millions of data records being compromised. In most of these cases, the firewalls worked, the encryption worked, the logging worked, but the application contained security holes which obviated much of the security. It's like barring the front doors to the bank and leaving a back window open. http://pcworld.about.com/od/webbasedapplications/PCI-App-Security-Who-s-Guardi.htm © 2002—2010, Digital Security 9
- 10. Безопасность платёжных приложений, стандарт PA-DSS Прямые потери в США На данный момент прямые потери финансовых структур от мошенничества на территории США составляют 7,5 млрд. долларов в год. Равносильно стоимости 50 островов размером 100 акров! © 2002—2010, Digital Security 10
- 11. Безопасность платёжных приложений, стандарт PA-DSS Прямые потери в других странах В России По оценкам российской Ассоциации региональных банков России (АРБР), годовой ущерб от действий кардеров на территории РФ уже превысил 30 млн $ http://www.itsec.ru/articles2/research/plastikovye-voiyny В Англии По данным APACS на 6 июля 2009 г фрод насчитывал £328.4m (~500 млн$) . Из отчѐта компании 7Safe http://www.7safe.com/breach_report/Breach_report_2010.pdf © 2002—2010, Digital Security 11
- 12. Безопасность платёжных приложений, стандарт PA-DSS Непрямые потери 44% за день! В 10 раз за неделю! http://www.itsec.ru/articles2/research/plastikovye-voiyny © 2002—2010, Digital Security 12
- 13. Безопасность платёжных приложений, стандарт PA-DSS Что делать? © 2002—2010, Digital Security 13
- 14. Безопасность платёжных приложений, стандарт PA-DSS Появление PA-DSS PABP (2005) PCI DSS (2006) PA-DSS (2008) © 2002—2010, Digital Security 14
- 15. Безопасность платѐжных приложений, стандарт PA-DSS Стандарт PA-DSS 1. Требования стандарта PA-DSS распространяются на коммерческие приложения, которые обеспечивают процесс авторизации или settlement в случае продажи этих приложений. 2. Основной целью стандарта PA-DSS является обеспечение: 1. Безопасности приложений 2. Совместимости платежных приложений с требованиями PCI DSS 3. Платежные приложения должны помогать и не препятствовать PCI DSS соответствию • Track хранится после авторизации; • Приложение требует отключения тех или иных защитных механизмов, требуемых для PCI DSS (к примеру, антивирусы и файерволы); • Производитель использует небезопасный метод удаленного доступа к приложению для поддержки. © 2002—2010, Digital Security 15
- 16. Безопасность платѐжных приложений, стандарт PA-DSS Применимость стандарта PA-DSS 1. Требования стандарта распространяются на приложения, продаваемые на рынке неограниченному кругу покупателей 2. Требования стандарта распространяются на приложения, состоящие из нескольких модулей • Стандарт охватывает только тот модуль, который непосредственно выполняет платежные функции, если его можно выделить, и это подтверждено PA-QSA • Если другие модули участвуют в платежных функциях, они также попадают под требования стандарта © 2002—2010, Digital Security 16
- 17. Безопасность платѐжных приложений, стандарт PA-DSS Применимость стандарта PA-DSS 1. Требования стандарта не распространяются на приложения собственной разработки и приложения, разработанные на заказ для единственного клиента 2. К платежным приложениям, проверяемым по PA DSS, не относятся Операционные системы, СУБД, Back-Office системы, хранящие карточные данные © 2002—2010, Digital Security 17
- 18. Безопасность платёжных приложений, стандарт PA-DSS Стандарт PA-DSS 14 требований, 3 области: • безопасность приложения • процедуры разработки • наличие и полнота “Implementation Guide” Implementation Guide – руководство по безопасному внедрению приложения © 2002—2010, Digital Security 18
- 19. Безопасность платёжных приложений, стандарт PA-DSS Требования, отвечающие за безопасность приложения • Таких требований большинство • Описывают все аспекты безопасности приложений, такие как: • Проверка на наличие программных уязвимостей (OWASP) • Проверка с использованием Forensic tools на отсутствие хранения критичных авторизационных данных • Шифрование и управление ключами • Безопасные настройки по умолчанию • Наличие средств протоколирования событий в соответствии с PCI DSS © 2002—2010, Digital Security 19
- 20. Безопасность платёжных приложений, стандарт PA-DSS Требования, отвечающие за безопасность приложения • Пентест – НЕ сканирование • Анализ защищенности приложения – НЕ ТОЛЬКО запуск статического анализатора и фаззинг • Существует огромный пласт логических ошибок © 2002—2010, Digital Security 20
- 21. Безопасность платёжных приложений, стандарт PA-DSS Проблемы безопасности приложений Trustwave: Логические ошибки 2 место Censic: Привилегии и контроль доступа 2 место (22%) http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q1-Q2-2009.pd http://www.blackhat.com/presentations/bh-dc-10/Percoco_Nicholas/BlackHat-DC-2010-Percoco-Global-Security-Report-2010-slides.pd © 2002—2010, Digital Security 21
- 22. Безопасность платёжных приложений, стандарт PA-DSS Логические ошибки: Пример • Есть приложение, которое хранит PAN в СУБД • Согласно требованию 3.3 – в одной из таблиц находятся маскированные PAN (только первые 6 и последние 4 символа) • Следуя требованию 3.4, в другой таблице PAN хранится в виде хеш-значения (используется sha1) Безопасно или нет? http://superconductor.voltage.com/2010/11/its-possible-to-comply-with-the-pci-dss-yet-provide-essentially- no-protection-to-credit-card-numbers-heres-why--secti.html © 2002—2010, Digital Security 22
- 23. Безопасность платёжных приложений, стандарт PA-DSS Требования, проверяющие процедуры разработки Описывают аспекты разработки приложений, такие как: • Разработка приложений в соответствии с требованиями безопасности • Разработка web-приложений в соответствии с требованиями безопасности (OWASP) • Наличие процедур контроля изменений • Разделение обязанностей разработки и тестирования • Процедуры выявления новых уязвимостей и подписка на рассылки • Процедуры безопасной установки обновлений © 2002—2010, Digital Security 23
- 24. Безопасность платёжных приложений, стандарт PA-DSS Требования, проверяющие наличие и полноту “Implementation Guide” Описывают аспекты безопасной установки и настройки приложений в соответствии с требованиями PCI DSS • Описание безопасного внедрения в случае наличия беспроводных сетей • Инструкция по удалению данных после окончания срока хранения • Инструкции о запрете хранения данных о платежных картах в системах доступных из Интернет • Инструкции по использованию двухфакторной аутентификации • Инструкции по использованию шифрования при передаче данных по открытым сетям © 2002—2010, Digital Security 24
- 25. Безопасность платёжных приложений, стандарт PA-DSS Процесс прохождения сертификации • Работа на стороне заказчика Сильно зависит от готовности клиента • Производитель желает пройти сертификацию • Выбирает PA-QSA • PA-QSA проводит анализ безопасности приложения • Работа на стороне PCI SSC (1-3 месяца) Зависит от “правильности” отчета • PA-QSA отправляет отчет в PCI SSC • PCI SSC отправляет подтверждение • Приложение появляется на сайте © 2002—2010, Digital Security 25
- 26. Безопасность платёжных приложений, стандарт PA-DSS Листинг Сейчас ~700 приложений. До PA-DSS было ~200 приложений по PABP © 2002—2010, Digital Security 26
- 27. Безопасность платёжных приложений, стандарт PA-DSS Послесертификационные процедуры • Внесение изменений в список PA-DSS приложений • Значительные изменения в приложении – перепроверка • Незначительные изменения в приложении • Нет изменений © 2002—2010, Digital Security 27
- 28. Безопасность платёжных приложений, стандарт PA-DSS Процесс принятия несущественных изменений • Производитель подготавливает документ по анализу изменений • Отправляет список изменений своему PA-QSA • PA-QSA проверяет документ по анализу изменений • Если есть влияние на PA-DSS – стараемся его избежать • Если невозможно, то изменения рассматриваются как существенные • Если изменения не влияют на PA-DSS, и это подтверждено PA-QSA, то заполняется Self-attestation, подписывается PA-QSA и отправляется в Совет © 2002—2010, Digital Security 28
- 29. Безопасность платёжных приложений, стандарт PA-DSS Процесс ежегодной перепроверки • Формальная процедура • За 60 дней до назначенной даты перепроверки (Revalidation Date) PCI SSC запрашивает ежегодный взнос и часть 3B документа Attestation of Validation • Производитель, в свою очередь, заполняет и отправляет часть 3B документа Attestation of Validation • PCI SSC принимает взносы и подтверждает присланный документ • На сайте изменяется дата следующей перепроверки © 2002—2010, Digital Security 29
- 30. Безопасность платёжных приложений, стандарт PA-DSS Сроки по соответствию 1. Условия Visa • Начиная с 1 июля 2010 года вновь подключаемые к эквайерам торгово- сервисные предприятия должны использовать только сертифицированные по стандарту PA-DSS платежные приложения или быть проверены по PCI DSS • 1 июля 2012 года эквайеры должны гарантировать, что все торгово-сервисные предприятия и агенты используют только сертифицированные по стандарту PA-DSS платежные приложения 2. Условия MasterCard • Начиная с 1 июля 2012 года все торгово-сервисные предприятия и поставщики услуг должны использовать только сертифицированные по стандарту PA-DSS платежные приложения © 2002—2010, Digital Security 30
- 31. Безопасность платёжных приложений, стандарт PA-DSS Преимущества прохождения PA-DSS для разработчика 1. Возможность оставаться на рынке 2. Конкурентное преимущество 3. Повышение безопасности приложения 4. Громкий пресс-релиз, листинг приложения на сайте © 2002—2010, Digital Security 31
- 32. Безопасность платёжных приложений, стандарт PA-DSS Преимущества использования PA-DSS приложений для ТСП 1. Возможность оставаться на рынке 2. Уменьшение количества выполняемых требований для прохождения PCI DSS 3. Уменьшение рисков компрометации 4. Документация по выполнению большинства из требований © 2002—2010, Digital Security 32
- 33. Безопасность платёжных приложений, стандарт PA-DSS Выбор подрядчика 1. На данный момент только 2 российских компании предоставляют данные услуги 2. Digital Security 1. Сертифицированная PCI DSS и PA-DSS компания 2. Имеет тестовую лабораторию для анализа защищенности приложений 3. Имеет огромный опыт в исследовании безопасности приложений и поиске уязвимостей 4. Имеет благодарности за обнаруженные уязвимости от таких производителей, как SAP, Oracle, IBM, SUN, HP, VMware © 2002—2010, Digital Security 33
- 34. Безопасность платёжных приложений, стандарт PA-DSS Спасибо за внимание. ? © 2002—2010, Digital Security 34
- 35. Безопасность платёжных приложений, стандарт PA-DSS Дополнительная информация • Официальный сайт совета http://www.pcisecuritystandards.org • Сообщество профессионалов PCI и PA-DSS http://pcidss.ru • Блог о PA-DSS и безопасности приложений http://pa-dss.blogspot.com © 2002—2010, Digital Security 35