Sicherheit in der Kreditkartenindustrie Vorteile der Payment-Application Data Security Standard (PA-DSS) Zertifizierung Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
CERT Computer Incidents Statistic Computer Emergency Response Team (CERT) 1988 wurden 6 Incidents an das CERT gemeldet 2003 wurden bereits 137.529 Incidents gezählt 2004 wird die Erhebung gestoppt, da scheinbar jeder attackiert wird 160000 140000 120000 100000 80000 60000 40000 20000 0 Number of Incidents Handled by CERT Quelle: http://www.cert.org/ 2 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Zone-H Website Defacement Statistik 2008-2010 Registrierte Website Defacements 2008-2010 Quelle: http://www.zone-h.org/ 3 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Aktuelle Angriffsziele: Applikation vs. Infrastruktur Looking deeper into hacking activity, it is apparent that the bulk of attacks continues to target applications and services rather than the operating systems or platforms on which they run. Applikationssicherheit gewinnt zunehmend an Bedeutung Areas of compromised systems exploited Quellen: Verizon Data Breach Investigation Report 2009 7stone UK Security Breach Investigations Report 2009 4 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Applikationen besitzen viele Schwachstellen (I) Tausende neue Schwachstellen pro Jahr National Vulnerability Database 2009: 5.733 Schwachstellen IBM X-Force Statistik 2009: 6.601 Schwachstellen Open Source Vulnerability Database: 67.510 Schwachstellen Kriminelle suchen gezielt nach neuen Schwachstellen Quellen: National Vulnerability Database Open Source Vulnerability Database IBM X-Force 2009 Trend and Risk Report 5 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Applikationen besitzen viele Schwachstellen (II) Anzahl der gefundenen Schwachstellen nimmt stark zu Quelle: National Vulnerability Database 6 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
PCI Compliance Review nach Kompromittierung PCI DSS Requirement 6: Develop and maintain secure systems Kompromittierte Unternehmen konnten nur selten volle Konformität zu Requirement 6 nachweisen In most of these cases, the firewalls worked, [ ], but the application contained security holes which obviated much of the security. It's like barring the front doors to the bank and leaving a back window open. Quellen: Verizon Data Breach Investigation Report 2010 7 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Welche Daten werden gestohlen? Kreditkartendaten sind weiterhin das begehrteste Ziel für Kriminelle Daten können verkauft oder missbraucht werden Einfacher Umtausch in Geld möglich In 2009 wurden 143 Millionen Kartendaten gestohlen Quellen: Verizon Data Breach Investigation Report 2010 7stone UK Security Breach Investigations Report 2009 8 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Wer ist für die Kompromittierungen verantwortlich? Früher waren es maskierte Räuber mit Waffen Heute sind es Computer-Geeks Oft international agierende und bestens organisierte Kriminelle 2000 2010 9 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Aktuelle Pressemeldungen Ask a hacker where is the money? They will tell you: behind and within the poorly written and poorly protected banking and e-commerce software applications. 10 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Payment Application Data Security Standard Zertifizierung von Zahlungsanwendungen 14 Anforderungskategorien Prüfumfang Applikationssicherheit Entwicklungsprozesse Implementation Guide Aktuelle Version 1.2.1 (Juli 2009) Neue Version 2.0 (Oktober/November 2010) 11 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
PA-DSS Geltungsbereich Alle Applikationen, die Kreditkartendaten im Rahmen der Autorisierung bzw. Abrechnung speichern, verarbeiten oder übertragen Standardsoftware, die off-the shelf, quasi ohne große Veränderungen verkauft wird Alle Module, die im Kreditkartendatenfluss involviert sind Sonderregelung für eingebettete Software in Hardware-Terminals 12 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
PA-DSS Out of Scope Entwicklungen für einen speziellen Kunden Entwicklungen für den eigenen Gebrauch (Eigenentwicklungen) Applikationen, die als Service (SaaS) verkauft werden Non-Payment Applications Betriebssysteme (z.b. Windows, Linux) Datenbanken, die Kreditkartendaten speichern Back-Office Systeme (z.b. für Reporting oder Kundenservice) 13 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Prüfumfang Applikationssicherheit Technische Prüfung im Testlabor Penetrationstest und Schwachstellenanalyse Forensische Untersuchung (Speichern und sicheres Löschen von Kreditkartendaten) Verschlüsselung und Key-Management Maskierung von PANs Logging Integrity-Check von Patches Sichere Standard-Einstellungen 14 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Prüfumfang Entwicklungsprozesse Prüfung der Prozesse und Dokumentation über Dokumentenreviews und Interviews Sichere Entwicklung Beachtung der OWASP Programmierrichtlinien für Webapplikationen Trennen von Entwicklung und Test Prozess zur Identifikation neuer Schwachstellen Sicheres Update Remote Management 15 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Prüfumfang Implementation Guide Prüfung der Installationsanleitung auf die Einhaltung des PCI DSS Sichere Implementierung in WLAN Umgebungen Sicheres Löschen von Kreditkartendaten Umgang mit Kreditkartendaten (z.b. Speichern) Einsatz von Zwei-Faktor Authentisierung Einsatz von Verschlüsselung bei Übermittlung von Kreditkartendaten über öffentliche Netze 16 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
PA-DSS Compliance Mandates Visa Europe ab 01.07.2010 Einsatz PA-DSS validierter Software für Neukunden ab 31.12.2012 ausschließlicher Einsatz PA-DSS validierter Software Mastercard ab 01.07.2012 ausschließlicher Einsatz PA-DSS validierter Software Anwendungen, die nicht PA-DSS compliant sind, droht Sofort: Keine Zulassung für neue Bezahlumgebungen Später: Einsatz in Bezahlvorgängen untersagt Folge: Faktischer Marktaustritt 17 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Vorteile validierter Anwendungen Sichere Anwendungen Penetrationstest und Schwachstellenanalyse Typische Schwachstellen nicht vorhanden PCI DSS konformer Einsatz ist möglich Verbotene Daten werden nicht gespeichert Unterstützung von Verschlüsselung und sicherer Authentisierung Keine Interferenzen mit Anti-Virensoftware, Firewalls usw. Implementation Guide beschreibt den sicheren Einsatz und die Einhaltung vieler PCI DSS Requirements 18 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Der PA-DSS Mythos Einsatz validierter Anwendungen reduziert nicht den PCI DSS Scope Es müssen alle PCI DSS Requirements geprüft werden Nach Ablauf der Compliance Deadlines dürfen ausschließlich validierte Anwendungen eingesetzt werden 19 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Über die usd AG Approved Scanning Vendor (ASV) mit weltweiter Zulassung Qualified Security Assessor (QSA) mit europaweiter Zulassung Payment Application Qualified Security Assessor (PA-QSA) mit europaweiter Zulassung Partner führender Acquirer und Payment Service Provider Wir beraten, unterstützen und zertifizieren Sie als Full-Service-Provider im PCI Umfeld. 20 Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010
Andreas Duchmann usd AG Robert-Bosch-Str. 25 a 63225 Langen Telefon: +49 6103 9034-74 Telefax: +49 6103 9034-88 E-Mail: andreas.duchmann@usd.de Internet: www.usd.de Kontakt 10. Poseidon ZVT Informationsforum, Oktober 2010