Attacco a Heartland Payment Systems
Otilia Rus
Pierpaolo Basso
HEARTLAND PAYMENT
SYSTEMS
GLI ATTACCANTI
METODO
VULNERABILITA E
SCOPO
L’ESECUZIONE
DELL’ATTACCO
COPRIRE LE TRACCE
DELL’ATTACCO
DETECTION
CONCLUSIONI
Heartland Payment Systems
• Una delle più grandi società di transazioni elettroniche
• Fortune 1000 company (2008)
• Intermediario tra i POS e le reti di Visa, Mastercard, America
Express, ecc..
• Più di 250 mila clienti gestendo 4,2 miliardi di transazioni per un
ammontare di 80 miliardi di dollari all’anno
HEARTLAND PAYMENT
SYSTEMS
GLI ATTACCANTI
METODO
VULNERABILITA E
SCOPO
L’ESECUZIONE
DELL’ATTACCO
COPRIRE LE TRACCE
DELL’ATTACCO
DETECTION
CONCLUSIONI
Gli attaccanti
Albert Gonzalez
• a 14 anni hackera il sito della NASA
• inizialmente membro del gruppo Shadowcrew
in
in seguito collabora con l’FBI, in cambio dell’immunità ,
per
per arrestare il resto dei suoi membri
• screen names: soupnazi, cumbajohny, segvec
• pianifica e porta a buon termine gli attacchi a numerose compagnie
Heartland P.S,Hannaford Brothers,TJ Maxx,7-Eleven,ecc
• «Operation Get Rich or Die Tryin’» riguarda l’attacco a Heartland
• la sua rete comprende
 Programmatori / Hacker : Patrick Toey, Stephen Watt e
Annex e Grig(EU)
 Criminali : Maksym Yastremskiy (UA) , moltipli soggetti russi
HEARTLAND PAYMENT
SYSTEMS
GLI ATTACCANTI
METODO
VULNERABILITA E
SCOPO
L’ESECUZIONE
DELL’ATTACCO
COPRIRE LE TRACCE
DELL’ATTACCO
DETECTION
CONCLUSIONI
Metodo,vulnerabilità e scopo
Il metodo usato per compromettere la rete di Heartland è quello della
SQL Injection (tramite il Leaseweb Server e l’ESTHOST Server)

La SQL Injection inserisce comandi addizionali al codice degli web script

Il codice modificato è stato localizzato in una pagina web in cui veniva
fatto il login – pagina utilizzata da più di 8 anni
Questo codice era pervaso da una vulnerabilità che:
•Non è stata rilevata né dagli audit interni ed esterni di Heartland né dalle
procedure di monitoraggio interno del sistema
•Ha consentito l’estensione dell’attacco dalla rete aziendale alla rete del
sistema di pagamento
Scopo
 catturare i dati- in chiaro- delle carte di credito mentre questi transitavano
all’interno del sistema di elaborazione del pagamento
 contraffare carte di credito per un valore, sul mercato nero, di 10$ - 50$/pcs
HEARTLAND PAYMENT
SYSTEMS
GLI ATTACCANTI
METODO
VULNERABILITA E
SCOPO
L’ESECUZIONE
DELL’ATTACCO
COPRIRE LE TRACCE
DELL’ATTACCO
DETECTION
CONCLUSIONI
L’esecuzione dell’attacco
•
•
•




Il gruppo controlla computer connessi a Internet per
Immagazzinare malware
Lanciare l’attacco alla rete di Heartland e non solo
Ricevere i dati delle carte di credito e di debito situati nella rete
dell’Azienda
Nei seguenti mesi, gli hacker
piazzano il malware nella rete aziendale
riescono a nascondere i tentativi di accesso alla rete del sistema di
pagamento
by-passano i rilevamenti di diversi antivirus usati da Heartland
Installano uno sniffer in grado di catturare i dati transitanti delle carte
di credito (il numero,la data di scadenza e, in alcuni casi, i nomi dei
proprietari) inviandoli alla piattaforma degli hacker attraverso delle
backdoor installate in precedenza
HEARTLAND PAYMENT
SYSTEMS
GLI ATTACCANTI
METODO
VULNERABILITA E
SCOPO
L’ESECUZIONE
DELL’ATTACCO
COPRIRE LE TRACCE
DELL’ATTACCO
DETECTION
CONCLUSIONI
HEARTLAND PAYMENT
SYSTEMS
GLI ATTACCANTI
METODO
VULNERABILITA E
SCOPO
L’ESECUZIONE
DELL’ATTACCO
COPRIRE LE TRACCE
DELL’ATTACCO
DETECTION
CONCLUSIONI
Coprire le tracce dell’attacco
•
•
•
•
•
Il gruppo:
by-passa i rilevamenti di diversi antivirus usati da Heartland (il
malware fu testato in precedenza su circa 20 programmi antivirus ed
è stato scritto in modo tale da cancellare i computer file che
avrebbero smascherato la sua esistenza)
maschera gli indirizzi IP d’origine tramite l’uso di proxy
prende in affitto numerosi server e tutti sotto falso nome ; inoltre, i
server vengono periodicamente cambiati
immagazzina l’enorme quantità di dati su più server, nei quali erano
stati disabilitati in precedenza i programmi che tengono evidenza del
traffico in entrata ed in uscita
comunica solo attraverso canali privati e criptati
HEARTLAND PAYMENT
SYSTEMS
GLI ATTACCANTI
METODO
VULNERABILITA E
SCOPO
L’ESECUZIONE
DELL’ATTACCO
COPRIRE LE TRACCE
DELL’ATTACCO
DETECTION
CONCLUSIONI
Detection
Heartland viene contattata da Visa e MasterCard –verso la fine del
2007- per via di ripetute transazioni sospette, ragion per cui l’Azienda
lancia un’investigazione interna.
I risultati dell’audit pervengono solo nella primavera del 2008,
nonostante Heartland abbia ingaggiato 2 aziende per l’analisi forense,
e il malware(sniffer) viene descritto come “estremamente sofisticato”
perché:
 in ultima analisi è stato rilevato grazie alla traccia lasciata da alcuni
file temp - .tmp che non avevano una corrispondente applicazione
o sistema operativo - sottoprodotti dello sniffer e una ricerca più
ostinata ha localizzato i file in porzioni non allocate degli hard disk
dei server
 i tecnici del reparto IT hanno affermato semplicemente che i files in
questione erano “not in a format we use” – in ammissione della
propria colpa
HEARTLAND PAYMENT
SYSTEMS
GLI ATTACCANTI
METODO
VULNERABILITA E
SCOPO
L’ESECUZIONE
DELL’ATTACCO
COPRIRE LE TRACCE
DELL’ATTACCO
DETECTION
CONCLUSIONI
Conclusioni
La mancata rilevazione del malware esistente nella propria rete
indica che Heartland
 Non stava eseguendo il monitoraggio –su una base giornalieradell’integrità dei file
 Non monitorava né filtrava il traffico in uscita
 Non analizzava i log data forniti dai firewall e da altri dispositivi di
sicurezza
HEARTLAND PAYMENT
SYSTEMS
GLI ATTACCANTI
METODO
VULNERABILITA E
SCOPO
L’ESECUZIONE
DELL’ATTACCO
COPRIRE LE TRACCE
DELL’ATTACCO
DETECTION
CONCLUSIONI
Sicurezza prima dell’attacco
 Conformità allo standard PCI DSS (Payment Card Industry Data
Security Standard, standard per aziende che devono gestire le carte
di credito dei principali circuiti, tra cui Visa, MasterCard, American
Express)
 Cifratura dei dati memorizzati nei database
Vulnerabilità:
✘ Dati delle carte di credito/debito in chiaro mentre transitano
all'interno della rete di Heartland per essere processati
Gli attaccanti hanno utilizzato uno sniffer in grado di catturare i dati
delle carte di credito mentre questi transitavano all’interno del sistema
di elaborazione di Heartland
E3 Encryption
Heartland vide nella crittografia end-to-end la tecnologia migliore per
affrontare nell’immediato i rischi relativi ai dati in transito, come quelli
trasferiti tra i commercianti, i suoi sistemi proprietari, e dei suoi partner
di rete. Heartland (in collaborazione con Voltage security) sviluppò,
quindi, il sistema di crittografia end-to-end E3.
Il sistema prevede:
• la cifratura dei dati in transito
• la cifratura dei dati memorizzati
ed è basato sull’ AES (Advanced Encryption Standard), un algoritmo
di cifratura a blocchi che è stato utilizzato come standard anche dal
governo degli Stati Uniti
E3 Encryption
Per definire il sistema di cifratura end-to-end sono state individuate
cinque zone di crittografia (punti in cui i dati devono essere decifrati per
essere processati e poi cifrati nuovamente) che costituiscono la catena
di elaborazione dei pagamenti:
1) Il sistema di elaborazione del pagamento del commerciante,
incluso il terminale situato presso il punto di vendita.
2) La trasmissione dei dati della carta dai sistemi del commerciante ai
sistemi per l’elaborazione del pagamento di Heartland
3) L'elaborazione interna che avviene nei sistemi informatici e nei
moduli hardware di sicurezza (HSM) di Heartland
4) La memorizzazione dei dati nel sistemi di archiviazione interni di
Heartland
5) Il trasferimento dei dati da Heartland alle reti dei gestori delle carte
di credito/debito
5 Zone
E3 Encryption
Heartland stabilì come punto di partenza per la cifratura il momento in
cui la carta viene strisciata nei POS, quando le cifre memorizzate
magneticamente (dati analogici) vengono convertite in dati digitali dal
lettore della banda magnetica.
 Il PAN (primary account number) e gli altri dati della carta( il titolare,
il numero della carta, ecc) vengono codificati utilizzando la
crittografia presente in moduli di sicurezza anti-manomissione
(TRM) presenti nei POS
 Lo stesso valeva per le carte a banda magnetica con PIN
La crittografia end-to-end, in particolare, richiedeva che, una volta
eseguita la cifratura, i dati delle carte di pagamento non venissero
trasmessi in chiaro tra le parti che costituiscono la catena di
elaborazione delle transazioni (zone 2, 3, 4 e 5).
Heartland Secure
Heartland Secure è una soluzione completa per la sicurezza dei dati
delle carta di credito/debito che combina tre tecnologie:
• Tecnologia chip card elettronica EMV per assicurare che la carta del
consumatore è genuina
• Crittografia end-to-end E3
• Tecnologia di Tokenizzazione , che sostituisce i dati delle carte con i
”tokens" che possono essere utilizzati come valori di ritorno per
autorizzare le transazioni, ma sono inutilizzabili se intercettati