Attacco a Heartland Payment Systems Otilia Rus Pierpaolo Basso HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTION CONCLUSIONI Heartland Payment Systems • Una delle più grandi società di transazioni elettroniche • Fortune 1000 company (2008) • Intermediario tra i POS e le reti di Visa, Mastercard, America Express, ecc.. • Più di 250 mila clienti gestendo 4,2 miliardi di transazioni per un ammontare di 80 miliardi di dollari all’anno HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTION CONCLUSIONI Gli attaccanti Albert Gonzalez • a 14 anni hackera il sito della NASA • inizialmente membro del gruppo Shadowcrew in in seguito collabora con l’FBI, in cambio dell’immunità , per per arrestare il resto dei suoi membri • screen names: soupnazi, cumbajohny, segvec • pianifica e porta a buon termine gli attacchi a numerose compagnie Heartland P.S,Hannaford Brothers,TJ Maxx,7-Eleven,ecc • «Operation Get Rich or Die Tryin’» riguarda l’attacco a Heartland • la sua rete comprende Programmatori / Hacker : Patrick Toey, Stephen Watt e Annex e Grig(EU) Criminali : Maksym Yastremskiy (UA) , moltipli soggetti russi HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTION CONCLUSIONI Metodo,vulnerabilità e scopo Il metodo usato per compromettere la rete di Heartland è quello della SQL Injection (tramite il Leaseweb Server e l’ESTHOST Server) La SQL Injection inserisce comandi addizionali al codice degli web script Il codice modificato è stato localizzato in una pagina web in cui veniva fatto il login – pagina utilizzata da più di 8 anni Questo codice era pervaso da una vulnerabilità che: •Non è stata rilevata né dagli audit interni ed esterni di Heartland né dalle procedure di monitoraggio interno del sistema •Ha consentito l’estensione dell’attacco dalla rete aziendale alla rete del sistema di pagamento Scopo catturare i dati- in chiaro- delle carte di credito mentre questi transitavano all’interno del sistema di elaborazione del pagamento contraffare carte di credito per un valore, sul mercato nero, di 10$ - 50$/pcs HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTION CONCLUSIONI L’esecuzione dell’attacco • • • Il gruppo controlla computer connessi a Internet per Immagazzinare malware Lanciare l’attacco alla rete di Heartland e non solo Ricevere i dati delle carte di credito e di debito situati nella rete dell’Azienda Nei seguenti mesi, gli hacker piazzano il malware nella rete aziendale riescono a nascondere i tentativi di accesso alla rete del sistema di pagamento by-passano i rilevamenti di diversi antivirus usati da Heartland Installano uno sniffer in grado di catturare i dati transitanti delle carte di credito (il numero,la data di scadenza e, in alcuni casi, i nomi dei proprietari) inviandoli alla piattaforma degli hacker attraverso delle backdoor installate in precedenza HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTION CONCLUSIONI HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTION CONCLUSIONI Coprire le tracce dell’attacco • • • • • Il gruppo: by-passa i rilevamenti di diversi antivirus usati da Heartland (il malware fu testato in precedenza su circa 20 programmi antivirus ed è stato scritto in modo tale da cancellare i computer file che avrebbero smascherato la sua esistenza) maschera gli indirizzi IP d’origine tramite l’uso di proxy prende in affitto numerosi server e tutti sotto falso nome ; inoltre, i server vengono periodicamente cambiati immagazzina l’enorme quantità di dati su più server, nei quali erano stati disabilitati in precedenza i programmi che tengono evidenza del traffico in entrata ed in uscita comunica solo attraverso canali privati e criptati HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTION CONCLUSIONI Detection Heartland viene contattata da Visa e MasterCard –verso la fine del 2007- per via di ripetute transazioni sospette, ragion per cui l’Azienda lancia un’investigazione interna. I risultati dell’audit pervengono solo nella primavera del 2008, nonostante Heartland abbia ingaggiato 2 aziende per l’analisi forense, e il malware(sniffer) viene descritto come “estremamente sofisticato” perché: in ultima analisi è stato rilevato grazie alla traccia lasciata da alcuni file temp - .tmp che non avevano una corrispondente applicazione o sistema operativo - sottoprodotti dello sniffer e una ricerca più ostinata ha localizzato i file in porzioni non allocate degli hard disk dei server i tecnici del reparto IT hanno affermato semplicemente che i files in questione erano “not in a format we use” – in ammissione della propria colpa HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTION CONCLUSIONI Conclusioni La mancata rilevazione del malware esistente nella propria rete indica che Heartland Non stava eseguendo il monitoraggio –su una base giornalieradell’integrità dei file Non monitorava né filtrava il traffico in uscita Non analizzava i log data forniti dai firewall e da altri dispositivi di sicurezza HEARTLAND PAYMENT SYSTEMS GLI ATTACCANTI METODO VULNERABILITA E SCOPO L’ESECUZIONE DELL’ATTACCO COPRIRE LE TRACCE DELL’ATTACCO DETECTION CONCLUSIONI Sicurezza prima dell’attacco Conformità allo standard PCI DSS (Payment Card Industry Data Security Standard, standard per aziende che devono gestire le carte di credito dei principali circuiti, tra cui Visa, MasterCard, American Express) Cifratura dei dati memorizzati nei database Vulnerabilità: ✘ Dati delle carte di credito/debito in chiaro mentre transitano all'interno della rete di Heartland per essere processati Gli attaccanti hanno utilizzato uno sniffer in grado di catturare i dati delle carte di credito mentre questi transitavano all’interno del sistema di elaborazione di Heartland E3 Encryption Heartland vide nella crittografia end-to-end la tecnologia migliore per affrontare nell’immediato i rischi relativi ai dati in transito, come quelli trasferiti tra i commercianti, i suoi sistemi proprietari, e dei suoi partner di rete. Heartland (in collaborazione con Voltage security) sviluppò, quindi, il sistema di crittografia end-to-end E3. Il sistema prevede: • la cifratura dei dati in transito • la cifratura dei dati memorizzati ed è basato sull’ AES (Advanced Encryption Standard), un algoritmo di cifratura a blocchi che è stato utilizzato come standard anche dal governo degli Stati Uniti E3 Encryption Per definire il sistema di cifratura end-to-end sono state individuate cinque zone di crittografia (punti in cui i dati devono essere decifrati per essere processati e poi cifrati nuovamente) che costituiscono la catena di elaborazione dei pagamenti: 1) Il sistema di elaborazione del pagamento del commerciante, incluso il terminale situato presso il punto di vendita. 2) La trasmissione dei dati della carta dai sistemi del commerciante ai sistemi per l’elaborazione del pagamento di Heartland 3) L'elaborazione interna che avviene nei sistemi informatici e nei moduli hardware di sicurezza (HSM) di Heartland 4) La memorizzazione dei dati nel sistemi di archiviazione interni di Heartland 5) Il trasferimento dei dati da Heartland alle reti dei gestori delle carte di credito/debito 5 Zone E3 Encryption Heartland stabilì come punto di partenza per la cifratura il momento in cui la carta viene strisciata nei POS, quando le cifre memorizzate magneticamente (dati analogici) vengono convertite in dati digitali dal lettore della banda magnetica. Il PAN (primary account number) e gli altri dati della carta( il titolare, il numero della carta, ecc) vengono codificati utilizzando la crittografia presente in moduli di sicurezza anti-manomissione (TRM) presenti nei POS Lo stesso valeva per le carte a banda magnetica con PIN La crittografia end-to-end, in particolare, richiedeva che, una volta eseguita la cifratura, i dati delle carte di pagamento non venissero trasmessi in chiaro tra le parti che costituiscono la catena di elaborazione delle transazioni (zone 2, 3, 4 e 5). Heartland Secure Heartland Secure è una soluzione completa per la sicurezza dei dati delle carta di credito/debito che combina tre tecnologie: • Tecnologia chip card elettronica EMV per assicurare che la carta del consumatore è genuina • Crittografia end-to-end E3 • Tecnologia di Tokenizzazione , che sostituisce i dati delle carte con i ”tokens" che possono essere utilizzati come valori di ritorno per autorizzare le transazioni, ma sono inutilizzabili se intercettati