PCI Security Standards Council

21. března, 2010

Konference Trendy v Internetové bezpečnosti

 

Konference Trendy v Internetové bezpečnosti
(Kongresové centrum Praha 4, 16.2.2010)

I.    Blok: Stará a nová nebezpečí
II.    Blok: Platby na Internetu pro obchodníky
III.    Blok: Euroregulace a nový zákon o platebním styku
Souběžně s přednáškami a prezentacemi probíhaly v druhém sále workshopy k vybraným tématům


I. Blok - Stará a nová nebezpečí
p. Obruk (spol. AVG Technologies CZ) „Webové hrozby dneška a zítřka“
výklad dosavadních a současných známých webových hrozeb a s uvedením, jak se co nejúčinněji bránit atakům hackerů na sítě a soukromé stanice. Zaznělo několik zajímavých informací, jako např.:
-        Životnost rizikových stránek je cca v 50% případů méně než 1 den. Není to dopad efektivních antivirů, ale praktické postupy hackerů, jak bránit svému odhalení
-        Většina napadení v současnosti probíhá z legitimních stránek, resp. na tyto stránky hackeři napojují své škodlivé podprogramy, aj.
-        Pro ilustraci, v loňském roce byly infikovány např. stránky NY Times nebo Texaské národní gardy

p. Lupták (Nethemba) - „Check your RFID Card“.
Přednáška se věnovala problematice RFID chipové technologie (Radio Frequency IDentification), respektive výkladu možnosti kopírování Mifare Classic karet. Byla vyslovena myšlenka, že doposud se nepodařilo externě zkopírovat kartu Mifare Despire, jejíž výroba je ovšem nepoměrně dražší oproti Mifare Classic. Z výkladu lze odvodit, že technologie těchto karet je v praxi používána pro různé vstupní karty, bonitní a klientské karty, apod. Dle výkladu p. Luptáka není problém zakoupit standardní RFID čtečku (cca 70 EUR), se kterou je možné z bezprostřední blízkosti takovou kartu okopírovat.

Následovala panelová diskuze za účasti p. Luptáka (Nethemba), p.Holého (ČVUT Praha), p. Pospíšila (Iuridicum Remedium) a p. Krčmáře (Root.cz).

V diskuzi byly porovnány karetní systémy využívané v městské dopravě v Plzni, Liberci a Praze – opencard.

p. Miroslav Richter (T-Mobile) - „Současné možnosti NFC“
 který se pokusil představit NFC technologii (Near Field Comunication) z pohledu mobilních operátorů…. Tato technologie pracuje na vzdálenost cca 10 cm. Není vhodná pro přenosy většího množství dat, nenahrazuje tedy komunikační kanály Bluetooth, Wifi, Zigbee, apod. V podstatě se jedná o technologii, která by mohla nahradit výše zmíněné mifare karty, protože předpokládají využití na přístupy do budov, v dopravě, nebo např. jako čtečky tzv. chytrých plakátů.

 p.Pikálek (ČS a.s.) - „Hrozby a trendy Internetbankingu“
Trendy Internetbankingu, hrozby jeho nabourání. V minulosti častými ataky byly phishing a pharming. Tyto lze pozitivně detekovat. Dnešním trendem je použití Trojských koní. Procento odhalitelnosti je cca 19%.

V internetu je mnoho požadavků na změnu hesel, přístupů, atd., vysláno právě Trojským koněm za účelem načtení přístupu v průběhu změny hesla 
p. Pikálek uvedl, že ČS a.s. chce nasadit na platebních kartách aplikaci EMV CAP / DDA

II. Blok: Platby na Internetu pro obchodníky

p. Sládek (Unicreditbank) - „Nové bezpečnostní standardy platebních karet“
Druhý blok byl zahájen vystoupením P. Sládka (Unicreditbank) ze skupiny PCI-DSS (Payment Card Industry – Data Security Standard) při SBK s problematikou Bezpečnostních standardů platebních karet. Představen přístup kartových asociací k bezpečnosti uchovávání a přenášení dat držitelů karet, postupy zabezpečení a přístup k informacím.

Následovala panelová diskuze ve složení p. Kadlčák (ČS a.s., SBK), p. Sládek (UCB, SBK), p. Richard Matula (Poštovní spořitelna), P. Brož (McAfee), p. Hovorka (Podnikatel.cz).  

V diskuzi byly porovnány zkušenosti ze zabezpečení internetových prostředí, možnosti zabezpečení karet, SDA a DDA, virtuální platební kafrty, jejich původní záměr a logika.

p. Utendorfský, sl. Oborná (oXy Online) – „ Ukradená Databáze aneb jak chránit svůj e-shop před nechtěnou ztrátou dat“
v roce 2009 proběhlo cca 25% navýšení obratů velkých e-shopů 
Databáze v E-shopech - bezpečnější je ERP dtb. (Enterprise resource planning)  
Napadení:
Krádeže dtb. - nejčastěji zevnitř firmy, zaměstnanci
SQL Injection - vloží SQL kód přes neošetřený vstup
Zabezpečení        
-         silná hesla, login
-        omezit přístup na Síť
-        hashování hesel
-        vnitrofiremní směrnice
Postup při zachycení Narušení - Kontakt Policie, Vytvořit seznam a kopii dat, možnost požadavku na RAC – znalecký ústav, Risk Analysis Consultants

III. Blok - Euroregulace a nový zákon o platebním styku

Sl. Hálová (ČNB) - „Nová právní úprava platebního styku“
Právní úprava poskytování platebních služeb, provádění platebních transakcí a vydávání a používání platebních prostředků.

Panelová diskuze:
Platební styk a euroregulace

Zároveň s třetím blokem probíhal workshop Podvody s platebními kartami: Exkurze po světě internetové mafie, p. Turek (Synopsi.com).
Historie platebních karet, rozdíly tehdy a dnes. Složení Tracků 1 až 3 s poukázáním na rozdíly v přístupu jednotlivých asociací. Praktické předvedení, že track 1 obsahuje všechny informace pro track 2 a 3. Rozlišení kódů v autorizační zprávě, např. kód 101 – Autorizace za použití magstripe, kód 201 – Autorizace EMV transakce. Představení jednotlivých účastníků podvodného jednání na internetu