TAG Systems oferując kompleksowe usługi w zakresie produkcji i dostawy kart oraz ich personalizacji, ma dostęp do szczególnie wrażliwych danych, takich jak: dane osobowe, numery kart płatniczych oraz dane autoryzacyjne w postaci kodów PIN. Powoduje to konieczność zapewnienia wysokiego poziomu bezpieczeństwa. Sposobem jego weryfikacji są przede wszystkim regularne testy penetracyjne. Wymóg ten jest zdefiniowany w punkcie 5.8 standardu PCI Card Production – Logical Security Requirements. Zgodnie z nim konieczne jest przeprowadzenie wewnętrznych i zewnętrznych testów penetracyjnych co najmniej raz w roku oraz po każdej poważnej zmianie w infrastrukturze. Testy muszą obejmować wszystkie komponenty sieci personalizacyjnej wraz z systemami operacyjnymi. Dodatkowo w warstwie aplikacyjnej należy zweryfikować występowanie m.in. następujących podatności:
- wstrzyknięcie danych (np. SQL injection),
- przepełnienie bufora (ang. Buffer overflow),
- niewłaściwe zabezpieczenia kryptograficzne,
- nieprawidłowa obsługa błędów.
PCI Card Production
Wszystkie firmy i systemy związane z produkcją, personalizacją i dystrybucją kart kredytowych, wraz z przetwarzaniem i wysyłaniem informacji uwierzytelniających (np. kodów PIN) są zobowiązane do przestrzegania wytycznych opisanych w standardzie PCI Card Production. Norma ta jest podzielona na sekcje dotyczące bezpieczeństwa na poziomie fizycznym (ang. Physical Security Requirements) oraz logicznym (ang. Logical Security Requirements). Zastosowanie się do wymogów opisanych w ww. dokumentach jest warunkiem koniecznym do uzyskania certyfikacji PCI.
Rola BCC
Optymalną metodą weryfikacji bezpieczeństwa systemu okazał się zaproponowany przez BCC (aktualnie All for One Poland), etyczny haking – usługa polegająca na szczegółowym, metodycznym przetestowaniu sieci i systemów pod kątem występowania błędów i podatności. W praktyce jest to symulacja rzeczywistego ataku na infrastrukturę, przeprowadzonego z Internetu lub z sieci wewnętrznej przez nielojalnego pracownika. Dzięki wysokim kompetencjom konsultantów BCC oraz wykorzystanym specjalistycznym narzędziom, taka praktyczna próba przełamania zabezpieczeń systemu pozwoliła na kompleksową weryfikację poziomu bezpieczeństwa infrastruktury firmy TAG Systems.
Przebieg testów
Testy penetracyjne zrealizowano zgodnie z następującymi metodykami:
- National Institute of Standards and Technology Special Publication (NIST SP 800-115)
- Offensive Security
- OWASP TOP 10 (ang. Open Web Application Security Project)
Konsultanci BCC od lat kształcą się w obszarze bezpieczeństwa, zdobywając uznane w środowisku IT certyfikaty. Połączenie ich wiedzy i doświadczenia wraz ze specjalistycznym oprogramowaniem oraz zastosowaniem uznanych w świecie profesjonalnych metodyk przeprowadzania testów penetracyjnych gwarantuje weryfikację zabezpieczeń na wysokim poziomie.
Trzy etapy testów
W pierwszym etapie przeprowadzono zdalny test penetracyjny punktu styku badanego środowiska z Internetem. Prace przeprowadzono w scenariuszu czarnej skrzynki (ang. black box) bez jakiejkolwiek wiedzy o systemie. Pracę rozpoczęto od fazy rozpoznania i enumeracji. Następnie systemy zostały przeskanowane za pomocą skanerów podatności. Każda z odnalezionych podatności została w kolejnym kroku zweryfikowana, tak, aby odrzucić wyniki fałszywie pozytywne. W przypadku gdy dla danej podatności był dostępny exploit podejmowano próbę jego wykorzystania w celu zaatakowania badanej infrastruktury.
W drugim etapie lokalnie zweryfikowano poziom zabezpieczeń sieci wewnętrznej HSA (ang. High Security Area). Na tym etapie konsultantowi udostępniono plan sieci oraz informacje o adresach i rolach krytycznych systemów. W tym scenariuszu dodatkowo zweryfikowano separację pomiędzy poszczególnymi VLAN’ami sieci wewnętrznej.
W trzecim etapie zbadano poziom bezpieczeństwa aplikacji i baz danych wykorzystywanych w procesie personalizacji kart płatniczych. Aplikacje zawierające interfejs użytkownika zostały poddane dodatkowym testom badającym możliwość uzyskania bezpośredniego dostępu do przetwarzanych danych. Zweryfikowano również poziom zabezpieczeń stosowanych do ochrony przetwarzanych danych.
W czasie testów konsultant był w stałym kontakcie z administratorami i na bieżąco zgłaszał odnalezione krytyczne podatności w badanych systemach.
Podsumowanie
Testy zostały podsumowane obszernym raportem dokumentującym przebieg prac oraz zawierającym informacje o odnalezionych podatnościach wraz z rekomendacjami dotyczącymi ich usunięcia. Zawarto tam również informacje pozwalające na utwardzenie konfiguracji badanych urządzeń i systemów. W załącznikach znalazły się raporty z wynikami prac specjalistycznego oprogramowania – skanerów podatności.
Bezpieczeństwo systemów przede wszystkim
W naszej branży testy penetracyjne to nieodzowna praktyka. Nasze systemu muszą być bezpieczne, dlatego regularnie przeprowadzamy testy bezpieczeństwa. BCC (aktualnie All for One Poland), dokonując symulacji ataku hackerskiego, sprawdziło kompleksowo zabezpieczenia naszej firmy, przedstawiając nam końcowy raport, który posłużył nam do jeszcze lepszego zabezpieczenia naszych systemów.
Jacek Nowacki, Dyrektor Zarządzający, Tag Systems
Pentesty w BCC
BCC realizuje usługi związanie z dziedziną szeroko pojętego bezpieczeństwa IT, w tym testy penetracyjne. Nasz zespół certyfikowanych konsultantów ds. zabezpieczeń jest w stanie przyjąć rolę grupy hakerów (pentesterów) i sprawdzić zabezpieczenia firmy, przeprowadzając pentesty według zakresu i scenariusza uzgodnionego z klientem. Wykonujemy również audyty konfiguracji pod kątem ustawień bezpieczeństwa, hardeningu, dobrych praktyk i innych wytycznych oraz metodologii.
Pracujemy według własnej metodologii przeprowadzania testów penetracyjnych oraz audytów konfiguracji bezpieczeństwa, opartej na:
– doświadczeniach BCC i kilkudziesięciu projektach z zakresu bezpieczeństwa IT,
– technikach przygotowanych przez renomowane organizacje zajmujące się bezpieczeństwem systemów IT (m.in. OSSTMM, EC-Council, OWASP,COBIT).
TAG Systems oferuje kompleksowe usługi w zakresie produkcji i dostawy kart, personalizacji kart (wraz z usługami dodatkowymi) oraz usługi w zakresie przygotowania dedykowanych aplikacji opartych na mikroprocesorze (np. aplikacje identyfikacyjne i lojalnościowe, bilety elektroniczne, a także PKI). Wytwórnia kart jest wyposażona w najnowsze urządzenia do produkcji kart działające w bardzo bezpiecznym środowisku. Roczne zdolności produkcyjne przekraczają 80 milionów kart. Produkcja kart odbywa się w Andorze, natomiast biura personalizacyjne umieszczone są w Hiszpanii, Kolumbii oraz Polsce. TAG Systems posiada również biura w Rosji i Norwegii.