Sana luottokorttien hakkeroinnista

Jos tunnet minut tai olet lukenut minun edellinen viesti , tiedät, että työskentelin erittäin mielenkiintoisessa yrityksessä ennen liittymistä ApeeScapeen. Tässä yrityksessä maksupalveluntarjoajamme käsitteli tapahtumia 500 000 dollarilla päivässä. Osa työstäni oli tehdä palveluntarjoajamme PCI-DSS-yhteensopiva —Tällöin yhteensopiva Maksukortti-teollisuuden - tietoturvastandardin kanssa.

On turvallista sanoa, että tämä ei ollut työtä heikkohermoisille. Tässä vaiheessa olen melko läheinen luottokorttien (CC), luottokorttien hakkeroinnin ja verkkoturvallisuus yleensä . Meidän tehtävämme oli loppujen lopuksi suojata käyttäjien tietoja, estää niiden hakkerointi, varastaminen tai väärinkäyttö.

Voit kuvitella yllätykseni, kun näin Bennett Haseltonin vuoden 2007 artikkelin Slashdotista: Miksi CC-numerot ovat edelleen niin helposti löydettävissä? . Lyhyesti sanottuna Haselton pystyi etsimään luottokorttinumerot Googlen kautta etsimällä ensin kortin kahdeksan ensimmäistä numeroa ”nnnn nnnn” -muodossa ja myöhemmin käyttämällä joitain edistyneitä kyselyitä, jotka perustuivat numeroalueisiin. Hän voisi esimerkiksi käyttää merkintää '4060000000000000..406099999999999999' löytääksesi kaikki 16 numeroa Ensisijaiset tilinumero (PAN) alkaen CHASE (jonka kaikki kortit alkavat 4060: lla). Muuten: tässä on täydellinen luettelo Liikkeeseenlaskijan tunnistenumerot .

Tuolloin en ajatellut suurta osaa siitä, kun Google alkoi heti suodattaa Bennettin käyttämiä kyselytyyppejä. Kun yritit Googlella tällaista aluetta, Google tarjoaisi sivun, joka sanoi jotain 'Olet paha ihminen' -viivan tapaan.

Noin kuusi kuukautta sitten, kun muisteli vanhaa ystävää, tämä luottokortin numero hakkerointi tuli taas mieleen. Pian sen jälkeen löysin jotain hälyttävää. Ei kovin hälyttävä, mutta varmasti hälyttävä - joten ilmoitin Googlelle ja odotin. Kuukauden jälkeen ilman vastausta ilmoitin heille uudestaan ​​turhaan.

Pienellä muutoksella Haseltonin vanhaan temppuun sain Google-luottokorttinumerot, sosiaaliturvatunnukset ja muut kiinnostavat tiedot.

Joten ilmoitin Googlelle ja odotin. Kuukauden jälkeen ilman vastausta ilmoitin heille uudestaan ​​turhaan. Pienellä muutoksella Haseltonin vanhaan temppuun sain Google-luottokorttinumerot, sosiaaliturvatunnukset ja muut arkaluontoiset tiedot.

Bennett

Eilen jotkut ystäväni ( buhera.blog.hu ja _2501) toivat huomioni uudemman Slashdot-viestin: Luottokorttien numerot edelleen Google-yhteensopivia .

Artikkelin kirjoittaja, jälleen Bennett Haselton, joka kirjoitti alkuperäisen artikkelin jo vuonna 2007, väittää, että luottokorttinumeroita voidaan silti käyttää Googlessa. Et voi käyttää numeroalueen kyselyn hakkerointia, mutta se voidaan silti tehdä. Yksinkertaisten alueiden käyttämisen sijaan sinun on sovellettava kyselyyn erityistä muotoilua. Jotain: “1234 5678” (huomaa keskellä oleva tila). Tähän kyselyyn tulee paljon osumia, mutta hyvin harvat ovat kiinnostavia. Kilpailijoiden joukossa on puhelinnumeroita, postinumeroita ja vastaavia. Ei erityisen hälyttävä. Mutta tässä tulee luottokortin hakkerointi.

Menetelmät

Olin utelias, oliko vielä mahdollista saada luottokorttinumeroita verkosta samalla tavalla kuin pystyimme vuonna 2007. Kuten mikä tahansa hyvä insinööri, lähestyn yleensä asioita oikein laaditun ja älykkään suunnitelman avulla, joka on toteutettava täydellisesti äärimmäisen tarkasti. Jos olet kokeillut tätä menetelmää, saatat tietää, että se voi epäonnistua todella vaikeasti - jolloin huolellinen suunnittelu ja ponnistelut menevät hukkaan.

Sisään SE meillä on taipumusta älyllistää liikaa, vaikka se ei olekaan täysin perusteltua. Olen nähnyt ystävieni ja kollegojeni rikkovan sovelluksia täysin näennäisesti satunnaisilla syötteillä. Heidän menestysprosenttinsa oli hämmästyttävä ja siihen panostetut ponnistelut olivat lähellä nollaa. Silloin opin, että oven avaaminen edellyttää joskus vain koputtamista.

Luottokortti Hack

Edellinen kappale oli fiksusti peitelty yritys saada minut näyttämään vähemmän idiootilta, kun esittelen 'eliitti hakkerointitaitoja'. Oho.

Ensinnäkin kokeilin useita aluekyselypohjaisia ​​lähestymistapoja. Sitten tarkastelin edistyneitä kyselyitä ja melkein mitä tahansa, mitä saatat keksi noin tunnin sisällä. Kukaan niistä ei tuottanut merkittäviä tuloksia.

Ja sitten minulla oli hullu idea.

Entä jos suodatusmoottorin ja varsinaisen taustapuolen välillä ei ole yhteensopivuutta? Entä jos Googlelta saamani viesti ('Olet paha ihminen') ei tullut itse taustapuolelta, vaan nimenomaisesta suodatusmoottorista, jonka Google oli toteuttanut sensuroimaan minun kaltaisiani kyselyjä?

Sillä olisi paljon järkeä arkkitehtonisesta näkökulmasta. Ja tällaiset viat ovat melko yleisiä - näemme niitä koko ajan ITSECissä, etenkin IDS / IPS ratkaisuissa, mutta myös yhteisissä ohjelmistoissa. Siellä on suodatusprosessi, joka käsittelee tietoja ja antaa sen taustalle vain, jos se katsoo tietojen olevan hyväksyttäviä / ei-haitallisia. Taustapää ja suodatuspalvelin eivät kuitenkaan koskaan jäsennä tuloa täsmälleen samalla tavalla. Näin ollen näennäisesti pätevä tulo voi käydä suodattimen läpi ja aiheuttaa tuhoa taustapuolella, ohittaen suodattimen tehokkaasti.

Voit yleensä laukaista tämäntyyppisen toiminnan antamalla syötteesi eri koodauksiin. Esimerkiksi: Entä kuinka muuntaa ne desimaalilukuiksi (0–9) heksadesimaaleiksi, oktaaleiksi tai binaareiksi? No, arvaa mitä…

Hae tätä ja Google kertoo sinulle, että olet paha henkilö: '4060000000000000..406099999999999999'

Hae tätä ja Google velvoittaa mielellään: '0xe6c8c69c9c000..0xe6d753e6ecfff'.

Ainoa mitä sinun on tehtävä, on muuntaa luottokortin numerot desimaalista heksadesimaaliksi. Se siitä.

Tulokset sisältävät…

• Kohtalokkaat CSV-tiedostot, jotka ovat täynnä mahdollisesti arkaluontoisia tietoja.

• Vialliset verkkokaupan lokitiedostot.

• Arkaluontoista tietoa jaetaan hakkereiden sivustoilla (ja jopa Facebookissa).

Se on todella pelottavaa.

Tiedän, että tämä vika ei innoita mitään turvallisuustutkimusta, mutta sinulla on se. Google teki tämän boo-boo ja laiminlyönyt edes kirjoittaa minulle takaisin. No, se tapahtuu. En kuitenkaan kadehdi suuren G: n turvallisuusmiehiä. Heillä on oltava paljon tavaraa varoa. Lähetän tämän luottokortin numeron hakkeroinnin täällä, koska:

1. Se on suhteellisen vähäinen.
2. Jokainen, joka on kiinnostunut ja motivoitunut, on jo selvittänyt tämän.
3. Haseltonia lainaten, jos suuret toimijat eivät ota vastuuta ja toimivat näiden hyökkäysten perusteella, 'oikea asia on valaista ongelma ja vaatia, että he korjaavat sen mahdollisimman pian'.

Tätä temppua voidaan käyttää etsimään puhelinnumeroita, SSN: itä, TFN: itä ja muuta. Ja kuten Bennett kirjoitti, näitä numeroita on paljon vaikeampaa muuttaa kuin luottokorttisi, josta voit yksinkertaisesti soittaa pankkiin ja peruuttaa kortin.

Esimerkkikyselyt

VAROITUS: ÄLÄ Google omaa luottokorttisi numeroa kokonaan!

Etsitkö mitä tahansa CC PAN: ta, joka alkaa 4060: 4060000000000000..4060999999999999? 0xe6c8c69c9c000..0xe6d753e6ecfff

Joitakin unkarilaisia ​​puhelinnumeroita palveluntarjoajalta ”Telenor”? Ei hätää: 36200000000..36209999999? 0x86db02a00..0x86e48c07f

Etsi SSN: itä. Onneksi nämä eivät tuota monia mielekkäitä tuloksia: 100000000..999999999? 0x5f5e100..0x3b9ac9ff

Niitä on paljon, paljon enemmän.

Jos löydät jotain hyvin huolestuttavaa tai jos olet kiinnostunut luottokortin hakkeroinnista, jätä se kommentteihin tai ota yhteyttä minuun sähköpostitse osoitteessa [sähköposti suojattu] tai Twitterissä osoitteessa @synsecblog . Poliisin soittaminen on yleensä turhaa näissä tapauksissa, mutta se voi olla kokeilun arvoinen. Kyseinen kauppias tai kortin tarjoaja haluaa yleensä olla kiinnostuneempi käsittelemään ongelmaa.

Minne mennä täältä

Googlen on tietysti korjattava tämä, mahdollisesti suurten pelaajien, kuten Visa ja Mastercard, avulla. Itse asiassa Haselton tarjoaa useita mielenkiintoisia ehdotuksia edellä mainituissa kahdessa artikkelissa.

Se, mitä sinun on kuitenkin tehtävä (ja miksi olen kirjoittanut tämän viestin), levittää sanaa. Luottokorttipetos on suuri ala, ja yksinkertainen tietoisuus voi pelastaa sinut tulemasta uhriksi. Jos sinulla on verkkokauppasivusto tai käsittelet luottokortin käsittelyä, varmista, että olet turvassa . PCI-DSS on hyvä ohje, mutta se ei ole läheskään täydellinen. Lisäksi on aina hyvä Google-sivustosi etsiä arkaluonteisia numeroita 'site: mysite.com' -kyselyllä. On erittäin, hyvin pieni mahdollisuus löytää mitään - mutta jos löydät, sinun on toimittava sen mukaan välittömästi.

Myös vähän ystävällisiä neuvoja: Sinun pitäisi ei koskaan luovuta luottokorttitietosi kenellekään. Minun neuvoni olisi käyttää PayPalia tai vastaavaa palvelua aina kun mahdollista. Voit tarkistaa nämä linkit saadaksesi lisätietoja:

• Visan luottokorttiturvallisuusvinkkejä
• Citin luottokorttiturvallisuusvinkkejä

Ja muutama yleinen vinkki: älä lataa asioita, joita et ole pyytänyt, älä avaa roskapostiviestejä ja muista, että pankkisi ei koskaan pyydä salasanaasi.

Muuten: Jos luulet, ettei kukaan ole niin tyhmä, että hän joutuisi näihin luottokorttihakkerointitekniikoihin tai luovuttaisi luottokorttitietojaan Internetissä, katso @NeedADebitCard .

Pysy turvassa ihmisillä!

Perustietojen ymmärtäminen

Mikä on CCV luottokorteissa?

CCV tarkoittaa lyhennettä Card Verification Value. CCV-numero sijaitsee yleensä luotto- tai maksukortin takana. CCV on yleensä kolminumeroinen luku, vaikka jotkut kortit, kuten American Express, käyttävät nelinumeroisia CCV: itä. CCV: tä käytetään yleisesti tarkistamaan, että verkkokaupoissa on kortti.

Mitä PCI DSS tarkoittaa?

PCI DSS on lyhenne sanoista Payment Card Industry Data Security Standard. PCI DSS varmistaa, että kaikki luottokorttitietojen käsittelyyn, siirtoon ja tallentamiseen osallistuvat osapuolet toimivat suojatussa ympäristössä.

Mikä on PCI-yhteensopivuus?

Yksinkertaisesti sanottuna PCI-vaatimustenmukaisuus edellyttää, että kaikki yritykset, jotka hyväksyvät luottokortti- ja maksukorttimaksut, takaavat alan standardinmukaisen turvallisuuden. PCI-turvallisuusstandardineuvosto valtuuttaa tällä hetkellä 12 PCI-vaatimusten noudattamista.