Random IRC quote :      <erg0t> un culo cagado es un culo con menos posibilidades de ser violado
Preparad vuestros gorros de papel de plata.
Explotando la seguridad física (carding for dummies )

Que vienen los indios…

Pero no de los del penacho de plumas, sino de los que se te meten por el internel y te roban 8 millones de números de tarjetas de crédito. Esto es, la cadena de hoteles Best Western ha sido petada pero bien. Y entre uno de esos 8 millones, mucho me temo que esté yo. Y probáblemente alguno de vosotros también, asi que por si acaso…

El caso es que todavía hay muchas dudas respecto al verdadero impacto de la intrusión. Asi que no quedaba otra que llamar a Best Western para ver qué me podían aclarar.
Bueno, lo primero que me han querido dejar claro es que todas las transacciones se hacían de acuerdo al standar PCI, que todo estaba cifrado y era muy dificil de leer. Como hemos visto en anteriores ocasiones, la famosa de la cadena de supermercados, que sean PCI compliance no es a priori ninguna garantía y más cuando parece que el «indio gorrón» se metió hasta la cocina.

Tampoco me han podido aclarar si sólo han sido comprometidas las tarjetas que llegaron al sistema a traves de internet, incluidas páginas como booking.com o también cualquiera que «físicamente» llegara a la ruta de pagos del hotel.Lo que me han venido a decir es que monitorize todos los cargos a mi tarjeta y si descubro que estoy comprando 40 iPhones con destino a la gloriosa república de kizijistan, les llame corriendo. Como dato curioso, al final me han preguntado si era periodista…Aunque todo hay que decirlo, el hotel estaba bastante bien.

Yo no tengo ni puta idea de PCI, así de claro, asi que si algún amable lector puede comentar las posibilidades reales del impacto que haya podido tener esta intrusión en una empresa PCI compliance, pues mucho mejor.

Por: Ruben Santamarta | 08/25/08 | Noticias | Trackback | Comentarios [RSS 2.0]

9 Comentarios para “Que vienen los indios…”

  1. Zohiartze Herce
    Comment por Zohiartze Herce | 08/25/08 at 1:25 pm

    Coño, pero tu no escribias para el periodico La Razon??

  2. Ruben
    Comment por Ruben | 08/25/08 at 2:39 pm

    Mi alter ego periodista trabaja para La Voz de Galicia ( http://blogs.lavozdegalicia.es/comic/ ). ¿La Razón es un periodico? Yo creía que lo vendían para envolverte el bocadillo.

  3. Ruben
    Comment por Ruben | 08/26/08 at 7:53 am

    Interesante http://isc.sans.org/diary.html?storyid=4928

  4. Matalaz
    Comment por Matalaz | 08/26/08 at 8:34 am

    Por lo que leo en el estándar, solo se refieren a encriptación de datos guardados (como se guardan físicamente) y a comunicaciones en redes no seguras, abiertas, «el interné» (así que las antigüas redes x25 de sistemas de pagos, no están cubiertas, como es habitual…).

    Supongamos (que es lo que más conozco) que trabajaban con sistemas de bases de datos Oracle. Lo que habrían aplicado para ajustarse a ese estándar, casi seguro por ser lo habitual, sería TDE (Transparent Data Encryption) y/o VPD (Virtual Private Database) -muy utilizado por ejemplo en Gobiernos…-.

    TDE quiere decir que físicamente, todos los datos se encriptan pero, de modo transparente para el programador, se desencriptan cuando se hace una SELECT de una tabla. Maravilloso, ¿Verdad?

    Las VPDs, sin embargo, tienen otra finalidad: Aunque te conectes a una base de datos y hagas una SELECT en crudo en una tabla, solamente verás los datos asignados a tu «contexto». Si no tienes contexto, no puedes ver nada. Necesitas establecer ese contexto ejecutando algún paquete de base de datos. Ese paquete de base de datos no suele tener privilegios de ejecución para nadie excepto para SYS (el root de bases de datos) pero…, claro: Mala asignación de permisos o una falla SQL injection y a tomar por culo todo.

    No necesitas c0ns3gu1r r00t, solo ejecutar un paquete PL/SQL y ya tienes acceso a todos los datos de tarjetas de crédito. O encontrar una falla SQL injection o de diseño en esa aplicación web pública que tienen puesta, que seguro que ya tiene establecido el contexto…

    Las VPDs en conjunción con TDE es algo que se utiliza mucho como una «medida de seguridad». Están bien, pero de por sí solas no valen ni para tomar por culo.

    Vamos…, solo un ejemplo de adhesión a ese estándar perfectamente válido: La comunicación vía ERP o página web con las redes «abiertas», con SSL. La comunicación x25, sin encriptar, ¿Paké? Los datos, almacenados encriptados (TDE). Ya estás dentro del estándar PCI.

    PS: La Razón no vale ni para el bocata, que destiñe. Y para otros menesteres tampoco, que raspa…

  5. killabyte
    Comment por killabyte | 08/26/08 at 6:10 pm

    Es un estandar mas duro que un palo que sirve para que todo aquel que trabaje con tarjetas de crédito se lo piense dos veces antes de almacenar o tratar una.

    Básicamente es un apreton de tuercas como la copa de un pino que te obliga a segregar hasta el último servicio, y una vez que los tienes segregaditos a imponer una política de hardening bastante importante. Finalmente te obligan a que pases escaneos de vulnerabilidades y auditorias de forma frecuente.

    Si no cumples, en teoría VISA te manda a freir esparragos y no te deja participar en el negocio. En la práctica no se si nunca lo han llegado a hacer.

    También en la práctica hay mucho tio por ahí que te certifica en PCI. Evidentemente si el auditor y/o certificador es un nabo, el resultado es un nabo. Hay poca gente que lo implemente bien.

    En la teoría, si se cumple a rajatabla, sube el listón de seguridad notablemente, y eso suele ser siempre porque se pasa del estado «pa que gastar en seguridad, con lo caro que es» al estado «si no cumplo me echan del negocio». Y si se cumple bien deja como resultado una red (de pagos) relativamente segura.

    Sin duda es una acción desesperada de VISA para parar el desmadre que se venía viviendo con las tarjetas de crédito, al menos en este frente. Lo mejor de todo esto es que según tengo entendido (falta de confirmar por fuentes fiables, referencias por favor) de que si hay un incidente, quien paga no es el tio que le entraron, sino que el certificador asume el gasto. El resultado de está puede ser buena.

  6. Juan A Naranjo
    Comment por Juan A Naranjo | 08/28/08 at 5:47 am

    Pues el otro dia en Inglaterra vendieron un ordenador en Ebay por £77 con datos confidenciales de varios millones de clientes de tres bancos diferentes (Incluyendo Natwest que es muy popular en UK).

    «The information is said to include account details and in some cases customers’ signatures, mobile phone numbers and mothers’ maiden names.»

    http://news.bbc.co.uk/1/hi/uk/7581540.stm

  7. Miguel
    Comment por Miguel | 08/28/08 at 8:05 am

    Joder con las ventas de Ebay…
    Se me cae un ojo

  8. Andrés Tarascó
    Comment por Andrés Tarascó | 08/31/08 at 9:38 am

    yo cambiaría de tarjeta de crédito XDDDD

    cat ccs.dat |grep «Santamarta, Ruben» |uniq | wc -l
    1

  9. Ruben
    Comment por Ruben | 09/01/08 at 9:59 am

    puta xDD

Se han cerrado los comentarios

48Bits Blog is proudly powered by WordPress & equiX.
Code is Poetry | CSS | XHTML