Então, para começar, obrigado por ter vindo aqui para esta palestra e II

sinceramente espero que você esteja gostando da conferência tanto quanto eu, então
o título

da conversa quase diz tudo, é anatomia de um cartão de crédito roubando

PDR de raspagem de RAM ou malware no ponto de venda, desnecessário para fornecer

uma

introdução sobre isso como você tem sido, quero dizer que você tem ouvido notícias
sobre

comerciantes de vários fornecedores para o último ano ou mais neste ano vimos alvo

nome é Marcus Michaels B da semana passada de Chang vimos Home Depot e novamente

Eu não estou aqui para apontar o dedo para qualquer fornecedor ou qualquer coisa
assim, mas estou

apenas sublinhando o problema que temos e quantidade ou o ou realmente o

tamanho do problema que temos para começar um pouco de um

introdução meu nome é Amol sou eu trabalho para um laboratório de vulnerabilidades

na Qualis

esse é o meu identificador do twitter, se você quiser entrar em contato comigo,

faça-me uma pergunta, compartilhe

desliza o que quer que seja na próxima hora ou mais

o que vamos fazer é começar inicialmente introduzindo alguns conceitos

em sistemas de pausa e cartões de crédito e sei que muitos de vocês já devem estar

intimamente familiarizado com estes, mas apenas para que todos nós estamos no

Na mesma página, abordaremos um pouco sobre sistemas de pausa e cartões de crédito

então vamos olhar para o ataque trabalhando como é esse ato realizado o que faz

esse ato faz como o malware raspa a memória e assim por diante e assim por diante
que

ser seguido por uma demonstração, então o que eu tenho aqui é na verdade eu tenho
uma bonita

sistema POS funcional de trabalho aqui, basicamente, converti meu laptop em um

Sistema POS o que vamos fazer é que vamos estudar como essas técnicas

trabalhe não apenas estudando o malware, porque na maioria das vezes você não tem

código-fonte do malware, você deve ir para o código de montagem, invertê-lo e

estudar como funciona assim para facilitar a compreensão avidin um código

semelhante para
 Sim, é basicamente um malware, mas podemos estudá-lo melhor porque eu

escrevi e posso explicar muito melhor se eu tiver a fonte e por último mas

não menos importante, vamos olhar para algumas das contramedidas algumas das
coisas que

comerciantes como bancos nos processadores de cartões de crédito da caritas para

Certifique-se de que as coisas estão bem, acho que o mais seguro possível, por
isso temos um

pacote bonito agora vamos começar este é um slide dos últimos anos de

Violação de dados da Verizon e tem nas colunas várias técnicas que foram

usou essa palavra que foi usada para violações de dados, então a primeira coluna
ali

são intrusões de POS ou intrusões no ponto de venda e você pode ver que cerca de
75

por cento estava no setor de acomodações, então basicamente hotéis, de modo que
este

relatório é do ano passado e chefe Malory como você sabe, não é nada novo, tem
sido

nos atingindo por algum tempo, mas no ano passado e, especialmente, este ano,
temos

visto um monte de aumento para acomodações no ano passado ou hotéis que colocam em

75 por cento, enquanto o varejo na parte inferior então aqui a acomodação para
piyah pequeno

vers 75 por cento no ano passado, o varejo foi de apenas 31%, mas eu aposto quando
eles surgem

com esses dados para o próximo ano, o varejo vai pular muito por causa de todos
esses

fornecedores que acabei de mencionar e que vocês todos ouvem nas notícias quase

semanalmente ou mensalmente, um novo fornecedor é comprometido e o fato

interessante

você vê é que, mesmo no ano passado, as invasões de pausa eram bastante altas

lá, em comparação com todas as outras invasões, quero dizer que eles têm coisas
como

abuso de informação privilegiada erros diversos negação de serviço

ou espionagem cibernética até ataques de aplicativos da web, então eu diria aqui

posts

inclusões eram praticamente ataques de aplicativos pescoço a pescoço, se você

classificar
 de adicionar todos esses números, claro, em acomodações no ano passado, havia I

acho que eles disseram apenas 1% de ataques a aplicativos da web, mas o outro
aplicativo

ataques foram bastante elevados no transporte de utilidades e certas coisas tão

o que exatamente é um cartão de crédito agora todo mundo sabe o que é um cartão de
crédito

todos têm nelas em nossas carteiras em nossas bolsas, nós as carregamos, mas acho
que essas

são os três tipos principais e o que estaremos falando sobre eles hoje o

primeiro é um muito familiar com uma tarja magnética nele segundo é que nós

estão se familiarizando um pouco com o chip e os cartões com chip

são predominantemente usados na Europa no Reino Unido e em alguns países do sul da

Ásia

e o terceiro tipo é basicamente o seu passe de pagamento ou o pagamento conforme o

uso, onde você realmente

não precisa passar o cartão, basta trazer o cartão para perto deste terminal e

pisca e sim, ele processou sua transação, há também mais um tipo

ou seja, você pode pagar do seu telefone seu dispositivo baseado em NFC, mas quero
dizer que

ainda não vi muita adaptação para isso, então hoje será principalmente

falando sobre este que é o mais comumente usado baseado em tarja magnética

cartão de crédito nos EUA e também um pouco disso porque alguns dos bancos em

os EUA começaram a emitir cartões com chips e vamos ver o que faz

o chip faz e o que tudo isso significa

então o slide aqui diz CVV2 CID e entraremos em detalhes sobre isso em alguns

minutos, então é isso que parece o terminal de passe comum agora novamente

surpresa aqui você tem o seu monitor touchscreen típico

unidade de processamento você tem sua caixa registradora uma impressora e os mais

importante um leitor de cartão de crédito agora que é algo muito semelhante ao que
eu tenho

cheguei aqui, é só que ele está conectado ao meu laptop

este hardware chefe é vendido por uma variedade de fornecedores, se você comprar
todo
 pacote custaria cerca de US $ 1.000 $ 2.500, muitas vezes é integrado com muito

de software de contabilidade e assim por diante, mas coisa interessante a notar e

o que é muito importante para as conversas de hoje também são muitos desses pontos
de venda

terminais ou caixas registradoras, se você pode executar no Windows tão abaixo de

tudo o que

cartão de crédito lendo tudo o que todo o pós-processamento tem que haver um

sistema operacional e o sistema operacional mais comum usado nesses

registradores kasseri é uma das misturas do Windows e não estou dizendo

isso é necessariamente ruim, é apenas um FYI, então isso era sobre o terminal
postal agora

vamos dar uma olhada rápida no que o seu cartão de crédito tem para que você

cartão de crédito típico de tarja magnética possui alguns dados e esses dados irão

em detalhes sobre isso, então há três faixas nessa faixa magnética e isso

é uma informação pública eu tenho a imagem deste link, mas você pode encontrar

esta informação praticamente em qualquer lugar na rede, então a faixa 1 é

basicamente essa

a densidade da etiqueta, por isso tem 210 bits por polegada é basicamente hum
quanto

quantidade de dados que pode armazenar, pode armazenar sete bits por caractere e,
como resultado

pode armazenar 79 caracteres alfanuméricos, faixa 2, com 75 bits por bits por
polegada

armazena 5 bits por caractere e, portanto, pode armazenar cerca de 14

caracteres numéricos e há novamente a faixa três, mas isso quase nunca

usado em tipos financeiros de cartões de crédito ou débito, para que não nos
referimos realmente

para que nesta apresentação lembre-se do mesmo cartão de crédito de tarja

magnética

ser usado como cartão de hotel é programado de forma diferente, então mmm

se você realmente olhar como cartões de crédito e esquema de tarja magnética havia
I

acho que um engenheiro da IBM e ele esta tira magnética é muito bonita

semelhante à tira magnética que você tem em seus registros gerais de estilo, se
você
 lembre-se antes ou discos compactos quero dizer agora muitas pessoas nem se
lembram

discos compactos, mas antes dos discos compactos havia essas fitas de áudio que
você

colocar e você pode gravar coisas nele, você pode jogar nele e tem magnético

tem duas rodas basicamente qual tem qual que gira a tarja magnética

sobre a cabeça que lê os dados para tira magnética do cartão de crédito é

quase exatamente o mesmo, você pode quase cortar a fita magnética colá-la em um

plástico no caso do áudio, existe um mecanismo em movimento para mover o magnético

tira a cabeça aqui no seu cartão de crédito não há mecanismo para movê-lo

é por isso que você desliza para que, em vez de mover a fita, você basicamente
deslize

cartão e tem a mesma ação que mover sua fita de áudio na cabeça para

de qualquer forma, é isso que o cartão de crédito o que o seu cartão de crédito
detém e se nós

dê uma olhada um pouco mais fundo dentro dele, isso é novamente público

informações que você pode encontrá-lo em qualquer lugar na Internet isso é

basicamente

rastrear um dado, então o que isso tem? É o formato de como rastrear 1 dados

está armazenado no seu cartão, o motivo pelo qual detalhamos um pouco mais

é porque isso é muito importante para entender mais tarde como o malware

e como é que ele é capaz de raspar números de cartão de crédito na memória, então
vamos

dê um pouco de um detalhe que começa com o início Sentinel é

nada além de apenas alguns personagens para dizer que, ei, agora o que se segue é
o que se segue

depois de mim é o número do cartão de crédito, de modo que é o tipo sentinela

sentinela é

geralmente um% depois disso, o que você tem é um separador de campos, porque
existem

Em vários campos, o separador de campos geralmente é uma cenoura ou um B após

que o que se segue é a sua panela ou o seu número de conta principal isso é
basicamente

número do seu cartão de crédito, o mesmo número do cartão de crédito gravado no

seu
 cartão está na tarja magnética tem outro separador de campo dizendo que ok

o campo pan terminou o próximo campo é o seu campo de nome agora esta é a faixa 1

dados, como vimos antes, ele pode armazenar caracteres alfanuméricos para
armazenar

seu nome, por isso tem 26 caracteres alfanuméricos e geralmente há um

barra entre seu sobrenome e seu primeiro nome, seguido por outro campo

separador seguido por dados adicionais agora as coisas ficam um pouco

interessantes aqui

então os dados adicionais, os quatro primeiros caracteres de dados adicionais, são

seus

data de validade e os próximos três são o seu código de serviço, o código de

serviço pode

Existem inúmeras coisas que basicamente dizem se este é um cartão de crédito ou um

cartão de débito ou em quais situações ele pode ser usado e é bastante bonito

muito específico do banco, então esse é o código de serviço e o último é a parte

mais importante

é o seu indicador de chave de verificação de um dígito PV ki ou pino ou o seu CVV

ou valor de verificação do cartão agora existe um número CVV também escrito no seu
cartão

no verso do cartão, esse número é diferente desse número.

no CVV original, o número que está escrito fisicamente

seu carro na parte traseira é CVV2 agora, por que precisamos desses dois CV
diferentes

contas é o que acontece é quando você passa o cartão todos esses detalhes,
juntamente com

o CV vamos pedir autorização, eles garantem que o nome do número do cartão de

crédito

e tudo combina com cv v e eles devolvem um basicamente

código de transação dizendo que o cartão de crédito é aceito ou não o cv v 2, que

é

na parte traseira nunca é enviado para uma autorização de cartão de crédito ou

coxas

incorporar quando você passar o cartão e veremos em breve por que existe novamente
uma espécie de

n sentinela dizendo que este é o fim e o LRC, que novamente veremos em

alguns minutos, então isso é basicamente o que a sua faixa tem na parte de trás do
seu

cartão, fomos um pouco em detalhes, porque como eu disse, isso será

muito útil para nós quando olhamos para o nosso malware cvv2

é semelhante a isso, se você se lembra que não pode conter caracteres

alfanuméricos

portanto, ele possui apenas números e a data de vencimento do número da sua conta
principal

código de serviço CVV e todas essas coisas, exceto seu nome e isso também é
suficiente

para que a transação passe pelo seu nome não é realmente um campo obrigatório para

a transação para percorrer o motivo de ter duas faixas é para que, se vamos

digamos, por alguma razão, o leitor de cartões não pode ler a primeira faixa ou
não pode

processar a primeira faixa, lê a segunda faixa e tenta autorizar o

transação usando segunda faixa, de modo que era sobre que tipo de dados é

armazenado no seu cartão agora, vamos olhar para alguns tipos de transação, então
um é um cartão

transação furto muito fácil de entender quando você desliza o cartão tudo

os dados na tarja magnética são enviados em segundo lugar, o cartão não está
presente

transações é quando você usa o cartão na Amazon ou em qualquer revendedor on-line

quando o

cartão não é passado, é a hora que você entra

cvv2 que está na parte de trás do seu cartão e para transações com cartão não
presente

você precisa dessa série de autorização para ocorrer, mesmo que você ainda que

você sabia o que o CB v1 na sua tarja magnética é que não seria permitido se

o cartão não é passado se, digamos, comprar algo on-line, você deve entrar

o CVV2 que está na parte de trás do seu cartão e não o CVV com o CVV1 que está no

a tarja magnética por isso tem basicamente um legado inicialmente não havia

transações sem cartão presente todas as transações foram apenas um furto, em

seguida, todos

a coisa on-line veio e eles disseram ok agora como é que vamos verificar cartões
se

não é roubado como sabemos que a pessoa tem o cartão fisicamente para que
 imprimiu um número no verso chamado cvv2

e é isso que agora é usado para transações on-line.

hoje, o foco será no furto de cartão, porque é aí que entra o poss malware

imagem para que muitas coisas tenham sido feitas para garantir que os dados

que os dados do cartão de crédito estão protegidos, eles estão seguros em repouso,
enquanto estão protegidos

está sendo transmitido, está protegido quando é transmitido e não leia também

muito nisso, porque isso apenas ilustra várias coisas que temos

feito para proteger os dados do cartão em repouso e os dados do cartão em

movimento ou quando os dados

está em movimento, mas essas coisas ficam um pouco borradas ou não se aplicam ao

malware chefe porque rouba seus dados da RAM

por isso, embora o cartão de crédito quero dizer na maioria das vezes muitos
vendedores comerciantes

conhecido realmente quer armazenar dados de cartão de crédito, a menos que eles
realmente precisam

os dados do cartão de crédito são processados apenas na RAM criptografada e

enviada criptografada e descriptografada

talvez as pessoas que precisam armazená-lo estejam armazenadas em um formato

criptografado, mas mesmo

para fazer essa criptografia e descriptografia, os dados devem estar em texto não
criptografado em algum lugar

na memória, então quando é basicamente lido no seu cartão antes de ser

criptografado para

enviado, fica na memória por um curto período de tempo em formato de texto sem
formatação e

é aí que a raspagem de Ram ou esses ataques de malware de pausa são roubados

dados não criptografados dos sistemas de passagem enquanto não estiverem

criptografados na memória antes

o processo de pausa poderia e criptografá-lo e enviá-lo para fora

autorização, então vamos dar uma olhada em alguns dos cenários de ataque e daí

acontece é um monte de ataques hoje eu deveria ter mudado esses slides com base

em alguns incidentes de algumas semanas atrás, mas tradicionalmente no hotel

indústria, o que aconteceu no ano passado é que, uma vez que esses dispositivos de
ponto de venda são
 nada além de suas caixas de janelas muitas pessoas as usam para verificar seu e-
mail

verifique sua conta do Facebook e, para receber um e-mail de phishing, clique em

esse e-mail e você tem o pós-malware agora faça o download para sua máquina em
alguns

das recentes incidências deste ano, o malware de pausa atinge seu sistema de pausa
ao

o caminho da administração remota e remota de anúncios, para muitos desses

sistemas

eles são terceirizados para administração a outras empresas do

proprietário do sistema nunca é realmente responsável pela administração que eles

têm

empresas terceirizadas que administram e, portanto, têm um

muitos protocolos de controle remoto como área de trabalho remota ou V e C ou

outros enfeites

em execução no sistema de passe para que os administradores possam se conectar

remotamente ao

esses sistemas e, possivelmente, atualizar alguns softwares, faz alguma manutenção

e algumas das

os ataques recentes que vimos e acho que até você tem um certificado emitido

Aconselhamento sobre isso baseia-se os ataques foram realizados por

simplesmente forçando brutalmente a interface de administração remota agora é uma

espécie comum

prática comum de não expor essas interfaces de administração remota

para o mundo inteiro para a Internet, você deve passar por VPN ou algum

canal seguro para administrá-lo, mas como você sabe, existem coisas diferentes

em teoria, o que deve ser feito e a maneira como são implementados são
completamente

diferente, então esses são alguns dos cenários de ataque através da área de
trabalho remota

ou através da pesca pela qual o malware pode entrar no sistema de passe assim que

no sistema de postagem, ele apenas espera que um cliente chegue e digitalize ou

use um dos

aquele dos leitores de tarja magnética para escanear seus cartões e basicamente

A raspagem de ram é realizada raspagem de ram. Então, o que o malware faz é

 está monitorando continuamente o seu um para dados de cartão de crédito um monte
de operacional

sistemas possuem mecanismos onde um processo não pode realmente acessar outros

processa dados, mas depois veremos em pouco tempo o quanto

isso pode ser contornado pelo qual o processo de malware pode seqüestrar ou

realmente não assumir o controle, mas pelo menos ler outros processos de memória
do

chefe processa memória extrair cartão de crédito dele e, em seguida, pode enviá-lo

através de algum comando e controle para a nave-mãe, então este é basicamente o

cenário de ataque, vamos nos concentrar principalmente sobre isso quando o cartão
é limpo e eu

significa que a raspagem da RAM ocorre como o malware entra na caixa por alguns

dos cenários que acabamos de falar e não entraremos em mais detalhes

mais detalhes disso, como o ataque do raspador de RAM funciona como eu mencionei

anteriormente, a maioria desses sistemas são de janelas e quais

Eu vou fazer é que eu vou orientá-lo através de algumas das chamadas do sistema
que

o malware chama e se você é desenvolvedor de API do Windows aqui, seria muito

fácil para você seguir o processo ou tipo de truque que eu nem diria

enganar o sistema operacional, mas seguir estas diferentes APIs para obter o que
deseja

que é basicamente anexado a outro processo e obtém informações de

Nesse processo, inicialmente o plano era disponibilizar o código fonte

gratuitamente

porque eu não acho que está bem, pelo menos esse era o meu plano, mas à luz da

eventos recentes, quando fui ao meu chefe, ele disse bem, que pode não ser uma boa
ideia

porque embora você esteja dizendo que não é tão difícil que alguém possa fazer
isso, eu não

quer bem o seu código ou o nosso código para ser usado de uma maneira ruim,
desculpe a fonte

código não estaria disponível, mas estou fornecendo as chamadas de API e a maioria

importante a sequência da API chama, por isso, se você estiver nesse domínio,

não será realmente tão difícil para você estudar o que está acontecendo e você
 pode, claro, me bater no twitter ou entrar em contato comigo por qualquer um dos
meus emails

qualquer coisa e eu posso depois de olhar para suas credenciais facilmente ajudá-
lo com isso

então a primeira e principal coisa que o malware pós faz é tentar

encontre o processo de pausa que ajudará e que terá o cartão de crédito agora

sistemas operacionais modernos, eles têm pelo menos 4 GB de RAM, se não 2 GB de

RAM

e para a pausa malware para em uma base contínua, basta ler todo o

o conteúdo da RAM pode demorar um pouco, então o que eles fazem é que

já tem uma lista de, digamos, os 2 principais softwares de sistema de passe ND

que poderia ser usado, você pode simplesmente baixar esses softwares

e veja como eles estão se registrando no Windows e depois basicamente

procure esses processos para que você não enumere basicamente todos os processos
em

sua máquina, mas você apenas tem como alvo os top 10 ou top 20 ou talvez até o top
50 ou

mesmo todos os vendedores-chefe, em vez de basicamente direcionar todos os

processos

seu sistema de chefe, que seria demorado, para que você encontre seu chefe

processo que terá o número do cartão de crédito é o que o malware faria

faria isso chamaria processos basicamente enumerados para enumerar todos

os processos que abriria processo que chamaria enumerar módulos de processo e

obtenha qual é o nome do módulo para esse processo e obtenha a base do módulo

nomear agora isso pode ser feito de várias maneiras, é exatamente assim que eu

escolheu no meu código para encontrar o processo do chefe, mas isso pode estar no
Windows, em seguida,

você sabe que conhece várias maneiras e eu sei que a API chama apenas pelo nome ou
por um

pouco difícil de usar, porque existem muitos parâmetros, muitos

estruturas a serem preenchidas para passar para essas APIs, mas é onde é isso que
eu sou

não basicamente dando, então você encontra o processo de passe que tem o cartão de
crédito

dados, o que o malware faz é elevar seu próprio processo e

 dá a si mesmo um acesso muito peculiar, que é chamado como nome de depuração em si

Windows; portanto, quando o malware tem o nível de acesso necessário para ele

fazer 3, que é basicamente conectar a um processo um monte de caixas do Windows a

passagem

sistema é executado como administrador ou o requisito para isso é basicamente

quando

o malware está sendo executado, ele deve ser executado com os mesmos privilégios
da publicação

sistema que é muito fácil que bastante fácil sob

janelas porque na maioria das vezes o sistema chefe está sendo executado, se isso
não for

possível, há um pouco de um desvio que é basicamente você também pode

injete seu processo em outro processo e há certas solicitações para isso e

assim ultrapassar 3 ok e isso é feito pelo seu basicamente primeiro você abre

seus processos - você pode procurar quais são os privilégios para o seu

processo e, em seguida, você ajusta seu token de processo de acordo e a etapa 3

após

você eleva seus próprios privilégios depois que o malware eleva seus próprios
privilégios

o passo 3 é bastante simples, basta abrir o processo do chefe, isso é tão simples

como abrir como uma caixa de presente, porque você já o encontrou

o processo você já tem credencial suficiente acesso suficiente, basta abrir

o processo é uma chamada bastante simples, apenas um processo de abertura de

chamada para abrir essa

processo e, em seguida, bem, nossa coisa familiar, que é então você raspar a RAM
agora você

tenha acesso à memória virtual desse processo e você basicamente vai

através se você, se você não é muito inteligente sobre isso, basta passar por

o virtual toda a memória virtual do processo de destino que você é mmm que

você está alvejando, então você analisa o byte da memória do processo por ele ou
você

não tem que fazê-lo mordida por mordida, porque você está procurando dezesseis

número do cartão de crédito com o formato da faixa um que vimos anteriormente,

para que você
 está procurando aquele% que B assina o número da banda que provavelmente seria

é 18 dígitos 16 dígitos, mas pode variar, então você está

procurando esses separadores de campo para que você possa fazer isso com muita
facilidade por um conjunto de

expressões regulares para classificar raspar ou fazer correspondência de sequência

ou expressão regular

corresponder para ver se algum dos dados da faixa 1 está na memória do processo

que você está direcionando e você pode fazer isso pela consulta virtual X e pelo
processo de leitura

chamadas de memória no Windows, para que pareça tudo simples

mas ainda é como encontrar um ajoelhamento no palheiro, porque como eu disse,

mesmo em

Windows de 32 bits, todo processo recebe uma grande quantidade de memória virtual
em

Janelas de 64 bits, todo processo recebe uma quantidade enorme de memória virtual,
por isso, se

você e isso, se você começar a olhar para todos os segmentos de memória, você
perderia

a corrida o por que digo que é porque o processo de pausa que tem o seu crédito

cartão eles não são, quero dizer que eles sabem o que está acontecendo eles estão
tentando anúncios

o mais rápido possível, criptografe o número do cartão de crédito e envie-o

processamento ou assim que a pausa processar seu terminal de ponto de venda

lê, tenta enviá-lo para autorização o mais rápido possível e

zerar as variáveis em que o número do cartão de crédito foi escrito, então eu

quero dizer

esses caras também não são, não é seu primeiro rodeio também, então eles estão
tentando

faça o mais rápido possível, envie o número do cartão de crédito para

autorização e é zero a memória ou as variáveis em que o

número do cartão de crédito foi armazenado agora eu acho que todos aqui tinham
algum plano de fundo

na programação para que você saiba o que quero dizer com uma variável como o
cartão de crédito

número é armazenado em algum tipo de variável, mesmo que você o envie para

processamento e você liberá-lo, por vezes, isso o sistema operacional não pode
escrever zeros nesse

parte da localização da memória, portanto, antes de liberar a memória que você

mesmo cria

certifique-se de zerar a variável e liberar a memória para que seja como

encontrando como eu disse uma agulha no palheiro então o que o malware faz o

truques que o malware faz é que ele procura apenas a memória que é

comprometido de forma tão imensa quantidade de memória virtual que todo processo
possui

procura apenas segmentos de memória que possuam esse sinalizador, o sinalizador de

confirmação de mem

e o que basicamente isso lhes diz que

memória está comprometida, isso não é apenas memória virtual, mas há algumas

memória física-lhes alguma RAM física que está na tabela de mapeamento Oasis

mapeado para esta memória virtual, então sua memória virtual de repente

não parece tão grande, é restrito apenas à memória física que é

alocado outras coisas que você poderia fazer é ou o malware basicamente faz é que

ignora a memória com esta bandeira de imagem de homem agora o que é essa bandeira
de imagem de homem agora

o que faz é o mouse, o número do cartão de crédito não estará no

parte executável do seu código, para que qualquer processo quando carregado na
memória

tem instruções que você que não são basicamente que não podem ser alteradas

são apenas instruções, esse é o processo, então pula essa parte e pula várias

outras coisas em que os recursos são mantidos como imagens e bitmaps e assim por
diante

adiante em sua memória para que pule todas essas partes e só procure no

partes onde as variáveis são armazenadas, quero dizer que é a maneira mais fácil
de colocá-lo e

outras coisas que ele poderia fazer é que uma vez, se fez sucesso, tenta

lembre-se dos endereços de memória onde encontrou o número do cartão de crédito o

primeiro

tempo dentro dessa memória virtual dentro desse processo, para que da próxima vez
tenha que

fazer isso, ele pode se otimizar indo primeiro a esses endereços, porque se o LR
 que é uma técnica pela qual os endereços são randomizados pelo Windows, se isso
não for

ativado, provavelmente o sistema operacional carregará suas variáveis na mesma

memória

locais, para que haja alguns desses truques que o malware poderia fazer para

otimizar a si próprio para chegar rapidamente a esse número de cartão de crédito

antes da postagem

terminal tem uma chance de criptografá-lo ou zerá-lo e, em seguida, como eu

mencionei

faz esse padrão correspondente na pista 1 e 2, então já vimos o que isso

pessoa estar nesta cenoura e esta pergunta marca tudo o que isso significa, por
isso

faz exatamente como esta expressão regular que me dá

qualquer coisa que comece com digamos que a pessoa B tenha uma cenoura e outra

cenoura nele e tem um ponto de interrogação nele e tem um monte de números nele,
então

se você conhece a expressão regular, sabe que é muito fácil

escreva uma expressão regular para corresponder a esse padrão, depois de obter os
números

digamos que ele encontrou esse padrão e foi capaz de extrair esse cartão de
crédito

número da memória o que faz é que se aplica este algoritmo agora isso é

não é um algoritmo, este é um algoritmo bastante bem documentado para fazer

informar se o número que você possui é um número de cartão de crédito válido ou

não, se

você pega os cartões de crédito do seu bolso e compra e aplica esse

algoritmo nele agora deve dizer sim é um cartão de crédito válido é

bastante simples, você pega o número do cartão de crédito original e solta o

último

dígito você inverte os dígitos, então é basicamente você apenas soltar este cinco
você

inverter os dígitos você multiplica dígitos ímpares por 10 para 5 torna-se 10

torna-se

8 9 se torna 18 a cada dígito ímpar que você o multiplica por 2 10 antes, eu acho
que é

multiplicado por 2, você subtrai 9 se o número for maior que 9 para que 10 se
torne 1
 permanece 8 18 torna-se 9 e, em seguida, você adiciona todos os números e obtém um

número e quando você adiciona esse número ao número original, você solta o

módulo o mod 10 dele deve ser 0, por isso pode parecer um pouco envolvido, mas

na realidade, é como um código C rápido e sujo que escrevi para verificar

e tenho certeza que a maioria de vocês pode escrever código ainda mais otimizado
do que

para verificar se o número do seu cartão de crédito é válido ou não, por isso não
é

que difícil e esta função se você apenas copiar e colar isso no seu

O compilador deve funcionar como está e, como não há nenhum proprietário

informações aqui podemos dar isso tempo tão demo é assim que eu acho que o

O malware encontra o seu processo chefe, o processo ataca, obtém o número do

cartão de crédito

valida e cospe para fora, então o que eu tenho aqui é um trabalho

terminal de ponto de venda e o que vou fazer é ter um cartão de crédito

deixe-me invalidar esta transação, então deixe-me ir para casa descartar as

alterações

então eu sou pequeno, eu sou como um cara que trabalha na loja, eu venho aqui,
relógio na minha

nome é, digamos, bill bill relógios e você como cliente vem aqui eles dizem

este é um spork chop pela maneira como eles dizem que eu quero comprar algum item
em que clico em make

uma venda e o que a pessoa está comprando é, digamos, um chapéu de beisebol

40 dólares muito caros alguns comprar capacete 65 dólares oh homem, eu nunca iria

para esta loja 65 dólares por um capacete de bicicleta e depois o cliente me dá

seu cartão

agora eu preciso de um voluntário aqui alguém pode me dar seu cartão por favor
não, eu estou falando sério

não, não, não, não, não, não, eu só estou brincando, porque eles são seu número e
sua CBV

e basicamente tudo para esse cartão aparecerá na tela, então este é um

cartão está expirado, sinta-se livre para anotar o número, mas está expirado.

o cliente faz é me dar o cartão eu furto isso é muito barato

como um dispositivo de US $ 20,00, você pode comprar novinho em folha no eBay,

então eu passo o visual que esqueci de

fazer algo que eu preciso dizer que o crédito total é de 82 dólares e atualmente
estou correndo

isso no modo de demonstração, para não enviar este carro para autorização, e é
isso que

está dizendo aqui esta é uma conta demo sem dinheiro é transferido

sem dados se você pode ver essa coisa piscando, porque eu não quero um monte de

transações invalidadas, então o que eu poderia fazer aqui eu deslizo o cartão e

diz

Ok, eu quero coletar alguma dica ou o que quer que seja, agora vamos assumir que

o malware está sendo executado em segundo plano em vez do malware em execução no

background este é o meu diretório visual em C ++, onde construí meu programa

na verdade, vamos dar uma olhada - bem, vamos ver que temos algum tempo para

podemos dar uma olhada rápida no programa

enquanto o cliente aguarda a entrada da dica

Então, como você pode ver, é um programa muito pequeno, não tão grande assim,
apenas alguns

casal apenas algumas linhas de código aqui esta pausa fina PID é o primeiro passo

que é o processo de pausa e neste programa eu o codifiquei para

encontrar este processo chefe que eu estou direcionando lá processo de pausa demo,
mas

como eu disse, você pode segmentar como os 50 principais processos de aprovação ou

o que você quiser

para direcionar, então você faz isso pelo seu processo NM animal e todas essas
chamadas

você habilita privilégios de token para criar seu próprio privilégio como um bug
do CD agora

não é uma chamada do sistema, esta é minha própria função que chama um monte de
outras

funções que faz isso, então você abre o processo como eu disse, basta abri-lo como
um

presente e então você basicamente encontra outro olhar que é basicamente você
procurar

números de cartão de crédito, por isso, se seus locais finais forem assim, você

procure o número do cartão de crédito que procura e extraia o nome e depois

 extrair a data de validade e o código de serviço o número de verificação do pino

PP ki p VV c VV e basicamente no final do dia você apenas imprime tudo o que

Então, quando eu compilar que se torna um binário e agora aqui se você ainda

lembro o que aconteceu aqui o cliente veio ele ou ela roubou sua

cartão de crédito e basicamente eu corro esse processo e ele despejou um monte de

coisas para que antes de tudo despejou a localização da memória despejou o crédito

número do cartão quatro zero sete quatro um que você realmente não pode ver aqui,
mas você apenas

tenho que aceitar minha palavra, é o número do cartão de crédito e aqui nossa demo
seria

útil que é se alguém realmente me der esse registro

número do cartão que apareceria na tela, mas eu não quero que nenhum de vocês faça

que expõe sua data de validade, seu serviço é essencial e sua verificação de pinos

número então basicamente você viu que no momento em que pressionei digite-o
imediatamente

foi capaz de descobrir isso e isso foi por causa de todas as otimizações que meu

programa fez e quero dizer que eu não sou um gênio eu sou o pessoal do malware é
muito melhor do que

pelo menos eu, então eles também têm muitas otimizações, então realmente

funciona muito rapidamente, então esta é uma máquina de 64 bits, mas os processos
são de 32 bits

processos, então o ponto aqui é que ele funciona muito rapidamente e mesmo se você

tem que se você tiver uma máquina com uma memória maior ou talvez o chefe

processador localiza grande quantidade de memória Eu não acho que isso importaria
porque

só preciso, eu nem calculei o quão rápido é porque no momento em que eu bati

digite apenas os números do cartão de crédito e o mesmo cartão de crédito

número várias vezes porque na memória de processo deste software é

agora armazenado em vários locais em várias variáveis, por isso é que

encontra-lo em muitos lugares e bem, isso é alguma melhoria que eu preciso fazer é

também está colocando alguns dados de lixo antes e depois do número

Então, mas sim, isso é o que é a demo mmm o processo de pausa, que é um

processo diferente que eu corri aqui foi capaz de roubar o cartão de crédito
 número que eu deslizo em Desculpe o processo de malware foi capaz de roubar o

número do cartão de crédito que foi passado neste processo de pausa, então eu
digo, digamos não

tip Estou realmente sou um pouco barato, então e a transação passou Quero dizer
isso

é um processo de demonstração, então ele realmente não passou, mas continuará

agora

se eu executar o processo novamente, ele ainda terá os números do cartão de

crédito, mas o que eu

já vi muitas vezes o processo de pausa é imediatamente limpa a

memória e então não consigo mais encontrar os números, então estou realmente
surpreso

que isso realmente está acontecendo pela primeira vez aqui

vida que ainda consigo encontrar os números dos cartões de crédito, talvez porque

não limpou a memória corretamente, mas geralmente quando eu faço essa demonstração
após o

transação passa pelo processo do chefe limpa a memória e depois

os números do cartão de crédito sumiram novamente sumiram novamente talvez eu só

precise ir para casa

e então ele fará isso de modo escrito ou descartar as alterações e hummm você

ainda pode encontrá-lo por algum motivo, por isso ainda está lá na memória para o

processo chefe então voltando à nossa apresentação, este é o último slide que

podemos fazer mm para que isso não aconteça como proprietário de uma empresa em
pausa, se eu

tiver um terminal de ponto de venda, eu posso ser uma pequena loja de produtos
para mamãe e bebê ou posso ser

grande vendedor, o primeiro conselho é usado chefe apenas para a finalidade a que
se destina

no ano passado, um monte de indústria de viagens da mesma maneira que os malwares

invadiram os sistemas de chefe

porque as pessoas estavam usando seus sistemas de chefe para navegar na net para
verificar

Facebook para clicar em links Quero dizer um link em um e-mail é uma coisa tão
tentadora

que poucas pessoas resistem à vontade de clicar nele, de modo a diferir dessa
tentação
 não clique em todos os links que você recebe em seus e-mails ou em qualquer lugar
remoto seguro

software de gerenciamento, isso é mais aconselhável para este ano, porque muitas

ataques este ano que vimos são deste tipo de mmm

em um rei o termo remoto mais terminais de gestão mmm medidas para

proteger contra ameaças internas então agora há esse roubo de identidade

center.org eles

disse que no ano passado cerca de 11% dos ataques de pausa são de ameaças internas

estamos realmente em 7-onze ou alguém algo que alguém dá os pen drives

diz ao caixa colocá-lo e devolvê-lo e disse que ele recebe

Nota de US $ 100 ou algo assim, para garantir que esse tipo de tipo de baixa
tecnologia

de ataque também não acontece e também estamos fora

de tempo, mas depois almoçamos, então vou continuar um pouco melhor

práticas, certifique-se de verificar os sistemas anteriores em busca de

a verificação de vulnerabilidades para a correção de auditoria permite

criptografia de ponta a ponta

hardware de modo que o que quero dizer com habilitar de ponta a ponta Hardware é
que existe uma

hardware pouco caro que você chega onde quando você passa o cartão é

antes de enviá-lo para a pausa, ele criptografa e envia para a pausa

e há um software especial aqui que pode descriptografá-lo ou que pode apenas dizer

outro tipo de hardware pode fazer toda a transação no bloco de pinos e assim

apenas uma transação que enviei para a pausa, para que o número do cartão de
crédito nunca seja

realmente enviado para o terminal postal apenas o seu código de autorização é

enviado para você

acho que você deve considerar investir nesse tipo de hardware implanta inteligente

cartões agora isto é, quero dizer o núcleo de tudo isso é sim, existem cartões de
crédito lá

é isso, mas o problema legal aqui é que o número do cartão de crédito e o

informações necessárias para autorizá-lo, ele é armazenado no seu cartão em texto

sem formatação

esse é o tipo principal de calcanhar de Aquiles desses cartões inteligentes

 Europa há muito tempo, agora eles têm um chip dentro de um cartão para que seu
cartão de crédito

número ou informação nunca é enviada, o próprio chip faz ou habilita auxílios em

autorização, para que apenas um ID de transação seja enviado, mas nos EUA estamos
presos

com esses cartões por algum tempo, é como um problema de galinha e ovo a emissão

bancos não vão me dar cartão inteligente, porque eles dizem que nenhum dos
fornecedores aceita

cartões inteligentes, o que você fará com seu cartão inteligente e os fornecedores
dizem que

Bem, você não tem um cartão inteligente, então o que

você vai fazer mesmo se eu tiver um terminal de chip e pin nem tudo está perdido
as coisas são

mudando, existem algumas regras e regulamentos nos quais temos que

nos emitir cartões inteligentes também nos EUA, mas novamente as regras que estão
chegando e

é um pouco complicado, vamos conversar, podemos conversar sobre isso offline, não
estamos

recebendo todo o chip e pinos como temos na Europa, estamos recebendo algo

chamado como chip e sinal, porque por algum motivo eles acham que os clientes dos
EUA

não são inteligentes o suficiente para lembrar o pino, então estamos recebendo o
chip e

assinar que não é como um chip completo e pin, mas é que é muito

melhor do que pelo menos o que temos agora, mas ainda assim teremos esse problema
de poucos

há algum tempo, porque muitos dos cartões com chip eu tenho um cartão com chip

meu banco, mas também tem uma tarja magnética para trás para trás

compatibilidade se eu for para um 7-onze que não pode lidar com a transação de
chip

eles ainda precisam deslizar para que você tenha essa tarja magnética e

dados de cartão de crédito em texto puro Eu acho que você é ou acho que somos
vulneráveis

fornecedores de software chefe que eles podem, quero dizer este software que eu
lhe mostrei

foi realmente muito bom, foi muito bom nos meus testes para zerar os dados
 assim que envia dados para processamento, mas existem muitos outros

toneladas de software que eu vi que realmente não se importam e os dados

permanecem em

memória não criptografada até você fechar o processo e nunca fechar o

processo chefe está sempre executando o que podemos fazer como usuários de cartão
de crédito e isso

é onde eu realmente preciso da sua ajuda, eu realmente não consegui encontrar

muito

solução técnica o que podemos fazer aqui a maior parte do processamento do cartão
de crédito

acontece aqui com confiança quando eu entrego meu cartão a um servidor em um

restaurante que ele ou

ela tira do meu site e tudo pode acontecer porque esse dólar de 1520

o dispositivo pode ser facilmente usado para roubar tudo do seu cartão, como eu
disse

novamente na Europa é um pouco, não importa em que restaurante você vá

baixa escala de luxo eles trazem a unidade de processamento para você, porque no

No final do dia, você deve inserir um PIN no seu cartão de crédito, para que nunca
seja

fora da sua vista, está sempre na sua mão. Não estou dizendo que tudo o que eles
têm

é bom porque existem prós e contras na Europa, se você de alguma forma perder

PIN, se alguém em Londres você conhece câmeras em todos os lugares

se alguém capturar seu pino em uma câmera, o banco não apoiará você

temos que pagar a cobrança do cartão de crédito, não importa quão grande seja nos
EUA, temos um

muito mais proteção ao consumidor para que, se o número do seu cartão de crédito
for roubado

basta ligar para eles desde que não suspeitem de uma fraude que você não os chamou

100 vezes antes de reverterem a cobrança e você não precisa pagar por

essa coisa, para que haja prós e contras e, novamente, se pudéssemos ter outro

da nossa sessão sobre o que é melhor o chip e pin ou apenas o chip e assinar

para os consumidores, uma sessão não técnica onde poderíamos pesar o que é
realmente

bom para o consumidor e produção do consumidor e esse tipo de coisa tão

 com isso que é o meu punho Twitter, por favor me envie todas as perguntas que eu
mantenho

atualizando muitas coisas, não apenas na segurança poss, mas geralmente em

segurança para que você saiba que você encontrará alguns dos meus comentários
interessantes e nós

abrir para perguntas e respostas

os cartões com chip você quer dizer os cartões base NFC, onde você acabou de
trazer o cartão

perto do dispositivo, então eu realmente não fiz muita pesquisa, mas em

que também o que meu novo eu não quero dar errado

informações, então eu não fiz muita pesquisa sobre isso, posso olhar que é o meu

tipo de próxima coisa a olhar para esse tipo de coisas que a Apple como você sabe
que eles

anunciaram seus mais recentes sistemas de cartão de pagamento no telefone Android

tinha seu NFC

coisa que eu não sei desculpe, eu não olhei para ele sim

mmm, é definitivamente um pouco mais seguro do que os cartões de tarja magnética

onde tudo é texto claro, é muito mais conveniente também porque eu

Quer dizer, se você esquecer sua carteira, hoje em dia você pode esquecer sua
carteira.

nunca esqueceria seu telefone para que você ainda pudesse pagar usando seu
telefone

só que eu não diria desvantagem, mas teríamos que esperar e ver a adoção

desde que o shopping haja vendedores suficientes aceitando esse tipo de

transações que funcionariam, mas eu ainda carregaria meu cartão de crédito normal

porque enquanto viaja para algum lugar, tenho certeza que vou encontrar um
fornecedor que leva apenas

a tarja magnética tem esse tipo de comedor de encaixe e não processa isso

então sim, é menos seguro no sentido de que não há pinos para inserir no chip e no
PIN

o que acontece é que você insere um alfinete, mesmo que sua ação de controle de
crédito não seja apenas uma

cartão de crédito, mesmo para a transação do cartão de crédito, você insere um

alfinete e o chip

valida se o pino é o certo para esse cartão de crédito e apenas fornece

 você um ID de transação bem-sucedido ou não, que foi enviado e o chip do processo
do cartão e

assinar o que eu entendo e é novamente uma coisa nova nos EUA, que é

sendo adotado por isso não é mesmo eu não gosto de testá-lo em primeira mão

mas o que Chip e sinal é o chip ajudaria na criptografia do cartão e

coisas assim, mas ainda não haveria nenhum pino anexado a ele, então o

problema de cartões de crédito em texto simples pode ser resolvido pelo Chip e
assinar, mas novamente

basicamente ajudaria basicamente a gerar um ID de transação que é

passado não aborda o problema de raspagem de RAM sim bom

Hã

bem

oh yeah, eu quero dizer um leitor de cartão de crédito, quero dizer, existem

muitos propósitos legítimos

eles podem ser usados como chaves de seus hotéis ou estacionamentos e

é dizer que não é realmente nada, quero dizer que você pode sim, é bastante
legítimo

compre esse tipo de dispositivo ou venda esse tipo de dispositivo, porque essas
coisas

não foram regulamentados antes, quero dizer, vá em frente

para que ele pudesse fazer muitas coisas, eu apenas mostrei da maneira que eu fiz
no meu programa

poderia encontrar o processo passado, digamos até o título que é mostrado no

Windows ou no Windows, todos os programas se registram com um determinado nome.

ele pode tentar encontrar esse nome para esse processo no Windows, há muitos

literalmente muitas maneiras de encontrar o processo, se você apenas olhar para a

chamada de processo de busca

você pode verificar quais argumentos são necessários e depois descobrir como você
pode

dar esses argumentos para essa chamada sim tudo bem muito bem muito obrigado