Internet Banking Security Assessment Apsvērumi

Aug 05, 2008 banku un EFTPoS, drošības

I tika lūgts kādu laiku atpakaļ, kāda veida lietas var uzskatīt, aplūkojot

Zemāk ir saraksts ar lietām, kuras varētu apsvērt. Tā ir tikai smadzeņu dump un kā tāda nevar būt pilnīga.

Nelietojiet zemu vērtību standarta jūsu infrastruktūras, website konfigurācija, datu bāzes konfigurācijas motoriem / un / QA vidēs.

Dažas domas:

  • Many do nebloķējas kontiem pēc X failed logins, tas ir normāli darīts labas klientu apkalpošanas, bet ļauj šo sistēmu

- Un visi pārējie lietas sagaidāmas sesijā (piespiedu paroli izmaiņas, novecošanās uc))
- Instrumenti, piemēram, var izmantot brutālu spēku autentific sesijas.

  • Daudzi ļauj session kārtas numuri, kas pieaudzis, ļaujot autentificēta lietotāju, lai apskatītu citu klienta sesiju.

- Tie var būt pusē, klienta pusē, cookie pamatā, uc
- Saņemt kāds pārbaudīt metodoloģijas un kodu izmanto.
- Database query virknes var ievietot testa ievades lauki, ļaujot tabulu izgāztuves, lai pārlūku.
- Pārbaudiet visas lapas sniedz drošu un satur lietotāja karogi.

  • Klienta nedrīkst izolētā, to nepieciešams pārbaudītas.
  • Klientu nevajadzētu uzturēties
  • datubāzēs / sistēma nedzīvo par tīmekļa serveri.
  • Datu bāzes vajadzētu uzturēties privāta / daļēji privāto

- A dažādu segmentu ar galveno sistēmā.

  • Tīmekļa serverī būtu dual homed vai līdzvērtīgas (daži VLAN metodes ir labi)

- Atsevišķi privātā un publiskā kartes, monitoringa / backup / pārvalde
- Infrastruktūras izveidošana skaidri noliedz ārzemju / izejošus ostās, privātas IP & uzraudzības bēg no

  • Pēc visu segregāciju punkti nodrošina noteikumi, kas novērtē satiksme, lai gan šo jautājumu.
  • Visi klientu ja iespējams, būtu iegūst drošu pēcprocesa datubāzē.

- Tas var būt ti, nav galvenais sistēmā.
- Tas parasti ļauj darījumu parādīsies reālajā laikā uz šo klientu.
- Daudzas darījumiem var batched patiesībā. (iekšējās vai ārējās uz

  • Nodrošināt piemērotu noteikumi ir izveidotas uz ugunsmūriem.

- Nedrīkst būt ārzemēm un noteikumus par ugunsmūrus un filtrēšanas maršrutētāju.

  • Neļaut infrastruktūras uz priekšējā beigām, lai varētu attālās administratīvās savienojumus. uc)

- Izmantot seriālās konsoles ostā, lai izveidotu savienojumu ar vai pēcprocesa termināla

  • Pārliecinieties, ka atsevišķa / QA / ražošanas sistēma un piemērota procesu vietā.
  • Services neizmanto sistēma darbojas

- Šie ir atspējota.

  • Port skenējot apliecinošie infrastruktūru (maršrutētāju / slēdži) un (s).

- Izmeklēt iemesli visus atvērtos ostās.

  • Nelietojiet galvenā vārteja uz uzticamo partneri (mijieskaita / RAS / uc)
  • Darīt visu, ka standarta IIS pārbaudes un NT pārbaudēm (Sample skriptus, pārmaiņu vadības, metodikas, uc)
  • Nodrošināt liegšanai pakalpojumu piesardzības ir ņemti vērā visu infrastruktūru un iekārtas.
  • Pārbauda atbilstību, eskalācijas procedūras izmantošanu.

- Meklējiet reālā laika uzraudzība un brīdināšanas.
- Meklējiet atbildību matricā.
- Meklējiet īpašumtiesību jautājumiem.

  • Apsveriet augšpus pārvadātājs (-i) (liegšanai pakalpojumu, IP spoofing, uc)
  • Apsveriet sociālās engineering klientu, administratīvās, partneris accounts / sistēmas / infrastruktūru.

- Helpdesk procedūras un politiku un / vai rezerves tehnoloģijas (Zvanītāja ID, Gateway IP utt.)

  • Izmantot dinamiskās paroles, ja iespējams (SecureID, TACACS uc).
  • Lietot šifrētu tuneļu, ja nepieciešams Firewall 1 uc)
  • Apsveriet meklē citu klienta metodes, lai uzlabotu esošās metodes.

- CERT, IP adrese bloķēta kontā, uc
- Apsvērt izmantošanu vai CVN izdotas kartes.

  • Apsvērt, kā paroles tiek izplatītas / mainīts klientiem.

- Plain e-pasts, tālrunis, uc
- Can paroles jāmaina

  • Vai papildu izmantojami starp iedaļām no pakalpojumiem reizi autentific?
  • Apsveriet to, ko klients ir vienu reizi autentiskums.

- Paraugieties RTGS, inter pārskaitījumus, uc
- Ja uzbrucēju vai iegūt to, ko var darīt?

  • Izmantojiet metodes, lai nodrošinātu lapas, informāciju par klientiem nav Cached pie vai klienta sistēmā.

- Tie ir karogi, kurus var kas lapas.
- Parasti SSL ir kešatmiņā, bet daži proxy pārdevēji ir spēlē ar paņēmieniem to darīt.
- Caching of SSL lapas klienta sistēmu var ieslēgt dažos pārlūkprogrammas.
- May bankām izmantot (vai līdzīga) Applet visiem klientiem, kas ierobežo visu caching jautājumiem.

  • Nodrošināt papīra un tiešsaistes atbildību klauzulas ir pieejamas, ir jārisina visi veikti jomās.
  • Nodrošināt ar klientu pierakstīšanās procesu saistības ir samazinātas.

- Es esmu redzējis paziņojumus, piemēram, "izmantot šo sistēmu savu risku, atbildība, ja atbildību vai prasījums netiks ... ..."
- Nav ļoti patērētāju koncentrētas, bet, ka ir redzams, kas to juridiskā departamenta ieteicama.

Visi iepriekš minētie var ietekmēt un / vai darbību arī uz tiešsaistes sistēmā.

Citas lietas, kas jāņem vērā:

  • Ārējās un pieteikumu.
  • Īpašumtiesības un vadību, / pieteikumu
  • Publishing punktus par jaunu saturu (internal / privātās / uzticamo vai
  • Topoloģijas priekšējas beigās. Ti document jāīsteno un pārvalda atbilstīgi.
  • Ir ierobežoti AP veic testus, kad ir veiktas izmaiņas, ti, integrēta AP vērā Izmaiņu vadības process.
  • Database Vai tas ir bufera vai arī tas dzīvot uz galvenajiem sistēmām.
  • Kādas ierīces ir? Tiešā + + + ... .... Apsveriet dažādus scenārijus par savu atkarībā no funkciju.
  • Kas citiem pakalpojumiem ir kopīgas ar segments ka pakalpojumu darbojas. To var izmantot, lai kompromitēt vietā. eg. dažādu / business / organizācijas ar atšķirīgām stratēģijās / profili.
  • Apsveriet visas ārējās atbalsta pakalpojumiem Jums AP. Paraugieties iekšējais / ārējais saindēšanās iespēju, mail utt Kas IPS's tās izmantošana ir visas iespējas sistēmas vai atbalstīt pakalpojumus, kas var ietekmēt
  • Atkarībā no daudzi organizācija neizmanto vienādu grupu infrastruktūras un pieteikumu. Tā rezultātā ārējo savienojumi ar infrastruktūras var paredzēt ārējo organizācija, kas pārvalda infrastruktūru.
  • Paraugieties uz uzņēmējdarbības un lietotāju metodes un ceļus (klients pusē certs, drošu ID, SMART uc). Apsveriet divu faktoru un mūsdienu lietotāju metodes. eg. Kāds ir Jūsu iecienītākais pārtikas papildus parastajam lietotājvārdus un paroles. Vai sistēmas pārvaldes darbinieku izmantot dinamiskās paroles (secureID, uc)?
  • Skatīt ja pieteikumu sūta e-pastu, lai lietotāji, kas var būt interesanta informācija.
  • Labāka pieteikumu parasti var gūta, sistēmai. ti saņemt likumīgu kontu sistēmā. Man ir konstatēts, ka dažas izlasē / pārvalde ekrāniem ir tikai autentificēti users only.
  • Apsveriet sociālās inženierijas palīdzības dienesta, ir konta paroli reset.

Nav komentāru »

Mobile Banking Drošības un Risk Assessment Apsvērumi

Aug 05, 2008 banku un EFTPoS, drošības

Izskatot Mobile un ar to saistīto risku, par novērtējuma pieeja lielā mērā ir atkarīga no šķīdums ir radīts vai sniegti.
Kopumā pieeja ir balstīta uz slāņveida atbalstot un apkārtējo tehnoloģijas un metodes.

Šeit ir dažas lietas, izskatīt.

novērtēšana kopumā ir vērsta uz divām galvenajām lietām.

1 / Sensitivity uz
Kas tiek nosūtīts. eg. kredītkaršu numuru, konta atlikumu, mājas adrese, konta numuru utt
nedrīkst jutīga uz bet var uzskatīt par ko klients kā jutīgi.
utt ... ... ....

2 / Opportunity
Kādas vidēja tiek izmantoti?
Vai ir viegli
Kas tiek izmantoti?
Vai visi ceļus drošus (klients un atpakaļ beigām)?
Vai pastāv 3. iesaistītā puse pārslēgšanas no darījumiem?
utt ... ... ...

Lietas, kas jāņem vērā:

  • Atiestata sūtīt lai klientam, nedrīkst lietot kā vienīgo metodi, kā piekļūt kontiem. Papildu klienta specifiskām (iespējams statisku) pass vārdu / frāzi jāizmanto papildus dinamiski generated var sniffed (atkarībā no veida un atrašanās vieta).
  • Ja WAP izmanto, ir visas ierīces, kas spēj Ja ierīces nav iespējams mēs liegt šīm ierīcēm? Ja klienta pusē viedi (win CE, uc), nodrošināt to nevar kompromitēta ar Trojan un citu tehnikas.
  • Vai organizācija uzskatīja klienta pusē sertifikātus, lai pārbaudītu ierīci pirms darījumi tiek pieņemts? Apsveriet vairākas ierīces un lietotāja metodes (ļoti šķīduma apgādājamais).
  • Vairums mobilo POS termināli encrypt klients ieraksta numurs, bet nav encrypt visu Ja vide ir apdraudēta, mums būtu jāapsver, ja var krekinga, un, ja nešifrētā ir konfidenciāla. Apsver papildu ti izmantot visus ziņojuma (SSL, vai termināla, kas izmanto Derived Unique Key Per
  • Daudzi pieteikumi ir skārusi tipisks hacks piemēram, session nolaupīšana, SQL kas nav izlases sesijas atslēgas (klients side un pusē), utt ... Tādas raksturīgās hacks jāapsver savu Secure SDLC un QA Processes, kad Jums ir zināms par izmanto un / vai nosūtīti.
  • Pbx sistēmas un kabeļu sadales rāmji var būt ierīces, kas saistīts ar savākt darījumiem. Bezvadu ierīces tagad tiek savienots ar šīm sistēmām. The uzbrucēju sēž viņu automašīnu autostāvvietu ārpuses. Tas bieži vien darīts super tirgos.
  • Wireless vārtejas ja nav kodēti ir viegli savāc anyone ar bezvadu diapazonā. 802,11 un citus bezvadu / infrasarkanās nesējiem tiek izmantotas (novērtētu un vidēji tiek izmantots).
  • Vai organizācija uzskatīja dinamisku atslēgas mobilajiem lietotājiem? Ir daži ļoti zemām izmaksām SecureID risinājumus, kas patlaban ir pieejami, bet klientiem ir jābūt šādām ierīcēm, uz tiem, ja tie vēlas veikt

Nav komentāru »

Finanšu darījumu apstrādes

Jul 02, 2008 banku un EFTPoS

Es nesen ir darba iekšpusē vienā no lielākajām bankām
Ar šo darbu, es esmu meklējis pie vadības ierīcēm un kas saistīti ar debetkartes ap Asia Pacific.

I get veikt daudzas norēķinu sistēmas novērtējumu.
Gadu esmu vienmēr uzskata kā viens no galvenajiem apsvērumiem.

Līdz vakar Es nebiju pieredzējusi vai tools. Man šķiet, ka daži scripted izmantot šie rīki varētu būt ļoti interesanti.
Vietnē hziggurat29.com

Daudzi no citiem instrumentiem, šajā vietnē ir arī ļoti unikāla un vērts izskatu.
Big pateicoties ziggurat29 sniegt šo awesome instrumenti.

Tā kā daudzas no šīm vietnēm ir par šo jautājumu ir grūti atrast un bieži vien šķiet, ka pazudīs pa gadiem, man ir izvēlējušies replicēt no šīs lapas un nodrošina vietējo kopijas failus.
Ir vērts regulāri apmeklējot ziggurat29 site reizi tagad un vēlreiz, lai noskaidrotu, vai jebkuru papildu instrumenti ir norīkoti.

Viens no vairāk ārkārtas faili ir Atalla Module un tools. Tāpēc es brīnums, ja un ir kratot to zābaki. Daži kā es tā nedomāju. ;-)

--- Ziggurat29 ---

Tie ir visi Windows command-line utilities (izņemot gadījumos, kas atzīmēti); izpildīt ar-help variants
lai noteiktu lietojumu.

DUKPT atšifrēt (<- faktisko failu lejupielāde)

Tas ir kas Kodēto blokiem, kas ir ražoti, izmantojot metodi. I izmantoja šo testēšanas izlaides dažu spilventiņu programmatūras man bija izveidota, bet ir arī ērts citiem debugging mērķiem.

VISA PVV Calculator (<- faktisko
failu lejupielāde)

Tas ir kas aprēķināt un pārbaudīt vērtības, kas ir ražoti, izmantojot Tā ir ķekars palīgtulku funkcijas, piemēram, pārbauda un nosakot PAN (Luhn radot un encrypting bloki, atšifrēšanas un ieguves PINs no šifrētu bloki, uc

VISA CVV Calculator (<- faktisko failu lejupielāde)

Tas ir kas compute vērtības, kas ir ražoti, izmantojot MasterCard CVC izmanto CVV tāpēc tas strādā, ka labi. Tas compute CVV3, iCVV, CAVV, jo šie ir tikai variācijas par pakalpojumu kodu un
formātā, derīguma termiņu. vienkārši salīdzinot vērtība ar to, ko esat saņēmis, tāpēc nav skaidru funkciju.

Atalla AKB Calculator (<- faktisko failu lejupielāde)

Tas ir kas gan radīt un Atalla AKB cryptograms. Jums būs nepieciešams plaintext MFK, lai veiktu šīs darbības. Kad atšifrēšanas, MAC arī tiks pārbaudīti, un rezultāti parādīti.

BogoAtalla (<- faktisko failu
download)

Tas ir Atalla (vai simulators). Šī programmatūra (simulācija) no labi pazīstamas Atalla Module kas izmanto banku un pārstrādes kriptogrāfiskās darbības, piemēram, pārbaudot / translating bloki, atļauj darījumiem pārbaudīt
/ CSC numurus un veic atslēgu apmaiņai, tika ražoti testēšanas nolūkos. Šai īstenošanai nav pilnīga HP Atalla komandu kopu, bet gan tikai
porcijās, ka es sevi needed., taču tā ir pietiekami pilnīga, ja Jūs veic iegādi un / vai izdot funkciju, un tās izmanto vairāk mūsdienu programmām, piemēram, un un jādara ražošana, un tulkojumu.

Tas kā klausīšanās socket un rokturi dzimtajā Atalla komandu set. Man ir veikusi dažus brīvību ar kļūdas atpakaļ vērtībām un nav centusies augstas uzticamības pastāv (piemēram, jums var rasties atšķirīgu error atbilde no native bet noteikti vajadzētu saņemt identiskas pozitīvu
atbildes. Dažas iezīmes īstenoti šeit parasti pieprasa iepirkuma premium komandas, bet visas komandas šeit īstenota ir pieejami. Piemēri ir gūtas vērtības un encrypting / atšifrēšanas plaintext vērtībām.

BogoAtalla par Linksys (<- faktisko failu lejupielāde)

Šī ir Atalla ported to Linux un veidot uzstādīšanai uz OpenWRT sistēmu. Padara ļoti lēti ($ 60 USD) / testa ierīci.

Local Files

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc

2 Comments »

Technology vienmēr tiek apstrīdēti

Jun 18, 2008 RFID

Es izlasīju ļoti interesanta grāmata ko izveidojis University of Massachusetts, Laboratorijas un Innealta, Inc <<

Šis dokuments galvenokārt ir saistīts ar kompromisu kontakta mazāk tehnoloģijām ja un / vai nav pareizi īstenoti vai risinājumu sniedzējs ir izmantojusi nepiemērota un apspriež problēmas ap attiecībā uz finanšu darījumi, piemēram, un atbilstību.

Bez tam, papīra apraksta metode, kas tiek apspriesti daudzi forumos visā pasaulē, un mēs šobrīd ir sākusies, lai aplūkotu iekārtas tiek ražotas / clonners izmantot ļaunprātīgos līdzekļiem.

Galvenais punkts, šajā dokumentā ir izmantot atbilstīgu & risinājumiem, kas atbalsta / lietotāju un mērķis, (finanšu vai nefinanšu) <<

Dokumentā atrodams http://prisms.cs.umass.edu/ ~ kevinfu / dokumenti /

Mūsdienu & risinājumus, newer ierīcēm, ko var izmantot, kuriem ir augsta jaudas, un tāpēc spēj izpildīt strong kriptogrāfijas metodes (piemēram, parakstu), lai aizsargātu un informāciju, bet ir noticis.

Šīs sistēmas bieži izmanto starp / skenera un tag / pirms veic Šīs metodes un tiek pieņemti un pierādītus strādāt tradicionālās tirgos.

Kā jau tika minēts, papīra, daži šķīdumu uzglabāt statiskā digitāli parakstīti un / vai šifrētu kas tiek sniegta ar / kad apšaubījušas, bet šiem nekad izmaiņas no viena uz citu. Tas var atļaut ļaunprātīgu indivīdu uztveršanas un atkārtoti iesmidzinātu vēlāk. Alternatīva glabātu statisku digitāli parakstīti un / vai šifrētu apspriest galvenais maiņas laikā, kad kurā / vērtība informācija ir šifrēta, un pēc tam iesūtīti. Ar šo metodi, pārsūtītie
izmaiņas, par katru un tāpēc pat tad, ja ļaunprātīga individuālā bija attēlotu šifrētu no viena tas nav pieņemams ja atkārtoti injicē vēlāk.

Lai gan tas ir tagad, vecākiem / risinājumus bieži izmanto tehnoloģijas, kas nav piemēroti finanšu darījumu, un tādēļ var tikt viegli un dažos gadījumos bez zināšanām par turētāja, vai

Es uzskatu, ka tas ir interesanti, kā dažas šīs mazāk drošu risinājumu, kas ir apstiprinātas izmantošanai, iegūstot bankas un shēmas visā pasaulē (ja tie ir teicis) Pēdējos gados, ja ir redzams, ka šie risinājumi ir izmantotas tehnoloģijas vai izvietošanas metodes, kas var tikt apdraudēts. Šīs tehnoloģijas un metodes, nekad apstiprina ar Point of Sale (POS) vai tradicionālo tirgos.

Tā var tikai to, ka ir nepieciešams, lai saņemtu produktu tirgus ātri rēķina pienācīgu testēšana, sapratne un, ņemot vērā to industry gūtās pieredzes ir izdevies vēlreiz.

Nav komentāru »

Bluetooth - Security

Mar 24, 2008 Bluetooth

NOVIRZĪTS no Bluetooth

Avots

1
2 Wireless-history
3 Wireless-Technologies
4 - Ievads
5 - Priekšrocības
6 - Programmas
7 - jautājumiem
7.1
7.2
7.3 BLUEBUG
7,4
7,5 Warnibbling
8 nākotne
9 Skatīt arī:
10 Reference List

ir jauna kas izmanto viļņiem kā veids, lai sazinātos bezvadu starp ierīcēm. Tā ir izveidota kas ietver visas cilvēka ierīču vienā sistēmu gan konverģences, gan ērtības.

Wireless-history

Daudzi cilvēki izvirzīja invention of [bezvadu] līdz Guglielmo Marconi, kurš 1895 nosūtīja pirmo telegrāfa visā English Channel. Tikai divpadsmit gadus vēlāk sāka tiek lietots sabiedriskajā sfērā. [Mathias, P.2] Līdz tam tomēr daudzi bezvadu celmlauži veikts pētījumos visā ezeri ja tiek izmantots, lai pārraidītu signālu bija ilgāks nekā attālums visā ezera. [Brodsky, p. 3] Pēc tās ieviešanas galvenais bezvadu bija paredzēts militārajiem kur tā pirmās izmantošanas bija par Boer kara. [Flichy, p. 103] izgudrošana nodrošinājusi iespēju bezvadu tehnoloģijas. [Morrow, p. 2] Līdz 1920s, ir kļuvis par labi atzīta masa vidē. [Flichy, p. 111] No 1980 līdz šim brīdim, bezvadu ir vairākās pakāpēs, sākot no 1G (analogā signāla), 2.g signālu) un 3G (vienmēr, ātrāku ātrumu). [Lightman un Rojas, p. 3] vēsture ir daudz nesen vienu, ar pirmo iespējotu produktu rašanās 2000. Nosaukts pēc Harald Blatand pirmo, king Dānijas aptuveni divpadsmit simts gadus atpakaļ, kas pievienojās Dānijas un Norvēģijas karaļvalstij, ir balstīta uz to pašu vienojošais princips, ļaujot apvienot datoru un telekomunikāciju industr [ies]. [Ganguli, p. 5] 1994 Company sāka apsver domu aizstāt kabeļi savieno accessories uz un datorus ar bezvadu saikni, un tas kļuva par galveno iedvesmas aiz [Morrow, p. 10]

Bezvadu tehnoloģijas

nav vienīgais bezvadu kas pašlaik tiek izstrādātas un izmantotas. Citi bezvadu tehnoloģijas, tostarp 802.11b, citādi zināma kā Wi-Fi, Infrared Association (IrDA), Ultra-Platjoslas (UWB), un iekšlietu RF tiek piemēroti līdzīgām tehnoloģijām, izmantot ar dažāda. 802,11 ir visvairāk labi zināma izņemot un izmanto to pašu kas nozīmē, ka tie nav saderīgi, jo tās radīt traucējumus ar otru. 802,11 tiek ieviests universitātes ASV, Japānā un Ķīnā, kā arī pārtikas un dzērienu veikalos, kur tās tiek izmantotas, lai noteiktu studentu un klientiem. Pat lidostās ir līdzi 802,11 ar lidostām visā Amerikā, un trīs no Americas visredzamāko aviosabiedrībām veicinot izmantošanu. [Lightman un Rojas, p. 202-3] Infrared Association ir ļoti sliktas, kas ir Ierobežojumi ietver tikai ar to var sazināties point-to-point, nepieciešama līnija acu uzmetiena, un tas ir ātrums piecdesmit seši kilobaiti sekundē, bet ir viens megabaitu sekundē. [Ganguli, p. 17] Ultra-Platjoslas ir pārāka, kas ir ka tā var pārsūtīt vairāk garumiem (līdz 70 metriem), ar tikai pusi no jaudas, ka lietojumiem. [Ganguli, p.17] HomeRF ir kas nav ļoti labi zināms. To izmanto un balss sakarus un mērķtiecīgu par dzīvojamo tirgus segmentā, un tas nevar kalpot - klasi WLAN, sabiedrības sistēmas vai fiksēto bezvadu [Ganguli, p.17-18]

- Ievads

ir īsa diapazona ierīces, kas aizstātu kabeļi ar mazjaudas viļņus, lai izveidotu savienojumu ierīces, vai tās ir pārnēsājamas vai fiksēta. ierīci izmanto arī lēciena, lai nodrošinātu drošu, kvalitatīvu saikni, un tas izmanto ad hoc tīklu, kas nozīmē, ka tas savieno peer-to-peer. To var darbināt visā pasaulē, un bez jo tā izmanto nelicencētu Industrial-Scientific Medical (ISM) joslā kas atšķiras ar izmaiņām vietu. [Ganguli, p. 25-6] lietotājam ir izvēle, point-to-point vai point-to-daudzpunktu saites kur komunikācijas var notikt starp divām ierīcēm, vai līdz astoņi. [Ganguli, p. 96] Ja ierīces ir sazinoties ar otru, tie ir zināmi kā piconets, un katru ierīci ir nozīmēta kā master vienības vai vergu vienības, kas parasti atkarībā no tā, kurš uzsāk savienojums. Tomēr abas ierīces ir potenciāls būt vai nu master vai slave. [Swaminatha un Elden, p. 49]

- Priekšrocības

Ir daudzas priekšrocības, izmantojot bezvadu tehnoloģijas, tostarp izmantot tad lēti izmaksas ierīce, kas aizstāj nogurdinošs kabeļu savienojumi, zemas enerģijas patēriņu un īstenoti pasākumi. Izmantošana, nelicencētu nodrošina, ka lietotājiem nav nepieciešams, lai iegūtu licenci, lai izmantotu to. Atšķirībā Infrasarkans kas ir vajadzīgi līnijas redzesloka, lai strādātu, viļņi ir izkliedēta un nav vajadzīga skaidra ceļu. Pašas ierīces ir salīdzinoši lēti un viegli lietot, viens var nopirkt par aptuveni desmit ASV dolāru, un šī cena ir šobrīd samazinās. Salīdzināt to dārgi īstenošanas izmaksām simtiem kabeļi un vadi par office un nav konkurences. Protams, tas ir galvenais iemesls uzsākšanu iespējotu ierīces; tā prom ar kabeļiem. Vēl viens Bluetooths priekšrocības ir tās mazjaudīgas izmantošanu, nodrošinot to, ka bateriju darbināmas ierīces, piemēram, un digitālie palīgi paradis to akumulatoru dzīves sausinātas, izmantojot to. Šī mazu strāvas patēriņu garantē arī minimāla pārtraukuma no citiem darbina un bezvadu ierīces, kas darbojas ar augstāku jaudu. ir vairāki ļāva pasākumi, kas nodrošina tāda līmeņa un ieskaitot hopping, kur ierīce izmaiņas sešpadsmit simts reizes sekundē. Arī pašā līdzekļi ir un kas garantē maz iejaukšanās neatļautu hackers. [Ganguli, p. 330] Viens no labākajiem priekšrocības ierīcēm, it īpaši Hands Free ierīci, kas savienota ar mobilo ir tas, ka tā novērš no smadzeņu rajonā. [Tsang, p.1]

- Pieteikumi

Pieteikumus, kas ir vai pašreizējo izmantot ietver tādas jomas kā automotive, medical, industrial equipment, izvades digital still fotoaparāti, datori, un sistēmām. [Lightman un Rojas, p. 201] ir par ad hoc lietotāju, un tāpēc to var izmantot sociālo tīklu, ti, cilvēki var satikties un apmainīties ar failiem vai link to ierīcēm, kā arī spēlēt spēles vai cita veida pasākumi. [Smyth, p. 70] Izmantojot mobilais var kļūt par trīs-way kur mājās tas savieno uz fiksētā lētākus zvanus, par kustībā tā darbojas kā mobilo un, ja tas ir saskarē ar citu iespējotu it darbojas kā walkie-talkie. Šī walkie-talkie risinājums ļauj brīvā mijiedarbību un komunikāciju, kā nav saistīta ar jebkuru telekomunikāciju [Gupta, p.1] arī ļauj automātiskās sinhronizācijas Jūsu desktop, mobilo datoru, notebook un mobilo lai lietotājs ir visu to kā vienu. [Gupta, p.1]

- jautājumiem

ir vairāki kas diapazonu riska līmenis un cik plaši šis pasākums ir. Šie ir iespēja sniegt noziedznieki ar jutīgu informācija par un iedzīvotāju līmenī. Vienīgais veids, kā izvairīties no šādiem ir ražotājiem, izplatītājiem un patērētājiem, kas jāsniedz vairāk informācijas par to, kā tās ir apņēmušās, kārtējās darbību un to, kā cīnīties pret tiem. Šo informāciju var izmantot par līmeni ražotājiem, tā var izmantot izplatītājiem mazumtirdzniecības līmenī, lai mācīt patērētāju risku un to var izmantot tieši, patērētāji būtu informēti par Rezultāts šādu pētniecības ļaus tiešajiem lietotājiem produktiem ir virsroku šajā bezvadu karamākslas. ir sākuma stadijās, attiecībā gan attackers, to metodes un patērētāju izpratne par šiem uzbrukumiem. Some research has been conducted into what the attackers are doing and how they do it. Adam Laurie of AL Ltd http://www.thebunker.net/release-bluestumbler.htm is leading the research race in and is often linked to academic resources. Laurie’s research has uncovered the following capabilities of attacks:

  • Confidential such as the entire book, calender and the ’s IMEI.
  • Complete memory contents of some can be accessed by a previously trusted (”paired”) device that has since been removed from the trusted list.
  • can be gained to the AT command set of the device, giving full to the higher level commands and channels, such as , voice and messaging.

Attacks on devices at this stage are relatively new to consumers, and therefore are not widely seen as a real . Attacks such as the Bluejack are probably more recognised by consumers due to its perceived humorous and novelty nature as well as the ease to Bluejack someone. Users who allow their to be Bluejacked open the door to more attacks, such as the which have a low level of awareness amongst consumers as attackers can attach to the device with out the users knowledge. Corporations are starting to understand the risks devices pose, Michael Ciarochi (in Brewin 2004) stated that ‘ radios were included in laptop PCs that were being configured by an IT Engineer. It raises the possibility of opening a wireless back door into stored on the PCs. Such a weakness would be extremely attractive to hackers. Although invites hackers to such attacks; Venders are playing down the risks, Brewin (2004) said that ‘ advocates last week dismissed growing fears about the short-range wireless , saying any flaws are limited to a few mobile- models. They also detailed steps that users can take to secure devices’. There are many methods of attacks, the , the , Bluebug, Bluejack and Warnibbling are the only recognised attacks at this early stage. Below are explanations of such attacks.

The

It is possible for attackers to connect to the device without alerting the user, once in the system sensitive can be retrieved, such as the book, business cards, images, messages and voice messages.

http://www.salzburgresearch.at/research/gfx/bluesnarf_cebit2004.pdf

Local Copy: BlueSnarf_CeBIT2004.pdf

The

The is a higher concern for users; it allows attackers to establishing a trust relationship through the “pairing” mechanism, but ensuring that the user can not see the target’s register of paired devices. In doing this attackers have to all the on the device, as well as to use the modem or ; WAP and GPRS gateways may be accessed without the owner’s knowledge or consent.

The BLUEBUG

This gives to the AT command set, in other words it allows the attacker to make premium priced calls, allows the use of , or connection the . Attackers can not only use the device for such fraudulent exercises it also allows theft to impersonate the user.

Dibble (2004) explained that ‘Just as was spawned, there’sa new craze that’s spreading across parts of Europe. Reportedly, it’s more prominent in the UK, but popular elsewhere too’. allows attackers to send messages to strangers in public via . When the phones ‘pair’ the attacked can write a message to the user. Although it may seem harmless at first, there is a downside. Once connected the attacker may then have to any on the users device, which has obvious concerns. Powell (2004: 22) explained that ‘Users can refuse any incoming message or , so Bluejackers change their username to a short barb or compliment to beat you to the punch. For example, you might receive along the lines of “Incoming message from: Dude, you’ve been Bluejacked.” Or, “Incoming message from: ROI is overrated.” is regarded as a smaller to as users being attacked are aware they have been Bluejacked. This does not mean however that they are aware that sensitive information is being accessed and used in a malicious manner.

http://www.bluejackq.com/

Warnibbling

Warnibbling is a using Redfang, or similar software that allows hackers to reveal or personal sensitive information. Redfang allows hackers to find devices in the area, once found, the software takes you through the process of accessing any that is stored on that device. Redfang also allows non-discoverable devices to be found. Whitehouse explains when testing Redfang ‘One of the first obstacles we had to overcome was the discovery of non-discoverable devices (it was surprising to see the number of devices that dont by default implement this measure)’. http://www.atstake.com/research/reports/acrobat/atstake_war_nibbling.pdf

Future of

Further information, and somewhat speculation is required for consumers and stakeholders on the future of . Such information will provide a clearer understanding of why of must be improved. Luo and Lee (2004) provide a short term prediction of where is heading, Europe and Asian countries already offer newspapers, subway tickets, and car parking fees via wireless devices. Collins (2003) says that devices ‘appear to be more secure than 802.11 wireless LANs. However, this situation may not last, as the becomes more widespread and attracts greater interest from the community’.

http://www.arraydev.com/commerce/jibc/0402-10.htm

See also:

Reference List

  • Brodsky, I. (1995) Wireless: The Revolution in Personal Telecommunications , Massachussetts, USA: Artech House Inc, ISBN 0890067171 (Erin Watson)
  • Collins, G. (2003) . Byte.com [ ], Available: Academic Search Elite, ISSN:0360-5280 [Accessed 6/9/04]. (Ben Henzell)
  • Dibble, T (2003) ‘Bluejack city: a new wireless craze is spreading through Europe’ [ ]. Available: http://www.sys-con.com/Wireless/article.cfm?id=710 [Accessed 4/8/04. (Ben Henzell)
  • Finn, E. (2004) Be carefull when you cut the cord. Popular Science [ ], vol. 264, issue. 5, p30. Available: Ebsco Host: Academic Search Elite, ISSN:0161-7370 [Accessed 6/9/04]. (Ben Henzell)
  • Flichy, P. (1995) Dynamics of Modern Communication , London: Sage Publications, ISBN 0803978502 (Erin Watson)
  • Ganguli, M. (2002) Getting Started with