Mobile Banking Security and Risk Assessment Considerations

Aug 05, 2008 in bank-en EFTPoS, Veiligheid

Bij het overwegen van Mobile en de daaraan verbonden risico's, de aanpak van een beoordeling in hoge mate afhankelijk is van de oplossing worden gemaakt of verstrekt.
Algemeen de aanpak is gebaseerd op gelaagde te ondersteunen en rond de technologieën en technieken gebruikt.

Hier zijn een paar dingen te overwegen.

algemeen richt zich op twee belangrijke dingen.

1 / De gevoeligheid van de
Wat wordt verzonden. Bijv. nummers, saldo, adres, enz.
mogen niet gevoelig is voor de maar kan worden beschouwd door de cliënt als gevoelig.
etc ... ... ....

2 / mogelijkheid om te krijgen tot de
Welk medium wordt gebruikt?
Is het makkelijk te
Wat encryptie wordt gebruikt?
Zijn alle paden veilig (client-en back-end)?
Is er een 3de partij die betrokken zijn bij de omschakeling van de transacties?
etc ... ... ...

Dingen te overwegen:

  • opnieuw verstuurd via naar klant, mag niet worden gebruikt als de enige methode van het openen van rekeningen. Een extra klant specifieke (eventueel statische) pass woord / zin moet worden gebruikt als aanvulling op een dynamisch gegenereerde kan worden snuffelde (afhankelijk van de modus en locatie).
  • Als WAP wordt gebruikt, zijn alle apparaten in staat van encryptie? Als hulpmiddelen zijn niet in staat de encryptie, hebben we tot deze apparaten? Als client side of (Win CE, etc), ervoor zorgen dat dit niet kan worden aangetast door een Trojan's en andere technieken.
  • Heeft de organisatie beschouwd client certificaten te controleren of het apparaat voor de transacties worden geaccepteerd? Overweeg meerdere apparaat en gebruiker methoden (zeer oplossing laste).
  • De meeste mobiele POS terminals versleutelen de klant opgegeven maar niet versleutelen alles binnen de Als de midden in het gedrang komt, moeten we overwegen of de encryptie kan worden gekraakt en als ongecodeerde is gevoelig. Aanvullende dwz het gebruik van alle bericht encryptie (SSL, of gebruik maken van een terminal die gebruikt Afgeleide unieke sleutel per
  • Veel zijn aangetast door de typische hacks zoals sessies, SQL niet willekeurig sessiesleutels (client en enz ... Deze typische hacks moet worden gezien in uw Secure SDLC en QA Processen zodra u zich bewust zijn van de gebruikte technologie en / of ingezet.
  • PBX-systemen en bekabeling distributie frames kunnen apparaten aangesloten op het verzamelen van transacties. Draadloze apparaten zijn nu aangesloten op deze systemen. De aanvaller zit in hun auto op het parkeerterrein buiten. Dit gebeurt vaak in super-markten.
  • Draadloos gateways indien niet versleuteld zijn gemakkelijk verzameld door iedereen binnen draadloos bereik. 802.11 en andere draadloze / infrarood media worden gebruikt (de beoordeling van de technologie en het midden wordt gebruikt).
  • Heeft de organisatie beschouwd dynamische sleutels voor mobiele gebruikers? Er zijn enkele zeer lage kosten SecureID soort oplossingen die vandaag beschikbaar zijn, maar klanten moeten deze apparaten bij hen toen zij willen doen van een

Geen reacties »

Financiële Transaction Processing

Jul 02, 2008 in bank-en EFTPoS

Ik heb sinds kort werkzaam in een van de grotere banken in
Door dit werk heb ik gekeken naar de controles en rond de van rondom de Azië-Pacific.

Ik krijg het uitvoeren van een groot veiligheidsrisico en evaluaties.
In de loop der jaren heb ik altijd beschouwd als de van de als een van de belangrijkste overwegingen.

Tot gisteren had ik nog nooit gezien een of tools. Ik denk dat sommige gescripte gebruik van deze instrumenten kunnen zeer interessant.
De site hziggurat29.com

Veel van de andere instrumenten op deze site zijn ook heel uniek en de moeite waard een kijkje.
Grote dank aan ziggurat29 voor het verstrekken van dergelijke hulpmiddelen awesome.

Zoals veel van deze sites zijn van deze aard zijn moeilijk te vinden en vaak lijken te verdwijnen in de loop der jaren, heb ik ervoor gekozen te worden van de van deze pagina en lokale kopieën van de bestanden.
Het is de moeite waard periodiek bezoek aan de ziggurat29 site af en toe om te zien of aanvullende instrumenten zijn geplaatst.

Een van de buitengewone-bestanden is het Atalla Module en tools. Dus ik vraag me af of en schudden in hun laarzen. Sommige hoe ik denk het niet. ;-)

--- Ziggurat29 ---

Dit zijn alle Windows command-line utilities (tenzij anders vermeld); voeren met de optie-help
te bepalen gebruik.

DUKPT decrypteren (<- de werkelijke bestand te downloaden)

Dit is een dat zal Gecodeerde Blokken die zijn verkregen via de triple Gebruikte ik dit voor het testen van de output van sommige Pad software Ik had aangemaakt, maar het is ook handig voor andere doeleinden te debuggen.

VISA PVV Calculator (<- de werkelijke
bestand te downloaden)

Dit is een dat zal berekenen en verifiëren Waarden die zijn geproduceerd met behulp van de Het heeft een heleboel hulpfuncties, zoals het controleren en vaststellen van een PAN (Luhn het creëren en het versleutelen van decoderen en winning van pincodes van versleutelde blokken, enz.

VISA CVV Calculator (<- de werkelijke bestand te downloaden)

Dit is een dat zal Compute Waarden die zijn geproduceerd met behulp van de MasterCard CVC maakt gebruik van de zodat hij zich zal inzetten voor dat ook. Het zal berekenen CVV3, iCVV, CAVV, aangezien Dit zijn slechts variaties op service-code en de
formaat van de vervaldatum. is gewoon een vergelijking van de berekende waarde met wat u hebt ontvangen, er is dus geen expliciete functie.

Atalla AKB Calculator (<- de werkelijke bestand te downloaden)

Dit is een dat beide zullen genereren en Atalla AKB cryptogrammen. U moet het leesbare MFK voor het uitvoeren van deze handelingen. Wanneer decoderen, het MAC zal ook worden gecontroleerd en worden de resultaten weergegeven.

BogoAtalla (<- de werkelijke bestand aan
download)

Dit is een Atalla (of simulator). Deze (simulatie) van de bekende Atalla Module dat wordt gebruikt door banken en processoren voor cryptografische operaties, zoals het controleren / vertalen van waarbij de transacties door verifiëren
/ CSC-nummers, en het uitvoeren van belangrijke uitwisseling procedures, is geproduceerd voor test doeleinden. Deze uitvoering is niet van de volledige HP Atalla commando ingesteld, maar de net
delen dat ik mezelf nodig. Dat gezegd zijnde, het is compleet genoeg als je de prestaties van het verwerven en / of de afgifte van functies, en zijn met behulp van meer moderne zoals en en moet doen generatie, de en de vertaling.

Dit loopt als een luisterend socket en zorgt voor de inheemse Atalla commando set. Ik heb enkele vrijheden met de fout terug waarden en zijn niet altijd voor high-fidelity er (dat wil zeggen, kunt u een andere fout antwoord van native maar zeker moeten krijgen identieke positieve
antwoorden. Sommige functies geïmplementeerd zou hier normaliter aankoopsystemen premie commando's, maar alle opdrachten uitgevoerd zijn hier beschikbaar. Voorbeelden zijn het genereren van waarden en coderen / decoderen plaintext waarden.

BogoAtalla voor Linksys (<- de werkelijke bestand te downloaden)

Dit is de Atalla voor Linux, en bouwen voor installatie op een OpenWRT systeem. Zorgt voor een echt goedkoop ($ 60 USD) / test apparaat.

Lokale bestanden

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc

2 Reacties »