Madrock

Når du vurderer Mobil Bank sikkerhet og tilhørende risiko, vil en vurdering tilnærming avhenger i stor grad på den løsning som blir opprettet eller forutsatt.
Vanligvis tilnærmingen er basert på lagdelte standarder støtte og omkring teknologi og teknikker som brukes.

Her er noen ting du bør vurdere.

Sikkerhet evalueringer generelt fokuserer på to hovedtyper ting.

1 / Sensitivitet av data
Hva blir sendt. f.eks. Pin, kredittkortnumre, saldo, hjemme adresse, bankkontonummer, etc.
Data kan ikke være følsomt overfor banken, men kan bli vurdert av klienten som sensitive.
osv. ... ... ....

2 / mulighet til å få tilgang til dataene.
Hva medium som blir brukt?
Er det enkelt å hacke?
Hva kryptering blir brukt?
Er alle data baner sikker (klient og back end)?
Er det en 3dje part som er involvert i veksling av transaksjoner?
osv. ... ... ...

Ting du bør vurdere:

• Pin stiller sendt via SMS til klienten, bør ikke brukes som den eneste metoden for å få tilgang til kontoene. En ekstra kundens spesifikke (muligens statisk) pass ord / setninger som bør brukes i tillegg til en dynamisk genererte PIN-kode. SMS kan sniffed (avhengig av modus og sted).
• Hvis WAP er brukt, er alle enheter i stand til kryptering? Hvis enheter er ikke i stand til kryptering, skal vi nekte tilgang til disse enhetene? Hvis klientsiden JAVA eller intelligent enhet (seier CE, osv.), sikre at dette ikke kan bli svekket av en trojaner og andre viktige logge teknikker.
• Har organisasjonen anses klientsiden sertifikater for å bekrefte at enheten før transaksjoner blir akseptert? Vurder flere enhets-og bruker-ID-metoder (svært løsning avhengige).
• De fleste mobile POS-terminaler kryptere kunden tastet PIN-koder, men ikke kryptere alt innen transaksjonen. Hvis overføring medium er truet, bør vi vurdere om kryptering kan være sprekker og hvis ukrypterte data som er sensitive. Vurder ekstra datakryptering innkapsling dvs. bruk av alle melding kryptering (SSL, IPSec) eller bruke en terminal som utnytter utledet unikt per transaksjon (DUKPT).
• Mange banktjenester programmer har blitt påvirket av typiske hacks som for eksempel økt kapre, SQL-injeksjon, ikke tilfeldig økt nøkler (klientsiden og server side), osv. ... Disse typiske hacks bør vurderes i Secure SDLC og QA-ansvarlig når du er klar over teknologi som brukes og / eller distribuert.
• PBX-systemer og fordelingen kablingen rammer kan ha enheter koblet til å samle inn transaksjoner. Trådløse enheter er nå koblet til disse systemene. Angriperen sitter i bilen sin på parkeringsplassen utenfor. Dette er ofte gjort i super markeder.
• Trådløst transaksjonen gatewayer hvis ikke kryptert er lett samles inn av hvem som helst innen trådløs rekkevidde. 802,11 og andre trådløse / Infrarødt mediene blir brukt (vurdere teknologi og medium som brukes).
• Har organisasjonen anses dynamiske nøkler for mobile brukere? Det er noen veldig lav pris SecureID type løsninger tilgjengelig i dag, men kundene trenger for å få disse enhetene på dem når de ønsker å gjøre en transaksjon.

Jeg har nylig blitt arbeider inne en av de større banker i Australia.
Gjennom dette arbeidet har jeg vært ute på kontroller og mekanismer rundt behandling av kreditt-og debetkort rundt i Asia og stillehavsområdet.

Jeg får utføre mange sikkerhets-arkitektur og betalingssystemer vurderinger.
I løpet av de årene jeg har alltid ansett for beskyttelse av kort-data som en av de viktigste hensyn.

Inntil i går hadde jeg aldri sett en CVV eller pvv dekryptering verktøy. Jeg tror noen skript bruk av disse verktøyene kan være svært interessant.
Nettstedet hziggurat29.com

Mange av de andre verktøyene på dette nettstedet er også veldig unik og verdt en titt.
Stor takk til ziggurat29 gis kjempebra verktøy.

Som mange av disse områdene er av denne natur er vanskelige å finne og ofte ser ut til å forsvinne over årene, har jeg valgt å gjenskape teksten fra denne siden og gi lokale kopier på filene.
Det er verdt å jevnlig besøke ziggurat29 området hver vår og nå igjen for å se om noen flere verktøy er lagt ut.

Et av de mer ekstraordinære filer er Atalla Hardware sikkerhetsmodul (HSM) og BogoAtalla for Linksys-emulering (simulering) verktøy. Så jeg lurer på om Eracom og Thales er skjelver i sine støvler. Noen hvordan jeg tror ikke det. ;-)

--- Ziggurat29 Tekst ---

Disse er alle Windows-kommandolinjeverktøy (unntatt der det er angitt); kjøre med-hjelp-alternativet
for å bestemme bruken.

DUKPT dekryptere (<- selve filen lastes ned)

Dette er et verktøy som vil dekryptere Kryptert PIN Stenger som er produsert via DUKPT trippel-DES-metoden. Jeg brukte dette for å teste produksjonen av noen PIN-tast programvaren jeg hadde skapt, men er også nyttig for andre debugging formål.

VISA pvv Kalkulator (<- den faktiske
Filen du laster ned)

Dette er et verktøy som skal beregne og kontrollere PIN Verification Verdier som er produsert ved hjelp av VISA pvv teknikk. Den har en haug med ekstra funksjoner, for eksempel bekreftelse og løse et PAN (Luhn beregninger), oppretting og kryptere PIN-blokker, dekryptering og utpakking av PIN-koder fra kryptert PIN, etc.

VISA CVV Kalkulator (<- selve filen lastes ned)

Dette er et verktøy som vil beregne Card Verification Verdier som er produsert ved hjelp av VISA CVV teknikk. MasterCard CVC bruker CVV algoritme, så det vil arbeide for at så godt. Det vil beregne CVV, CVV2, CVV3, iCVV, CAVV, siden Dette er bare variasjoner på service-kode og
Formatet på utløpsdato. Verifikasjon er ganske enkelt å sammenligne de beregnede verdien med det du har mottatt, så det er ikke eksplisitt bekreftelse funksjon.

Atalla AKB Kalkulator (<- selve filen lastes ned)

Dette er et verktøy som vil både generere og dekryptere Atalla AKB cryptograms. Du trenger klartekst MFK å utføre disse operasjonene. Når dekryptering, MAC vil også bli kontrollert, og resultatene vises.

BogoAtalla (<- selve filen til
nedlasting)

Dette er en Atalla emulator (eller simulator). Denne software emulering (simulering) av den kjente Atalla Hardware sikkerhetsmodul (HSM) som brukes av banker og prosessorer for kryptografiske operasjoner, som for eksempel bekreftelse / oversettelse PIN-blokker, autorisere transaksjoner ved bekrefting
CVV / CSC tall og resultater nøkkel utveksling prosedyrer, ble produsert for testing. Denne implementeringen er ikke av den komplette HP Atalla kommando sett, men heller bare
deler som jeg selv trengte. Det blir sagt, er det fullstendig nok hvis du utfører, anskaffe og / eller utstedelse av behandlingen funksjoner, og bruker mer moderne ordninger som for eksempel Visa pvv og DUKPT, og trenger å gjøre generasjon, bekreftelsen, og oversetting.

Dette kjøres som en lytter socket server og håndterer de innfødte Atalla kommando innstilt. Jeg har tatt noen friheter med feilen returnerer verdier og ikke etter for high-fidelity det (dvs. at du kan få en annen feil svar fra innfødt maskinvare), men definitivt bør få like positive
svar. Enkelte funksjoner implementert her normalt vil kreve å kjøpe premium-kommandoer, men alle kommandoer her implementert er tilgjengelig. Eksempler på dette er å generere pvv verdier og kryptering / dekryptering klartekst PIN-verdier.

BogoAtalla for Linksys (<- selve filen lastes ned)

Dette er Atalla emulator portert til Linux og bygge for installasjon på en OpenWRT systemet. Lager for en veldig billig ($ 60 USD) utvikling / teste enheten.

Lokale filer

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc