Secure Application Development Links

14. De outubro de 2008 em Segurança

Oi,

Fui colocando alguns segura aplicação DEVELOPMEN T documentos juntos recentemente e encontraram alguns bons tutoriais e orientações gerais que eu pensei que eu ia postar aqui.

Outros Recursos

No Comments »

Internet Banking Security Considerations Avaliação

05. De agosto de 2008 na Banca e Eftpos, Segurança

Foi-me pedido há algum tempo que tipo de coisas que podem ser considerados quando se analisa a

Abaixo está uma lista de coisas que poderiam ser considerados. Foi só um cérebro dump e como tal não pode ser concluída.

Não subestime o valor da norma para a sua infra-estrutura, configuração website, bases de dados, motor de configuração / e / QA ambientes.

Alguns pensamentos:

  • Muitos não bloquear contas após falha logins X, isto é normalmente feito para o bom atendimento ao cliente, mas deixa o sistema

- E todas as outras coisas esperadas para um (forçada alterações de senha, envelhecimento, etc))
- Ferramentas como pode ser utilizar a força bruta sessões autenticadas.

  • Muitos permitir sessão seqüência números para ser incrementada, permitindo que um usuário autenticado para ver outros clientes sessão.

- Estas podem ser lado do cliente lado, cookie, com base, etc
- Tire a alguém para verificar o de metodologias e o código a ser utilizado.
- Database query strings podem ser colocadas em teste entrada campos, permitindo que a tabela dumps navegador.
- Verifique todas as páginas servidas são seguras e conter a usuário bandeiras.

- Um segmento diferente ao principal sistema

  • Webserver deve ser dual homed ou equivalente (VLAN algumas técnicas são boas)

- Separe público e privado placas de monitorização / backup / administração
- Infra-estrutura criada, nega explicitamente a entrada / saída de portos, IP privado e acompanhamento escapar da

  • Em todos os segregação pontos garantir regras estão no lugar que aprecia o tráfego embora este ponto.
  • Todos os seus sempre que possível devem ser provenientes de um seguro de dados back-end.

- Esta pode ser uma ou seja, não o principal sistema
- Isto permite geralmente para transações a aparecer em tempo real para o cliente.
- Muitas operações podem ser agrupadas em realidade. (interno ou externo para o

  • Assegurar a adequada regulamentação ter sido criada, em firewalls.

- Não deve haver regras de entrada e saída de firewalls e roteadores de filtragem.

  • Não permitir que qualquer infra-estrutura no front end para permitir conexões remotas administrativa. etc)

- Utilizar a consola série porta para se conectar a um back-end do terminal.

  • Assegurar que um distinto / QA / produção e processo adequado sistema está em vigor.
  • Serviços que não são utilizados pelo sistema são ativos

- Estes devem ser desativados.

  • Porto digitalização da infra-estrutura de apoio (roteadores / switches) e (es).

- Investigar os motivos de todas as portas abertas.

  • Não utilize o principal porta de entrada para parceiro confiável (clearing / RAS / etc)
  • Faça tudo o que as verificações do IIS padrão e NT verificações (scripts de exemplo, a mudança de gestão, metodologias, etc)
  • Assegurar a negação de serviço de precaução foram tomadas em conta para todas as infra-estruturas e equipamento.
  • Verificar a adequação dos procedimentos utilizados escalada.

- Olha para o acompanhamento em tempo real e de alerta.
- Olhe para a responsabilidade matriz.
- Olhe para a apropriação das questões.

  • Considere a montante (s) transportadora (negação de serviço, spoofing IP, etc)
  • Considere engenharia social do cliente, administrativo, contas parceiro / sistemas / infra-estrutura.

- Helpdesk procedimentos e políticas e / ou suplentes tecnologias (Caller ID, IP Gateway, etc.)

  • Utilize sempre que possível senhas dinâmicas (SecureID, TACACS, etc.)
  • Utilize codificado tunnelling quando necessário Firewall 1, etc)
  • Considere a olhar para outro cliente métodos para melhorar os métodos existentes.

- cert, o endereço IP bloqueado na conta, etc
- Considerar a utilização de ou CVN para emitidos cartões.

  • Pense em como as senhas são distribuídas / alterados para os clientes.

- e-mail, telefone, etc
- Pode ser alterado senhas

  • É adicional utilizado entre secções dos serviços, uma vez autenticado?
  • Considere o que o cliente tenha a uma vez autenticado.

- Olha para SLBTR, inter-transferências o a cartões de etc
- Se não entrar em um atacante, o que podemos fazer?

  • Utilizar técnicas para garantir páginas, informações dos clientes não são armazenadas no ou sistema cliente.

- Estes são sinais que podem ser definidos dentro de páginas.
- Normalmente o SSL está em cache, mas alguns proxy vendedores foram brincar com técnicas para o fazer.
- Cache de páginas SSL no sistema cliente pode ser ligado em alguns navegadores.
- Maio bancos utilizam uma (ou similar) applet para todos os clientes interação, restringindo todas caching questões.

  • Assegurar suporte de papel e on-line estão disponíveis cláusulas responsabilidade são efectuadas resolver todos os domínios.
  • Garantir dentro do processo de inscrição dos clientes passivo é reduzida.

- Tenho visto declarações como "usar este sistema em seu próprio risco, a responsabilidade por qualquer responsabilidade ou de crédito não será ... ..."
- Não muito focada cliente, mas isso é o que seu departamento jurídico recomendado.

Todas as alternativas acima pode efeito de e / ou do funcionamento de um "on-line sistema

Outras coisas a considerar:

  • externo e do pedido.
  • Propriedade e gestão do / aplicações
  • Publishing pontos para o novo conteúdo (interno / privado / confiável ou
  • Topologia de front end. Ie documento deverá estar no local e geridos de forma adequada.
  • São limitadas AP testes realizados sempre que as mudanças são feitas para o isto é, integrado AP Variação em processo de gestão.
  • Database É tamponada ou é viver ao núcleo sistemas
  • Que facilidades são prestados? O direto + + + ... .... Considere diferentes cenários para o seu dependendo da característica.
  • Que outros serviços são partilhadas dentro do segmento de que o de serviço está sendo executado. Isto pode ser usado para comprometer o do site. por exemplo. diferentes empresarial / / organizações com diferentes estratégias de / perfis.
  • Considere todos os serviços de apoio externo dentro de você AP. Olha interno / externo envenenamento oportunidades, correio, etc O que é que utilizam o IPS tem o qualquer oportunidade de sistemas de ou o apoio a serviços que possam afectar o
  • Dependendo do tamanho do muitas organizações não utilizam os mesmos grupos de e infra-estrutura do aplicativo. Como resultado conexões externas à infra-estrutura, pode ser previsto um externo para administrar a organização da infra-estrutura.
  • Olhe para o negócio e métodos e vias (cliente lado certs, seguro de identificação, card, etc.) Considere duas fator e moderno usuário métodos. por exemplo. qual é o seu prato preferido, para além da normal usernames e senhas. Do sistema de administração do pessoal usar senhas dinâmicas (secureID, etc)?
  • Veja se o aplicação envia e-mails para usuários que podem conter informações interessantes.
  • O melhor para o aplicativo pode ser geralmente adquirida após o ao sistema. ou seja, obter uma conta no sistema legítimo. Descobri que algumas amostra / administração ecrãs foram limitados a apenas usuários autenticados.
  • Considere engenharia social do Help Desk para ter uma conta de redefinição de senha.

No Comments »

Processamento de transação financeira

02. De julho de 2008 na Banca e Eftpos

Fui recentemente um trabalho no interior das maiores Bancos na
Através deste trabalho que tenho vindo a olhar para os controles e os em torno do de cartão de e ao redor da Ásia-Pacífico.

Recebo muitas executar e sistemas de avaliações.
Ao longo dos anos tenho sempre considerou a dos como uma das principais considerações.

Até ontem eu nunca tinha visto um ou ferramentas. Acho que alguns scripts uso dessas ferramentas pode ser muito interessante.
O site hziggurat29.com

Muitas das outras ferramentas neste site são também muito original e vale uma olhada.
Big graças a ziggurat29 para fornecer tais ferramentas awesome.

Como muitos desses sites são desta natureza são difíceis de encontrar e, muitas vezes, parecem desaparecer ao longo dos anos, tenho o escolhido para reproduzir o a partir desta página e fornecer cópias locais dos arquivos.
Vale a pena visitar periodicamente o site ziggurat29 cada agora e novamente para ver se quaisquer ferramentas adicionais foram enviados.

Um dos arquivos mais extraordinário é o ATALLA Module e ferramentas. Então eu pergunto se e estão agitando em suas botas. De alguma maneira eu não penso assim. ;-)

--- Ziggurat29 ---

Estes são os utilitários de linha de comando do Windows (exceto quando indicado); executar com a opção-ajuda
para determinar sua utilização.

DUKPT Decrypt (<- o próprio arquivo para download)

Este é um que irá Encriptados blocos que foram produzidos através do método. Eu usei isso para testar a saída de alguns Pad software que havia criado, mas é também útil para outros fins depuração.

VISA PVV Calculadora (<- o real
arquivo para download)

Este é um que irá calcular e verificar valores que tenham sido produzidos utilizando a Tem um monte de funções auxiliares, tais como a verificação e a fixação de um PAN (Luhn criação e encriptando blocos, decrypting e extração de PINs codificado blocos, etc

VISA CVV Calculator (<- o próprio arquivo para download)

Este é um que irá calcular valores que tenham sido produzidos utilizando a MasterCard CVC CVV usa o por isso vai trabalhar para que, como bem. Irá calcular CVV3, iCVV, CAVV, uma vez que estes são apenas variações sobre o serviço de código e
formato da data de validade. é simplesmente comparando o valor calculado com o que tiver recebido, por isso não há explícita função.

ATALLA AKB Calculator (<- o próprio arquivo para download)

Este é um que irá gerar tanto e ATALLA AKB cryptograms. Você vai precisar do plaintext MFK para realizar essas operações. Quando decrypting, o MAC também será verificado e os resultados mostrados.

BogoAtalla (<- o arquivo real para
download)

Este é um ATALLA (ou simulador). Este software (simulação) do conhecido ATALLA Module que é usado por bancos e processadores criptográficos para operações, como verificação / traduzir blocos, gestor de operações verificação
/ CSC números, e executa procedimentos de troca de chaves, foi produzido para fins de teste. Essa implementação não é de toda a HP ATALLA comando conjunto, mas sim a apenas
porções que eu mesmo necessário. Dito isto, é bastante completo, se você estiver executando aquisição e / ou emissão funções de e estão a utilizar sistemas mais modernos, como a e e precisamos de fazer geração, e tradução.

Isto é como ouvir um socket e gerencia o nativo ATALLA comando set. Tomei algumas liberdades com o erro e devolver valores não tenham lutado para a alta-fidelidade existe (ou seja, você pode obter uma resposta diferente a partir de erro nativo mas Definitivamente deve receber idêntico positivo
respostas. Algumas funcionalidades implementadas aqui exijam normalmente compra prémio comandos, mas todos os comandos estão disponíveis aqui implementadas. Exemplos são geradoras valores e criptografar / descriptografar plaintext valores.

BogoAtalla para Linksys (<- o próprio arquivo para download)

Este é o ATALLA portado para Linux e construir para instalação em um sistema OpenWRT. Faz realmente barato para um ($ 60 USD) / ensaio dispositivo.

Arquivos Locais

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc

2 Comments »

Letal Toxinas Introduzir o seu corpo

04. De maio de 2008 em Meio Ambiente & Popular

Recentemente li um artigo em uma revista e fiquei chocado ao ver alguns dos perigos que a vida moderna tóxicos introduzir. Men's Health Abril de 2008, por Susan Casey, pg 87.

Eu pensei que iria alongar sobre este artigo aqui, como um método de análise de algumas das coisas que e eu preciso de ter cuidado. Espero que isso também ajuda na compreensão de outros alguns desses perigos.

"Salvo para o pequeno montante que foi incinerado todos os bits de cada vez plástico fabricado continua a existir"

Tóxico

Artigos

Policarbonato

Garrafas (marcadas com um # 7 em um triângulo)

Agarram urdume e recipientes de plástico para levar (marcadas com um # 7)

Chávenas e recipientes takeaway Poliestireno (marcadas com um # 6)

Fast-food contentores (com revestimento ceroso) e não-aderente (teflon) panelas.

Policloreto de vinilo utilizados em pisos vinílicos, cortinas e chuveiro carro interiores.

Perigoso

Ingredientes

Bisfenol A (BPA), um sintético estrogénio, que pode coar para o conteúdo da garrafa quando aquecidos. span>

Ftalatos, um provável carcinogéneo humano e endócrinos disruptor, podem infiltrar-se em produtos alimentares (especialmente alimentos gordos, como carnes e queijos Delis).

Estireno, um possível carcinógeno humano, podem Leah para o conteúdo do copo.

Perfluoro-ácido octanóico (PFOA), uma graxa-repulsores flourotelomer químico cancerígeno humano e, provavelmente, pode transferir a partir da camada cerosa-plástico para o interior dos alimentos, especialmente a altas temperaturas.

Cloreto de vinilo é um conhecido agente cancerígeno humano que dá off gás para o ar circundante, por isso é inalado, em vez de ingeridos. span>

Relacionada com

Câncer de próstata, reduzida contagem espermática e reprodutiva-anormalidades órgão, de acordo com E.U. estudos nas universidades de Missouri, Chicago e Cincinnati.

Problemas reprodutivos como undescended testículos e baixa contagem espermática, revelam investigadores em Nova York da Universidade de Rochester e os Centros para Controle e Prevenção de Doenças os E.U.. span>

Cancer, advertem cientistas em os E.U. Environmental Agency's (EPA) Instituto de Pesquisa e e da Organização Mundial de Saúde, da Agência Internacional para Pesquisa sobre Câncer.

Cancer, pulmão e danos nos rins, de acordo com estudos na EPA e Ambiental Grupo de Trabalho em os E.U..

Câncer e dano hepático, prevê tanto a EA e do Centro de Saúde e Meio Ambiente em os E.U. Justiça.

Como reduzir a sua exposição

Potes, panelas e garrafas feitas de aço inoxidável são uma alternativa não-tóxicas. Se você estiver usando policarbonato, mantê-lo para fora da máquina de lavar louça e substituí-la a cada 60 dias ou se está arranhada. Plástico libera mais de empate quando danificada ou exposta ao calor elevado.

Mantenha-o fora de microondas e máquina. Não guarde ou ácidos gordos alimentos nestes recipientes, prefere usar papel encerado e comprar carne embalada em papel a partir do açougueiro. Se você usar o plástico-embrulhado cortes, acabamentos nas bordas fora quando o produto tocou o acondicionamento. um>

Nunca beba líquidos quentes fora de poliestireno ups. Utilize papel queridos (aqueles sem um revestimento de cera), sempre que possível, ou uma caneca de cerâmica café. Se o seu takeaway vem em poliestireno, transferi-lo ao prato de cerâmica ou vidro, o mais rapidamente possível.

As melhores alternativas para a condução através de e-parto são sit-down restaurantes e cozinha. Em casa, nunca utilizar teflon revestido de panelas. Se você possui alguma, substituir por não-tóxicas cookware feitos de cobre, ferro fundido ou aço inox.

Usar materiais naturais de origem pavimentação. Comprar uma cortina do chuveiro feitas de cânhamo - que dura mais tempo e é naturalmente resistente ao míldio. Nova vinil dá off aérea em níveis altamente concentrado, para abrir janelas para o ar espaços onde esse está presente. span>

No Comments »

ISO 14443 cartão contactless

24. De março de 2008 em RFID

Um padrão internacional para a ou contacto de inteligente comunicação

contactless

é uma norma internacional que descreve como e terminais devem trabalhar para assegurar a compatibilidade a nível da indústria, por exemplo, a massa de trânsito e controle de aplicações.

ISO são desenvolvidas pela ISO, a Organização Internacional de Normalização. Comissões compreendendo peritos do industrial, e de setores empresariais a desenvolver para aumentar os níveis de qualidade, fiabilidade e interoperabilidade em escala mundial.

Gemplus sempre teve uma forte participação na definição da norma ISO e foi representado no desta norma internacional. A é dividida em 4 partes distintas, descrevendo as características físicas, e potência sinal inicialização e anti-colisão e protocolo.

Gemplus tem desenvolvido uma vasta gama de contactless soluções baseadas na padrão internacional. A velocidade e conveniência do contactless criou uma significativa procura por este tipo de solução em ambientes, tais como fast food, postos de gasolina, bancos e muitos outros.

No Comments »

Bluetooth - Segurança

24. De março de 2008 em Bluetooth

Redirecionado de Bluetooth

Fonte

1
2 Wireless-História
3 Wireless-Technologies
4 - Introdução
5 - Vantagens
6 - Aplicações
7 - Questões de
7.1 O
7.2 O
7.3 O BLUEBUG
7/4
7,5 Warnibbling
8 Futuro do
9 Ver também:
Referência Lista 10

é uma nova que utiliza ondas como uma forma de comunicar sem fios entre dispositivos Estabelece que incorporam um conjunto de pessoas dispositivos em um sistema de convergência para os dois e conveniência.

Wireless-História

Muita gente colocar a invenção de [sem fios] estabelece a Guglielmo Marconi, que em 1895 enviou a primeira telégrafo através do Canal Inglês. Apenas doze anos mais tarde começou a ser utilizado na esfera pública. [Mathias, p.2] Até então, porém, muitos celulares pioneiros realizados ensaios em toda lagos onde a utilizada para transmitir o sinal foi mais longo que a distância entre o lago. [Brodsky, p. 3] Após a sua introdução, o uso principal do wireless foi para militares, onde a sua primeira utilização foi para a Guerra Boer. [Flichy, p. 103] A invenção do assegurada a viabilidade de tecnologias sem fio. [Morrow, p. 2] Até a década de 1920, havia se tornado um bem-reconhecidos mass media. [Flichy, p. 111] Desde a década de 1980 até agora, tem sido por várias fases, desde a 1G (sinal analógico), 2G (sinal e 3G (sempre ligado, mais rápido [Lightman e Rojas, p. 3] A história do é uma forma muito mais recente, com o primeiro ativado-os produtos que entram em existência em 2000. Harald Blatand Nomeado após o primeiro, o rei da Dinamarca, cerca de um mil duzentos anos atrás, que aderiram à dinamarquesa e norueguesa reinos, é fundada sobre este mesmo princípio unificador de ser capaz de unir o computador e telecomunicações industr [s]. [Ganguli, p. 5] Em 1994, a começou a analisar a Companhia idéia de substituição de cabos conectando acessórios para e computadores com ligações sem fios, e isso se tornou o principal inspirador [Morrow, p. 10]

Wireless-Technologies

não é a única actualmente a ser desenvolvidos e utilizados. Outras tecnologias sem fios, incluindo 802.11b, também conhecido como Wi-Fi, Infrared Association (IrDA), Ultra-Wideband (UWB), e Home RF estão a ser aplicados a tecnologias semelhantes que uso com resultados mistos. 802,11 é o mais bem conhecida excluindo e usa o mesmo o que significa que eles não são compatíveis, uma vez que causam interferência entre si. 802,11 está sendo implementada em universidades nos os E.U., o Japão ea China, bem como alimentos e bebidas lojas onde estão sendo utilizados para identificar os alunos e clientes. Mesmo aeroportos tomaram a 802,11 com os aeroportos em toda a América, e três das Américas mais proeminentes companhias promovendo a utilização do mesmo. [Lightman e Rojas, p. 202-3] Infrared Association é muito inferior ao do Suas limitações incluem apenas a capacidade de comunicar ponto-a-ponto, que necessitam de uma linha de visão, e tem uma velocidade de cinqüenta e seis kilobytes por segundo, enquanto o é um megabyte por segundo. [Ganguli, p. 17] A banda ultralarga é superior à do na medida em que pode transmitir a um maior comprimento (até 70 metros), com apenas metade do poder de que a função usa. [Ganguli, p.17] HomeRF é uma que não é muito conhecida. Ela é usada para e comunicação de voz e direccionada para o segmento de mercado residencial e não servir - classe WLANs pública, sistemas de fixo ou [Ganguli, p.17-18]

- Introdução

é um curto intervalo dispositivo que substitui cabos com baixa potência hertzianas para ligar aparelhos sejam eles portáteis ou fixas. O dispositivo também usa salto de para garantir a segurança, a qualidade link, e que utiliza redes ad hoc, o que significa que ele conecta peer-to-peer. Ela pode ser explorada em todo o mundo e sem uma porque ele usa o licenciamento industrial Científico-Médica (ISM) banda de que varia de acordo com uma mudança de localização. [Ganguli, p. 25-6] O usuário tem a escolha do ponto-a-ponto ou ponto-a-multiponto ligações que possam ser consideradas comunicação entre dois dispositivos, ou até oito. [Ganguli, p. 96] Quando dispositivos estão a comunicar uns com os outros são conhecidos como piconets, e cada dispositivo é designado como um mestre ou escravo unidade unidade, geralmente dependendo de quem inicia a conexão. No entanto, ambos os dispositivos têm o potencial para ser um mestre ou um escravo. [Swaminatha e Elden, p. 49]

- Vantagens

Há muitas vantagens em utilizar tecnologias sem fios, incluindo o uso de o custo barato do dispositivo, substituindo tedious ligações por cabo, o uso de baixa potência e implementadas medidas de A utilização de um licenciamento garante que os usuários não precisam de obter uma licença, a fim de utilizá-lo. Diferentemente infravermelhos que precisa ter uma linha de visão, a fim de trabalho, ondas são omnidireccional e não precisa de um caminho claro. O dispositivo em si é relativamente barato e fácil de usar, um pode ser comprado por cerca de dez dólares americanos, e este preço está actualmente em diminuição. Compare-se o caro custo de execução de centenas de cabos e fios em um escritório e não há concorrência. Evidentemente, esta é a razão principal para o take-up em dispositivos, que faz afastado com cabos. Bluetooths Outra das vantagens é a sua baixa potência uso, garantindo que a bateria operado dispositivos como e assistentes pessoais vai ter sua bateria drenado com a utilização do mesmo. Este baixo consumo de energia também garantias mínimas interrupção de outros operado e dispositivos sem fio que operam em um poder superior. ativado tem várias medidas de que garante um nível de e incluindo salto de segundo a qual o dispositivo mudanças dezesseis cem vezes por segundo. Também no âmbito da ferramentas são e que garantam pouca interferência não autorizada por hackers. [Ganguli, p. 330] Uma das melhores vantagens de dispositivos especialmente as mãos livres dispositivo que conecta a um móvel, é que ele remove da região cerebral. [Tsang, p. 1]

- Aplicações

As aplicações que estão em ou de uso corrente para a incluem áreas como a automobilística, médicos, equipamentos industriais, equipamentos de saída, câmaras fotográficas, computadores e sistemas de [Lightman e Rojas, p. 201] is an ad hoc user, and therefore it may be used for social networking, ie people can meet and share files or link their devices together to play games or other such activities. [Smyth, p. 70] Using , a mobile can become a three- way , where at home it connects to a landline for cheaper calls, on the move it acts as a mobile