Madrock

Я попросил некоторое время назад, какие вещи могут быть рассмотрены при просмотре Интернет-банк.

Ниже приведен список вещей, которые могли бы быть рассмотрены. Она была просто свалка мозга и как таковое не может быть полным.

Нельзя недооценивать значение для вашей стандартной инфраструктуры, конфигурация веб-сайта, базы данных конфигурацией двигателей / архитектура, постановка охраны окружающей среды и развития / качества окружающей среды.

Некоторые мысли:

• Многие не Блокировка счета после X "не логины, как правило, это делается для хорошего обслуживания клиентов, но оставляет систему уязвимой.

- А все остальные вещи Ожидается для удаленного входа сессии (насильственное изменение пароля, старение и т.д.))
- Такие средства, как Brutus могут быть использованы для грубой силы обходное аутентифицированных сессий.

• Многие позволяют сессии последовательность номеров увеличивается, позволяя авторизованным пользователям мнению другого клиента сессии.

- Это может быть сервер, то на стороне клиента, основанные маркеры и т.д.
- Получить-то, чтобы проверить развития методологии и код используется.
- Строки запроса к базе данных могут быть помещены в тестовую запись поля, позволяя таблице свалок для браузера.
- Проверить все страницы служил надежности и содержат аутентификации пользователя флаги.

• Заказчиком данных не могут быть удалены, это должно быть проверено.
• Заказчиком данных не должна размещаться на веб-сервере.

• Аутентификация данных / системы данных, не должны размещаться на веб-сервере.
• В базах данных должна располагаться на частных / полу-частной сети.

- Различные сегмента основной банковской системы.

• Webserver должно быть двойных homed или ее эквивалент (VLAN некоторые методы хороши)

- Отдельные частные и государственные сетевые карты, мониторинг / копирования / администрация
- Инфраструктура настройки прямо отрицает входящие / исходящие порты, частные IP мониторинга И вырваться из сети.

• На всех данных, разделение точек обеспечить правил в месте, которое оценивает движение, хотя этот вопрос.

• Все данные о клиентах, по мере возможности должны быть получены от безопасные обратно на конец базы данных.

- Это может быть постановка среды. т.е. не основной банковской системы.
- Это, как правило, позволяет операций в реальном времени, как к клиенту.
- Многие операции могут быть batched в реальности. (внутренней или внешней для банка)

• Обеспечение подходящего правила были определены меры по брандмауэров.

- Там должно быть въездному и выездному правил брандмауэров и маршрутизаторов фильтрации.

• Не допускать каких-либо инфраструктуры на передней конец возможным удаленный административных связей. (Telnet и т.д.)

- Использовать последовательный порт консоли для подключения к серверу и обратно в конце терминал-сервер.

• Ищите сегрегации / постановка онлайн заказчика содержание основных банковских систем

• Убедитесь в том, что отдельные разработки / QA / производственной среды и подходит процесс на месте.

• Услуги не используются системы являются активными

- Они должны быть отключены.

• Порт проверку вспомогательной инфраструктуры (маршрутизаторы / коммутаторы) и сервер (ы).

- Расследованию причин все открытые порты.

• Не используйте основной шлюз для надежных партнеров доступа (очистка / РАН / и т.д.)
• Делать все, что IIS стандартных проверок и проверок NT (Примеры скриптов, управление изменениями, исправления методологии и т.д.)
• Убедитесь, отказ в обслуживании предосторожности были приняты во внимание все инфраструктуры и серверного оборудования.
• Проверить адекватность процедуры эскалации используется.

- Смотри в режиме реального времени наблюдения и оповещения.
- Ищите ответственность матрицы.
- Посмотрите на владение вопросов.

• Рассмотрим вверх перевозчика (ов) уязвимость (отказ в обслуживании, подмену IP, DNS взлома и т.д.)
• Рассмотрим социальной инженерии заказчика, административных, партнер счета / системы / инфраструктуры.

- Helpdesk процедур и политики и / или альтернативных технологий (Caller ID, IP шлюза и т.д.).

• Использовать динамические пароли, где это возможно (SecureID, TACACS и т.д.).
• Использование зашифрованных туннелей при необходимости (IPSec, Firewall 1 и т.д.)
• Рассмотрим глядя на другого клиента аутентификации методов улучшения существующих методов.

- Цифровые CERT, IP-адрес блокируется на счете и т.д.
- Рассмотреть вопрос об использовании CVV или КППВ в Банк выпустил карты.

• Рассмотрим, как пароли распределяются / изменил для клиентов.

- Обычный текст электронной почты, телефон и т.д.
- Может быть изменено паролей в Интернете?

• Является дополнительной аутентификации используются между разделами услуги аутентифицированных раз?
• Рассмотрим, что клиент имеет доступ к аутентифицированных раз.

- Посмотрите на SWIFT, РТГ, межбанковские переводы, доступ к кредитной карточки и т.д.
- Если злоумышленнику получить в то, что можно сделать?

• Использование методов обеспечения страниц клиента подробности не кэшируется на провайдера или клиента системы.

- Эти флаги, которые могут быть установлены в пределах страницы.
- Обычно SSL кэшируется, но некоторые прокси-поставщиков, были игры с методами это сделать.
- Кэширование SSL-страниц на клиентской системе может быть включен в некоторых браузерах.
- Май банки используют Java (или аналогичный) Апплет для всех взаимодействие пользователей, ограничивая кэширование всех вопросов.

• Обеспечить бумажных и по линии ответственности положения имеются решения всех районах осуществляется.
• Обеспечить в рамках клиент Зарегистрироваться процесс банковских обязательств снижается.

- Я видел заявления, как "использовать эту систему на свой страх и риск, ответственность за какую-либо ответственность или требовать будут не ... ..."
- Не очень заказчика целенаправленной, но это то, что их правовой департамент рекомендовал.

Все вышеперечисленное может добиться безопасности и / или эксплуатации на соответствие банковской системы.

Другие вещи рассмотреть следующие вопросы:

• Внешние развития и поддержки приложений.
• Владение и управление аппаратно-приложений
• Издательские центры для нового содержания (внутренний / частных / доверенных сеть или Интернет)
• Топология интерфейса. Т.е. архитектура безопасности документе должны быть созданы и управляются надлежащим образом.
• ОГРАНИЧИВАЮТСЯ ЗС испытаний, когда были внесены изменения в окружающей среде? т.е. комплексного ЗС в изменении процесса управления.
• Доступ к базам данных. Это буферизованные или она живут в основной банковской системы.
• Какие объекты предоставляются? Прямой дебет + Кредитная карта + СВИФТ + ... .... Рассмотрим различные сценарии для атаки в зависимости от функции.
• Какие другие услуги распределяются в сетевом сегменте, что Интернет-банкинг на это работает. Может ли это быть использованы для компромисса Интернет Банкинг сайте. напр. различные Поддержка / бизнес / развития организаций с различными безопасности стратегии / профилей.
• Рассмотрим все внешние вспомогательные услуги в тебе AP. Посмотрите на внутренний / внешний DNS отравления возможностей, связанных с ретрансляцией почты и т.д. Что в ИПС они используются ISP любые возможности для доступа к системам поддержки или услуг, которые могут повлиять на Интернет-банк.
• В зависимости от размеров банка, многие организации не используют один и тот же группы поддержки инфраструктуры и приложений. В результате внешних подключений к инфраструктуре может быть предоставлена по внешней поддержке организации по управлению инфраструктурой.
• Посмотрите на бизнес-пользователей, и методы аутентификации и путей (на стороне клиента сертификаты, безопасного кода, Smart Card и т.д.). Рассмотрим два фактора аутентификации пользователей и современные методы идентификации. напр. Какая ваша любимая питание в дополнение к обычным имена пользователей и пароли. У системного администрирования персонала использовать динамические пароли (SecureID, и т.д.)?
• Смотрите, если Интернет-банк направляет заявку электронной почты для пользователей, которые могут содержать интересную информацию.
• Улучшение доступа к заявке, может быть получен после доступа к системе. т.е. получить законное счета в системе. Я обнаружил, что некоторые образцы / Администрация экраны были ограничены только авторизованным пользователям.
• Рассмотрим социальной инженерии Help Desk чтобы сбросить пароль учетной записи.

При рассмотрении Мобильный банкинг безопасности и связанных с ними рисков, оценки подход во многом зависит от решения создаются или предоставляются.
В целом подход на основе слоистой стандарты поддержки и окружающих технологии и методы.

Вот кое-что обсудить.

Безопасность оценок обычно сосредоточена на двух основных вещах.

1 / Чувствительность данных
Что в настоящее время отправлен. напр. PIN-код, номера кредитных карт, баланс, домашний адрес, номер банковского счета и т.д.
Данные не могут быть чувствительны к берегу, но может быть рассмотрена в качестве клиента чувствительны.
и т.д. ... ... ....

2 / Возможность доступа к данным.
Что среды используются?
Легко ли взломать?
Что шифрования используется?
Все данные путей обеспечения (клиент и задней)?
Есть 3 сторон, участвующих в переходе от операции?
и т.д. ... ... ...

Вещи для рассмотрения следующих вопросов:

• Pin сбрасывает направил через SMS с клиентом, не должна использоваться в качестве единственного способа доступа к счетам. Дополнительных конкретных клиентов (возможно, статический) передать слово / фразу следует использовать в дополнение к динамически генерируемые PIN. SMS можно вдыхают (в зависимости от режима и местоположения).
• Если WAP используется, все устройства, способные шифрование? Если устройства не способны шифрование, мы можем отказать в доступе к этим устройствам? Если на стороне клиента JAVA или интеллектуальные устройства (Win CE, и т.д.), обеспечить это не может быть снижена в троянских и других ключевых лесозаготовительных технологий.
• Имеет организация рассмотрела стороне клиента сертификаты для проверки устройства до сделки принимаются? Рассмотрим несколько устройств и пользователей методы идентификации (очень решения зависит).
• Большинство мобильных POS терминалов шифрует клиент вступил Pin числом, но не шифрует все сделки. Если передача средних скомпрометировано, мы должны рассмотреть, если шифрования могут быть трещины и если незашифрованные данные регистра. Рассмотреть вопрос о дополнительных данных, шифрования капсулирование т.е. использовать все сообщения шифрования (SSL, IPSEC), или использовать терминал, который использует полученный уникальный ключ за транзакцию (DUKPT).
• Многие банковские приложения, были затронуты на типичных хаки, таких как угон сессии, SQL инъекций, не случайная сессии клавиш (на стороне клиента и сервера стороне), и т.д. ... Эти типичные хаки следует рассматривать в вашем Защищенного SDLC и QA процессов после того, как вы осведомлены о Технология использования и / или размещены.
• АТС и кабельные системы распределения кадров может иметь устройства, подключенного к сбору сделок. Беспроводных устройств, в настоящее время подключены к этим системам. Злоумышленник сидит в своей машине на стоянке на улице. Часто это делается в супер рынках.
• Беспроводные сделки шлюзы, если не зашифрованы, легко собираемые в рамках любой беспроводной диапазон. 802.11 и другие беспроводные / инфракрасная среды в настоящее время используется (оценка технологии и средних используется).
• Имеет организация считается динамичной клавиш для мобильных пользователей? Есть некоторые очень низкой стоимости SecureID типа решений, доступных на сегодняшний день, но клиенты должны иметь этих устройств на них, когда они хотят сделать операцию.

Я был недавно работающих в одном из крупных банков в Австралии.
Благодаря этой работе я искал на контроль и механизмы, связанные с обработкой кредитных и дебетовых карт примерно в Азиатско-Тихоокеанском регионе.

Я получаю много совершить архитектуры безопасности и платежных систем оценок.
За эти годы я всегда считал, что защита карты данных в качестве одного из ключевых соображений.

До вчерашнего дня я никогда не видел CVV или PVV расшифровки средств. Я думаю, некоторые сценария использования этих средств могла бы быть очень интересным.
На сайте hziggurat29.com

Многие другие инструменты на данном сайте, являются также весьма уникальной и стоит посмотреть.
Большое спасибо ziggurat29 по предоставлению такой Awesome инструментов.

Поскольку многие из этих объектов являются такого рода трудно найти, и зачастую, как представляется, исчезнут в течение многих лет, я решил повторить текст на этой странице и на локальные копии файлов.
Следует периодически посещая каждый сайт ziggurat29 в настоящее время и еще раз, чтобы увидеть, если какие-либо дополнительные средства были размещены.

Одним из наиболее внеочередное файлов Atalla Оборудование Security Module (HSM) и BogoAtalla для Linksys эмуляция (симуляция) инструменты. Я интересую если Eracom и Thales являются тряску в сапоги. Некоторые, как я так не думаю. ;-)

--- Ziggurat29 текст ---

Они все окна командной строки, коммунальные услуги (за исключением случаев, когда отмечалось); выполнить при помощи опции
определить использование.

DUKPT расшифровывать (<- фактический файл для скачивания)

Это утилита, которая будет расшифровать зашифрованные PIN блоков, которые были подготовлены с помощью DUKPT тройной DES методом. Я использовал это для тестирования вывода некоторых PIN Pad программное я создал, но и удобно для других целей отладки.

VISA PVV Калькулятор (<- фактическая
файл для скачивания)

Это утилита, которая будет определять и проверить PIN Контрольной ценности, которые были подготовлены с помощью VISA PVV технику. Он имеет кучу вспомогательных функций, таких, как проверка и установление PAN (Luhn вычислений), создании и шифрования PIN блоков, расшифровки и извлечение из-коды зашифрованы PIN блоки и т.д.

VISA CVV Калькулятор (<- фактический файл для скачивания)

Это утилита, которая будет вычислять карту Контрольной ценности, которые были подготовлены с помощью VISA CVV техники. MasterCard CVC CVV используется алгоритм, поэтому он будет работать на том, что, как хорошо. Он будет вычислить CVV, CVV2, CVV3, iCVV, CAVV, поскольку Это всего лишь вариации на код услуги и
Формат даты истечения срока действия. Контрольной просто сопоставление расчетной стоимости с тем, что вы получили, так что не существует явной проверки функции.

Atalla АКБ Калькулятор (<- фактический файл для скачивания)

Это утилита, которая позволит создавать и расшифровывать Atalla АКБ криптограммы. Вам необходимо текста МФК для выполнения этих операций. При расшифровке, MAC также будут проверены, и результаты показали.

BogoAtalla (<- фактический файл
скачать)

Это Atalla эмулятор (или симулятор). Это программное обеспечение эмуляции (симуляция) от известных Atalla Оборудование Security Module (HSM), которые используются банками и процессоров для криптографических операций, таких как контроль / переводе PIN блоков, уполномочивающее сделок проверка
CVV / CSC номера, а также выполняющих ключевые процедуры обмена, был подготовлен в целях тестирования. Эта реализация не в полном HP Atalla набором команд, а просто
части, что я сам необходимы. При этом, он достаточно полно, если вы исполняющая приобретения и / или выдачи обработки функций, и с использованием более современных схем, таких как Visa PVV и DUKPT, и необходимо сделать поколения, проверке, и перевод.

Это работает, как слушать сокет сервера и управляет родной Atalla набором команд. Я принял некоторые свободы с ошибкой возвращение ценностей, и не стремится к высокой верности там (то есть, вы можете получить другую ошибку ответ от родной аппаратной), но безусловно, должны получить позитивный идентичны
Ответ. Некоторые функции, здесь, как правило, требуют покупки премиум команд, но все команды здесь осуществляется доступны. Примеры вызывают PVV ценностей и шифрования / дешифрования текста PIN ценностей.

BogoAtalla для Linksys (<- фактический файл для скачивания)

Это Atalla эмулятор портирован на Linux и построить для установки на OpenWRT системы. Делает для действительно дешево ($ 60 USD) разработка / испытание устройства.

Местные Файлы

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc

Я прочитал очень интересный документ, созданный в университете штата Массачусетс, RSA лаборатории и Innealta, Inc <<

Этот документ, в первую очередь относится к компромиссу контакта меньше платежей технологий (RFID), если RFID и / или читатель, не были выполнены неправильно или решения провайдер использует ненадлежащего вида RFID и обсуждает проблемы вокруг чипа и ПИН в связи с финансовым операции, например EMV стандартов и требований.

Кроме того, в документе описываются RFID реле метод, который в настоящее время обсуждается в рамках многих форумах во всем мире, и сейчас мы начали видеть оборудования производится для RFID нефтесборщики / clonners использовать для вредоносных средств.

Главной точкой этого документа состоит в том, чтобы использовать соответствующую RFID И Chip решения, которые поддерживают безопасности / конфиденциальности пользователей и цель сделки (финансовые или финансовые) <<

Этот документ можно найти по адресу http://prisms.cs.umass.edu/ ~ kevinfu / документы / RFID-CC-manuscript.pdf

В современных оплаты RFID И Chip решения, новые устройства могут быть использованы, которые обладают высокой степенью переработки энергии и, следовательно, способны выполнять сильные криптографические методы (такие, как цифровые подписи), чтобы защитить идентификация и платежной информации, в то время как сделка происходит.

Эти системы часто используют двунаправленную аутентификацию между RFID / Chip сканер и RFID метки / Chip до выполнения операции. Эти методы и криптографических алгоритмов принимаются, и доказала свою работу в рамках традиционной оплаты рынках.

Как отмечается в документе, некоторые решения хранения статических цифровой подписью и / или зашифрованные данные, которые предоставляются RFID / Chip читатель, когда под сомнение, но эти данные никогда не изменяется от одной сделки к другой. Это может позволить злоумышленнику отдельных захватить и вновь привнести данные на читателя на более позднем этапе. Альтернативой для хранения статических цифровой подписью и / или зашифрованы данных заключается в том, чтобы переговоры по ключевым обмен на момент совершения сделки, в которой карта / ценность информации в зашифрованном виде, а затем передается. С помощью этого метода передачи данных
Изменения по каждой операции, и поэтому, даже если опасный человек был захватить закодирована сделки данных из одной транзакции, это не будет принято читатель, если повторно вводили на более позднем этапе.

Хотя это дело сегодня, пожилые RFID / Chip решений часто используют технологии, которые не подходят для финансовых сделок и, следовательно, могут быть скомпрометированы легко, а в некоторых случаях без ведома держателя карты, продавца или покупателя.

Я считаю, это интересное, каким образом некоторые из них менее безопасным решением были одобрены для использования в банках и приобретения карты схем по всему миру (если они говорят), в последние годы, когда было видно, что эти решения должны использоваться методы или методы развертывания которые могут оказаться под угрозой. Эти технологии и методы никогда не будет утвержден в точках продаж (POS) или традиционных банковских рынках.

Можно лишь предположить, что нужно получить продукт на рынок быстрее за счет надлежащей проверки, взаимопонимания и с должным учетом промышленности уроки удалось снова.

Перенаправлено с Bluetooth

Источник

1 Bluetooth
2 Wireless-история
3 Wireless-технологий
4 Bluetooth - Технические Введение
5 Bluetooth - Преимущества
6 Bluetooth - Приложения
7 Bluetooth - вопросы безопасности
7.1 SNARF нападение
7.2 BackDoor нападение
7.3 BLUEBUG нападение
7.4 Bluejacking
7.5 Warnibbling
8 Будущее Bluetooth
9 См. также:
10 Справка Список

Bluetooth

Bluetooth является новая технология, которая использует радиочастоты волны, как способ общения без проводов между цифровыми устройствами. Она предусматривает создание персональных сетей, которые включают всех лиц, цифровых устройств в единую систему для сближения и удобства.

Wireless-история

Многие люди положить изобретение [беспроводной] радио до Гульельмо Маркони, который в 1895 году было отправлено первое радио телеграфной передачи через Английский канал. Только двенадцать лет спустя радио начал используются в публичной сфере. [Матиас, стр.2] До этого же, многие беспроводные пионеров провела испытания через озера, где антенны для передачи сигнала был больше, чем расстояние между озером. [Бродский, p. 3] После его введения основные использование беспроводных радио для военных сообщений, в которых его первого использования на бурской войны. [Flichy, p. 103] С изобретением радио обеспечивает возможность беспроводной технологии. [День, стр. 2] В 1920-х, радио стало хорошо признанным средством массовой информации. [Flichy, p. 111] С 1980-х годов до настоящего времени, беспроводные коммуникации прошли через несколько этапов, с 1G (аналоговый сигнал), 2G (цифровая обработка сигнала) и 3G (всегда, быстрее, скорость передачи данных). [Lightman и Рохас, p. 3] История Bluetooth является гораздо более поздние, с первого Bluetooth включенной продукты, поступающие на существование в 2000 году. Назван в честь Харальда Blatand первых, король Дании примерно тысячу двести лет назад, кто присоединился к Дании и Норвегии царств, Bluetooth технология основана на этом же объединяющим принципом возможность объединить компьютерные и телекоммуникационные industr [ами]. [Ganguli, p. 5] В 1994 году Ericsson Компания приступила изучает идею замены кабелей подключения аксессуаров для мобильных телефонов и компьютеров с беспроводной связи, и это стало основным вдохновением за Bluetooth. [День, стр. 10]

Wireless-технологий

Bluetooth не только в технологии беспроводной связи в настоящее время разработаны и используются. Другие беспроводные технологии, в том числе 802.11b, известный также как Wi-Fi, Infrared Data Association (IrDA), ультра-широкополосных радио (UWB), и главную РФ в настоящее время применяются в том, что подобные технологии Bluetooth использовать смешанные результаты. 802.11 является наиболее известные техники, за исключением Bluetooth, и использует тот же радио-частот, а это означает, что они не совместимы, поскольку они вызывают помехи друг с другом. 802.11 осуществляется в университетах в США, Японии и Китая, а также продуктов питания и напитков магазинах, где они используются для выявления студентов и заказчиков. Даже аэропорты взяли вверх 802.11 технологии с аэропортами по всей Америке, и три из американского наиболее известных авиакомпаний, содействие использованию. [Lightman и Рохас, p. 202-3] Infrared Data Association очень низкое, что и Bluetooth. Ее ограничения относятся только возможность общаться точка-точка ", нуждающиеся в прямой видимости, и он со скоростью пятьдесят шесть килобайт в секунду, тогда как Bluetooth является одним мегабайт в секунду. [Ganguli, p. 17] ультра-широкополосных радио превосходит что Bluetooth в том, что он может передать в большей длины (до 70 метров), причем только половину мощности, что Bluetooth использует. [Ganguli, стр. 17] HomeRF это технология, которая не очень хорошо известны. Он используется для передачи данных и голосовой связи и для целей жилом сегменте рынка, и не служат предприятия - класс WLANs, общественный доступ к системам или фиксированного беспроводного доступа в Интернет. [Ganguli, С.17-18]

Bluetooth - Технические Введение

Bluetooth является малой дальности радио-устройство, которое заменит кабели с низким энергопотреблением радиоволны для подключения электронных устройств, являются ли они или переносные исправлена. Bluetooth устройство использует частот для обеспечения безопасности, качества связи, и он использует специальную сеть, а это означает, что она соединяет одноранговой. Он может работать по всему миру и без сети, поскольку она использует нелицензионное Производственно-научный медицинский (ISM) полоса для передачи, что меняется с изменением местонахождения. [Ganguli, p. 25-6] В Bluetooth пользователь имеет выбор точка-точка или точка-многоточка ссылки связь с которой могут быть проведены между двумя устройствами, или до восьми. [Ganguli, p. 96] Когда устройств общаться друг с другом, они известны как piconets, и каждое устройство предназначено как мастер подразделения или рабом подразделения, как правило, в зависимости от того, кто инициировал подключение. Тем не менее, оба устройства имеют возможность быть Master или работорговле. [Swaminatha и Элден, p. 49]

Bluetooth - Преимущества

Есть много преимуществ с помощью беспроводной технологии, включая использование радиочастоты, недорогая стоимость устройства, вместо утомительного кабельных соединений, низкое энергопотребление и использование осуществляются меры по обеспечению безопасности. Использование нелицензионного радио частоты, что обеспечивает пользователям не нужно получать лицензию, чтобы использовать его. В отличие от ИК-порт, который нуждается в прямой видимости, с тем чтобы работа, Bluetooth радио волн всенаправленная и не нужен четкий путь. Прибор сам по себе сравнительно дешевой и простой в использовании, можно будет купить примерно за десять американских долларов, и эта цена в настоящее время сокращается. Сравните это с высокой стоимостью реализации сотнями кабел