Internet Banking sjöfartsskyddsbedömning Överväganden

Aug 05, 2008 i bank-och EFTPoS, säkerhet

Jag blev tillfrågad för ett tag sedan vilken typ av saker som kan beaktas när man tittar på

Nedan följer en lista över saker som skulle kunna övervägas. Det var bara en hjärna dumpa och som sådan kanske inte är fullständiga.

Underskatta inte värdet av standarden för din infrastruktur webbplats konfiguration databas motor / och / QA miljöer.

Några tankar:

  • Många inte låsa konton efter X misslyckade inloggningar, detta görs normalt för god kundservice, men lämnar systemet

- Och alla andra saker som förväntas för en (tvingas lösenord förändringar, åldrande etc.))
- Verktyg som kan använda för att brute force autentiserade sessioner.

  • Många tillåta session sekvens nummer skall ökas så att en autentiserad användare att visa andra kunder session.

- Det kan röra sidan klientsidan, cookie-baserad, etc.
- Få någon att kontrollera metoder och den kod som används.
- Databasfrågan strängar kan placeras i test inträde områden, vilket gör att tabellen tippar att webbläsaren.
- Kontrollera alla sidor som serveras är säker och innehålla flaggor.

  • Kundens får inte vara åtskilda, detta måste kontrolleras.
  • Kundens bör inte uppehålla sig på

- En annan del av centrala

  • Webbservern bör dubbla homing eller motsvarande (vissa VLAN tekniker är bra)

- Separat privata och offentliga övervakning / backup / administration
- Infrastruktur-set-up för att uttryckligen förneka inkommande / utgående hamnar, privata IP & övervakning flyr från

  • I alla segregation punkter säkerställa regler finns på plats som uppskattar trafiken trots detta.
  • Alla om möjligt bör anskaffas från en säker back-end-databasen.

- Detta kan vara en dvs de viktigaste
- Denna regel tillåter transaktioner ska visas i realtid till kunden.
- Många transaktioner får batched i verkligheten. (intern eller extern till

  • Se lämpliga regler har satts upp brandväggar.

- Det bör finnas för inkommande och utgående regler om brandväggar och filtrering routrar.

  • Låt inte någon infrastruktur på front för att möjliggöra fjärrkörning administrativa anslutningar. etc.)

- Använd seriekonsoll port för att ansluta till en eller back-end terminal

  • Tjänster som inte används av systemet är aktiva

- Dessa bör vara inaktiverade.

  • Port scan av infrastruktur (routrar / växlar) och (s).

- Undersöka orsakerna till alla öppna portar.

  • Får inte användas som huvudsaklig inkörsport för tillförlitliga partner (clearing / RAS / mm)
  • Göra allt som standard IIS kontroller och NT kontroller (Exempelskript, change management, metoder etc.)
  • Se funktionsförlust försiktighetsåtgärd har beaktats för all infrastruktur och utrustning.
  • Kontrollera huruvida den upptrappning som används.

- Kolla för övervakning i realtid och larm.
- Leta efter ansvar matris.
- Leta efter ägande frågor.

  • Överväg uppströms transportör (er) (denial of service, IP-spoofing, osv)
  • Överväg social ingenjörskonst av kund-, administrativa, partner redovisning / system / infrastruktur.

- Helpdesk och politik och / eller alternativa tekniker (nummerpresentation, Gateway IP, etc.).

  • Använd dynamiska lösenord där så är möjligt (SecureID, TACACS, etc.).
  • Använd krypterade tunnlar där det behövs Firewall 1, etc)
  • Överväg att titta på andra kunden att förbättra befintliga metoder.

- cert, IP-adress låst till svars, etc.
- Överväga användningen av eller CVN för utfärdat kort.

  • Fundera på hur lösenord distribueras / förändrats för kunderna.

- Vanlig e-post, telefon etc.
- Kan lösenord ändras online?

  • Är ytterligare användas mellan delar av de tjänster som en gång verifieras?
  • Fundera vad kunden har till en gång verifieras.

- Titta på RTGS, mellan till etc.
- Om en angripare inte hoppa in, vad kan de göra?

  • Använda tekniker för att säkerställa sidor, kundens uppgifter inte cachas på eller klient system.

- Det är flaggor som kan ställas in i sidorna.
- Normalt SSL cachas, men vissa fullmaktshavare säljare har spelat med teknik att göra det.
- Caching av SSL sidor på kundens system kan kopplas på om vissa webbläsare.
- Maj banker använder en (eller liknande) appleten för alla kundsamverkan, begränsar alla cachelagring frågor.

  • Se pappersbaserade och on-line ansvar klausuler finns är itu med alla de berörda områdena.
  • Sörja inom kunden registrerar sig process ansvar minskar.

- Jag har sett rapporter som "använda detta system på egen risk, ansvar för någon skuld eller fordran kommer inte ... ..."
- Inte mycket kundorienterade, men det är vad deras juridiska avdelning rekommenderas.

Alla dessa kan påverka och / eller drift av en on-line system.

Andra saker att tänka på:

  • Extern och för ansökan.
  • Ägande och förvaltning av / program
  • Publishing poäng för nytt innehåll (intern / privat / betrodda eller
  • Topologi av användargränssnitt. Dvs dokument bör vara på plats och hanteras på lämpligt sätt.
  • Är begränsade AP tester utförs när förändringar görs för dvs integrerat AP i Förändringshanteringsprocessen.
  • Databas Är det buffrad eller är det levande till centrala
  • Vilka möjligheter ges? + + + ... .... Överväg olika scenarier för din beroende på funktion.
  • Vilka andra tjänster som är gemensamma inom segment att körs. Kan det användas för att äventyra webbplats. t.ex.. olika / företag / med olika / profiler.
  • Betänk alla externa stödtjänster inom dig AP. Titta på intern / extern möjligheter post relä, etc. Vad IPS's använder de har någon möjlighet att till system eller stödtjänster som kan påverka
  • Beroende på storleken på många organisation inte använder samma grupper för infrastruktur och program. Som ett resultat av externa anslutningar till infrastrukturen kan ges för ett externt organisation för att förvalta infrastruktur.
  • Titta på företag och metoder och vägar (klientsidan CERT, säkra ID, etc). Betrakta två faktor och moderna användaren t.ex.. Vilken är din favoritmat utöver normala användarnamn och lösenord. Har systemadministration personal använda dynamiska lösenord (SecureID, etc.)?
  • Se om ansökan skickar e-post till användarna som kan innehålla intressant information.
  • Bättre till ansökan kan i allmänhet fick efter till systemet. dvs få ett legitimt konto i systemet. Jag har upptäckt att vissa prov / administration skärmar har begränsats till autentiserade användare.
  • Överväg social ingenjörskonst Helpdesk ha ett konto lösenordsåterställning.

No Comments »

Finansiella transaktioner

02 juli 2008 i bank-och EFTPoS

Jag har nyligen arbetar inom ett av de större bankerna i
Genom detta arbete har jag tittar på de kontroller och kring av över hela Asien.

Jag fyller många och bedömningar.
Under åren har jag alltid ansett att som en av de viktigaste överväganden.

Fram till i går hade jag aldrig sett en Jag tror att vissa skript använda dessa verktyg kan vara mycket intressant.
Webbplatsen hziggurat29.com

Många av de andra verktyg på denna webbplats är också mycket unikt och värt en titt.
Stort tack till ziggurat29 för att de så fantastiskt verktyg.

Eftersom många av dessa områden är av detta slag är svåra att hitta och ofta verkar försvinna med åren har jag valt att kopiera från denna sida och ge lokala kopior på filerna.
Det är värt att regelbundet besöka ziggurat29 plats då och då för att se om något ytterligare verktyg har lagts upp.

En av de mer extraordinära filer är Atalla och verktyg. Så jag undrar om och är att skaka i sina stövlar. Vissa så jag tror inte det. ;-)

--- Ziggurat29 ---

Dessa är alla Windows command-line tjänster (utom i de fall då noterat), utföra med hjälp alternativet
att fastställa användningen.

DUKPT Minskas (<- det faktiska fil att ladda ner)

Detta är ett som kommer att krypterade block som har producerats via Jag använde denna för att testa produktionen av vissa Pad program jag hade skapat, men det är också praktiskt för andra debugging syften.

VISA PVV Kalkylator (<- det faktiska
fil att ladda ner)

Detta är ett som kommer att beräkna och kontrollera Värden som har producerats med hjälp av Det har ett gäng Hjälpfunktioner, såsom kontroll och fastställande av ett PAN (Luhn att skapa och kryptera block, dekryptering och utvinna PIN från krypterat block, etc.

VISA CVV Kalkylator (<- det faktiska fil att ladda ner)

Detta är ett som kommer att beräkna Värden som har producerats med hjälp av MasterCard CVC använder så det kommer att arbeta för det också. Det kommer att beräkna CVV3, iCVV, CAVV, eftersom Dessa är bara variationer på service nummer och
Formatet på utgångsdatum. är helt enkelt att jämföra det beräknade värdet med vad du har fått, så det finns ingen tydlig funktion.

Atalla AKB Kalkylator (<- det faktiska fil att ladda ner)

Detta är ett som både kommer att generera och Atalla AKB cryptograms. Du behöver vanlig MFK att utföra dessa operationer. När dekrypteringsprogram, MAC kommer också att kontrolleras och resultaten visas.

BogoAtalla (<- den faktiska filen till
ladda ner)

Detta är en Atalla (eller simulator). Programvaran (simulering) av det välkända Atalla som används av banker och processorer för kryptografisk verksamhet, såsom att kontrollera / översätta block, bemyndigande transaktioner av kontrollera
/ CSC siffror och utför viktiga utbyte förfaranden, producerades för provningsändamål. Detta genomförs inte av den fullständiga HP Atalla kommandot set, utan snarare bara
portioner som jag själv behövde. Med detta sagt, det är fullständigt tillräckligt om du utför förvärva och / eller utfärdande och använder modernare system såsom och och behöver göra generering, och översättning.

Detta löper som en lyssnande socket och behandlar de infödda Atalla kommandot set. Jag har tagit del friheter med felet returvärden och har inte strävat efter high fidelity det (dvs du kan få ett annat fel svar från infödda men definitivt bör få samma positiva
svar. Vissa funktioner genomföras här normalt skulle kräva inköp premiumkategorin kommandon, men alla kommandon här genomföras finns tillgängliga. Exempel på detta är att generera värderingar och kryptera / dekryptera vanlig värden.

BogoAtalla för Linksys (<- det faktiska fil att ladda ner)

Detta är Atalla porterade till Linux och bygga för installation på ett OpenWRT systemet. Leder till ett riktigt billigt ($ 60 USD) / test enheten.

Lokalt Filer

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc

2 Kommentarer »

Bluetooth

24 mars 2008 Bluetooth

Källa

Denna artikel handlar om trådlös För Kung Harold se Harold I i Danmark

är ett industri-specifikation för trådlösa personliga nätverk (pannor).

ger möjlighet att koppla in och utbyta information mellan enheter som personliga digitala assistenter (PDA), bärbara datorer, datorer, skrivare och digitalkameror via en säker, billig, globalt tillgängliga kort räckvidd radiofrekvens.

gör det möjligt för dessa enheter prata med varandra när de kommer i rad, även om de inte är i samma rum, så länge de är inom 10 meter (32 fot) från varandra.

De spec först utvecklades av Ericsson, senare formaliserades av Bluetooth Special Interest Group (SIG). SIG formellt meddelade den 20 maj 1999. Det fastställdes av Sony Ericsson, IBM, Intel, Toshiba och Nokia, och senare sällskap av många andra företag som biträdande eller adoptivföräldern medlemmar.

Innehållsförteckning

* 1 Om namnet
* 2 Allmän information
o 2.1 Embedded
* 3 funktioner från version
o 3.1 1.0 och 1.0B
o 3.2 1.1
o 3.3 1.2
o 3.4 2.0
* 4 Kommande använder
* 5
* 6
* 7 Se även
* 8 Externa länkar

Om namnet

Systemet är uppkallad efter en dansk kung Harald Blåtand (<Arold Bluetooth på engelska), kung av Danmark och Norge från 935 och 936 respektive till 940 känd för sin förening av tidigare stridande stammar från Danmark, Norge och Sverige. likaså var avsett att förena olika teknik som datorer och mobiltelefoner. logo samman de nordiska runor för H och B.

Allmän information

En typisk mobiltelefon-headset

Den senaste versionen nu tillgänglig för konsumenter är 2,0, men få tillverkare har börjat sjöfart några produkter ännu. Apple Computer, Inc. erbjuds de första produkter som stöder version 2.0 till slutkund i januari 2005. Kärnan marker har varit tillgänglig för OEM (från november 2004), så kommer det att finnas ett inflöde på 2,0 enheter i mitten av 2005. I den tidigare versionen, som alla tidigare kommersiella produkter bygger på, heter 1.2.

är en trådlös radio standard främst avsedd för låg energiförbrukning, med en kort räckvidd (upp till 10 meter [1]) och en billig transceiver mikroprocessor i varje enhet.

Den kan användas för att trådlöst ansluta kringutrustning som skrivare eller tangentbord till datorer, eller att ha handdatorer kommunicera med andra närliggande handdatorer eller datorer.

Mobiltelefoner med inbyggd har också sålts i stora mängder, och har möjlighet att ansluta till datorer, handdatorer och särskilt till handsfree-enheter. BMW var den första biltillverkaren att installera handsfree i sina bilar, och tillade att det är en option på sin 3-serien, 5-serien och X5 fordon. Sedan dess har andra tillverkare har följt efter, med många fordon, inklusive 2004 års Toyota Prius och 2004 Lexus LS 430. bilpaket gör det möjligt för användare med mobiltelefoner för att kunna använda vissa av är funktioner, som att ringa samtal medan kan lämnas i en resväska eller i boot / till exempel.

Standarden innehåller även för mer kraftfulla, lång rad artiklar som är lämpliga för att bygga trådlösa LAN.

En som fungerar som "master" kan kommunicera med upp till 7 enheter fungerar som "slave". Vid ett givet ögonblick i tiden, kan överföras mellan herre och en slav, men befälhavaren växlar snabbt från slav till slav i en rund rödhake sätt. (Samtidig från master till flera slavar är möjligt, men inte används mycket i praktiken). Dessa grupper på upp till 8 enheter (1 befälhavaren och 7 slavar) kallas piconets.

gör det också möjligt att ansluta två eller flera piconets samman till en scatternet, med vissa enheter som agerar som en bro genom att samtidigt spela befälhavaren roll i en piconet och slav roll i en annan piconet. Dessa enheter har ännu inte kommit, men är tänkta att visas inom de närmaste två åren.

Varje enhet kan utföra en "utredning" för att hitta andra enheter som du vill ansluta, och varje enhet kan konfigureras för att svara på sådana förfrågningar.

Par enheter kan skapa ett förtroendefullt förhållande med lärande (av användardata) en delad hemlighet känd som en "nyckel". En anordning som vill kommunicera bara med en betrodd enhet kan kryptografiskt verifiera på den andra enheten. Trusted enheter kan också kryptera som utväxlas via etern så att ingen kan lyssna i.

I protokollet verkar i licens-fria ISM-bandet på 2,45 GHz. För att undvika att blanda sig med andra protokoll som använder 2,45 splittrar bandet i 79 kanaler (varje 1 MHz breda) och förändringar kanaler upp till 1600 gånger per sekund. Implementationer med versionerna 1.1 och 1.2 når hastigheter på 723,1 kbit / s. Version 2.0 implementationer funktionen Enhanced Rate och därmed nå 2,1 Mbit / s. Tekniskt version 2.0 produkter har en högre effektförbrukning, men tre gånger snabbare minskar effektivt minska konsumtionen till hälften av 1.x enheter (förutsatt lika trafikbelastningen).

avviker från Wi-Fi i att den senare ger högre kapacitet och täcker större avstånd men kräver dyrare och högre energiförbrukning. De använder samma frekvensområde, men använda olika Multiplex system. Även om är en kabel ersättning för en mängd tillämpningar, Wi-Fi är en kabel ersättning endast för lokala En TALFÖR sammanfattning är att är trådlös USB medan Wi-Fi är trådlöst Ethernet.

Många finns tillgängliga, av vilka några också innehålla en IrDA-adapter.

Embedded

och moduler i allt större utsträckning görs tillgängliga som kommer med en inbyggd skorsten och en standard UART port. Den UART protokoll kan vara så enkla som de facto-standard till protokollet, som gör att enheten ska konfigureras till kabel ersättning läge. Detta betyder att det nu bara tar några timmar (i stället för veckor) för att arvet trådlösa produkter som kommunicerar via UART port.

Funktioner i version

1.0 och 1.0B

Versionerna 1.0 och 1.0B hade många problem och de olika tillverkarna haft stora svårigheter att göra sina produkter kompatibla. 1.0 och 1.0B också obligatoriska Adress (BD_ADDR) i handshaking processen, vilket gör anonymitet vid en protokollet nivå, vilket var en stor uppsättning tillbaka för tjänster som planeras att användas i miljöer, såsom konsumtion.

1.1

I version 1.1 många errata återfinns i 1.0B specifikationer fastställs. Det lades till för icke-krypterade kanaler.

1.2

Denna version är bakåtkompatibel med 1.1 och de största förbättringarna omfatta

  • Adaptiv (hushållsbruk), vilket förbättrar motståndskraft mot genom att undvika att använda trångt frekvenser i hoppfrekvensteknik sekvens
  • Högre i praktiken
  • förlängas synkrona förbindelser (ESCO), vilket förbättrar röst kvalitet audio länkar genom att sändningen av skadade paket.
  • Mottagna Indikator för signalstyrka (RSSI)
  • Host Controller för 3-tråd UART
  • till tidsangivelser för applikationer.

2.0

Denna version är bakåtkompatibel med 1.x och stora förbättringar inkludera

Kommande använder

Ett sätt kan bli användbar i Voice over IP. När blir allt vanligare, företag kan finna det onödigt att använda telefoner fysiskt liknar dagens analoga telefon kan sedan hamna som används för kommunikation mellan en sladdlös och en dator lyssnar för och med en som agerar som bas för trådlös Den trådlösa skulle bara kräva en vagga för laddning. skulle naturligtvis kunna användas här för att göra det möjligt för trådlösa vara i drift under en relativt lång period.

I november 2003, Ben och Adam Laurie från AL Ltd upptäckte att brister i leda till utlämnande av (se http://bluestumbler.org). Det bör dock noteras att de rapporterade berörda några dåliga implementationer av snarare än själva protokollet.

I ett senare experiment, Martin Herfurt från trifinite.group kunde göra ett område rättegång på CeBIT marknader visar betydelsen av problemet till världen. En ny kallas BlueBug användes för detta experiment.

I april 2004, @ Insats visade en fel som gör det möjligt att bryta sig in i samtal om trådlöst headset med reverse engineering PIN.

Detta är en av ett antal frågor som har ställts under Under 2004 var de första påstådda virus via för att sprida sig mellan verkade för Symbian OS. Viruset var första beskrivs av Kaspersky Labs och kräver användarna att bekräfta installationen av okänd programvara innan den kan framkalla. Viruset är skrivet som ett proof-of-concept av en grupp virus författare kallad 29a och skickas till antivirusprogram grupper. På grund av detta, bör inte betraktas som en fel på antingen eller Symbian OS. Det har inte förökade "i naturen".

I augusti 2004, ett världs-rekord inställningen experiment (se även Bluetooth gerillan) visade att med riktad antenn utbudet av klass 2 skulle kunna utvidgas till en mil. Detta gör det möjligt för angripare att komma från ett avstånd bortom förväntan.

använder SAFER + för autentisering och nyckel generation.

För att kunna använda en enhet måste kunna tolka vissa Dessa definiera möjliga tillämpningar. Efter profiler har definierats:

  • Generic Profile (GAP)
  • Service Discovery Application Profile (SDAP)
  • Cordless Telephony Profile (CTP)
  • Intercom Profile (IP)
  • Serial Port Profile (SPP)
  • Headset Profile (HSP)
  • Dial-up Networking Profile (DUNP)
  • Fax Profil
  • LAN Profile (LAP)
  • Generic Object Exchange Profile (GOEP)
  • Object Push Profile (OPP)
  • File Transfer Profile (FTP)
  • Synkronisering Profile (SP)

Denna profil kan synkronisering av Personal Information Manager (PIM) objekt. När denna profil har sitt ursprung som en del av det infraröda specifikationer men har antagits av SIG att en del av de viktigaste specifikationen är det också vanligen kallad IrMC Synkroniseringstyp.

  • Hands-Free Profile (HFP)
  • Human Device Profile (HID)
  • Papperskopieoriginal ersätter Profile (HCRP)
  • Basic Imaging Profile (BIP)
  • Personal Area Networking Profile (PAN)
  • Basic Printing Profile (BPP)
  • Advanced Audio Distribution Profile (A2DP)
  • Audio Video Remote Control Profile (AVRCP)
  • SIM Profile

Kompatibilitet av produkter med profiler kan kontrolleras på Bluetooth Qualification webbplats.

Se även

Externa länkar

No Comments »