Madrock

När man överväger Mobile Banking säkerhet och risker i en bedömning metod beror till stor del på den lösning som skapas eller tillhandahålls.
Generellt Metoden är baserad på lager standarder stödja och kring teknik och metoder som används.

Här är några saker att tänka på.

Sjöfartsskyddsbedömningar generellt fokuserar på två saker.

1 / känslig data
Vad är det som skickas. t.ex.. Pin, kreditkortsnummer, kontosaldo, din adress, bankkontonummer etc.
Uppgifterna får inte vara känslig för banken, men kan anses av kunden som känsliga.
osv ... ... ....

2 / Möjlighet att få tillgång till uppgifterna.
Vilka medel har använts?
Är det lätt att hacka?
Vad kryptering används?
Är alla uppgifter vägar säker (klient och tillbaka slutet)?
Finns det en 3: e parts inblandade i bytet av transaktionerna?
osv ... ... ...

Saker att tänka på:

• Pin återställer skickas via SMS till kund, bör inte användas som enda metod för att få tillgång till konton. En ytterligare kundspecifika (eventuellt statisk) passerar ordet / frasen ska användas i tillägg till ett dynamiskt skapade pin. SMS kan snusas (beroende på läge och placering).
• Om WAP används, är alla enheter som kan kryptering? Om produkter inte kan kryptering, kan vi neka tillträde till dessa enheter? Om klientsidan JAVA eller intelligent enhet (Win CE, etc), att detta inte kan äventyras av en Trojan och andra viktiga logga tekniker.
• Har organisationen anses klientsidan certifikat för att kontrollera enheten innan transaktioner godkänns? Överväg flera enheten och användaren identifieringsmetoder (mycket lösning beroende).
• De flesta mobila POS terminaler kryptera kunden in PIN-kod, men inte kryptera allt inom transaktionen. Om överföringen medellång äventyras bör vi överväga om kryptering kan krackat och om okrypterad data är känsliga. Överväga ytterligare datakryptering inkapsling dvs användning av alla budskap kryptering (SSL, IPSEC) eller använda en terminal som använder Härledda unik nyckel per transaktion (DUKPT).
• Många banktjänster har drabbats av typiska Hacks såsom sessionskapning, SQL-injektion, icke slumpmässiga sessionsnycklar (klientsidan och serversidan), osv ... Dessa typiska Hacks bör övervägas i din Secure SDLC och QA Processer gång du är medveten om teknik som används och / eller aktiva.
• PBX-system och kablage distribution ramar kan ha enheter anslutna till samla transaktioner. Trådlösa enheter är nu anslutna till dessa system. Angriparen sitter i sin bil på parkeringsplatsen utanför. Detta sker ofta i super marknader.
• Trådlöst transaktion nätgränsstationer om inte krypterad lätt kan samlas in av någon inom trådlös räckvidd. 802.11 och andra trådlösa / infrarött medier som används (utvärdera teknik och medium som används).
• Har organisationen anses dynamiska nycklar för mobila användare? Det finns några mycket låg kostnad SecureID typ lösningar som finns i dag, men kunderna måste ha dessa produkter på dem när de vill göra en transaktion.

Jag har nyligen arbetar inom ett av de större bankerna i Australien.
Genom detta arbete har jag tittar på de kontroller och mekanismer kring behandling av kredit-och betalkort över hela Asien.

Jag fyller många säkerhetsarkitekturen och betalningssystem bedömningar.
Under åren har jag alltid ansett att skydda kortet data som en av de viktigaste överväganden.

Fram till i går hade jag aldrig sett en CVV-eller PVV dekryptering verktyg. Jag tror att vissa skript använda dessa verktyg kan vara mycket intressant.
Webbplatsen hziggurat29.com

Många av de andra verktyg på denna webbplats är också mycket unikt och värt en titt.
Stort tack till ziggurat29 för att de så fantastiskt verktyg.

Eftersom många av dessa områden är av detta slag är svåra att hitta och ofta verkar försvinna med åren har jag valt att kopiera texten från denna sida och ge lokala kopior på filerna.
Det är värt att regelbundet besöka ziggurat29 plats då och då för att se om något ytterligare verktyg har lagts upp.

En av de mer extraordinära filer är Atalla Maskinvara säkerhetsmodul (HSM) och BogoAtalla för Linksys emulering (simulering) verktyg. Så jag undrar om Eracom och Thales är att skaka i sina stövlar. Vissa så jag tror inte det. ;-)

--- Ziggurat29 Text ---

Dessa är alla Windows command-line tjänster (utom i de fall då noterat), utföra med hjälp alternativet
att fastställa användningen.

DUKPT Minskas (<- det faktiska fil att ladda ner)

Detta är ett verktyg som kommer att dekryptera krypterade PIN block som har producerats via DUKPT triple-DES-metoden. Jag använde denna för att testa produktionen av vissa PIN Pad program jag hade skapat, men det är också praktiskt för andra debugging syften.

VISA PVV Kalkylator (<- det faktiska
fil att ladda ner)

Detta är ett verktyg som kommer att beräkna och kontrollera Verifiera PIN-koden Värden som har producerats med hjälp av VISA PVV teknik. Det har ett gäng Hjälpfunktioner, såsom kontroll och fastställande av ett PAN (Luhn beräkningar), att skapa och kryptera PIN block, dekryptering och utvinna PIN från krypterat PIN block, etc.

VISA CVV Kalkylator (<- det faktiska fil att ladda ner)

Detta är ett verktyg som kommer att beräkna Card Verification Värden som har producerats med hjälp av VISA CVV teknik. MasterCard CVC använder CVV-algoritmen, så det kommer att arbeta för det också. Det kommer att beräkna CVV, CVV2, CVV3, iCVV, CAVV, eftersom Dessa är bara variationer på service nummer och
Formatet på utgångsdatum. Kontrollen är helt enkelt att jämföra det beräknade värdet med vad du har fått, så det finns ingen tydlig kontroll funktion.

Atalla AKB Kalkylator (<- det faktiska fil att ladda ner)

Detta är ett verktyg som både kommer att generera och dekryptera Atalla AKB cryptograms. Du behöver vanlig MFK att utföra dessa operationer. När dekrypteringsprogram, MAC kommer också att kontrolleras och resultaten visas.

BogoAtalla (<- den faktiska filen till
ladda ner)

Detta är en Atalla emulator (eller simulator). Programvaran emulering (simulering) av det välkända Atalla Maskinvara säkerhetsmodul (HSM) som används av banker och processorer för kryptografisk verksamhet, såsom att kontrollera / översätta PIN block, bemyndigande transaktioner av kontrollera
CVV / CSC siffror och utför viktiga utbyte förfaranden, producerades för provningsändamål. Detta genomförs inte av den fullständiga HP Atalla kommandot set, utan snarare bara
portioner som jag själv behövde. Med detta sagt, det är fullständigt tillräckligt om du utför förvärva och / eller utfärdande bearbetningsfunktioner och använder modernare system såsom Visa PVV och DUKPT och behöver göra generering, kontroll, och översättning.

Detta löper som en lyssnande socket server och behandlar de infödda Atalla kommandot set. Jag har tagit del friheter med felet returvärden och har inte strävat efter high fidelity det (dvs du kan få ett annat fel svar från infödda hårdvara), men definitivt bör få samma positiva
svar. Vissa funktioner genomföras här normalt skulle kräva inköp premiumkategorin kommandon, men alla kommandon här genomföras finns tillgängliga. Exempel på detta är att generera PVV värderingar och kryptera / dekryptera vanlig PIN värden.

BogoAtalla för Linksys (<- det faktiska fil att ladda ner)

Detta är Atalla emulator porterade till Linux och bygga för installation på ett OpenWRT systemet. Leder till ett riktigt billigt ($ 60 USD) utveckling / test enheten.

Lokalt Filer

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc