Bezbednost informacija

Šta je skimming?

dobosasa — Fri, 13 Jan 2017 18:31:12 +0000

Skimming je tehnika koju koriste kriminalci za krađu/snimanje brojeva platnih kartica i PIN kodova koje koriste za pravljenje falsifikovanih platnih kartica, podizanje novca sa bankovnih računa i obavljanje lažnih kupovina.
Do poverljivih podataka sa platnih kartica kriminalci dolaze tako što instaliraju opremu za skimming na lokacijama prodavaca, na uređajima na prodajnom mestu (POS terminalima), ATM bankomatima i kioscima za plaćanje platnim karticama.

Činjenice:

2 milijarde dolara je globalno procenjena šteta nastala od skimming kriminala;
50.000 dolara je prosečna šteta koja nastane skimming-om;
Prevare sa falsifikovanim karticama vezanim za skimming vodeća je vrsta prevare sa platnim karticama;
Skimming je kriminalna akrivnost broj 1. koji čini 92% svih napada na ATM bankomate;
Broj napada na platne kartice i bankomate je u stalnom porastu.

Pretnje:

Ručne skimming uređaje može koristi korumpirano osoblje, vrlo su mali i staju u dlan. Uprkos svojoj veličini, ovi uređaji mogu sačuvati značajnu količinu podataka sa platnih kartica.
Skimming uređaji skriveni unutar POS terminala su nevidljivi, a ni prodavci niti vlasnici kartica ne znaju da su podaci sa kartice ukradeni/snimljeni.
ATM skimming uređaj kriminalci ne koristite za jedan napad, ali koristiti u slučaju scenarija više napada. U ovom slučaju vidimo postavljen deo na čitaču bankomata za prekrivanje mogućnosti snimanja podataka sa kartice, a dodata je plastika koja je omogućila skrivenoj kameri da snimi PIN.

The post Šta je skimming? first appeared on Bezbednost informacija.

XSS – Cross Site Scripting

dobosasa — Fri, 13 Jan 2017 18:25:34 +0000

Cross Site Scripting je najrašireniji sigurnosni propust u veb aplikacijama. Događa se kad aplikacija prihvati neproverene podatke i pošalje ih browseru bez prave provere . To napadačima omogućava da izvršavaju skripte u browseru žrtve, čime se može preuzeti kontrola nad korisničkom sesijom, ili preusmeriti na maliciozne linkove.

3 osnovne karakteristike XSS napada su:

XSS napadi se odvijaju na ranjivim veb aplikacijama;
U XSS napadima žrtva je korisnik, a ne aplikacija;
U XSS napadima zlonamerni sadržaj isporučuje se pomoću JavaScript-a.

XSS napadi se primarno događaju zbog neadekvatnog čišćenja korisnikovog inputa.

Razmotrimo slučaj gde hipotetički veb sajt ima formu na veb stranici koja prihvata korisnikovu imejl adresu da bi mu slala nove vesti. Veb aplikacija koja obrađuje imejl adresu možda nije dobro programirana. Zbog ovih nedostataka u izvornom kodu koji prihvata input od korisnika i dalje ga obrađuje, haker ima mogućnost da pokrene svoj sopstveni, maliciozni kod.

Primer XSS napada:

Pogledajmo link sajta koji ima ovakav URL:

U ovom primeru “name” parametar se koristi da bi se definisale name vrednosti za korisnika. Veb sajt koristi ovu vrednost da bi ispisao “Hello GSC” na veb strani. U ovom primeru, haker može upotrebiti parametar “name” tako što će dodati malware informacije na parametar “name” umesto očekivanog imena kao sto je navedeno u sledećem linku:

U ovom slučaju izvršiće se skripta i izbaciće obaveštenje “XXS vulnerability”, takođe pravi malware kod može da se pokrene na sajtu uz primenu iste tehnike.

Ovakav napad je uspešan zbog veb aplikacije koja analizira URL i omogućava rad veb sajta, netačno i neispravno daje instrukcije korisniku da uvek stvalja sigurne podatke. Zapravo, on uopšte nije pripremljen za ovakve pretnje. U ovom slučaju haker koristi benigni veb sajt da bi pokrenuo malware napad na korisnika koji nema nikakvu sumnju, a vlasnik veb sajta obično nema nikakvu predstavu da se njegov veb sajt koristi za izvršenje zlonamernog koda.

Kako otkriti da je Vaš sajt podložan XSS napadima i šta preduzeti?

Obavezno proveriti softver koji omogućava rad vašeg sajta, da li uzima korisnikov input direktno i odmah ga koristi bez filtriranja!
Nadogradnja najnovije verzije softvera.
Proverite da li su plagini trećeg lica koje koristi sajt u opasnosti zbog podložnosti XSS napadima.
Sprovedite skeniranje procene ranjivosti sajta da biste saznali da li ima bilo kakvih XSS slabih tačaka. Bilo kakva slaba tačka bi trebala sto pre da se otkloni ili popravi.
Koristite Web Application Firewall da biste sprečili štetne napade na Vaš sajt.

The post XSS - Cross Site Scripting first appeared on Bezbednost informacija.

Multifaktorska autentifikacija

dobosasa — Fri, 13 Jan 2017 18:17:58 +0000

Postupak multifaktorske autentifikacije zahteva najmanje dve od tri metode autentifikacije:

1. Nešto što znate (npr. lozinka);
Ova metoda uključuje verifikaciju informacija koje korisnik pruža, kao što su lozinka, PIN ili odgovori na tajna pitanja.

2. Nešto što imate (npr. token uređaj ili pametna kartica);
Ova metoda uključuje verifikaciju određene stavke koju korisnik poseduje, poput fizičkog ili logičkog zaštitnog tokena, jednokratnog tokena lozinke (OTP), ključeva, kartice za pristup zaposlenog ili SIM kartice telefona. Za mobilnu autentifikaciju pametni telefon često pruža faktor posedovanja zajedno sa OTP aplikacijom ili sertifikatom ili ključem koji se nalazi na uređaju.

3. Nešto što ste (biometrija).
Ova metoda uključuje verifikaciju karakteristika koje su svojstvene pojedincu, poput skeniranja mrežnjače oka, skeniranja otiska prsta, skeniranja vena prsta, prepoznavanja lica, prepoznavanja glasa, geometrija ruku, pa čak i geometrije ušiju.

The post Multifaktorska autentifikacija first appeared on Bezbednost informacija.