Средства для оценки рисков
Средства разработки и внедрения политик безопасности
Средства мониторинга действий пользователей: Программы, предназначенные для контроля работы пользователей и администраторов за своими компьютерами и в сети Интернет. Они сообщают по сети информацию, которая интересует шефа, ему лично или уполномоченному им лицу.
Средства аудита и восстановления паролей
Шифровальщики файлов: Эти программы обеспечивают недорогое, надежное и быстрое шифрование файлов и дисков с использованием популярных алгоритмов (AES, 3DES, Blowfish, ...)

See the entire folder …

Хакеры продемонстрировали уязвимость бесконтактных банковских карточек

Компания Recursion Ventures провела демонстрацию дистанционного считывания конфиденциальной информации с бесконтактной банковской карты, оснащённой радиочипом RFID. Для дистанционного считывания использовался кард-ридер Vivotech, который можно купить за $50.

31.01.2012

В Вашингтоне 27-29 января прошла хакерская конференция Shmoocon. Известный специалист по безопасности Кристин Пейджет (Kristin Paget) из компании Recursion Ventures провела демонстрацию дистанционного считывания конфиденциальной информации с банковской карты, оснащённой радиочипом RFID.

Для дистанционного считывания номера карты, срока действия и одноразового номера CVV использовался кард-ридер Vivotech, который можно купить за $50. Далее, с помощью намагничивающего устройства стоимостью $300 эти данные можно записать на чистую карту.

Во время демонстрации считывание данных и намагничивание новой карточки заняло пару минут. После чего Пейджет достала iPhone с модулем Square, который позволяет принимать платежи, и перевела $15 на свой счёт, используя только что сделанный клон карточки. В данном случае хакерский кард-ридер ничем не отличается от легального терминала торговой точки. Самое сложное в такой атаке — приблизить кард-ридер на максимально близкое расстояние к кошельку с карточкой. На практике это можно сделать в переполненном транспорте или в очереди, спрятав устройство в кармане и "случайно" столкнувшись с владельцем карты. В принципе, физический контакт даже необязателен, достаточно максимально близко приблизиться к жертве.

Использование одноразового номера CVV делает возможным проведение только одной транзакции с клонированной карточки, а при попытке второй транзакции она будет заблокирована. По мнению Пейджет, это означает только то, что злоумышленнику нужно посетить оживлённое место, где за один вечер можно набрать множество одноразовых карт.

Представители платёжных систем говорят, что бесконтактную банковскую карточку специально сделали максимально простой в использовании, но за шесть лет не задокументировано ни единого случая подобного рода мошенничества, что является доказательством достаточной защиты для такого рода атак.

По данным Smart Card Association, сейчас в обращении находится около 100 млн. бесконтактных банковских карточек. Все они одинаково уязвимы для съёма данных.