26 декабря 2009 г.

HB2Pento!

Дожили, из всех известным мне способов коммуникации ни один не сработал, в связи с чем передаю открытые поздравления моему экс коллеге известным в узких кругах как Pento

Думаю желать, что-то в таком возрасте глупо, ибо любые пожелания будут задавать верхнюю планку, а сейчас время когда можно достигать любых высот, выше всяких пределов! Так, что выше, сильнее, быстрее: выше поднимай свои профессиональные навыки, сильнее напрягайся на штангу и быстрее уже ломай интернет! :)

25 декабря 2009 г.

Что такое PVV или VISA PVV алгоритм

PVV - это PIN Verification Value, или говоря русским языком проверочное значение ПИН-а.

Значение PVV содержится в треках (1 и 2) и служит для проверки введенного пользователем значения PIN (соответственно используется только при пиновых транзакциях). Пользователь вводит PIN, который шифруется банкоматом и вместе с данными карты отправляется в процессинг, где происходит вычисление PVV на основе введенного PIN и сравнение его со значением находящемся в треке.

Из чего же состоит PVV? PVV вычисляется по следующему алгоритму: за основу берется 64-битная строка, так называемая TSP (Transformed Security Parameter) состоящая из 16 шестнадцетиричных символов (16х4=64), в которую входят (слево-направо):
- PAN - 11 цифр, отсчитываемых справа-налево, пропуская крайнюю слева цифру (которая является проверочным значением PAN), а считываемых слева-направо, есть подозрение, что это делается, чтобы избежать попадания статичного BIN-a
- 1 цифра значением от 1 до 6 выбираемую ключом шифрования (тот самый PVKI (PIN Verification Key Index), стоит заметить, что судя по статье поле PVKI иногда не выделяют отдельно, а считают частью PVV (и пишут, что PVV состоит из 5 цифр)
- собственно 4 цифры - значение PIN.

Пример:
PAN: 1234 5678 9012 3445
PVKI: 1
PIN: 9090
TSP: 5678901234419090


TSP зашифровывается алгоритмом tripleDES (в более ранних системах использовался обычный DES) ключом 128 бит (Внимательный читатель обратит внимание, что эффективный ключ будет 112 бит, т.к. на каждые 7 бит ключа присутствует 1 бит - проверочное значение)

Лирическое отступление:
Если рассмотреть, что из себя представляет 3DES, мы увидим, что это по сути 3 действия: шифрование DES на ключе1, дешифрование полученного результата на ключе2 и последующие шифрование на ключе3. В алгоритме VISA PVV, ключ1 совпадает с ключом3. Т.е. ключ1=ключ3=левой части 128 битного ключа; ключ2=правой части 128 битного ключа.


После шифрования мы получаем строку 64 бита, или 16 шестнадцетиричных символов. Далее идет процедура формирования PVV, которая состоит из 2-х этапов:

16-я строка просматривается слева направо на предмет наличия десятичных цифр, при обнаружении цифры она выписывается в значение PVV
если строка просмотрена до конца, при этом значение PVV еще не сформировалось, то строка просматривается заново, на наличие шестнадцетиричных символов (A-E), и в PVV попадают значения соответствующие номеру символа начиная с нуля (т.е. A - 0, B - 1, … , F - 5) и так пока PVV не сформируется (не накопится 4 символа)

Пример:
вывод 3DES: 0FAB9CDEFFE7DCBA
PVV: 0975 (0, 9, 7, F=5)


Ссылки по теме:
http://www.gae.ucm.es/~padilla/extrawork/stripe.html

2 декабря 2009 г.

Актуальное состояние и новые тенденции отрасли ИБ

Вчера RISSPA в офисе компании Ernst & Young провела семинар "Актуальное состояние и новые тенденции отрасли ИБ".

Удалось побывать на данном событии очно и должен признать весьма разочарован.
Докладчики выступали слабо, ну конечно за исключением Алексея Лукацкого, который ясно понимал о чем говорит и излагал это четко и громко(!), тут безусловно сказывается опыт. Остальные же выступления сводятся к одним и тем же ошибкам: перенасыщенные презентации, которые из зала были нечитабельны, тихая речь самих докладчиков, неподготовленность к ответам на вопросы, все это привело к ситуации когда докладчики стали "мальчиками для битья" по отношению к аудитории.

p.s. Антон Чувакин как оказалось должен был выступать посредством прокрутки его видеовыступления, но даже оно отложилось из-за традиционной нехватки времени.

17 ноября 2009 г.

Умный спам

Продолжая тему спама, сегодня был приятно удивлен сообщением в социальной сети:
Пpости мeня, Лёх! Я на сайте ****.net твои SMS смотрю...Я нeчaяннo =)

Уже изменили имя на производное и сделали текст более интересным, прогресс не стоит на месте. Признаться честно, первые строчки меня даже заставили открыть сообщение, а не сразу отправить его в спам.

16 ноября 2009 г.

Паранойя в ИБ

Факт, что алгоритм DES взломали прямым перебором, привел к какой-то паранойи. Все поголовно стали использовать 256 битные ключи, а остальное же поломают.

Давайте считать: Пусть DES не просто ломают, а за 1 процессорный такт и в офисах стоят 10 Ггц машины. Получаем, что наш офисный компьютер позволяет перебирать не больше 2^90 ключей за секунду. Итак возьмем "слабый" 128 битный ключ, для его побора необходимо 2^38 секунд, т.е. в районе 9000 лет. Ну ладно упростим задачу, соберем весь офис, например 1 000 компьютеров, осталось всего 9 лет, что-же делать, нас же почти поломали 0_о

upd: возмем в качестве офисного компьютер Jaguar, объявленный мощнейшим суперкомпьютером в мире. Итак, с его производительностью 1,75 петафлоп в секунду, для перебора 128 битного ключа в наших условиях необходимо 25 дней, уже выглядит угрожающе? тогда давайте считать по честному, умножив число дней на 2^56, т.е. решив, что один такт процессора равен одной попытке перебора.

upd2: выбирая ключ в 256 байт, задумайся, количество вариантов твоего ключа больше количества атомов в галактики 2^223 :)

13 ноября 2009 г.

Польза robots.txt

Всем известно, что файл robots.txt задуман как средство позволяющее управлять индексированием вашей страницы поисковыми машинами и запрещать индексировать информацию которая у пользователя поисковиков явно интереса не вызовет и приватную информацию, наверное как способ обезопаситься.

Сегодня наткнулся на одном ресурсе (фрагмент файла robots.txt):
# Directories
Disallow: /includes/
Disallow: /misc/
Disallow: /modules/
Disallow: /profiles/
Disallow: /scripts/
Disallow: /sites/
Disallow: /themes/
# Files
Disallow: /CHANGELOG.txt
Disallow: /cron.php
Disallow: /INSTALL.mysql.txt
Disallow: /INSTALL.pgsql.txt
Disallow: /install.php
Disallow: /INSTALL.txt
Disallow: /LICENSE.txt
Disallow: /MAINTAINERS.txt
Disallow: /update.php
Disallow: /UPGRADE.txt
Disallow: /xmlrpc.php
# Paths (clean URLs)
Disallow: /admin/
Disallow: /comment/reply/
Disallow: /contact/
Disallow: /logout/
Disallow: /node/add/
Disallow: /search/
Disallow: /user/register/
Disallow: /user/password/
Disallow: /user/login/

Обезопасиванье на лицо :)

8 ноября 2009 г.

SiBear-r-r-r-rs!

Команда SiBears Томского Государственного университета заняла третье место в RuCTFE 2009 , уступив только двум командам из Германии - первое место заняла команда squareroots от университета Манхейма и второе - 0ldEur0pe от университета Ахена. Среди российских команд, принимавших участие в игре, SiBears оказалась сильнейшей.

И хоть я не играл из-за болезни, но все равно это было круто!

30 октября 2009 г.

Уфимский вай-фай. Быстрее, еще быстрее.

"Челябинский интернет настолько суров, что передается воздушно-капельным путем"

РИА-новости радуют нас интересным фактом:
"Теперь в уфимских государственных автобусах можно пользоваться интернетом. Причем, вход в мировую паутину абсолютно бесплатный - достаточно заплатить за билет 10 рублей", - рассказал собеседник, отметив, что скорость работы сети превышает 100 Мбит в секунду, и каждый владелец смартфона, КПК, PSP и ноутбука может рассчитывать на качественную связь.
По словам представителя "Башавтотранса", wi-fi установлен в автобусах самого востребованного студентами маршрута..."

Хмм... Стоит конечно порадоваться за башкирских студентов которым в автобус, судя по скорости засунули адаптеры работающие в стандарте 802.11n, интересно на каких устройствах они будут пользоваться качественной связью. Еще в качестве илюстрации приведен iphone, который даже в новом поколении 3GS поддерживает только 802.11b/g

Но, КО шепчет мне на ухо, что скорее всего люди писавшие новость имеют отдаленное понятие, что такое wi-fi, и тем более о скорости его работы.

28 октября 2009 г.

Спам в социальных сетях

Все обитатели социальных сетей наверное не раз сталкивались с сообщениями о "новой возможности прослушивания чужих телефонов" и "Узнай где находиться абонент" и многие из них после доверчивых переходов сами становились невольными почтальонами.

Только меня всегда интересовал вопрос о примитивности методов спама, ведь все это уже давно приелось и с этим так или иначе начинают бороться, в следствии чего даже при общинном обхвате территории полезный выхлоп стремиться к нулю.

Некоторыми потугами в продвижении методов спама можно считать волну фарминга о которой нам сообщает twangel в своем посте на Хабре. Метод вполне подойдет неискушенным пользователям, которым строго-настрого запретили открывать ссылки, но тут ведь файл :)
Да и обратная связь дает какую-то уверенность в действиях.

Странно почему до этого дошли только сейчас, почему нельзя сделать умный спам, например робота который начинал сообщение не со слов "Привет Иванов Аркадий!", а расчитывать сообщение относительно возраста собеседника, его пола. Например использовать уменьшительно-ласкательное "Как дела Машуня?", опять вполне возможно брать первые строчки для приветствия из архива сообщений пользователя, например искать первые сообщения посланные тому или иному пользователю и вырезать первые строки. При этом засылая не сразу ссылку на спам, а дождавшись первого ответа, отвечать "Все отлично, кста хотел тебя попросить, тут конкурс проводят: [...] проголосуй плиз..."
Да, не спорю ингода этот ответ может быть совсем "не в кассу", но в большинстве случаев он пройдет, при этом "выстрелит" с большой вероятностью, ведь пользователь уже идентифицировал вас.

Опять же сайты по определению местоположения абонента, почему нельзя выводить на главную из какого города пришел пользователь, ведь люди которые верят, что за sms им расскажут о том где находиться абонент, не часто в курсе о том, что местоположение определяется по ip, и уже будут верить в "могучую силу" этого проекта.

Глядя на уровень "обманок" в интернете невольно понимаешь ,что если он не повышается, значит у них есть свой клиент и вырисовывается среднестатистический уровень грамотности пользователей в области ИБ.

26 октября 2009 г.

Чудо мошенничество глазами секлаба

Портал seclab.ru информирует:
"Новое крупное мошенничество с пластиковыми картами получает распространение в Европе. На этот раз злоумышленники в Великобритании получают доступ к пин-кодам банковских карт не путем электронной кражи, а убеждая своих жертв по телефону передать их добровольно. За картой и пин-кодами приезжают курьеры"

Интересно, крупное мошенничество оценивается в каких размерах? Когда Гонзалес скомпрометировал данные 130 миллионов платежных карт, это существенно, а сколько данных можно получить путем телефонных обманов? 100, ну ладно 200, но и за такого количества карт даже шум особый не поднимают.
Но как же действовали злоумышленники:
"Суть мошеннической операции проста: злоумышленники звонят жертве, представляясь работниками отдела безопасности или охраны их банка, и говорят, что у них есть данные о том, что карта дискредитирована и по ней совершались мошеннические операции. Они сообщают ошарашенному человеку, что с его счета были сняты тысячи фунтов, или по его карте кто-то купил телевизор"
Мне нравится этот диалог:
- с вашей карты сняли тысячи фунтов!
- Эээ, но у меня там столько не было...
- Тогда по вашей карте (как это? наверное с "помощью вашей карты", или "рассчитавшись по вашей карте") кто-то купил телевизор(!)
- О нет!, что же делать! Факин ворлд, хорошо, хоть не фен, я бы не выдержал...

А главное что же делают мошенники, когда их способы убеждения не работают:
"Если человек отказывается собщать свой пин-код, то мошенники ему начинают угрожать. Одной женщине грозили изнасилованием, а одному мужчине пообещали, что его застрелят."

Это как? Мы служба безопасности, с вашей карты были совершены мошеннические операции, отдайте нам ее или мы вас изнасилуем, ах вы мужчина, ну тогда застрелим.