Archive for November, 2008

Επισκόπηση PCI DSS (Μέρος 2ο)

Συγγραφέας: Γεράσιμος Κασσάρας, IT Risk Consultant,Msc in Information Security, CISSP
Μετάφραση: Γεράσιμος Κασσάρας, IT Risk Consultant,Msc in Information Security, CISSP

Πηγή 1: PCI Security Standards Council
Πηγή 2: Visa Europe

Πλεονεκτήματα συμβατότητας με το PCI DSS

Με βάση τα λεγόμενα της Visa στο ομώνυμο ιστίο τόπο της αν κάποιος γίνει συμβατός με τη Visa τα πλεονεκτήματα που θα έχει είναι:

α. Προστασία των δεδομένων των πιστωτικών καρτών.
β. Αύξηση της αξιοπιστίας της εταιρίας απέναντι στους πελάτες.
γ. Παροχή ολοκληρωμένου ελέγχου προστασίας, όσον αφορά την προστασία δεδομένων.

Continue reading ‘Επισκόπηση PCI DSS (Μέρος 2ο)’

Επισκόπηση PCI DSS (Μέρος 1ο)

Συγγραφέας: Γεράσιμος Κασσάρας IT Risk Consultant Msc in Information Security, CISSP
Μετάφραση: Γεράσιμος Κασσάρας IT Risk Consultant Msc in Information Security, CISSP

Πηγή 1: PCI Security Standards Council
Πηγή 2: PCISTUFF

Συνοπτική επισκόπηση του PCI DSS
Το PCI DSS ή διαφορετικά το Payment Card Industry Data Security Standard είναι ένα πρότυπο που αποτελείται από 12 απαιτήσεις που πρέπει να ικανοποιηθούν για να θεωρηθεί πως κάποιος είναι συμβατός με αυτό.

Ιστορία του PCI DSS
Το PCI DSS δημιουργίθηκε το Δεκέμβριο του 2004, με την προτροπή αλλά και την υποστήριξη της VISA και της MasterCard (και όχι μόνο), για να καλύψει την ανάγκη δημιουργίας ενός μόνο προτύπου ηλεκτρονικής ασφαλείας που θα καλύπτει όλες τις ανάγκες για ηλεκτρονικές συναλλαγές από τους διάφορους ιστίο τόπους που κάνουν χρήση των υπηρεσιών της VISA, της MasterCard, της American Express και της JCB. Σε αυτό το κομμάτι θα ήταν χρήσιμο να πούμε πως πριν από τη δημιουργία του PCI DSS Visa και η American Express προωθούσαν δύο διαφορετικά πρότυπα:

1. Visa: Cardholder Information Security Program (CISP)
2. MasterCard: Site Data Protection Program (SDP)
3. American Express

Για λόγους απλότητας όμως δημιουργήθηκε με κοινοπραξία το PCI DSS.

Continue reading ‘Επισκόπηση PCI DSS (Μέρος 1ο)’

Web Fuzzing ή διαφορετικά χνουδιάζω τον ιστό

Συγγραφέας: Γεράσιμος Κασσάρας, IT Risk Consultant,Msc in Information Security, CISSP

Fuzzing
Το Web Fuzzing σε ελεύθερη μετάφραση σημαίνει  χνουδιάζω τον ιστό και απέχει πολύ από το χνούδιασμα του βαμβακιού. Το Web Fuzzing είναι ένας από του πλέον αποτελεσματικούς τρόπους ανακάλυψης bugs που προκαλούν DoS attacks κυρίως, XSS αλλά και SQL Injections . Σκοπός αυτού του άρθρου είναι να κατανοήσει ο αναγνώστης τι είναι ένας Web Fuzzer και πως μπορούμε να γράψουμε ένα Fuzzer με την χρήση της γλώσσας προγραμματισμού Python και πιο συγκεκριμένα να με τη βιβλιοθήκη HTTPLIB.

Continue reading ‘Web Fuzzing ή διαφορετικά χνουδιάζω τον ιστό’

Δίωξη και Μορφές Ηλεκτρονικού Εγκλήματος

Συγγραφέας:Γεράσιμος Κασσάρας, IT Risk Consultant,Msc in Information Security, CISSP

Πηγή άρθρου: Apodimos

“Όλοι μας και ιδιαίτερα εκείνοι που χρησιμοποιούν το Internet γνωρίζουμε την ραγδαία εξέλιξη της τεχνολογίας, την ανάπτυξη της πληροφορικής και την ευρύτατη χρήση του Διαδικτύου έχουν επιφέρει επαναστατικές αλλαγές στο σύνολο των καθημερινών δραστηριοτήτων, στην παραγωγική διαδικασία, στις συναλλαγές, στην εκπαίδευση, στη διασκέδαση, ακόμα και στον τρόπο σκέψεως του σύγχρονου ανθρώπου. Μαζί με αυτές τις αλλαγές, οι οποίες κατά κανόνα βελτιώνουν την ποιότητα της ζωής μας, υπάρχουν και οι παράμετροι που ευνοούν την ανάπτυξη νέων μορφών εγκληματικότητας. Οι νέες αυτές μορφές εγκληματικότητας έχουν θεσμοθετηθεί με τον όρο «Ηλεκτρονικό Έγκλημα».

Continue reading ‘Δίωξη και Μορφές Ηλεκτρονικού Εγκλήματος’

Ανίχνευση ευπαθειών στο Web 2.0 απο τη πλευρά του φυλλομετρητή (1ο μέρος)

Συγγραφέας: Shreeraj Shah (2006-11-27)

Μετάφραση: Γεράσιμος Κασσάρας, IT Risk Consultant,Msc in Information Security, CISSP

Αρχική δημοσίευση: Security Focus

Εισαγωγή

Αυτό το άρθρο είναι απόσπασμα από το SecurityFocus.com, και σαν απώτερο σκοπό του έχει να περιγράψει την πολυπλοκότητα αυτοματοποιημένης ανίχνευσής ευπαθειών στις εφαρμογές Web 2.0.

Continue reading ‘Ανίχνευση ευπαθειών στο Web 2.0 απο τη πλευρά του φυλλομετρητή (1ο μέρος)’

Ίντα κάνετε στο λαπτοπάτσι;

Το Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος, ακολουθώντας πληροφορίες των Γερμανικών αρχών και της Ιντερπολ, συνέλαβε και οδήγησε στον εισαγγελέα έναν 30χρονο υδραυλικό και έναν 26χρονο αγρότη στην Κίσσαμο Καστελίου στα Χανιά για διακίνηση υλικού παιδικής πορνογραφίας. Επί τόπου κατασχέθηκαν 4 σκληροί δίκσοι που περιείχαν σκληρό πορνογραφικό υλικό με πρωταγωνιστές μικρά παιδιά. Σύμφωνα με πληροφορίες, οι κατηγορούμενοι δήλωσαν ότι το υλικό προοριζόταν για δική τους “χρήση”, κάτι σαν το χόμπυ τους, και όχι για διακίνηση. Μάλιστα φημολογείται ότι μόλις ο ένας απ’ τους δύο είδε τους αστυνομικούς του ΣΔΗΕ να περιεργάζονται τους υπολογιστές του αναφώνησε χαρακτηριστικά “ίντα κάνετε στο λαπτοπάτσι μου”, μη γνωρίζοντας περί τίνος πρόκειται.

Περιέργως η εφημερίδα Espresso προσφέρει σημαντικά περισσότερες λεπτομέρειες για το γεγονός απ’ ότι το in.gr.

Το ΣΔΗΕ αποτρέπει δύο αυτοκτονίες

Φαίνεται ότι το ΣΔΗΕ συνεχίζει να έχει σημαντικές επιτυχίες σ’ αυτό που, όπως έχουμε επανειλημμένα αναφέρει, ξέρει να κάνει πολύ καλά, στο να αποτρέπει δηλαδή αυτοκτονίες εφήβων και νέων. Όπως αναφέρει η “Καθημερινή“, πρόσφατα το Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος απέτρεψε τις αυτοκτονίες ενός 15χρονου και ενός 25χρονου, παρακολουθώντας σχετικές συνομιλίες τους στο διαδίκτυο.

Άλλη μια μεγάλη επιτυχία του ΣΔΗΕ στον τομέα αυτό η οποία εύλογα δημιουργεί προβληματισμούς ανάλογους με αυτόν του vrypan: πρέπει να ασχολείται το ΣΔΗΕ με τέτοια θέματα; Γι’ αυτό έχει συσταθεί η υπηρεσία αυτή; Και εν πάσει περιπτώσει ας ασχολείται, αφού προφανώς δεν υπάρχει κανείς άλλος και το συγκεκριμένο τμήμα έχει το know-how.  Αυτές είναι οι μεγαλύτερες επιτυχίες της υπηρεσίας που πρέπει να ανακοινωθούν στον τύπο; Έτσι δικαιολογεί τον προϋπολογισμό της; Αφήστε που έχω αρχίσει να ανησυχώ: αν βγω στο irc και λέω ότι θα αυτοκτονήσω (ή ακόμα χειρότερα ότι θα βγω στο Σύνταγμα και θα πυροβολώ όποιον βρω), λέτε να μου την πέσει το ΣΔΗΕ; Μπρρρρ