|
 |
dimarts, 7 / agost / 2007 |
|
|
Threats when using Online Social Networks és un informe del CSIS sobre les qüestions de seguretat associades a l'ús de les xarxes socials.
The threats when using Social networks are:
- It can be used by competitors to gather information about your company’s clients and who in the organization that could be interesting to contact.
- It can also be used by Hackers to find information about your company.
- It can be used by employees to bring client information with them when they leave the company.
- It can and possible will be used in the future for more specific attacks, on specific companies or types of business.
De totes aquestes amenaces, la única real --i la que està fora de tot control-- és la primera.
|
  | 19:59 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Com sabeu, se n'ha parlat força, fa pocs dies es va celebrar el 40è aniversari de la posada en funcionament del primer caixer automàtic. Concretament el primer caixer automàtic va començar a operar el 27 de juny del 1967 en una sucursal de Londres del Barclays Bank.
Un dels conceptes que van introduir els caixers automàtics (i que posteriorment altres sistemes han heretat) és el mecanisme d'autenticació. Es tracta de l'autenticació de doble factor, on per una banda disposem d'un element físic --la targeta-- i de l'altra banda una informació que coneixem --el PIN--. Per a una autenticació vàlida, cal disposar dels dos mecanismes, un dels quals, el PIN, en teoria és personal i només resideix a la nostra memòria.
Però per quina raó el PIN és gairebé sempre de quatre caràcters? Com a bon gentleman britànic l'inventor del caixer dóna una explicació ben simple:
Mr Shepherd-Barron came up with the idea when he realised that he could remember his six-figure army number. But he decided to check that with his wife, Caroline.
"Over the kitchen table, she said she could only remember four figures, so because of her, four figures became the world standard," he laughs.
Deixant de banda el masclisme d'aquesta explicació, és evident que per a tothom resulta més senzill recordar un número de quatre xifres que no pas un de sis.
Els PIN de quatre xifres s'acostumen a utilitzar per tot arreu, no només als caixers automàtics. Sovint també són de quatre digits els PIN utilitzats a les targetes amb certificat, als sistemes de generació de contrasenyes d'un sol ús, etc... I també en altres llocs on s'utilitza el PIN, per exemple per desbloquejar un telèfon mòbil.
Aportaria algun avantatge addicional utilitzar un PIN de major longitud o més complexitat (per exemple, combinar l'ús de nombres i lletres?
Un PIN de quatre xifres numèriques permet fins a 10.000 combinacions possibles. És habitual que els sistemes que realitzen autenticació amb PIN (i un segon element) limitin el nombre d'intents d'ús de PIN a tres.
Fins a quin punt és cert això? Hi ha documentada una tècnica, anomenada Decimalisation table attacks on, aprofitant-se de vulnerabilitats en els sistemes de validació redueixen el nombre d'intents necessaris per identificar el PIN --amb 15 intents s'identifica un PIN de quatre xifres numèriques--.
Això sí, en circumstàncies especials i amb accés als sistemes de validació, la qual cosa qüestiona la utilitat d'aquest mètode: si tens capacitat per instal·lar el teu propi software als sistemes centrals d'un banc, segurament ja no t'importa robar al pobre usuari d'una targeta de crèdit... pots robar al banc :)
By using adaptive decimalisation tables and guesses, the maximum amount of information is learnt about the true PIN upon each guess. It takes an average of 15 guesses to determine a four digit PIN using this technique, instead of the 5000 guesses intended. In a single 30 minute lunch-break, an attacker can thus discover approximately 7000 PINs rather than 24 with the brute force method.
Un segon mètode d'atacm documentat a The unbearable lightness of PIN cracking és encara més preocupant ja que amb només dos intents es pot esbrinar la combinació de quatre xifres del PIN:
The attacks are extremely severe allowing an attacker to expose customer PINs by executing only one or two API calls per exposed PIN. One of the attacks uses only the translate function which is a required function in every switch. The other attacks abuse functions that are used to allow customers to select their PINs online. Some of the attacks can be applied on a switch even though the attacked functions require issuer’s keys which do not exist on a switch.
|
| 10:54 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 2000-2007 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
|
