А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия
Безопасность карточного бизнеса : бизнес-энциклопедия читать книгу онлайн
Книга ориентирована на сотрудников карточных подразделений, отделов информационной безопасности коммерческих банков, специалистов процессинговых центров, правоохранительных органов, занимающихся уголовными делами по карточному мошенничеству, руководящего персонала супермаркетов, прочих торговых организаций, студентов финансовых вузов.
73
Источник: http://www.digitaltransactions.net/news/story/2885
74
Более подробно со стандартом можно ознакомиться на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/ped/index.shtml
Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https:// pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html
75
Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html
76
На момент сдачи книги в печать.
77
Подробно о требованиях стандарта PCI DSS см. предыдущий раздел книги.
78
Квалифицированный аудитор систем безопасности (см. предыдущий раздел).
79
Пен-тест (penetration test, pentest) — тест на проникновение.
80
Подробнее о видах мошенничества с банковскими картами, уголовной ответственности и судебной практике в данной сфере см. раздел «Мошенничество в сфере банковских платежных карт».
81
Собрание законодательства Российской Федерации. 2002. № 52 (ч. I) Ст. 5140.
82
ERD-диаграмма (Entity-Relationship Diagram) — это диаграмма «сущность — связь» — способ определения данных и отношений между ними, обеспечивающий детализацию хранилищ данных проектируемой системы, включая идентификацию объектов (сущностей), свойств этих объектов (атрибутов) и их отношений с другими объектами (связей).
83
На сайте http://www.securitylab.ru/vulnerability (данный ресурс поддерживается компанией Positive Technologies) продемонстрировано, сколько различных подходов можно найти для реализации такого рода уязвимостей.
84
ICMP-туннель — скрытый канал для передачи данных, организованный между двумя узлами, использующий IP-пакеты с типом протокола ICMP (обычно e^o request, e^o reply). ICMP-туннель используется для обхода запретов на передачу информации на межсетевых экранах.
85
Ping — утилита для проверки соединений в сетях на основе TCP/IP.
86
Shell — интерпретатор команд операционной системы.
87
Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Например злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит.
88
IM — Instant messenger — способ обмена сообщениями через Интернет и службы мгновенных сообщений (ICQ, QIP и др.).
89
WASC — консорциум, объединяющий международные группы экспертов, разрабатывающих стандарты безопасности в сфере Интернета.
90
Настройка host-to-any позволяет с определенного адреса получать возможность соединиться с чем угодно, any-to-host — кому угодно соединиться с определенным адресом, any-to-any — всем адресам со всеми адресами (такой вариант настройки говорит о том, что либо файрвол не нужен вообще в данном случае, либо работает только для введения логов, ничего не блокируя).
91
Имеется ввиду ситуация, когда администраторы никак не документируют и ни с кем не согласовывают никаких изменений, которые они проводят на обслуживаемых серверах и приложениях, а когда возникают вопросы «кто?» или «зачем?», то ответов в итоге не поступает.
92
www.gartner.com
93
Квадрантом с лидерами по шкале «Полнота видения», т. е. по количеству поддерживаемых систем для быстрого подключения (слева направо) и общим функциональным способностям (снизу вверх) является верхний правый квадрант, соответственно, чем продукт выше и правее, тем его рейтинг выше.
94
Полную версию данного документа можно посмотреть по адресу http:// www.gartner.com/ it/content/1380400/1380414/june_30_security_information_mnicolett.pdf, но всегда лучше проверить актуальную версию.
95
ИС — информационная система
96
www.metasploit.com
97
Уязвимости нулевого дня.
98
Бэкдор, backdoor (от англ. back door, черный ход) — программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: в GNU/Linux — Bash, в Microsoft Windows NT — cmd).
99
Различные программы, или утилиты, позволяющие использовать устройство, подключенное в USB-порт удаленного компьютера, как будто оно подключено в USB-порт вашего локального ПК.
100
Различные утилиты для удаленного управления компьютером по сети. При наличии бэкдора использовать не обязательно, но иногда более удобно.
101
Кейлогер, кейлоггер, keylogger (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.
102
«Компьютерный сборщик судебных улик», иными словами программно-аппаратные средства для сбора информации, скрытой глубоко в операционной системе, с целью получения доказательств о каком-либо неправомерном использовании компьютера.
103
Скачать данную утилиту можно по адресу http://sourceforge.net/projects/usbhistory/. Кроме того, можно найти и комплексное решение, в которое вошли многие признанные утилиты в области расследований инцидентов нарушения ИБ, — например, WinTaylor (http://www.caine-live.net/page2/page2.html).
