C, PHP, VB, .NET

I. Какво е спам?

Едва ли има потребител в интернет, който да не използва електронна поща, та дори и бутафорно само с цел да се регистрира за дадени услуги. От това множество потребители пък едва ли има такива, които не са получавали „нежелани съобщения“, които ние вече дори приехме в българския език като чуждицата „спам“ (spam).

Когато говорим за „спам“ обикновено го свързваме наистина само и единствено с електронната поща. Естествено съществуват и много други видове спам: Прочети още…

.

Напоследък в блоговете се наблюдава сериозна битка за територия между две технологии – askimet и captcha. Askimet не е нова и кой знае колко иновативна технически технология – събира статистики от стотици хиляди сайтове и на базата на тях преценява кой коментар в блог е спам и кой не. Така например действа и филтърът за Outlook – SpamBayes. На другия фронт стои captcha – технология, за която вече писах в предишна статия. Тя не се позовава на никакви статистики – тя разчита на чисто технологично решение на проблема. Прочети още…

.

ATM картите с чип, по-добре познати като EMV (съкратено от Eurocard, Mastercard и Visa), е стандарт създаден през 1995г., който тепърва се налага масово по света. При тях също се използват различни алгоритми за криптиране на информацията – DES, Triple-DES, RSA или SHA. Най-главното предимство пред стандартните карти с магнитна лента е това, че много по-трудно се копира самата информация от чипа. Прочети още…

.

Personal Identification Number (PIN) кодът е измислен като метод за автентикация през 1967г от Джон Шепърд-Барон. По-късно е стандартизиран по ISO 9564-1, където се дефинира, че PIN код трябва да бъде поредица от 4 до 12 цифри.

При ATM картите най-често се използва 4 цифрен PIN код. Така възможните комбинации са общо 10 000 – от 0000 до 9999. Повечето банкови системи дават право на до три грешни опита за въвеждане на PIN код, след което блокират картата. По този начин опитите за „налучкване“ са сведени до вероятност от 0.3%. Прочети още…

.

В настоящата статия ще дам малко факти относно кражбите на ATM карти. Информацията е по данни на Федералното Бюро за Разследване на САЩ, която беше представена на презентация във ФМИ на СУ преди няколко месеца: Прочети още…

.

ATM картите са по-добре познати в България като „карти за банкомат“. Те могат да бъдат дебитни или кредитни в зависимост от условията на договора ви с банката. Всички ATM карти поддържат международен стандарт ISO/IEC 7810 ID1, който дефинира размери от 85.60 × 53.98 милиметра. Този стандарт добавя и допълнителни характеристики като запалимост, токсичност и др.

В тази статия ще пиша главно относно начините за кражба на ATM карти. На първо време трябва да спомена, че има две възможности за изтегляне на пари от банкова карта – online и offline: Прочети още…

.

Apache е най-популярният http сървър в интернет. Както всеки сървър той също има специфични настройки, които могат значително да повишат производителността на системата. Много от тях са особено важни и за сигурността – например при справянето с DoS атаки.

Файлът за настройки на Apache е с име httpd.conf. Понякога този файл зарежда свои дъщерни (httpd-vhosts.com, httpd-aliases.conf, и т.н.). Обикновено специфичните настройки за оптимизация на сървъра се слагат във файл httpd-default.conf. Подобно на настройките за MySQL, за които споменахме по-рано, и тук всичко се променя изключително лесно с проста промяна на стойност: Прочети още…

.

Много хора не знаят, че във файла /etc/sysctl.conf за настройки на ядрото на Unix-базираните операционни системи се съдържат изключително много възможности за подобряване на стабилността на системата, а оттам и нейната сигурност.

В настоящата статия ще разгледаме някои важни настройки за мрежовия адаптер и още други свързани със сигурността на системата. Повечето от тях ще подобрят сигурността на системата и ще я направят много по-малко уязвима от слаби DDoS атаки. Разгледаните настройки са само за системи работещи под FreeBSD. Други операционни системи имат свои алтернативни опции. Прочети още…

.

„Brute Force“ е атака, при който атакуващият изпраща множество заявки към сървъра с различни двойки от име и парола, с цел да „налучка“ някоя правилна комбинация. Най-често на атака са изложени потребителски имена като „admin“, „administrator“, „root“, и т.н. По този начин атакуващият се опитва да получи достъп до даден защитен ресурс, без да използва пробив в сигурността.

Първото и основно правило за защита срещу brute force атаки е да използваме колкото се може по-сложни пароли. Обикновено тези атаки изпробват набор от речникови думи, имена и понякога цифри. Освен това, независимо колко сложна е вашата парола, не е добра идея да я използвате за всички сайтове, на които влизате (най-малкото администратора на чуждият уеб сайт ще може да проникне във вашия личен).

Независимо колко стриктна и добра политика използваме за паролите ние не бихме искали да позволим някой да изпробва стотици комбинации от имена и пароли върху вашата система. Най-малкото не сме сигурни дали някой от нашите потребители не използва лесна за разгадаване парола – например името си в комбинация с годината на раждане: „Иван1978“. Една целенасочена атака срещу този потребител би изпробвала различни комбинации от данни, които са свързани с потребителя Иван. Паролата от своя страна изглежда сигурна (съдържа и думи и цифри) и би преминала вашия валидатор. Поради тази причина е наложително да се защитите, като едновременно с това не затруднявате потребителя излишно. Прочети още…

.

Captcha е името на широко използвана техника за защита на форми. Тя е съкращение от „Completely Automated Public Turing test to tell Computers and Humans Apart“, което преведено означава “напълно автоматизирана проверка за разграничаване на човек от компютър”. Процеса на проверка изисква един компютър (сървър) да поиска отговора на прост въпрос, но по начин, който предотвратява възможноста за автоматизирано намиране на отговора от компютър. По този начин всеки потребител въвел правилен отговор бива упълномощен с права за достъп и ние сме сигурни, че той е човек, а не машина (bot). Тази техника премахва следните проблеми в сигурноста на системата: Прочети още…

.