А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

73

Источник: http://www.digitaltransactions.net/news/story/2885

Более подробно со стандартом можно ознакомиться на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/ped/index.shtml

Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https:// pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html

Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html

На момент сдачи книги в печать.

Подробно о требованиях стандарта PCI DSS см. предыдущий раздел книги.

Квалифицированный аудитор систем безопасности (см. предыдущий раздел).

Пен-тест (penetration test, pentest) — тест на проникновение.

Подробнее о видах мошенничества с банковскими картами, уголовной ответственности и судебной практике в данной сфере см. раздел «Мошенничество в сфере банковских платежных карт».

Собрание законодательства Российской Федерации. 2002. № 52 (ч. I) Ст. 5140.

ERD-диаграмма (Entity-Relationship Diagram) — это диаграмма «сущность — связь» — способ определения данных и отношений между ними, обеспечивающий детализацию хранилищ данных проектируемой системы, включая идентификацию объектов (сущностей), свойств этих объектов (атрибутов) и их отношений с другими объектами (связей).

На сайте http://www.securitylab.ru/vulnerability (данный ресурс поддерживается компанией Positive Technologies) продемонстрировано, сколько различных подходов можно найти для реализации такого рода уязвимостей.

ICMP-туннель — скрытый канал для передачи данных, организованный между двумя узлами, использующий IP-пакеты с типом протокола ICMP (обычно e^o request, e^o reply). ICMP-туннель используется для обхода запретов на передачу информации на межсетевых экранах.

Ping — утилита для проверки соединений в сетях на основе TCP/IP.

Shell — интерпретатор команд операционной системы.

Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Например злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит.

IM — Instant messenger — способ обмена сообщениями через Интернет и службы мгновенных сообщений (ICQ, QIP и др.).

WASC — консорциум, объединяющий международные группы экспертов, разрабатывающих стандарты безопасности в сфере Интернета.

Настройка host-to-any позволяет с определенного адреса получать возможность соединиться с чем угодно, any-to-host — кому угодно соединиться с определенным адресом, any-to-any — всем адресам со всеми адресами (такой вариант настройки говорит о том, что либо файрвол не нужен вообще в данном случае, либо работает только для введения логов, ничего не блокируя).

Имеется ввиду ситуация, когда администраторы никак не документируют и ни с кем не согласовывают никаких изменений, которые они проводят на обслуживаемых серверах и приложениях, а когда возникают вопросы «кто?» или «зачем?», то ответов в итоге не поступает.

www.gartner.com

Квадрантом с лидерами по шкале «Полнота видения», т. е. по количеству поддерживаемых систем для быстрого подключения (слева направо) и общим функциональным способностям (снизу вверх) является верхний правый квадрант, соответственно, чем продукт выше и правее, тем его рейтинг выше.

Полную версию данного документа можно посмотреть по адресу http:// www.gartner.com/ it/content/1380400/1380414/june_30_security_information_mnicolett.pdf, но всегда лучше проверить актуальную версию.

ИС — информационная система

www.metasploit.com

Уязвимости нулевого дня.

Бэкдор, backdoor (от англ. back door, черный ход) — программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: в GNU/Linux — Bash, в Microsoft Windows NT — cmd).

Различные программы, или утилиты, позволяющие использовать устройство, подключенное в USB-порт удаленного компьютера, как будто оно подключено в USB-порт вашего локального ПК.

Различные утилиты для удаленного управления компьютером по сети. При наличии бэкдора использовать не обязательно, но иногда более удобно.

Кейлогер, кейлоггер, keylogger (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.

«Компьютерный сборщик судебных улик», иными словами программно-аппаратные средства для сбора информации, скрытой глубоко в операционной системе, с целью получения доказательств о каком-либо неправомерном использовании компьютера.

Скачать данную утилиту можно по адресу http://sourceforge.net/projects/usbhistory/. Кроме того, можно найти и комплексное решение, в которое вошли многие признанные утилиты в области расследований инцидентов нарушения ИБ, — например, WinTaylor (http://www.caine-live.net/page2/page2.html).