PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

С электромагнитным излучением утекают критичные данные

Вместе с электромагнитным излучением от мобильных устройств может просочиться криптографическая информация, говорят Cryptography Research, Inc (CRI).

Этот эффект, продемонстрированный на конференции RSA в Сан-Франциско, происходит из-за колебаний в расходе электроэнергии, когда кремниевый чип производит вычисления. Эти колебания зависят от параметров вычислений, пояснил Бенджамин Юн, вице-президент и технический директор CRI.

«Когда обрабатываются секретные данные – например, пароль, который не должен транслироваться вне устройства – секретную информацию можно вычислить двумя подтверждёнными методами, – говорит он. – Простой Энергетический Анализ (Simple Power Analysis, SPA) заключается в проведении единственного измерения – мы зовём его следом – излучения или расхода электроэнергии. Записанный след выглядит как ЭКГ. Особо неудачливые устройства излучают такие сильные колебания, что их можно интерпретировать невооружённым глазом как отдельные нули и единицы кода. В Дифференциальном же Энергетическом Анализе (DPA) проводится серия измерений. Далее с помощью статистических методов необходимая информация вычисляется с высочайшим уровнем чувствительности. Уязвимости SPA и DPA описаны в тысячах опубликованных докладов и неоднократно демонстрировались».

«Наши эксперименты показали, что для использования методов SPA и DPA требуется находиться рядом с устройством – в радиусе 10 футов. Эти методы полностью пассивны и отличаются от традиционных атак тем, что никаких зловредных сообщений или приложений на устройство посылать не нужно. Необходимо только, чтобы само устройство выполнило обыкновенные вычисления с использованием криптографических данных. Возможно, его придётся поторопить, чтобы уменьшить время ожидания захвата информации. Для этого можно просто подождать, разместить оборудование рядом с предполагаемым местом проведения вычислений или же послать владельцу устройства сообщение по электронной почте, чтобы устройство зашифровало его для локального хранения».

Исследователи успешно использовали два типа антенн: одну для магнитных полей, а другую для электрических. Также им понадобился радиоприёмник, чтобы определить частоту наиболее интенсивной утечки, и преобразователь аналоговых данных в цифровые либо демодулятор, чтобы ввести захваченные данные в компьютер. Всё оборудование, кроме компьютера, обошлось им примерно в 1400$.

Источник: http://www.securityweek.com/mobile-devices-leak-cryptographic-keys-electromagnetic-emissions
утечка данных | исследования
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры