data-leakage – برگه 2 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

جولای 2, 2018

دستگاه های ورودی USB بی سیم چقدر امن هستند؟

من اطلاعاتی را دیده ام که امنیت دستگاه های بلوتوث (مانند صفحه کلید) بسیار قابل اعتماد نیست. اما اگر سیگنال به USB-dongle منتقل شود؟

ژوئن 28, 2018

appsec – آیا یک خطای 401 از اطلاعات نشتی API باز می شود؟

من یک API برای یک برنامه کاربردی که در حال کار است را توسعه می دهم و یک سوال جالب مطرح می کنم:

یک نقطه پایانی API را اینگونه تصور کنید:

 GET / customers / 123456

که یک شی تک مشتری را باز می کند. در حال حاضر، در سازمان ما، مشتریان می توانند به سازمان های فروش تعلق داشته باشند. هر کاربر API با یک سازمان مرتبط است و می خواهم دسترسی کاربر به مشتریان مرتبط با سازمان خود را محدود کنم.

بنابراین، با توجه به یک کاربر متعلق به سازمان ABC و مشتری 123456 که متعلق به سازمان است XYZ ، چه API باید به من نشان دهد، زمانی که این کاربر تلاش می کند تا آن مشتری را دریافت کند؟

404 Not Found – اگر یک کاربر یک مشتری غیر موجود را جستجو کند، آن را 404 باز می گرداند، زیرا هیچ منبع در آن URL پیدا نشد.
401 غیر مجاز – اگر پرس و جو از یک منبع که شما دسترسی ندارید، باید پاسخ "غیر مجاز" دریافت کنید.

به نظر می رسد که اگر API برای اطلاعات غیرقابل دسترسی، API 401 غیر مجاز یا مشتری های موجود از سایر سازمان ها را پیدا کند و 404 یافت نشد برای مشتری های غیر موجود باشد. به عنوان مثال، یک کاربر از سازمان ABC می تواند API را پرس و جو کند و تعیین کند که کدام شناسه های کاربر وجود دارد و چه کسی نمی باشد.

یادداشت های اضافی:

شناسه های مشتری به صورت پیوسته تولید می شوند و هیچ نوع شکاف وجود ندارد، بنابراین نوع اطلاعاتی که می تواند نشت باشد:
- کدام مشتری کد بعدی خواهد بود؟
- چگونه تعداد مشتریان در یک دوره زمانی ایجاد شد؟
سازمان های فروش معمولا به مناطق جغرافیایی خاص محدود می شوند و معمولا در رقابت مستقیم نیستند. اما بعضی از سرزمینها همپوشانی دارند و قوانینی وجود دارد که به "شکار" کردن مشتریان یکدیگر کمک کند. بنابراین، همه چیز در همه، یک محیط رقابتی محکم است که ما واقعا نمی خواهیم سازمان های فروش را در مورد مشتریان یکدیگر بدانیم.

ژوئن 17, 2018

رمزگذاری فایل – یک هش HMAC از اطلاعات متن ساده به اندازه کافی امن برای استفاده به عنوان یک شاخص جستجو برای داده های رمز شده

من بر روی یک برنامه کار می کنم که فایل ها را از سرورهای خارجی بر روی https بارگیری می کند و آنها را روی دیسک ذخیره می کند به نحوی نسبتا امن. به طور خاص، با استفاده از یک رمزنگاری منحصر به فرد رمزنگاری شده، یک بلوک رمزگذاری AES256، حالت بلوک CTR و یک هش HMAC از داده های رمزگذاری شده و IV.

یکی از الزامات این پروژه این است که هیچ فایل تکراری نباید ذخیره شود. با توجه به نیاز به یک منحصر به فرد IV به طور امن ذخیره فایل ها، من می توانم به سادگی از هش از فایل رمزگذاری شده استفاده کنید تا ببینید آیا نسخه کپی شده است. یک sha256 یا sha512 از محتوای متن ساده کافی نیست، زیرا مشتری می تواند فایل های تک کاراکتری را دانلود و ذخیره کند و محتویات آنها را به راحتی حدس بزند، که به طور بالقوه می تواند سیستم را تا برنده های معروف متن ساده شناخته شود.

بنابراین من تعجب می کردم که آیا این برای نگهداری هش های HMAC از متن ساده، با استفاده از یک کلید مشتق شده از Argon2ID به عنوان کلید امضای HMAC، به راحتی در نظر گرفته شود؟

این هش ها در یک پایگاه داده کلید / ارزش ذخیره می شوند و به عنوان یک کلید جستجو برای دیدن اینکه آیا یک فایل دانلود شده است که ما قبلا آن را داشته ایم، استفاده می شود. کلید Argon2ID هرگز ذخیره نخواهد شد.

ژوئن 14, 2018

حریم خصوصی – بهترین راه برای بازیافت یک هارد دیسک قدیمی است که ممکن است هنوز اطلاعات حساس داشته باشد؟

اجازه دهید دو سناریو را مورد بررسی قرار دهیم، جایی که میخواهید هارد دیسک را دوباره استفاده کنید و جایی که نیستید.

این لینک چندین روش برای نابود کردن دیسک سخت را نشان می دهد (بعضی از آنها سرگرم کننده هستند یک ویدیو بگیرید)

سناریو دیگر این است که شما می خواهید دیسک سخت را دوباره استفاده کنید. در اینجا توضیح پایه ای از ذخیره سازی داده ها –
هر داده ذخیره شده شما به صورت بیت ها همراه با متا داده ها ذخیره می شود که سیستم را به چه نوع داده ای می گوید. همچنین یک دایرکتوری وجود دارد که دقیقا دقیقا مشخص می کند کجا روی هارد دیسک اطلاعات خاص ذخیره شده است. هنگامی که چیزی را حذف می کنید، دایرکتوری به سطل آشغال بازنویسی می شود. داده ها تغییر نمی کنند این داده ها را می توان به راحتی بازیابی کرد. هنگامی که شما به طور دائمی چیزی را حذف کنید، داده ها هنوز تغییر نکرده اند، در عوض OS آماده نوشتن داده ها است. اگر داده های حذف شده رونویسی نگردد، هنوز می تواند بازیابی شود. حتی سریعترین قالب بندی هم همین کار را انجام میدهند، آنها فقط با فشردن دایرکتوری، فضای آزاد را آزاد می کنند. برای حفظ اطلاعات خود غیر قابل بازیابی، برنامه های متعددی وجود دارد. این کار این است که آنها چندین بار به صورت تصادفی اطلاعات را بر روی کل دیسک بازنویسی می کنند. این باعث می شود تقریبا غیرممکن برای بازیابی اطلاعات باشد. اگرچه راه خوبی برای استفاده مجدد از دیسک خودتان است و چند بار در طول 2-3 ماه آن را با بازی و فیلم پر کنید و دو بار تکرار کنید. شما باید خوب باشید. یک رویکرد نهایی این است که یک سیستم عامل را روی آن نصب کنید، این معمولا دیسک را به درستی پاک می کند. یک زن و شوهر از نصب و شما باید خوب به رفتن.

می 24, 2018

پشتیبان گیری کنترل اصلاحی یا کنترل پیشگیرانه است؟

این یک سوال نظری است. کنترل های پیشگیرانه و کنترل های اصلاحی وجود دارد. بنابراین، پشتیبان گیری یک کنترل اصلاحی یا کنترل پیشگیرانه است؟ پاسخ های مخلوط و توضیحات مختلط وجود دارد. (CISA EXAM)