Safenet Payment HSM

10 Ekim 2017 Salı

Gemalto ile Safenet birleştikten sonra, HSM’ler de yeni ürünler piyasaya sunuldu. Luna EFT 1x’den sonra gözle görülür değişiklikler var. Özelikle Luna EFT 2 veya yeni lansman adıyla Safenet Payment HSM’de yeni özellikler getirilmiş.

Kredi kartı sisteminde çok önemli bir yeri olan ve güvenli key üretmenin ana unsuru olan bu HSM cihazları ne işe yarar?

1. Otorizasyon veya kart basımda kullanılabilirler.

2. Saldıraları tespit edebilirler.

3. HSM’ler kendi üzerlerinde key tutmazlar. Ya da  ürettikleri herhangi bir veriyi de tutmazlar, CVV gibi… HSM yanlızca kendi LMK’sını bilir.

4. İstenildiği zaman key üretirler. Ürettikleri key’i de yine üzerinde tutmazlar.

5. Kendi ürettikleri key ile şifrelenmiş bir veriyi doğrulayabilirler.

6. HSM’ler key’i dış dünyaya kendi LMK’ları altında verirler.

7. Thales key üretirken, amaç sorgulaması yapar. Yani ürettilen key’i belli bir amaç için üretir. Mesela CVV key’i, AC , MAC yada ENC key’ini özel olarak üretir.

8. Gemalto (Safenet) key üretiminde bu amacı sorgulamaz. Gemalto ’ya ürettirdiğiniz key’e siz bir anlam yüklersiniz. Üretilen key için bir ID verir ve bu ID ile bu key kullanılmaya başlanır.

9. Thales genelde otorizasyon için HSM üretirken, Gemalto (Safenet) hem otorizasyon hem de kart basım için HSM’ler üretir.

Piyasaya surulan yeni kart basım HSM’inde bazı güzel özellikler mevcut:

1. Artık fiziksel açma / kapama anahtarları kullanılmıyor.

2. HSM’e bağlanmak için 2 ana user ve 3 adet role mevcut.

    - Ana User’lar: Admin / Audit

   - Roller: Partition Owner, HSM Admin ve HSM Audit.

3. Yetkilendirmeler yani girişler artık USB token ile yapılıyor. Artık linux tabanlı SSH kullanılarak komutlar çalıştırılıyor. Role token’larından biri eksik olursa işlem yapamazsınız.

4. Toplamda 7 USB token kullanılıyor. Her token için ayrı şifre set edilebiliyor:)

Başka bir yazıda da fırsatım olursa, SSH ile nasıl konfigüre edilir bahsetmeye çalışırım…


Share/Bookmark

Labels: ,
Posted by Ercüment Yenikaya at 22:08 0 comments

SQL Server Güvenlik İpuçları

SQL Server saldırı önlemleri için aşağıdaki önlemleri alabilirsiniz:

- SQL Server'ın default portu 1433’ü kullanır. Bunu tüm saldırganlar bilir. Farklı bir port kullanın.

-SQL Server kurulumuyla birlikte "sa" hesabı varsayılan olarak gelir. Bunu da aynı şekilde tüm saldırganlar bilir. Bu hesabın yerine başka kullanabileceğiniz "sysadmin" rolü üyesi hesaplar olduğundan emin olduktan sonra "sa" hesabını "Disable" duruma getirin veya "sa" hesabının adını değiştirin.

-Guest hesabını kullanmayın. Public kullanıcısına yetki vermeyin.

-Kullanıcılarınızın login'ler için basit veya boş şifreler belirleyebilmesini engelleyin. 

-Mümkünolduğunca SQL Authentication yerine Windows Authentication'ı tercih edin.

-Programcılarınız "SQL Injection" konusunda bilgili olması gerekiyor. Uygulama arayüzlerinde kullanılan metin kutuları sadece almaları gerektiği türden ve uzunlukta değerler almalı. Örneğin sayısal bir değer kutusuna metin girilememeli veya TC Kimlik No alanına 11'den fazla karakter girilememeli.

-Uygulamalarınız sadece ihtiyacı olan uygulama kullanıcılarıyla veritabanına erişmesi gerekir. Böylece uygulamanızdaki bir açık vasıtasıyla veritabanına ulaşılırsa, sadece uygulamanın ulaşabileceği veriye ulaşılabilir olsun, daha fazlası yapılamasın.

-Kod yazarken güvenlik (ve performans) açısından mümkün olduğunca dinamik SQL kullanmayın. Kullanacağınız zaman da dinamik SQL metinlerini güvenlik denetimine tabi tutmadan çalıştırmayın.  Örneğin "Doğum Yılı" veya benzer bir veri giriş kutusuna kesme işareti, "DROP, ALTER, GRANT, EXECUTE" gibi komutların girilmemesi gerekiyor.

-Gerek prod ortamınız, gerekse dev veya test ortamınızdaki hassas verilerinizi maskeleyin. Sadece yetkili kişiler, görmeleri gereken verilerin, görmeleri gereken kısımlarını görmeleri gerekir.

-Veritabanı yedeklerinizi de canlı ortamınızı koruduğunuz gibi koruyun. Mümkünse yedeklerinizi şifreleyin (Backup Encryption SQL Server 2014 ile geldi). Yedeklere kimlerin erişebildiği net ve sınırlı olmalı. Ayrıca mümkünse kimlerin eriştiğinin kaydı tutulmalı ve raporlanmalı.

-SQL Server servis hesaplarınız olarak Local System gibi geniş yetkilere sahip hesapları kullanmayın. Eğer bir Domain hesabı kullanacaksanız bu normal bir "Domain User" hesabı olabilir.

-CLR veya xp_cmdshell gibi aktif olarak kullanılmayacak hiçbir özelliği etkinleştirmeyin. Kullanmayacağınız hiçbir SQL Server servisini veya uygulamayı veritabanı sunucunuza kurmayın.

-Daha ileri seviye güvenlik tedbirleri için örneğin diskteki veriyi ve yedekleri korumak için Transparent Data Encryption özelliğini kullanmayı düşünebilirsiniz.

-Veriyi hareket halindeyken yani uygulama ve veritabanı arasında gidip gelirken ve veri veritabanında dururken şifreli olsun istiyorsanız SQL Server 2016 ile birlikte gelen Always Encrypted özelliğini kullanmayı düşünebilirsiniz.


Share/Bookmark

Labels: ,
Posted by Ercüment Yenikaya at 21:57 0 comments

Ödeme Sistemlerinde Kart Doğrulama (ARQC ve ARPC)

EMV ile beraber,  işlem öncesinde terminal,  kredi kartını doğrulamak zorundadır. Bu doğrulama sonucuna göre POS’da “işleminiz onaylandı” veya “işleminiz reddedildi” mesajını görürsünüz :)

Doğrulama yöntemi DDA (Dynamic Data Authentication) yada CDA (Combined DDA/Application Cryptogram Generation) olabilir.  Gene terminal kart sahibini OFFLINE PIN ile doğrulayabilir.  

İşlem otorizasyon için ONLINE’a çıkarsa, işte burada ARQC ve ARPC’nin önemi ortaya çıkıyor.

Issuer banka kartın gerçekliğini doğrulayabilir (ARQC). ONLINE’dan gelen cevaba göre kart bankasını doğrulabilir (ARPC)

Kart tarafından hesaplanılarak gönderilen değere ARQC (Application Request Cryptogram) adı verilir. Hesaplamada kullanılan bilgilerin bir kısmı işlem bazında değişken olduğu için her işlemde farklı bir ARQC değeri hesaplanır.

Host, ARQC değerini, derivation datayı, gelen işlem datasını ve master Key’i kullanarak yeniden oluşturur ve gelen değerle oluşturduğu değeri karşılaştırır. İki değerin tutarlı olması durumunda Online kriptogram doğrulaması başarılı olur.

Online Kriptogram kontrolü iki yönlüdür. Host’un kartı doğruladığı gibi kart da hostu doğrular. Host, ARQC (Request Cryptogram) değerini doğruladıktan sonra, ARQC değerini de kullanarak ARPC (Response Cryptogram) oluşturur ve karta gönderir. Kartlar, parametre ayarlarına göre ARPC değeri yanlış gelirse veya gelmezse işlemi reddedebilirler.

B


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 21:56 0 comments

Film Tavsiyesi: Dangal (2016)

Gerçek bir hayat hikayesinden alınmış bir film. IMDB puanı 8.6…

Konu: Singh Phogat bir güreş hayranıdır. İki küçük kızına da güreş öğretmeye karar verir. İki kız, Babita Kumari ve Geeta Phogat, çocukluklarından başlayarak güreş eğitimi alarak büyürler. Büyüdüklerinde iki kız da güreşte iddialı isimler olmuştur. Geeta Phogat 2010 Commonwealth Oyunları’nda altın madalya kazanarak güreşte altın madalya kazanan ilk kadın güreşçi olurken, kız kardeşi Babita da gümüş madalyayı alır. Genç kadın güreşçiler başarıya giden yol boyunca sosyal şekillendirmenin baskısıyla da mücadele etmek zorunda kalacaktır…

Yönetmenliğini Nitesh Tiwari’nin üstlendiği Hint yapımının başrollerinde Aamir Khan, Sakshi Tanwar, Fatima Sana Shaikh yer alıyor.

Bilgi: http://www.imdb.com/title/tt5074352


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 21:55 0 comments

Mobil Ödeme Güvenliği Hakkında...

Mobil ödeme piyasası hızla büyürken bir taraftan da güvenlik konusu tüketicileri gitgide endişelendiriyor. Her ne kadar firmalar müşterilerine mobil ödemeler konusunda son teknoloji güvenlik önlemleri sunsa da zaman zaman kullanıcı bazlı hatalar pahalıya mal olabiliyor.

Yine de bizim yapabileceğimiz bazı önlemler var:

1 – Sadece güvenilir ödeme platformları kullanın

Mobil ödeme teknolojilerini kullanmadan önce kredi kartı bilgilerinizi hangi firmaya emanet ettiğinizi iyi bilmeniz gerekiyor. Eğer adı sanı duyulmadık bir platforma bu tarz kritik bilgileri emanet ederseniz ileride başınız çok ağrıyabilir.

Dolayısıyla öncelikli olarak telefonunuzun içinde yüklü olarak gelen mobil ödeme platformlarını öneriyoruz. Eğer bu platformları beğenmiyorsanız ya da böyle bir seçeneğiniz yoksa Google Wallet, BKM Express gibi gerçek kredi kartı bilgilerinizi saklamayan ve bunları paylaşmayan bilindik, güvenilir platformlar kullanmak yararınıza olacaktır.

2 – Sadece güvenilir uygulamaları indirin

Bu madde sadece telefonunuza kurduğunuz bankacılık uygulamalarıyla ilgili bir uyarı değil, indirdiğiniz diğer uygulamalar için de geçerli olan bir uyarı.

Uygulama marketlerinde birçok casus ve zararlı yazılım bulunabiliyor. Bunlardan birini telefonunuza kurduğunuzda bu uygulamalar cihazınızda yaptığınız diğer işlemlere, verilere, kimlik bilgilerine ulaşabiliyor. Dolayısıyla dijital cüzdanlarınızda tehlikeye giriyor. Özellikle Android cihazlarda sık sık görülen bu kötü amaçlı uygulamalara verilerinizi kaptırmamak için uygulamayı marketten indirmeden önce yayıncı firmaya ve yorumlara göz atmakta fayda var.

3 – Güçlü bir şifre kullanın

Kullanıcılar tarafından en çok göz ardı edilen konu şifre seçimi. Ancak “123456”, “qwerty” gibi kötü şifre seçimleri yüzünden mağdur olan insanların sayısı arttıkça bu konunun önemi daha iyi anlaşılıyor.

Mümkün olduğunda büyük-küçük harf, rakam içeren tahmin edilemez bir şifre seçmenizi öneriyoruz. Hatta eğer mobil ödeme platformunuz iki aşamalı güvenlik sunuyorsa bunu da kullanmayı ihmal etmeyin.

4 – Halka açık kablosuz ağlara dikkat

Bir başka dikkat edilmesi gereken konu da özellikle kafeler ve meydanlarda sıkça kullanılan halka açık kablosuz ağlar. Bu ağların çoğu güvenlik açısından yetersiz ve saldırılara açık olduğu için telefonunuzla bu tarz bir ağa bağlıyken mobil ödeme gibi kritik işlemler yapmamanızı öneriyoruz. Bu ağlar üzerinden paylaştığınız veriler pusuda bekleyen kötü niyetli kişilerin eline geçebilir.

5 – Kredi kartınızı izleyin

Kontrol iyi bir güvenliğin temelini oluşturur. Yaptığınız işlemleri sık sık kontrol etmeniz güvenlik açısından büyük önem taşıyor.

Hesabınız üzerindeki para akışlarını mobil bankacılık uygulamalarıyla rahat bir şekilde takip edebilirsiniz. Bu akışları yakından takip etmek sizi her zaman için tetikte tutacak ve işler yolunda gitmediğinde hızlı reaksiyon vermenizi sağlayacaktır.

5 – Virüs programı kullanın

Mümkünse Norton Mobile gibi Android, IOS uyumlu virüs programları kullanın.


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 21:54 0 comments

Kaydol: Kayıtlar ( Atom )