Vilka ligger bakom de senaste dagarnas attacker [1] mot viktiga funktioner i USA? Attackerna sker på samma manér som dem i Estland och Georgien. Är det bara en övning inför vad som komma skall? Har kapprustningen flyttat till nätet?
Här har jag samlat ett antal bloggar som ger en ont i magen.
Klamber skriver om "Stockholmsprogrammet"
Henrik Alexandersson skriver i sin blog om FRA och EU och innehållet i Stockholmsprogrammet.
Pär Ström skrev för ett år sedan men han formulerar det jag tänker. Sverige är på väg eller är redan en att nod i Natos Echilon underrättelsenätverk. Att det är därför vi nedrustar hejdlöst. Han skriver att det kan verka konspiratoriakt, och jag hoppas att det är det. Jag är rädd att han kan ha rätt.
Det här börjar likna allvar nu...
Visar inlägg med etikett IT-säkerhet. Visa alla inlägg
Visar inlägg med etikett IT-säkerhet. Visa alla inlägg
fredag 10 juli 2009
lördag 20 juni 2009
Nya regler validering för MasterCards SDP för PCI DSS compliance
PCI DSS. Society of Payment Security Proffessionals rapporterar.
"Level 2 Merchants Required to Have On-Site Assessment by QSA
On June 15, 2009 MasterCard International introduced several changes to their Site Data Protection (SDP) program. Among these changes was a new requirement for Level 2 Merchants to undergo an on-site assessment by a Qualified Security Assessor in order to validate their PCI DSS compliance. The initial deadline for these validations is December 31, 2010.
Previously, Level 2 Merchants were required to submit an Annual Self-Assessment Questionnaire and undergo Quarterly Network Scans by an Approved Scan Vendor (ASV).
Level 1 Merchants Must Use QSA
In addition to the above announcement, MasterCard also announced that Level 1 Merchants must a Qualified Security Assessor for their validation assessment. In the past, Level 1 Merchants were able to self-assess and submit a Report on Compliance, provided an officer of the company signed the Report. Under the new Site Data Protection rules, this option is no longer available.
It should be noted that Visa Inc's site indicates that "Level 1 merchants should engage a Qualified Security Assessor to complete the Report on Compliance and provide the report to their acquirer. Alternatively, acquirers may elect to accept the Report on Compliance from a Level 1 merchant, provided that a letter signed by a merchant officer accompanies the report." (emphasis added) Information on Visa's merchant validation requirements can be found on their CISP site. "
"Level 2 Merchants Required to Have On-Site Assessment by QSA
On June 15, 2009 MasterCard International introduced several changes to their Site Data Protection (SDP) program. Among these changes was a new requirement for Level 2 Merchants to undergo an on-site assessment by a Qualified Security Assessor in order to validate their PCI DSS compliance. The initial deadline for these validations is December 31, 2010.
Previously, Level 2 Merchants were required to submit an Annual Self-Assessment Questionnaire and undergo Quarterly Network Scans by an Approved Scan Vendor (ASV).
Level 1 Merchants Must Use QSA
In addition to the above announcement, MasterCard also announced that Level 1 Merchants must a Qualified Security Assessor for their validation assessment. In the past, Level 1 Merchants were able to self-assess and submit a Report on Compliance, provided an officer of the company signed the Report. Under the new Site Data Protection rules, this option is no longer available.
It should be noted that Visa Inc's site indicates that "Level 1 merchants should engage a Qualified Security Assessor to complete the Report on Compliance and provide the report to their acquirer. Alternatively, acquirers may elect to accept the Report on Compliance from a Level 1 merchant, provided that a letter signed by a merchant officer accompanies the report." (emphasis added) Information on Visa's merchant validation requirements can be found on their CISP site. "
torsdag 20 november 2008
WPA-cracket
De senaste dagarna har det surrats om att har hittat ett hål i en populär kryptering för trådlösa nätverk. Hålet finns i en del av 802.11i, som är basen i WiFi Protected Access (WPA). Hundratusentals trådlösa accesspunkter kan nu komma att hamna i farozonen, eftersom det är det vanligaste sättet att kryptera sin trådlösa nätverk.
Enigt PCI DSS är det ok att överföra betalkortsinformation vi WPA. Man kommer nu i säkerhetsbranchen rekommendera det starkare WPA2 i kombination med längre krypteringsnycklar. Det här visar också igen att det inte är värst bra att nämna exakta tekniker i en IT-säkerhetsstandard. Man bör istället komma med mer generella skrivningar där man sätter upp ribban som man ska nå upp till, inte exakt hur man ska göra för att komma dit. vad man ska nå, snarare än hur. Läs mer [1] [2]
Enigt PCI DSS är det ok att överföra betalkortsinformation vi WPA. Man kommer nu i säkerhetsbranchen rekommendera det starkare WPA2 i kombination med längre krypteringsnycklar. Det här visar också igen att det inte är värst bra att nämna exakta tekniker i en IT-säkerhetsstandard. Man bör istället komma med mer generella skrivningar där man sätter upp ribban som man ska nå upp till, inte exakt hur man ska göra för att komma dit. vad man ska nå, snarare än hur. Läs mer [1] [2]
onsdag 3 september 2008
T-Sec konferens 11-12 september
Jag skulle vilja pusha för konferensen T-sec som kommer hållas den 11-12 september i Näringslivets Hus på Storgatan 19 i Stockholm. På talarlistan finns Sveriges främsta experter inom informations- och it-säkerhet från bla F-Secure, SÄPO, Outpost24, Cybercom, SYBSEC, mfl.
Jag kommer vara där och det kommer bli spännande att se.
Mer om T-sec
Jag kommer vara där och det kommer bli spännande att se.
Mer om T-sec
Prenumerera på:
Inlägg (Atom)