Ricerca di dati della carta di credito e altre informazioni personali nei file

6

Sto cercando dei modi per verificare la presenza di dati della carta di credito e altre informazioni personali nei file su una rete che sto testando.

Attualmente lo sto facendo manualmente con i soliti strumenti come grep e qualche terribile reg-ex, ma una bella applicazione stand-alone sarebbe l'ideale. Soprattutto qualcosa che posso usare l'output e rilasciare un report. Se interrogo i file da un terminale alla ricerca di numeri di scheda, li sputa nuovamente, il che significa anche che devo correggerli. Idealmente ho bisogno di un conteggio e di un elenco di "numeri di carte anonimizzati" e dei file in cui si trovavano.

Qualsiasi suggerimento su metodi alternativi per trovare questi dati o strumenti che possono essere utilizzati per ottenere questo risultato sarebbe il benvenuto.

    
posta NULLZ 28.02.2015 - 15:50
fonte

6 risposte

2

ccsrch è uno strumento esattamente per questo scopo. Ho visto i QSA utilizzare questo come parte dei loro audit.

Personalmente, non mi piace. L'ho eseguito su un file con 100k card e ne ho trovato tutti 50k. Ho ottenuto migliori risultati con una sceneggiatura in pitone che ho buttato insieme in un pomeriggio. E l'output richiede molte revisioni manuali per eliminare i falsi positivi.

Ma, di nuovo, i QSA lo usano, ed è meglio di niente.

    
risposta data 28.02.2015 - 16:28
fonte
1

Da quanto ho capito, puoi trovare i dati che ti servono con strumenti come grep , ma hai difficoltà a gestire l'output risultante perché anch'esso diventa dati sensibili.

Sembra che tu abbia bisogno di sed con il tuo grep . Una volta individuati i dati offensivi, è possibile reindirizzare i risultati attraverso una procedura di sostituzione per creare numeri di carte offuscati.

Ma non sono sicuro del motivo per cui è necessario catturare i numeri delle carte. Fare un grepping in modo da sapere quali file contengano i dati offensivi dovrebbe essere sufficiente, puoi controllare i risultati validi a mano.

Come per le altre PII, dovrai vivere con regex in modo che soddisfi i risultati attesi. Puoi trovare i tentativi di altre persone ai modelli di espressioni regolari per aiutarti.

Sì, puoi ottenere una varietà di strumenti per aiutarti, ma tutti eseguono una qualche forma di grep|sed|awk e regex.

    
risposta data 30.06.2015 - 00:18
fonte
0

C'è un prodotto a pagamento chiamato Identity Finder che farà proprio questo. Può trovare una varietà di informazioni personali e produce un rapporto che è possibile utilizzare. Non sono affiliato con questo prodotto, lo uso solo al lavoro.

    
risposta data 28.02.2015 - 17:08
fonte
0

OpenDLP è un altro progetto ampiamente pubblicizzato - link - Un altro è MyDLP - link

    
risposta data 28.02.2015 - 19:13
fonte
0

Ho avuto un auditor che consiglia Cornell Spider, che è solo uno strumento hacked che usa alcune espressioni regolari per cercare cose come SSN, PAN, ecc. Funziona ma non è molto lucido.

    
risposta data 19.05.2015 - 21:46
fonte
0

QuaSAr è un prodotto "for pay" progettato per fare proprio questo.

Dichiarazione di non responsabilità: non ho mai lavorato per confidare, ma ho degli amici in compagnia.

    
risposta data 30.06.2015 - 02:19
fonte

Leggi altre domande sui tag