Marcin F <m...@i...pl> wrote:

> Zapewne system jest tak prymitywny ze nie polapie sie
> o tym ze zmieniles taka drobnostke jak oprogramowanie posa...
> Naprawde wierzysz w to ?


A jak miałby się dowiedzieć? Wiesz Ty, że to, co pos transmituje to nie
żadne czary, a dokładnie ustalony i JAWNY protokól transmisji?
Mogę te same bajty wysłać za pomocą PC-ta i modemu. Żaden problem.

> Tak, tylko ze Ty oszukkiwac klientow odlaczonym posem tez sobie
> mozesz...

Odłączam, wyciągam kość, odczytuje program, modyfikuje go, wkładam kość
i składam POS-a.

> Zapewne urzadzonko wysle raport przy pierwszym wlaczeniu. Nie wiem na
> 100%
> czy jest tak jak pisze, ale nie widze powodu zeby tak nie bylo skoro
> potrafi to juz wspomniana przeze mnie budka telefoniczna.

Nie budka, a aparat telefoniczny. I potrafi tylko dlatego, że ktos go
tak zaprogramował. Zmienię mu program, to będzie fanfary na moją cześć
odgrywał.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Adam Płaszczyca wrote:

> A jak miałby się dowiedzieć? Wiesz Ty, że to, co pos transmituje to nie
> żadne czary, a dokładnie ustalony i JAWNY protokól transmisji?
> Mogę te same bajty wysłać za pomocą PC-ta i modemu. Żaden problem.

Czy w sieci gdzies sa materialy na ten temat? Chetnie bym sie
zaglebil w to zagadnienie.

do góry

On Wed, May 29, 2002 at 06:35:19PM +0000, Adam Płaszczyca wrote:

> A jak miałby się dowiedzieć? Wiesz Ty, że to, co pos transmituje to nie

Przed chwila twierdziles ze polcard jest w stanie stwierdzic kto
fizycznie poslugiwal sie posem (przeszkolony czy nie) a teraz
twierdzisz ze tego sie nie dowie? Wiecej konsekwencji.

> żadne czary, a dokładnie ustalony i JAWNY protokól transmisji?
> Mogę te same bajty wysłać za pomocą PC-ta i modemu. Żaden problem.

Uch, dobrze sie przed swietami usmiac. A pojecie MAC mowi cos Tobie?
Klucze sesyjne etc?

> Odłączam, wyciągam kość, odczytuje program, modyfikuje go, wkładam kość
> i składam POS-a.

Nie, wtedy to juz pos nie bedzie.

> Nie budka, a aparat telefoniczny. I potrafi tylko dlatego, że ktos go
> tak zaprogramował. Zmienię mu program, to będzie fanfary na moją cześć
> odgrywał.

No, ale nie nazywaj tego posem. Owszem, zrobisz calkiem mala
katarynke, ale do obslugi kart marnie sie nada.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Wojtek Piecek <w...@p...waw.pl> wrote:

> Przed chwila twierdziles ze polcard jest w stanie stwierdzic kto
> fizycznie poslugiwal sie posem (przeszkolony czy nie) a teraz
> twierdzisz ze tego sie nie dowie? Wiecej konsekwencji.

Nie twierdziłem tak. Jedynie stwierdzałem, że Polcard może dowieść,
żeposługiwałasię POS-em osoba nieuprawniona.

> Uch, dobrze sie przed swietami usmiac. A pojecie MAC mowi cos Tobie?
> Klucze sesyjne etc?
Mówi. A wiesz, że przy POS-ach sie nie stosuje tego?

> Nie, wtedy to juz pos nie bedzie.

Tylko?


> No, ale nie nazywaj tego posem. Owszem, zrobisz calkiem mala
> katarynke, ale do obslugi kart marnie sie nada.

Widzisz, zmodyfikować program tak, aby oprócz funkcji POS'a zapamiętywał
gdzieś dane z karty nie jest ciężko...


--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Marcin F <m...@i...pl> writes:

> Jestes pewien tej trywialnosci? Mozesz opisac w kilku zdaniach
> te trywialna modyfikacje?

A musze? Przeciez to oczywiste. Hint: jak podlacza sie pinpad do
terminala? Uwazasz moze, ze transmisja miedzy pinpadem a terminalem
jest szyfrowana? Naturalnie samo szyfrowanie (gdyby istnialo) jeszcze
sprawy nie zalatwia.

Troche realizmu.

> Udalo Ci sie zmodyfikowac dzialajacy terminal tak zeby nie dowiedzialo
> sie o tym centrum autoryzacyjno rozliczeniowe?
> Nie wiem jak jest z posami, ale wbudowanie funkcji ktora bedzie
> informowala centrum o probie ingerencji nie jest problemem
> (pos chyba nie jest glupszy od budki telefonicznej)

Ale w odroznieniu od niej pozostaje w posiadaniu uzytkownika.
--
Krzysztof Halasa
Network Administrator

do góry

On Wed, May 29, 2002 at 08:56:08PM +0000, Adam Płaszczyca wrote:

> Nie twierdziłem tak. Jedynie stwierdzałem, że Polcard może dowieść,
> żeposługiwałasię POS-em osoba nieuprawniona.

A nie moze weryfikowac poprawnosci pinpada?

> > Uch, dobrze sie przed swietami usmiac. A pojecie MAC mowi cos Tobie?
> > Klucze sesyjne etc?
> Mówi. A wiesz, że przy POS-ach sie nie stosuje tego?

Z pinpadami? Stosuje.

> Widzisz, zmodyfikować program tak, aby oprócz funkcji POS'a zapamiętywał
> gdzieś dane z karty nie jest ciężko...

Brawo. Procard pewnie wciaz szuka pracownikow. A takich co to robia
revers in. jeszcze predzej.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Wojtek Piecek <w...@p...waw.pl> wrote:

> A nie moze weryfikowac poprawnosci pinpada?

W jaki sposób, niby?

>> Mówi. A wiesz, że przy POS-ach sie nie stosuje tego?
> Z pinpadami? Stosuje.
Jedynie wewnątrz klawiaturki. I co dalej idzie - jeżeli wezme
klawiaturkę i ją przprogramuje nieco, to będzie do POS-a posyłała
zarówno zaszyfrowany jak i niezaszyfrowany PIN.

Sytuacja jest mniej więcej taka sama jak w wypadku sesji przeglądarki
WWW. Możesz mieć SSL 512 bitów, czy jeszcze mocniejszy, a trojan na
kompie i tak będzie wiedział co nacisnąłeś.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Krzysztof Halasa <k...@d...pm.waw.pl> wrote:

> A musze? Przeciez to oczywiste. Hint: jak podlacza sie pinpad do
> terminala? Uwazasz moze, ze transmisja miedzy pinpadem a terminalem
> jest szyfrowana? Naturalnie samo szyfrowanie (gdyby istnialo) jeszcze
> sprawy nie zalatwia.

Akurat jest szyfrowana. Tylko co szkodzi podmienic klawiaturkę na lewą?

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Użytkownik "Adam Płaszczyca" <o...@m...oldfield.org.pl> napisał w
wiadomości news:ad5evf$kpr$2@news.onet.pl...

> Akurat jest szyfrowana. Tylko co szkodzi podmienic klawiaturkę na lewą?

Kiedys widzialem na filmie szpiegowskim, ze klawiature zamka szyfrowego
posmarowali jakims plynem i potem w ultrafiolecie bylo widac jakie guziki
kto nacisnal :-)

Tak powaznie... jesli nawet ktos zada sobie trud i zrobi o czym piszesz, to
nie sadzisz, ze latwo bedzie namierzyc owa osobe?

pzdr

do góry

On Thu, May 30, 2002 at 02:59:44PM +0000, Adam Płaszczyca wrote:

> > A nie moze weryfikowac poprawnosci pinpada?
>
> W jaki sposób, niby?

Na rozne sposoby. Naprawde.

> >> Mówi. A wiesz, że przy POS-ach sie nie stosuje tego?
> > Z pinpadami? Stosuje.
> Jedynie wewnątrz klawiaturki. I co dalej idzie - jeżeli wezme

Rozumiem ze fakt ze zamiast ciagu malo znaczacych bitow masz podpis
cyfrowy jest dla Ciebie czyms tak oczywistym do zlamania ze nawet nie
warto tego robic.

> klawiaturkę i ją przprogramuje nieco, to będzie do POS-a posyłała
> zarówno zaszyfrowany jak i niezaszyfrowany PIN.

I rozumiem ze wymaga to tylko modyfikacji pinapada?

Naprawde nie mozesz uwierzyc ze PINpad przesyla tzw. PINblok co nie
jest czystym pinem?

> Sytuacja jest mniej więcej taka sama jak w wypadku sesji przeglądarki
> WWW. Możesz mieć SSL 512 bitów, czy jeszcze mocniejszy, a trojan na
> kompie i tak będzie wiedział co nacisnąłeś.

Wez kiedys zamiast twierdzic ze cos jest oczywiste, proste i trywialne
sprawdz swoja nieograniczona niczym wiedze. Nie twierdze ze piszesz
zupelne glupoty, ale przeslizgujesz sie po nich i w sumie wychodzi z
tego bigos o tyle niesmaczny co bez sensu.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry