Wojtek Piecek <w...@p...waw.pl> wrote:

> Na rozne sposoby. Naprawde.

A wszystkie sprowadzają się do weryfikacji tego, co pinpad kabelkiem
pośle. W efekcie zamiast klawiaturki może być cokolwiek, byleby
podsyłało to, co podesłałby pinpad.

> Rozumiem ze fakt ze zamiast ciagu malo znaczacych bitow masz podpis
> cyfrowy jest dla Ciebie czyms tak oczywistym do zlamania ze nawet nie
> warto tego robic.

Zacznij patrzeć na POS-a jak na czarną skrzynkę. Zrozum, że informacja
p.t. PIN jest bezpieczna w mojej głowie, i potem, kiedy zostanie
zaszyfrowana przez PIN-pada.
Pomiędzy glową a szyfrowaniem jest ona jawna i można ja przechwycić.

> I rozumiem ze wymaga to tylko modyfikacji pinapada?
Aby przechwycic PIN? Tak.


> Naprawde nie mozesz uwierzyc ze PINpad przesyla tzw. PINblok co nie
> jest czystym pinem?

A możesz uwierzyć, że przerobony PIN-pad może do przerobionego POS-a
przesłać PINblok, a po nim czysty, zywy PIN?

> Wez kiedys zamiast twierdzic ze cos jest oczywiste, proste i trywialne
> sprawdz swoja nieograniczona niczym wiedze. Nie twierdze ze piszesz
> zupelne glupoty, ale przeslizgujesz sie po nich i w sumie wychodzi z
> tego bigos o tyle niesmaczny co bez sensu.

Zapytam wprost - jak zapobiegniesz zapamietaniu sekwencji w jakiej
naciskane były klawisze na pin-padzie przez prosty układzik monitorujący
matrycę klawiatury (czyli jej przełączniki).



--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Szymon <w...@p...com> wrote:

> Tak powaznie... jesli nawet ktos zada sobie trud i zrobi o czym piszesz, to
> nie sadzisz, ze latwo bedzie namierzyc owa osobe?

Oj, niełatwo, niełatwo.

Stawiam 'lewy' POS na jeden dzień. Potem z powrotem stawiam właściwy,
przy okazji dane o transakcjach z tego lewego przepisując do tego
właściwego.

Po miesiącu czyszczę konta. Złap mnie.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

On Fri, May 31, 2002 at 10:48:51AM +0000, Adam Płaszczyca wrote:

> Stawiam 'lewy' POS na jeden dzień. Potem z powrotem stawiam właściwy,
> przy okazji dane o transakcjach z tego lewego przepisując do tego
> właściwego.
>
> Po miesiącu czyszczę konta. Złap mnie.

He, jak sam mowiles ze polcard moze weryfikowac osobe obslugujaca to
pewnie umie zlapac takiego kolesia.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

On Fri, May 31, 2002 at 10:47:34AM +0000, Adam Płaszczyca wrote:

> A wszystkie sprowadzają się do weryfikacji tego, co pinpad kabelkiem
> pośle. W efekcie zamiast klawiaturki może być cokolwiek, byleby
> podsyłało to, co podesłałby pinpad.

No i?

>
> > Rozumiem ze fakt ze zamiast ciagu malo znaczacych bitow masz podpis
> > cyfrowy jest dla Ciebie czyms tak oczywistym do zlamania ze nawet nie
> > warto tego robic.
>
> Zacznij patrzeć na POS-a jak na czarną skrzynkę. Zrozum, że informacja
> p.t. PIN jest bezpieczna w mojej głowie, i potem, kiedy zostanie
> zaszyfrowana przez PIN-pada.
> Pomiędzy glową a szyfrowaniem jest ona jawna i można ja przechwycić.

Jasne. Ale co to ma do rzeczy? Powyzej masz fragment ktory mowi o
przesylaniu podpisanych danych.

> > I rozumiem ze wymaga to tylko modyfikacji pinapada?
> Aby przechwycic PIN? Tak.

A kazdy pos ma backdoora ktory wypisuje 'klient uzyl pinu 1234'.

> A możesz uwierzyć, że przerobony PIN-pad może do przerobionego POS-a
> przesłać PINblok, a po nim czysty, zywy PIN?

A mozesz uwierzyc ze to wymaga modyfikacji POSa?

> Zapytam wprost - jak zapobiegniesz zapamietaniu sekwencji w jakiej
> naciskane były klawisze na pin-padzie przez prosty układzik monitorujący
> matrycę klawiatury (czyli jej przełączniki).

Alez pomiedzy nakladka na klawiature a przeprogramowaniem pinpada jest
__olbrzymia__ roznica! Nie mieszaj tych dwoch rzeczy.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

> He, jak sam mowiles ze polcard moze weryfikowac osobe obslugujaca to
> pewnie umie zlapac takiego kolesia.

tylko co umie powiedziec po miesiacu?
w moim wypadku moglby powiedziec
- karta byla uzyta od (wlasnie, kiedy?) XXX razy i _prawdopodobnie_
gdziestam mogl wyplynac PIN.

puki co uzywam wypuklych i nie uzywam PINu, ale moze z czasem to sie zmieni.

gdyby ktos gdzies uzyl mojego numeru karty, to mam ze 200 miejsc
w ktorych jej uzywalem. w niektorych (jak hipermarkety, stacje benzynowe)
dziesiatki razy. Czyli z 500 osob moglo potencjalnie poznac moj numer karty.
gdybym wszedzie musial uzyc PINu, to tyle podejrzanych osob :-)
i KTOS z nich mial przez 3 dni _jakkolwiek_ mozliwosc podgladania PINu
(czy to modyfikujac posa, czy klawiaturke, czy jakis kabelek, czy ustawiajac
kamere gdziec czy tp czy td).
teraz moze ma juz normlany.
bez szans na wykrycie.

nawet jakbym PIN zmienial co miesiac, to i tak bedzie to kilkadziesiat osob,
POSow.

jakbym piny zmienial czesciej to bym ocipial (ale to moje prywatne
ograniczenie), wiec nie zmieniam bez powodu, tylko unikam uzywania.

pozdrawiam

romekk

do góry

On Fri, May 31, 2002 at 11:24:30AM +0000, Roman Kubik wrote:

> puki co uzywam wypuklych i nie uzywam PINu, ale moze z czasem to sie zmieni.

Spokojnie, ja tez pinu uzywam tylko w atmach. ;-)

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Użytkownik "Adam Płaszczyca" <o...@m...oldfield.org.pl> napisał w
wiadomości news:ad7kej$43b$2@news.onet.pl...
> Szymon <w...@p...com> wrote:
>
> > Tak powaznie... jesli nawet ktos zada sobie trud i zrobi o czym piszesz,
to
> > nie sadzisz, ze latwo bedzie namierzyc owa osobe?
>
> Oj, niełatwo, niełatwo.
>
> Stawiam 'lewy' POS na jeden dzień. Potem z powrotem stawiam właściwy,
> przy okazji dane o transakcjach z tego lewego przepisując do tego
> właściwego.
>
> Po miesiącu czyszczę konta. Złap mnie.

I tak niby przychodzisz do sklepu zalozyc sobie POSa i odinstalowac i nikt
Cie nie widzial, nie zna itp?uhm... Juz widze, jak zlodziej idzie do
hipermarkertu instalowac na dzin czy dwa 40 posow :)

pzdr

do góry

Adam Płaszczyca wrote:
>
> Szymon <w...@p...com> wrote:
>
> > Tak powaznie... jesli nawet ktos zada sobie trud i zrobi o czym piszesz, to
> > nie sadzisz, ze latwo bedzie namierzyc owa osobe?
>
> Oj, niełatwo, niełatwo.
>
> Stawiam 'lewy' POS na jeden dzień.

i wyjdzie ze karty ktore wyczyscily konta byly uzyte w jednym
posie tego jednego dnia, taki numer przeszedlby moze z jedna karta

> Potem z powrotem stawiam właściwy,
> przy okazji dane o transakcjach z tego lewego przepisując do tego
> właściwego.

czy wszystkie dane po ktorych identyfikowany jest pos sa umieszczone
w zapisywalnej pamieci?
czy pos nie ma jakiejs sprytnej plomby zabezpieczajacej przez otwarciem
obudowy?

do góry

To chyba jest najdluzszy watek w tym miesiacu.
No chyba ze ktos sie zaprze i w ciagu 1:20 min przebije ;-)

Pzd Travis

--
Sebastian Grabowski
Tel. 503 155 127
GG: 18584
"Stalin też mówił o Europie bez granic"

do góry

Marcin F <m...@i...pl> writes:

> i wyjdzie ze karty ktore wyczyscily konta byly uzyte w jednym
> posie tego jednego dnia, taki numer przeszedlby moze z jedna karta

Dlaczego tego samego dnia? Takie cos nalezaloby zainstalowac
w supermarkecie.

I zadnych wymyslnych rozwiazan (kosztuja i naklady sie dluzej zwracaja)
- tylko proste rzeczy.
Obawiam sie takze, ze nie wszystkie PINpady maja wyswietlacze...
--
Krzysztof Halasa
Network Administrator

do góry