Witam,

Może kogoś zainteresuje:

"In Chip & PIN card transactions, customers insert their card and enter
their PIN into a PIN Entry Device (PED). We have demonstrated that two
popular PEDs, the Ingenico i3300 and Dione Xtreme, fail to adequately
protect card details and PINs. Fraudsters, with basic technical skills,
can record this information and create fake cards which may be used to
withdraw cash from ATMs abroad, and even some in the UK. These failures
are despite the terminals being certified secure under the Visa approval
scheme, and in the case of the Ingenico, the Common Criteria system. Our
results expose significant failings in the entire evaluation and
certification process."

http://it.slashdot.org/article.pl?sid=08/02/28/20182
28&from=rss
http://www.cl.cam.ac.uk/research/security/banking/pe
d/

W sumie żadna to nowość, czy rewelacja - karty chipowe dają przestępcom
możliwość wygodnego, w miarę bezstresowego fraudu.

Nawet jeśli większość tego programu BBC to oczywista oczywistość, to
warto przeskoczyć na koniec, do wywiadu z przedstawicielką APACS:

http://video.google.com/videoplay?docid=-25328888752
66883498

Ostrzeżenie dla osób nie znających angielskiego: wszystkie powyższe
linki odwołują się do materiałów w języku mocno zagranicznym.

pozdrawiam,

mirek

do góry

mirekm wrote:
> Witam,
>
> Może kogoś zainteresuje:
>
> "In Chip & PIN card transactions, customers insert their card and enter
> their PIN into a PIN Entry Device (PED). We have demonstrated that two
> popular PEDs, the Ingenico i3300 and Dione Xtreme, fail to adequately
> protect card details and PINs. Fraudsters, with basic technical skills,
> can record this information and create fake cards which may be used to
> withdraw cash from ATMs abroad, and even some in the UK. These failures
> are despite the terminals being certified secure under the Visa approval
> scheme, and in the case of the Ingenico, the Common Criteria system. Our
> results expose significant failings in the entire evaluation and
> certification process."
>
> http://it.slashdot.org/article.pl?sid=08/02/28/20182
28&from=rss
> http://www.cl.cam.ac.uk/research/security/banking/pe
d/
>
> W sumie żadna to nowość, czy rewelacja - karty chipowe dają przestępcom
> możliwość wygodnego, w miarę bezstresowego fraudu.
>
> Nawet jeśli większość tego programu BBC to oczywista oczywistość, to
> warto przeskoczyć na koniec, do wywiadu z przedstawicielką APACS:
>
> http://video.google.com/videoplay?docid=-25328888752
66883498
>
> Ostrzeżenie dla osób nie znających angielskiego: wszystkie powyższe
> linki odwołują się do materiałów w języku mocno zagranicznym.
>
> pozdrawiam,
>
> mirek

Nie bronię kart z pinem, ale ten program był bez sensu, facet chciał
babie wcisnąć, że czarne jest białe, w ogóle nie mając pojęcia o co w
tym wszystkim chodzi. Próba zrobienia sensacji na siłę, aby tylko było
czym czas antenowy zapełnić.

do góry

Użytkownik "witek" <w...@g...pl.invalid> napisał w wiadomości
news:fq7nfo$qmi$1@inews.gazeta.pl...
> mirekm wrote:

/.../
> Nie bronię kart z pinem, ale ten program był bez sensu, facet chciał
> babie wcisnąć, że czarne jest białe, w ogóle nie mając pojęcia o co w tym
> wszystkim chodzi. Próba zrobienia sensacji na siłę, aby tylko było czym
> czas antenowy zapełnić.

To nie chodziło o filmik. Zajrzałeś na inne linki? Na
http://www.cl.cam.ac.uk/research/security/banking/pe
d podany jest opis
przeprowadzonych testów urządzeń.

Najbardziej przerażające jest to, że producenci tych urządzeń nabrali wody w
usta. Cisza. Byle najmniej hałasu: interes musi się kręcić.

Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.

do góry

kashmiri wrote:
>
>
> Użytkownik "witek" <w...@g...pl.invalid> napisał w
> wiadomości news:fq7nfo$qmi$1@inews.gazeta.pl...
>> mirekm wrote:
>
> /.../
>> Nie bronię kart z pinem, ale ten program był bez sensu, facet chciał
>> babie wcisnąć, że czarne jest białe, w ogóle nie mając pojęcia o co w
>> tym wszystkim chodzi. Próba zrobienia sensacji na siłę, aby tylko było
>> czym czas antenowy zapełnić.
>
> To nie chodziło o filmik. Zajrzałeś na inne linki? Na
> http://www.cl.cam.ac.uk/research/security/banking/pe
d podany jest opis
> przeprowadzonych testów urządzeń.
>
> Najbardziej przerażające jest to, że producenci tych urządzeń nabrali
> wody w usta. Cisza. Byle najmniej hałasu: interes musi się kręcić.
>
> Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.
>
>
>
to bez znaczenia.
karta jest na tyle bezpieczna na ile bank zwraca pieniądze za fraud.
Zabezpieczenia kart mają służyć bankom, a nie klientom.
Jeśli bank robi problemy należy natychmiast zmienić bank.

oczywiscie, że po ujawnieniu tego typu raportów reakcja powinna być
tylko jedna: natychmiast to poprawiamy. Z tym, że ten raport powinien
byc kierowany do banków, a nie do klientów i to banki powinny zareagować
poprzez wymuszenie zmian lub rezygnację z usług takiej firmy.

do góry

Użytkownik "witek" <w...@g...pl.invalid> napisał w wiadomości
news:fq96pe$pn0$3@inews.gazeta.pl...
> kashmiri wrote:
>>
>>
>> Użytkownik "witek" <w...@g...pl.invalid> napisał w
>> wiadomości news:fq7nfo$qmi$1@inews.gazeta.pl...
>>> mirekm wrote:
>>
>> /.../
>>> Nie bronię kart z pinem, ale ten program był bez sensu, facet chciał
>>> babie wcisnąć, że czarne jest białe, w ogóle nie mając pojęcia o co w
>>> tym wszystkim chodzi. Próba zrobienia sensacji na siłę, aby tylko było
>>> czym czas antenowy zapełnić.
>>
>> To nie chodziło o filmik. Zajrzałeś na inne linki? Na
>> http://www.cl.cam.ac.uk/research/security/banking/pe
d podany jest opis
>> przeprowadzonych testów urządzeń.
>>
>> Najbardziej przerażające jest to, że producenci tych urządzeń nabrali
>> wody w usta. Cisza. Byle najmniej hałasu: interes musi się kręcić.
>>
>> Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.
>>
>>
>>
> to bez znaczenia.
> karta jest na tyle bezpieczna na ile bank zwraca pieniądze za fraud.
> Zabezpieczenia kart mają służyć bankom, a nie klientom.
> Jeśli bank robi problemy należy natychmiast zmienić bank.

Właśnie o to chodzi, że tego typu fraud (1) jest łatwiejszy do
przeprowadzenia niż banki mniemają, (2) jest nie do udowodnienia przez
klienta: transakcja zostaje dokonana z użyciem kodu PIN, czyli dla banku to
właściciel karty dokonał tej transakcji.


> oczywiscie, że po ujawnieniu tego typu raportów reakcja powinna być tylko
> jedna: natychmiast to poprawiamy. Z tym, że ten raport powinien byc
> kierowany do banków, a nie do klientów i to banki powinny zareagować
> poprzez wymuszenie zmian lub rezygnację z usług takiej firmy.

Chyba niedokładnie czytałeś. Problem jest w obowiązujących standardach.
WSZYSTKIE czytniki są podatne na przechwycenie PIN-u - przede wszystkim
dlatego, że standard EMV nie zakłada szyfrowania danych przesyłanych między
kartą a czytnikiem.
Tu nie chodzi o jakąś firmę czy usługodawcę.

do góry

kashmiri wrote:
>
> Właśnie o to chodzi, że tego typu fraud (1) jest łatwiejszy do
> przeprowadzenia niż banki mniemają, (2)

to mnie nie obchodzi, to problem banku

> jest nie do udowodnienia przez
> klienta:

to nie klient ma cokolwiek udowadniac, tylko bank klientowi
jeśli nie potrafi to problem banku.
> transakcja zostaje dokonana z użyciem kodu PIN, czyli dla banku
> to właściciel karty dokonał tej transakcji.

to należy zmienić bank, ja takiego zapisu w regulaminie nie mam.


>
> Chyba niedokładnie czytałeś. Problem jest w obowiązujących standardach.
> WSZYSTKIE czytniki są podatne na przechwycenie PIN-u - przede wszystkim
> dlatego, że standard EMV nie zakłada szyfrowania danych przesyłanych
> między kartą a czytnikiem.
> Tu nie chodzi o jakąś firmę czy usługodawcę.


poprzez usługi firmy miałem na myśli dostarczyciela urządzeń.
Skoro bankom to nie przeszkadza i chcą ponosic koszty tego typu fraudów
to ich sprawa. Co mnie obchodzi co robią banki ze swoim bezpieczenstwem.

do góry

"kashmiri" <k...@i...pl> writes:

> Właśnie o to chodzi, że tego typu fraud (1) jest łatwiejszy do
> przeprowadzenia niż banki mniemają, (2) jest nie do udowodnienia przez
> klienta: transakcja zostaje dokonana z użyciem kodu PIN, czyli dla
> banku to właściciel karty dokonał tej transakcji.
(...)
>
> Chyba niedokładnie czytałeś. Problem jest w obowiązujących standardach.
> WSZYSTKIE czytniki są podatne na przechwycenie PIN-u - przede
> wszystkim dlatego, że standard EMV nie zakłada szyfrowania danych
> przesyłanych między kartą a czytnikiem.
> Tu nie chodzi o jakąś firmę czy usługodawcę.

Co więcej - dane zapamiętanie przez złodzieja podczas obsługiwania
transakcji _z czipem_ umożliwiają mu zrobienia klonu _paska
magnetycznego_. A więc nawet zeskrobanie paska na wlasnej karcie i
używanie jej wyłącznie do transakcji czipowych nie chroni przed
złodziejem.

MJ

do góry

Użytkownik "witek" <w...@g...pl.invalid> napisał w wiadomości
news:fq9p2p$lo9$3@inews.gazeta.pl...
> kashmiri wrote:
>>
>> Właśnie o to chodzi, że tego typu fraud (1) jest łatwiejszy do
>> przeprowadzenia niż banki mniemają, (2)
>
> to mnie nie obchodzi, to problem banku

Tralala, ale zniknęły twoje pieniądze, a bank wcale nie musi uznać twojej
reklamacji, jeżeli nie ma przesłanek wskazujących na oszustwo. Twoja
deklaracja może coś zmieni za pierwszym razem, ale założę się, że po 5
takiej reklamacji w miesiącu bank ci po prostu podziękuje za współpracę.


>> jest nie do udowodnienia przez klienta:
>
> to nie klient ma cokolwiek udowadniac, tylko bank klientowi
> jeśli nie potrafi to problem banku.

Nie.

>> transakcja zostaje dokonana z użyciem kodu PIN, czyli dla banku to
>> właściciel karty dokonał tej transakcji.
>
> to należy zmienić bank, ja takiego zapisu w regulaminie nie mam.

Czy Twój bank wydaje karty z mikroprocesorem? Bo to o nich mowa.



>> Chyba niedokładnie czytałeś. Problem jest w obowiązujących standardach.
>> WSZYSTKIE czytniki są podatne na przechwycenie PIN-u - przede wszystkim
>> dlatego, że standard EMV nie zakłada szyfrowania danych przesyłanych
>> między kartą a czytnikiem.
>> Tu nie chodzi o jakąś firmę czy usługodawcę.
>
>
> poprzez usługi firmy miałem na myśli dostarczyciela urządzeń.
> Skoro bankom to nie przeszkadza i chcą ponosic koszty tego typu fraudów to
> ich sprawa. Co mnie obchodzi co robią banki ze swoim bezpieczenstwem.

100% racja. Ale:
(1) Autorzy raportu zbadali dwa urządzenia, ale wskazują, że WSZYSTKIE
produkty na rynku mają tę samą wadę - wadę obowiązujących standardów.
(2) Instytucja taka jak bank nie zajmuje się badaniem urządzeń: zleca się to
zewnętrznym firmom. No i w tym problem: urządzenia sprzedawane bankom
posiadają certyfikaty bezpieczeństwa wydane przez oficjalnie autoryzowane
firmy. Raport ujawnia, jak mało warta jest ta certyfikacja w świetle
możliwości technicznych oraz wad obowiązującego standardu wymiany danych
EMV.
(3) Koszty wymiany sprzętu byłyby dla banków wyższe niż te związane ze
stratami wskutek fraudu. Dlatego żaden bank na świecie nie zmierza do
wyeliminowania fraudu, tylko do zbilansowania kosztów zabezpieczeń i kosztów
fraudu.

do góry

mirekm <m...@g...pl> writes:

> http://it.slashdot.org/article.pl?sid=08/02/28/20182
28&from=rss
> http://www.cl.cam.ac.uk/research/security/banking/pe
d/
>
> W sumie żadna to nowość, czy rewelacja - karty chipowe dają
> przestępcom możliwość wygodnego, w miarę bezstresowego fraudu.

Przeciez to jest o czyms zupelnie innym.
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m37igncwwv.fsf@maximus.localdomain...
> mirekm <m...@g...pl> writes:
>
>> http://it.slashdot.org/article.pl?sid=08/02/28/20182
28&from=rss
>> http://www.cl.cam.ac.uk/research/security/banking/pe
d/
>>
>> W sumie żadna to nowość, czy rewelacja - karty chipowe dają
>> przestępcom możliwość wygodnego, w miarę bezstresowego fraudu.
>
> Przeciez to jest o czyms zupelnie innym.

A o czym?
k.

do góry