Szymon wrote:
>
> ale pasek na chipowych nadal jest, zatem chyba tak samo da sie go skopiować.
> Zauważyłem też, iż do niedawna pisano, że chipa skopiować się nie da. W tej
> chwili BZ WBK ostrożniej podaje, że jest to możliwe, ale dość trudne. Coś mi
> się zdaje, że zanim doczekamy się li tylko chipowych kart to będą one tak
> banalnie kopiowane jak pasek dziś.
>
>

Banki będą używać dobrych kart (kryptograficznych, certyfikowanych wg
wymagań EMV) i to praktycznie wyklucza "złamanie" karty.

--
== And.
==
== "Fire, walk with me.."

do góry

Wed, 23 Mar 2005 08:07:38 +0100, w <d...@b...kjonca.bogus>, Kamil
Jońca <k...@p...onet.pl> napisał(-a):

> >>Poza tym jakbyś wrzucił firmy do takiego systemu ?
> >
> > ... a firmy wg NIP.
> >
> I zonwu mamy 2 rodzaje identyfikatorów.....

Nie, jeden. Zbiór wspólny numerów NIP i PESEL jest pusty :)

do góry

"Szymon" <v...@w...epf.pl> writes:

>> Nie kradziezy karty, ta sie specjalnie nie zmienia. Kradziezy pieniedzy
>> bez posiadania oryginalnej karty - np. poprzez klonowanie paska.
>
> ale pasek na chipowych nadal jest, zatem chyba tak samo da sie go skopiować.

Owszem, ale ja nie pisalem o trudnosci kopiowania paska, ale o kradziezy
pieniedzy przy uzyciu np. kopii karty - takiej tylko z paskiem
i np. hybrydy.

O ile pasek kopiuje sie dokladnie tak samo, o tyle pieniadze ukrasc
trudniej.

> Zauważyłem też, iż do niedawna pisano, że chipa skopiować się nie da.

Zalezy kto pisal.
Ogolnie rzecz biorac jest to jakis tam wyscig zbrojen pomiedzy
producentami kart oraz ew. lamaczami. Aczkolwiek wyglada na to, ze
wiekszosc trywialnych sposobow juz od dawna nie dziala.

Jesli koszt kopiowania pojedynczej karty >> ukradzionych przy jej uzyciu
pieniedzy, to problemu nie ma.

> W tej
> chwili BZ WBK ostrożniej podaje, że jest to możliwe, ale dość trudne. Coś mi
> się zdaje, że zanim doczekamy się li tylko chipowych kart to będą one tak
> banalnie kopiowane jak pasek dziś.

Nie.
Pasek jest tak samo latwo skopiowac dzis jak i w momencie wprowadzania
kart. Teoria jest dobrze poznana i opisana, od zawsze wiadomo ze nie ma
przed tym zabezpieczenia.

Chip to zamkniety mikrokomputer. Teoretycznie nie da sie odczytac
zawartosci jego pamieci zadnym normalnym sposobem. Czasem okazuje sie,
ze mozna pokombinowac, zaklucic prace procesora albo probowac jakichs
metod niszczacych, i uzyskac interesujace dane. Ale to ma sie nijak
do latwosci skopiowania paska.
--
Krzysztof Halasa

do góry

> O ile pasek kopiuje sie dokladnie tak samo, o tyle pieniadze ukrasc
> trudniej.

W moim przekonaniu - prościej. Gdy używam podpisu, złodziej musi udać się do
sklepu z kartą, gdzie może być już rozpoznany (monitoring), kupić towary,
które łatwo sprzedać, co wcale nie musi być takie proste w wyborze, bo nie
zna stanu salda, zatem jak naładuje za dużo to nie uzyska autoryzacji, część
wyrzuci, znów próbuje, czas leci (na korzyść prawowitego właściciela, bo
może zdąży zastrzec), kasjerka może mu się przyjrzeć, skoro facet podejmuje
10 próbę autoryzacji, bo nie wie ile ma na koncie itp. itd. Gdy ma PIN, po
prostu udaje się do pierwszego bankomatu, sprawdza stan salda i wszystko
wyciąga. Żywa gotówka, a od KK to jeszcze właściciela kopną odsetki.

> Jesli koszt kopiowania pojedynczej karty >> ukradzionych przy jej uzyciu
> pieniedzy, to problemu nie ma.

Od dawna chip jest np. w kartach do automatu tpsa, więc chyba jego produkcja
nie jest specjalnie droga czy też skomplikowana.

do góry

>> W bankomacie BZ WBK mozesz zmienic PIN do karty w kazdej chwili. Co
>> ciekawe
>> wg TOiP operacja jest bezplatna (http://www.bzwbk.pl/u235/navi/194618).
>
> Rany, ja wiem ze na wielu kartach magnetycznych mozna zmienic PIN
> w okienku/banku/internecie i moze jeszcze w inny sposob, i ze czesto
> mozna to robic 3 x dziennie nie placac dodatkowo.
>
> Co innego karta z procesorem, na ktorej PIN mozna by bylo zmienic
> bez udzialu jakiejkolwiek infrastruktury banku. Bez zadnego z nim
> kontaktu. PIN na karcie, nie w komputerze banku.
> --
> Krzysztof Halasa

To jedno i prawie to samo. Spora czesc bankomatów BZWBK obsluguje juz chipa.
Ponadto jak zmienisz PIN w bankomacie obslugujacym tylko pasek to zostanie
to odnotowane w systemie. Jak bedziesz pózniej placic w terminalu tylko z
paskiem to bedziesz korzystal z nowego PINu. Jak zaplacisz w terminalu
chipowym to bedzie niezgodnosc PIN w chipie z PINem wpisanym. Wtedy nastapi
polaczenie z systemem banku i uaktualni sie PIN w chipie. Tak czy owak
bedziesz mógl korzystac z nowego PINu.
Teoretycznie jest zagrozenie, ze ktos podpatrzy PIN, ukradnie karte i bedzie
dokonywal transakcji. Jednak co kilka transakcji (lub po przekroczeniu
okreslonej kwoty) i tak i tak nastepuje polaczenie z bankiem. Zatem straty
nie beda takie wielkie.

do góry

> Od dawna chip jest np. w kartach do automatu tpsa, więc chyba jego
> produkcja
> nie jest specjalnie droga czy też skomplikowana.

I tu jest pewien problem z terminolgią. W dużym uproszczeniu mogą być dwa
rodzaje chipa:
- pamięciowy
Taki chip tylko przechowuje dane i nic nie może z nimi zrobić. Takie są
wykorzystywane w kartach telefonicznych i są łatwe do złamania.
- mikroprocesorowy
Jets to tak np. mikrokomputer z procesor i pamięcią. Ma dużo zabezpieczeń i
może pełnić wiele funkcji. Takie są karty bankowe EMV.

do góry

"Szymon" <v...@w...epf.pl> writes:

> W moim przekonaniu - prościej. Gdy używam podpisu, złodziej musi udać się do
> sklepu z kartą, gdzie może być już rozpoznany (monitoring), kupić towary,
> które łatwo sprzedać, co wcale nie musi być takie proste w wyborze, bo nie
> zna stanu salda, zatem jak naładuje za dużo to nie uzyska autoryzacji, część
> wyrzuci, znów próbuje, czas leci (na korzyść prawowitego właściciela, bo
> może zdąży zastrzec), kasjerka może mu się przyjrzeć, skoro facet podejmuje
> 10 próbę autoryzacji, bo nie wie ile ma na koncie itp. itd.

Naturalnie. Ale wez pod uwage, ze zlodziej "ma podpis" i moze "nie miec
PINu". Teoretycznie, to zawsze tak powinno byc.

> Gdy ma PIN, po
> prostu udaje się do pierwszego bankomatu, sprawdza stan salda i wszystko
> wyciąga. Żywa gotówka, a od KK to jeszcze właściciela kopną odsetki.

O, to pierwszy bankomat podaje saldo KK? I limit, jak rozumiem?
Ale fakt, niektore dla niektorych kart podaja.

> Od dawna chip jest np. w kartach do automatu tpsa, więc chyba jego produkcja
> nie jest specjalnie droga czy też skomplikowana.

Karty z kryptografia asymetryczna i paskami sa minimalnie drozsze,
ale tez bez przesady.
--
Krzysztof Halasa

do góry

"rsa127" <r...@p...onet.pl> writes:

> I tu jest pewien problem z terminolgią. W dużym uproszczeniu mogą być dwa
> rodzaje chipa:
> - pamięciowy
> Taki chip tylko przechowuje dane i nic nie może z nimi zrobić. Takie są
> wykorzystywane w kartach telefonicznych i są łatwe do złamania.

Naprawde? Nie interesowalem sie nimi, ale slyszalem ze so to karty
procesorowe.

> - mikroprocesorowy
> Jets to tak np. mikrokomputer z procesor i pamięcią. Ma dużo zabezpieczeń i
> może pełnić wiele funkcji. Takie są karty bankowe EMV.

Ale to tu jest glowny podzial - karty z kryptografia tylko symetryczna,
oraz takie z asymetryczna (no i jeszcze rozne wielkosci pamieci itp).
--
Krzysztof Halasa

do góry

"rsa127" <r...@p...onet.pl> writes:

> To jedno i prawie to samo. Spora czesc bankomatów BZWBK obsluguje juz chipa.
> Ponadto jak zmienisz PIN w bankomacie obslugujacym tylko pasek to zostanie
> to odnotowane w systemie. Jak bedziesz pózniej placic w terminalu tylko z
> paskiem to bedziesz korzystal z nowego PINu.

Owszem.

> Jak zaplacisz w terminalu
> chipowym to bedzie niezgodnosc PIN w chipie z PINem wpisanym. Wtedy nastapi
> polaczenie z systemem banku i uaktualni sie PIN w chipie.

A nie wiem. Normalnie to zadne polaczenie z bankiem nie nastapi,
bo transakcja bedzie offline (i podam PIN karty). A jesli nawet nastapi,
to bank nie musi wcale synchronizowac PINow - aczkolwiek zdaje sobie
sprawe, ze ludzi moze to dziwic i moze im sie to nie podobac.
--
Krzysztof Halasa

do góry

On Thu, 24 Mar 2005 00:13:24 +0100, Krzysztof Halasa <k...@p...waw.pl>
wrote:

>> I tu jest pewien problem z terminolgią. W dużym uproszczeniu mogą być dwa
>> rodzaje chipa:
>> - pamięciowy
>> Taki chip tylko przechowuje dane i nic nie może z nimi zrobić. Takie są
>> wykorzystywane w kartach telefonicznych i są łatwe do złamania.
>
>Naprawde? Nie interesowalem sie nimi, ale slyszalem ze so to karty
>procesorowe.

są. Bez RSA, ale są.
Ale tam też jest inne zabezpieczenie: baza pamieta ostatnie stany kart
o danych numerach AFAIR.
--
Jarek Andrzejewski

do góry