Witam

Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
o problemach jakie rodzic moze wykorzystanie standardu EMV (a
wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecam
http://www.lightbluetouchpaper.org/2010/02/11/chip-a
nd-pin-is-broken/

W skrocie:
- na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
terminal ze PINem
- zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"
- dziala to zarowno podczas transakcji offline, ale rowniez online
- na slipie bedzie widniala informacja ze transakcja zostala
zatwierdzona PINem

pozdrawiam
Michal Kisiel

http://blog.finnovation.pl

do góry

On 12 Lut, 15:07, Herr Moher <k...@g...com> wrote:
> Witam
>
> Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
> o problemach jakie rodzic moze wykorzystanie standardu EMV (a
> wlasciwie jego nieodpowiednia implementacja). Zainteresowanym
polecamhttp://www.lightbluetouchpaper.org/2010/02/11
/chip-and-pin-is-broken/
>
> W skrocie:
> - na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
> gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
> terminal ze PINem
> - zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"
> - dziala to zarowno podczas transakcji offline, ale rowniez online
> - na slipie bedzie widniala informacja ze transakcja zostala
> zatwierdzona PINem
>
> pozdrawiam
> Michal Kisiel
>
> http://blog.finnovation.pl

Tylko - co z tego? Rozumiem, ze taka "akcja" moze sie sprawdzic w
momencie kiedy mam czyjas karte - a nie mam PIN, i moge w swoim
"zaprzyjaznionym" sklepie natrzepac transakcji.

Z karta na podpis problem mniejszy - bo mozna klepac "ok" :)

do góry

Dnia Fri, 12 Feb 2010 06:22:56 -0800 (PST), BK napisał(a):

> Tylko - co z tego? Rozumiem, ze taka "akcja" moze sie sprawdzic w
> momencie kiedy mam czyjas karte - a nie mam PIN, i moge w swoim
> "zaprzyjaznionym" sklepie natrzepac transakcji.

Wystarczy, że ktoś zrobi kartę pośrednią z wifi (czy inną łącznością
bezprzewodową) i można będzie wykorzystać bankomaty, albo zrobić ją
wyglądającą jak zwykła i wtedy nie potrzeba "zaprzyjaźnionego" sklepu.

--
Kojer

do góry

> Wystarczy, że ktoś zrobi kartę pośrednią z wifi (czy inną łącznością
> bezprzewodową) i można będzie wykorzystać bankomaty, albo zrobić ją
> wyglądającą jak zwykła i wtedy nie potrzeba "zaprzyjaźnionego" sklepu.

Wczoraj na BBC byl program o tym - ludzie z Cambridge spreparowali
karte podlaczajac ja przewodem do plytki z mikrokontrolerem , do
ktorego byla podpieta druga karta ( ta np. skradziona). Calosc
umieszczona w plecaku, kabelek prowadzacy do spreparowanej karty w
rekawie. Biorac pod uwage, ze w UK w wiekszosci przypadkow karte
samemu wklada sie do terminala, byli w stanie kupic np. butelke wody
za ?5. Czyli zaprzyjazniony sklep nie potrzebny.

Marcin

do góry

Uzytkownik "BK" <b...@g...com> napisal w wiadomosci
news:b03e2484-3e50-4c26-b820-
> Tylko - co z tego? Rozumiem, ze taka "akcja" moze sie sprawdzic w
> momencie kiedy mam czyjas karte - a nie mam PIN, i moge w swoim
> "zaprzyjaznionym" sklepie natrzepac transakcji.
>
> Z karta na podpis problem mniejszy - bo mozna klepac "ok" :)

http://biznes.onet.pl/karta-z-chipem-tez-jest-slabo-
zabezpieczona,18543,3176427,1,news-detal

wiatrak

do góry

On 12 Lut, 15:07, Herr Moher <k...@g...com> wrote:
> Witam
>
> Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
> o problemach jakie rodzic moze wykorzystanie standardu EMV (a
> wlasciwie jego nieodpowiednia implementacja). Zainteresowanym
polecamhttp://www.lightbluetouchpaper.org/2010/02/11
/chip-and-pin-is-broken/
> .....


w sumie jak się ukradnie portfel z gotówką to nawet nie trzeba nic
majstrować :) po prostu idziesz i płacisz.

--
plusz

do góry

On 12 Lut, 15:57, Marcin <m...@o...pl> wrote:
> > Wystarczy, że ktoś zrobi kartę pośrednią z wifi (czy inną łącznością
> > bezprzewodową) i można będzie wykorzystać bankomaty, albo zrobić ją
> > wyglądającą jak zwykła i wtedy nie potrzeba "zaprzyjaźnionego" sklepu.
>
> Wczoraj na BBC byl program o tym - ludzie z Cambridge spreparowali
> karte podlaczajac ja przewodem do plytki z mikrokontrolerem , do
> ktorego byla podpieta druga karta ( ta np. skradziona). Calosc
> umieszczona w plecaku, kabelek prowadzacy do spreparowanej karty w
> rekawie. Biorac pod uwage, ze w UK w wiekszosci przypadkow karte
> samemu wklada sie do terminala, byli w stanie kupic np. butelke wody
> za ?5. Czyli zaprzyjazniony sklep nie potrzebny.
>
> Marcin

I jakby nie patrzec koniecznosc osobistego uzycia karty wyklucza to
jako masowe narzedzie oszustw kartowych.

Juz teraz na wiele sposobow mozna wykorzystac czyjas karte "placac w
kasie" ale nikt tego nie robi [prawie nikt, czasami jakis amator].

Zawodowcy na masowa sklae zajmuja sie zasadniczo skimmingiem i
wybieraniem kasy z bankomatow. Bo to szybkie i bezpieczne.

do góry

On 2010-02-12 19:40, plusz wrote:
> On 12 Lut, 15:07, Herr Moher <k...@g...com> wrote:
>> Witam
>>
>> Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
>> o problemach jakie rodzic moze wykorzystanie standardu EMV (a
>> wlasciwie jego nieodpowiednia implementacja). Zainteresowanym
polecamhttp://www.lightbluetouchpaper.org/2010/02/11
/chip-and-pin-is-broken/
>> .....
>
>
> w sumie jak się ukradnie portfel z gotówką to nawet nie trzeba nic
> majstrować :) po prostu idziesz i płacisz.

Jasne, w takim układzie gotówka nie jest wcale bezpieczniejsza od
karty ;-)

witrak()
PS. Tylko niektórzy będą twierdzić, że jednak nie, bo 30 czy 40 kpln
nie noszą zwykle przy sobie...

do góry

On 13 Lut, 07:41, "witrak()" <w...@h...com> wrote:

> PS. Tylko niektórzy będą twierdzić, że jednak nie, bo 30 czy 40 kpln
> nie noszą zwykle przy sobie...

Z drugiej strony... nikt chyba nie trzeba tyle pieniedzy na koncie
powiazanym z karta debetowa ;)


Pozdrawiam
Rafal

do góry

Uzytkownik "Herr Moher" napisal:
> Witam
>
> Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
> o problemach jakie rodzic moze wykorzystanie standardu EMV (a
> wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecam
> http://www.lightbluetouchpaper.org/2010/02/11/chip-a
nd-pin-is-broken/

Znam opracowanie zespolu z Cambridge i postawili oni zbyt daleko idace tezy.
Zostalo to rozdmuchane przez malo nierzetelne media, które nie zadaly sobie
trudu zapytania, ile z tej teorii mozna rzeczywisci wykorzystac w praktyce.
Gdyby ktos byl zainteresowany, to oficjalne stanowiska na ten temat wydaly
rózne organizacje zajmujace sie systemami platniczymi, np:
http://skocz.pl/dbrny

Atak jest nieco wyimaginowany i atakujacy musi liczyc na szczescie podczas
jego przeprowadzania.
Mozliwy jest przy zalozeniu, ze wydawca nie potrafi skorzystac z
istniejacych mechanizmów bezpieczenstwa, a wtedy mozna równie dobrze
powiedziec, ze EMV jest niebezpieczne, bo wydawca moze nie weryfikowac
kryptogramów albo PINu online, kiedy wystepuje.

> W skrocie:
> - na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
> gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
> terminal ze PINem
> - zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"

Dobrze spersonalizowana karta ma mozliwosc odróznienia takich sytuacji od
normalnej transakcji i odrzucenia ich offline na podstawie analizy CVR.

> - dziala to zarowno podczas transakcji offline, ale rowniez online
> - na slipie bedzie widniala informacja ze transakcja zostala
> zatwierdzona PINem

Nie dziala dla online. Nawet jesli karta nie odrzuci transakcji w offline,
to CVR wyslany do wydawcy jasno mówi, ze do weryfikacji PIN offline nie
doszlo. Rozbieznosc pomiedzy informacja z karty i z terminala zakonczy sie
odmowa i taka wlasnie informacja pojawi sie na slipie.

--
MG

do góry