Jak widać skimerzy nie śpią i dziarsko idą do przodu ;)

http://preview.tinyurl.com/atak-klonow

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Użytkownik "xbartx" <b...@h...net> napisał w wiadomości
news:hmll54$cb0$7@inews.gazeta.pl...
>
> Jak widać skimerzy nie śpią i dziarsko idą do przodu ;)
>
> http://preview.tinyurl.com/atak-klonow
>
Ostatnie zdanie jest pocieszające:

"...niedawno jednak brytyjscy naukowcy wykazali, że także zabezpieczenia
metody EMV da się obejść".

do góry

Włodziu <p...@w...pl> napisał(a):


> Ostatnie zdanie jest pocieszające:
>
> "...niedawno jednak brytyjscy naukowcy wykazali, że także zabezpieczenia
> metody EMV da się obejść".
>
apropo brytyjskich naukowcow zapomnieli dodac, ze dotyczy to tylko kart
skradzionych/zgubionych, nie dotyczy chipow CDA, transakcja musi byc w
pelnym offlinie,trzeba miec odpowiedni (kosztowny) sprzet ktory nie zwroci
sie na fraudach pozwalających wykorzystać tą metodę. Bank dodatkowo bedzie
mial informacje, ze transakcja EMV nie była zatwierdzona PINem. No ale siać
panikę trzeba ;)

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Dnia Wed, 03 Mar 2010 13:57:53 +0100, W?odziu napisał(a):

> Ostatnie zdanie jest pocieszaj?ce:
>
> "...niedawno jednak brytyjscy naukowcy wykazali, ?e tak?e zabezpieczenia
> metody EMV da sie obej?ae".

Nie takie hop siup

http://www.cl.cam.ac.uk/research/security/banking/no
pin/



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

xbartx wrote:
> Jak widać skimerzy nie śpią i dziarsko idą do przodu ;)
>
> http://preview.tinyurl.com/atak-klonow
>

bankowi przybyl kolejny powod do odpisania sobie strat.

do góry

"Seba" <b...@N...gazeta.pl> writes:

> apropo brytyjskich naukowcow zapomnieli dodac, ze dotyczy to tylko kart
> skradzionych/zgubionych,

Tzn. po prostu oryginalnych.

> nie dotyczy chipow CDA,

Nie jest to takie oczywiste. Osobiscie nie specjalizuje sie akurat
w kartach EMV, ale teoretycznie atak ma dzialac ze wszystkimi rodzajami
kart. Rezultaty to kwestia dostepnosci "typowych" kart.

> transakcja musi byc w
> pelnym offlinie,

Pisali ze to dziala takze online, z tym ze na podobnej zasadzie, na
ktorej moze "dzialac" zly CVV2.

>trzeba miec odpowiedni (kosztowny) sprzet ktory nie zwroci
> sie na fraudach pozwalających wykorzystać tą metodę.

Akurat, koszt tego sprzeciku to jest moze 100 zl przy wiekszej serii
(nawet mniej), a w 1000 zl zmiesci sie wraz z osobista dostawa przez
prezesa producenta (akurat m.in. tym sie zajmuje).

> Bank dodatkowo bedzie
> mial informacje, ze transakcja EMV nie była zatwierdzona PINem.

No ale przy offline to jakby troche pozno.
--
Krzysztof Halasa

do góry

Krzysztof Halasa <k...@p...waw.pl> napisał(a):

> No ale przy offline to jakby troche pozno.

i po to są właśnie limity ilościowe/kwotowe offline (w Polsce ustawiane na
naprawde niewysokie kwoty) co powoduje ze zagrozenie tego typu fraudem jest
znikome - przede wszystkim musi by oryginalna karta z chipem, a jak juz ją
złodziej dostanie w lapy to zrobi 2-3 zakupy po kilkadziesiąt pln (przy
zalozeniu ze dobrze dobierze sklepy tzn nie wpadnie na transakcje online, bo
po pierwsze numer z pinem nie przejdzie a po drugie karta juz moze byc
zastrzezona) i tyle. Duze ryzyko a zarobek, za przeproszeniem gówniany. Komu
sie bedzie chcialo w to w takim kształcie bawic, poza naukwcami w
laboratoriach ?

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

On 2010-03-03 14:55, Seba wrote:
> Włodziu <p...@w...pl> napisał(a):
>
>
>> Ostatnie zdanie jest pocieszające:
>>
>> "...niedawno jednak brytyjscy naukowcy wykazali, że także zabezpieczenia
>> metody EMV da się obejść".
>>
> apropo brytyjskich naukowcow zapomnieli dodac, ze dotyczy to tylko kart
> skradzionych/zgubionych, nie dotyczy chipow CDA, transakcja musi byc w
> pelnym offlinie,trzeba miec odpowiedni (kosztowny) sprzet ktory nie zwroci
> sie na fraudach pozwalających wykorzystać tą metodę. Bank dodatkowo bedzie
> mial informacje, ze transakcja EMV nie była zatwierdzona PINem. No ale siać
> panikę trzeba ;)

I bardzo dobrze, że sprawa jest nagłaśniana, bo dzięki temu dochodzi
do mediów (jest nius!), i może banki itp. wreszcie zaczną coś z tym
robić (na początek wymieniać terminale na akceptujące karty bez
paska i wydawać karty bez paska) a także naciskać na producentów.

Bez tego nie ma szans na poprawę.

witrak()

do góry

witrak() <w...@h...com> napisał(a):

> I bardzo dobrze, że sprawa jest nagłaśniana, bo dzięki temu dochodzi
> do mediów (jest nius!), i może banki itp. wreszcie zaczną coś z tym
> robić (na początek wymieniać terminale na akceptujące karty bez
> paska i wydawać karty bez paska) a także naciskać na producentów.
>
> Bez tego nie ma szans na poprawę.
>
> witrak()

paski do tej sprawy nic nie mają, chodzi o tą "dziurę" w emv. A co do
terminali to zdaje sie w polsce aż dwa banki zajmują się bezpośrednio
acquireringiem (polbank i pekao sa), więc banki srednio mają wplyw na
wymianę sprzetu (choc faktem jest ze pekao jest tutaj bardzo zacofane,
rowniez w bankomatach)

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

On 2010-03-04 19:01, Seba wrote:
> witrak() <w...@h...com> napisał(a):
>
>> I bardzo dobrze, że sprawa jest nagłaśniana, bo dzięki temu dochodzi
>> do mediów (jest nius!), i może banki itp. wreszcie zaczną coś z tym
>> robić (na początek wymieniać terminale na akceptujące karty bez
>> paska i wydawać karty bez paska) a także naciskać na producentów.
>>
>> Bez tego nie ma szans na poprawę.
>>
>> witrak()
>
> paski do tej sprawy nic nie mają, chodzi o tą "dziurę" w emv. A co do

Paski do tej sprawy nic nie mają, ale ta sprawa - poprzez ewentualny
szum medialny - owszem. Czytaj powoli :-)

witrak()

do góry