Witam Szanownych Grupowiczow,

Mam pytanie odnosnie zabezpieczen (a wlasciwie ich obejscia) w kartach
kredytowych Visa Electron:
opis zdarzenia:

pewna osoba w dzien X w miescie Y zaplacila taka karta w dwoch
supermarketach, w ten sam dzien wieczorem w innym miescie stwierdzono
pobranie z konta tej karty 4 x 1 tys zl. z bankomatu ktory nie mial
kamery.. w dzien X+1 w miescie Y z podobnego bankomatu bez podgladu
kamer wybrano
kolejna spora kwote.. Posiadacz karty zarzeka sie ze nikt nigdy nie mial
prawa dowiedziec sie o PIN'ie tej karty.. na mysl przychodzi mi jakas
podrobiona karta.. i generator PIN'ow na podstawie numeru karty.. (przy
zalozeniu ze na rachunkach z supermarketu widnial caly numer karty a nie
- jak w cywilizowanych krajach ostatnie 4 cyfry)

czy ktos moglby rzucic jakies swiatlo jak moglo dojsc do przestepstwa
(ale bez gdybania) ?

dzieki serdeczne
pozdr.
Dominik Miklaszewski
--

A man who governs his passions is master of his world.
We must either command them or be enslaved by them.
It is better to be a hammer than an anvil. - Saint Dominic

do góry

>Posiadacz karty zarzeka sie ze nikt nigdy nie mial
> prawa dowiedziec sie o PIN'ie tej karty.. na mysl przychodzi mi jakas
> podrobiona karta.. i generator PIN'ow na podstawie numeru karty.. (przy
> zalozeniu ze na rachunkach z supermarketu widnial caly numer karty a nie
> - jak w cywilizowanych krajach ostatnie 4 cyfry)

A nie prosciej: "skiming" paska magnetycznego karty przez "uczciwego"
sprzedawce przy POS (lub "podrasowany" bankomat) i kamera nad klientem,
jesli oczywiscie wklepywal PIN?

Pozdrawiam

do góry

On Fri, 1 Feb 2002 14:46:52 +0100, "bwwald" <b...@p...onet.pl>
wrote:


>
>A nie prosciej: "skiming" paska magnetycznego karty przez "uczciwego"
>sprzedawce przy POS

Ale przecież sam skimming nie umożliwi zdaje się wypłaty z bankomatu..
?

shamrock

do góry

> >A nie prosciej: "skiming" paska magnetycznego karty przez "uczciwego"
> >sprzedawce przy POS
>
> Ale przecież sam skimming nie umożliwi zdaje się >wypłaty z bankomatu..

Pisałem jeszcze o kamerze aby podpatrzeć PIN ;)

Pozdrawiam

do góry

On Fri, 1 Feb 2002 14:58:15 +0100, "bwwald" <b...@p...onet.pl>
wrote:

>> >A nie prosciej: "skiming" paska magnetycznego karty przez "uczciwego"
>> >sprzedawce przy POS
>>
>> Ale przecie? sam skimming nie umo?liwi zdaje si? >wyp?aty z bankomatu..
>
>Pisa?em jeszcze o kamerze aby podpatrze? PIN ;)

A w ogóle, to jak to jest, że kiedyś były (może jeszcze są)
bankomaty nie online - jakim cudem wypłacały one pieniądze skoro
teoretycznie nie miały prawa wiedzieć czy pin jest dobry czy nie ?

shamrock

do góry

Użytkownik "Dominik Miklaszewski"
> pewna osoba w dzien X w miescie Y zaplacila taka karta w dwoch
> supermarketach,

nie napisales czy podpisywala slipa czy wstukiwala PIN
tak czy siak powinna zglosic na policje ten fakt bo zbieznosc dat mogla byc
przypadkowa - mogli ja namierzyc wczesniej
*** blad ***

do góry

"shamrock" <s...@n...where.com> wrote in message
news:688l5us8u3igbt4lch6o3tbqv9t52h6vfk@4ax.com...

> A w ogóle, to jak to jest, że kiedyś były (może jeszcze są)
> bankomaty nie online - jakim cudem wypłacały one pieniądze skoro
> teoretycznie nie miały prawa wiedzieć czy pin jest dobry czy nie ?
>
> shamrock
>

Czolem

Mowiac z pewnymi uproszczeniami wyglada to tak:

Na karcie moze byc zakodowana pewnego rodzaju
"suma kontrolna" zmiksowana z danych karty i
wlasciwego PINu.

Przy transakcji off-line po wklepaniu PINu przez klienta
bankomat ponownie "miksuje" dane z karty z PINem
wklepanym wlasnie przez klienta, i jesli w wyniku
otrzymuje to samo co jest wpisane w polu "suma kontrolna"
danej karty, to znaczy, ze wklepany PIN jest OK.

Oczywiscie w tym celu bankomat musi znac algorytm
"miksowania" zastosowany przy kodowaniu karty,
co w praktyce oznacza, ze transakcje off-line bywaja
przeprowadzane tylko dla kart wydanych przez ten sam
bank, ktory jest operatorem danego bankomatu.

BTW, dzieki takiemu podejsciu:
- na karcie nie ma "czystego" PINu
- do "miksowania" mozna uzywac algorytmow
jednokierunkowych (nieodwracalnych) - czyli
nawet po zczytaniu tej "sumy kontrolnej" z karty
nadal nie da sie wyliczyc PINu - bo =jednoznaczne
przeksztalcenie odwrotne= do danego "miksowania"
po prostu nie istnieje.

Pozdrowionka
Tadeusz

do góry

"tp" <t...@d...net> writes:

> Na karcie moze byc zakodowana pewnego rodzaju
> "suma kontrolna" zmiksowana z danych karty i
> wlasciwego PINu.

Slyszalem, ze _kiedys_ _podobno_ cos takiego bylo, ale szczegolow nie znam.

> Przy transakcji off-line po wklepaniu PINu przez klienta
> bankomat ponownie "miksuje" dane z karty z PINem
> wklepanym wlasnie przez klienta, i jesli w wyniku
> otrzymuje to samo co jest wpisane w polu "suma kontrolna"
> danej karty, to znaczy, ze wklepany PIN jest OK.
>
> Oczywiscie w tym celu bankomat musi znac algorytm
> "miksowania" zastosowany przy kodowaniu karty,
> co w praktyce oznacza, ze transakcje off-line bywaja
> przeprowadzane tylko dla kart wydanych przez ten sam
> bank, ktory jest operatorem danego bankomatu.
>
> BTW, dzieki takiemu podejsciu:
> - na karcie nie ma "czystego" PINu

Co niewiele zmienia.

> - do "miksowania" mozna uzywac algorytmow
> jednokierunkowych (nieodwracalnych) - czyli
> nawet po zczytaniu tej "sumy kontrolnej" z karty
> nadal nie da sie wyliczyc PINu - bo =jednoznaczne
> przeksztalcenie odwrotne= do danego "miksowania"
> po prostu nie istnieje.

Niestety tak nie jest. Mogloby tak byc dla duzej przestrzeni PINow
(rzedu np. 2^100), ale przy 10 tys. mozliwych PINow (4-cyfrowych)
- czyli ok. 2^13 - znalezienie PINu, ktory bedzie dawal odpowiedni
wynik jest trywialne, przy uzyciu "brutalnej sily" - sprawdzajac
po prostu kazdy PIN po kolei.

To mniej-wiecej podobny problem jak CitiDirect + 4-cyfrowe PINy.

Szczerze mowiac mocno watpie, czy jakiekolwiek wydawane wspolczesnie
karty maja cokolwiek zwiazanego z PINem zapisanego na karcie. To, ze
wiekszosc nie ma, to jest pewne - np. nie daloby sie wtedy zmienic
PINu w bankomacie (bankomaty nic na kartach nie zapisuja, glownie po
to, by nie zniszczyc w ogole zapisu).
--
Krzysztof Halasa
Network Administrator

do góry

"Krzysztof Halasa" <k...@d...pm.waw.pl> wrote in message
news:m3hep0x8zz.fsf@defiant.pm.waw.pl...
> "tp" <t...@d...net> writes:
>
> > Na karcie moze byc zakodowana pewnego rodzaju
> > "suma kontrolna" zmiksowana z danych karty i
> > wlasciwego PINu.
>
> Slyszalem, ze _kiedys_ _podobno_ cos takiego bylo, ale szczegolow nie
znam.

Opisuje to norma ISO 4909 dotyczaca kodowania kart
bankowych. Stosowana jak najbardziej do dzisiaj,
gdyz reguluje m.in. zapisy na sciezce nr 2 tychze kart.
A bez tych zapisow, to ani Visa, ani Mastercard nie popuszcza...
W/w "suma kontrolna" jest po prostu rzadziej uzywana
czescia tej normy (dotyczaca sciezki nr 3).

>
> > Przy transakcji off-line po wklepaniu PINu przez klienta
> > bankomat ponownie "miksuje" dane z karty z PINem
> > wklepanym wlasnie przez klienta, i jesli w wyniku
> > otrzymuje to samo co jest wpisane w polu "suma kontrolna"
> > danej karty, to znaczy, ze wklepany PIN jest OK.
> >
> > Oczywiscie w tym celu bankomat musi znac algorytm
> > "miksowania" zastosowany przy kodowaniu karty,
> > co w praktyce oznacza, ze transakcje off-line bywaja
> > przeprowadzane tylko dla kart wydanych przez ten sam
> > bank, ktory jest operatorem danego bankomatu.
> >
> > BTW, dzieki takiemu podejsciu:
> > - na karcie nie ma "czystego" PINu
>
> Co niewiele zmienia.

Patrz nizej.

>
> > - do "miksowania" mozna uzywac algorytmow
> > jednokierunkowych (nieodwracalnych) - czyli
> > nawet po zczytaniu tej "sumy kontrolnej" z karty
> > nadal nie da sie wyliczyc PINu - bo =jednoznaczne
> > przeksztalcenie odwrotne= do danego "miksowania"
> > po prostu nie istnieje.
>
> Niestety tak nie jest. Mogloby tak byc dla duzej przestrzeni PINow
> (rzedu np. 2^100), ale przy 10 tys. mozliwych PINow (4-cyfrowych)
> - czyli ok. 2^13 - znalezienie PINu, ktory bedzie dawal odpowiedni
> wynik jest trywialne, przy uzyciu "brutalnej sily" - sprawdzajac
> po prostu kazdy PIN po kolei.
>

Zdecydowanie nie tak latwo.
Jesli chcialbys przeprowadzic ten 'brute force attack'
korzystajac z bankomatu - to pamietaj, ze po kazdej
nieudanej probie podania PINu bankomat odnotowuje
ten fakt (przy off-linie - robi to na sciezce nr 3 karty).
Gdy licznik dostepnych jeszcze prob spadnie do zera
(zazwyczaj po trzeciej probie) bankomat zatrzyma karte
i tym samym uniemozliwi Ci dalsze proby.

Aby probowac dopasowac PIN do karty bez bankomatu,
oprocz karty musisz znac jeszcze 'sposob miksowania'.
A tu: nie dosc, ze algorytm jest 'confidental', to jeszcze
wykorzystuje serie kluczy elektronicznych (min. 4)
dlugosci 56 lub 112 bitow kazdy, rozdzielonych pomiedzy
kilka osob z kierownictwa banku i trzymanych gleboko
w sejfach.

Dopiero majac algorytm i klucze moglbys zaczac 'brute force
attack' ze swoimi 10 tysiacami kombinacji PINu. Byloby to
faktycznie trywialne. Tylko po co tak kombinowac - majac te
dane moglbys po prostu wyprodukowac calkiem nowa serie
kart...

Acha, proba pozyskania algorytmu i kluczy z bankomatu
rowniez moze byc dosc klopotliwa - sa one przechowywane
w scalakach zamknietych w sejfie. Ponownie, moglbys
sprobowac rozpruc sejf - ale wtedy te scalaki nie bylyby
juz Ci chyba potrzebne... A nawet jesli, to maja one
wbudowany mechanizm samodestrukcji...

> Szczerze mowiac mocno watpie, czy jakiekolwiek wydawane wspolczesnie
> karty maja cokolwiek zwiazanego z PINem zapisanego na karcie. To, ze
> wiekszosc nie ma, to jest pewne - np. nie daloby sie wtedy zmienic
> PINu w bankomacie (bankomaty nic na kartach nie zapisuja, glownie po
> to, by nie zniszczyc w ogole zapisu).
> --

Dla informacji, metoda ta stosowana jest caly czas - przynajmniej
przez co najmniej jeden polski bank.
Niektore bankomaty jak najbrdziej potrafia zapisywac sciezke nr 3
kart bankowych - przy operacjach off-line jest to niezbedne,
aby zaktualizowac date ostatniej operacji i saldo dostepne
do dalszych operacji off-line w danym okresie rozliczeniowym.
Nic nie stoi na przeszkodzie, aby mozna bylo zmienic rowniez PIN
(oczywiscie w formie zmiany tej w/w "sumy kontrolnej")
- jest to uzaleznione tylko od decyzji kierownictwa banku.

Pozdrowionka raz jeszcze
Tadeusz

do góry

"tp" <t...@d...net> writes:

> Opisuje to norma ISO 4909 dotyczaca kodowania kart
> bankowych.

Czy on jest gdzies dostepna bez potrzeby placenia $$$?

> Zdecydowanie nie tak latwo.
> Jesli chcialbys przeprowadzic ten 'brute force attack'
> korzystajac z bankomatu - to pamietaj, ze po kazdej
> nieudanej probie podania PINu bankomat odnotowuje
> ten fakt (przy off-linie - robi to na sciezce nr 3 karty).
> Gdy licznik dostepnych jeszcze prob spadnie do zera
> (zazwyczaj po trzeciej probie) bankomat zatrzyma karte
> i tym samym uniemozliwi Ci dalsze proby.

No, roznie z tym jest. Wiele osob opisywalo "zatrzymywanie" przez bankomat
karty po jej zwrocie, i tak co trzeci raz.

Gdzie moge wyprobowac operacje offline i jaka karta?

> Aby probowac dopasowac PIN do karty bez bankomatu,
> oprocz karty musisz znac jeszcze 'sposob miksowania'.
> A tu: nie dosc, ze algorytm jest 'confidental', to jeszcze
> wykorzystuje serie kluczy elektronicznych (min. 4)
> dlugosci 56 lub 112 bitow kazdy, rozdzielonych pomiedzy
> kilka osob z kierownictwa banku i trzymanych gleboko
> w sejfach.

Podobno. I podobno te klucze sa tez w bankomacie. Zdrowy rozsadek
mowi, ze powinny byc raczej w banku. Albo po prostu nigdzie, bo tak
naprawde owe produkty kluczy mozna potraktowac jako dodatkowe dane
zapisane na karcie (bez interesowania sie z czego wynikaja), i bank
powinien ich normalnie wymagac. Niestety nie wiem dokladnie co jest
przesylane miedzy bankomatem i bankiem, oprocz faktu, ze wszystko
to wyglada mocno na security by obscurity.

> Dopiero majac algorytm i klucze moglbys zaczac 'brute force
> attack' ze swoimi 10 tysiacami kombinacji PINu. Byloby to
> faktycznie trywialne. Tylko po co tak kombinowac - majac te
> dane moglbys po prostu wyprodukowac calkiem nowa serie
> kart...

Ktore by sie do niczego nie nadawaly, bo zaden bank by nie dal im
autoryzacji.

> Acha, proba pozyskania algorytmu i kluczy z bankomatu
> rowniez moze byc dosc klopotliwa - sa one przechowywane
> w scalakach zamknietych w sejfie. Ponownie, moglbys
> sprobowac rozpruc sejf - ale wtedy te scalaki nie bylyby
> juz Ci chyba potrzebne... A nawet jesli, to maja one
> wbudowany mechanizm samodestrukcji...

Tak, scalaki. Tez o tym slyszalem, ale zupelnie w to nie wierze.
W to, ze w ogole bankomat moze miec mozliwosc samodestrukcji, to
jeszcze moge uwierzyc. Dodatkowo, mechanizm samodestrukcji na pewno
nie zadziala, jesli ktos bedzie wiedzial jak sie do tego zabrac.

> Dla informacji, metoda ta stosowana jest caly czas - przynajmniej
> przez co najmniej jeden polski bank.

Ktory?

> Niektore bankomaty jak najbrdziej potrafia zapisywac sciezke nr 3
> kart bankowych - przy operacjach off-line jest to niezbedne,
> aby zaktualizowac date ostatniej operacji i saldo dostepne
> do dalszych operacji off-line w danym okresie rozliczeniowym.

Podaj przyklad takiej operacji.

> Nic nie stoi na przeszkodzie, aby mozna bylo zmienic rowniez PIN
> (oczywiscie w formie zmiany tej w/w "sumy kontrolnej")
> - jest to uzaleznione tylko od decyzji kierownictwa banku.

Offlinowa zmiana PINu? Ciekawe, bo skad bank ma pozniej wiedziec ze
PIN zostal zmieniony?
--
Krzysztof Halasa
Network Administrator

do góry