eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiKradziez z karty - jak to sie stalo?
Ilość wypowiedzi w tym wątku: 26

  • 21. Data: 2002-02-10 02:56:40
    Temat: Re: Kradziez z karty - jak to sie stalo?
    Od: Krzysztof Halasa <k...@d...pm.waw.pl>

    "tp" <t...@d...net> writes:

    > w jednym zdaniu piszesz "przypuszczam, ze takiego
    > banku nie ma", a zaraz w drugim, ze "bardzo bym sie nie zdziwil
    > gdyby jakas firmowa karta (czyli zadna miedzynarodowa) chodzila
    > offline"

    To dosc naturalne. Przypuszczam, ze nie ma, ale nie wykluczam.

    > - czyli dopuszczasz, ze taki bank jest. A czy ja gdzies pisalem,
    > ze karty, o ktorych piszemy, sa miedzynarodowe ? Nie - bo to sa lokalne
    > karty danego banku.

    To bylo dla mnie oczywiste od poczatku.

    > Ale musze przyznac, ze przy okazji w powyzszym stwierdzeniu
    > troche przeholowales. Jak mogles zorientowac sie z informacji
    > i szczegolow zawartych w moich poprzednich postach, jestem
    > facetem, ktory wie, o czym pisze. W Twoich wypowiedziach
    > w zasadzie nie ma informacji, a tylko watpliwosci, ktore nb.
    > po kolei rozpraszam. OK, po to m.in. sa grupy dyskusyjne,
    > zeby dyskutowac. Ale przy okazji wyszlo, ze raczej nie jestes
    > fachmanem od bankomatow i kart. Znowu OK - nie kazdy
    > musi nim byc.

    Oczywiscie.
    Zauwaz, ze do rozpraszania moich watpliwosci potrzebujesz napisac
    o konkretach. A nie tylko tego, ze nie mozesz ich np. ujawnic.

    > I w tej sytuacji pisanie "przypuszczam, ze takiego banku
    > nie ma", po moich wypowiedziach, ze "transakcje off-line
    > sa stosowane w co najmniej jednym polskim banku, ktorego
    > nazwy nie moge podac" - to jest po prostu zarzucanie mi klamstwa.

    Czy ja wiem? Po prostu, nie podales nazwy banku, nie mozna tego
    sprawdzic. Sam tez mozesz byc w bledzie. Moje zdanie na ten temat
    jest na poczatku.
    Przeciez nie bede biegal po miescie i szukal bankomatow, ktore
    obsluguja tylko jedna lokalna karte. No i brak takiego znaleziska
    tez by o niczym nie swiadczyl.

    > I nie masz do stawiania tych zarzutow zadnych innych podstaw,
    > niz tylko Twoje niczym nie podparte domniemania. A moze
    > byles u wrozki ?

    Nie, ale mam wrazenie ze miales jakis zly dzien.

    > Wiec powtorze dla pewnosci jeszcze raz: tak, w chwili obecnej
    > bankomaty i karty off-line sa stosowane w co najmniej jednym
    > polskim banku, ktorego nazwy nie moge podac. Byc moze tych
    > bankow jest wiecej - ale tego po prostu nie wiem. A nie wiedzac,
    > nie wstydze sie tego napisac i nie zamierzam zarzucac klamstwa
    > komus, kto mi powie, ze "sa inne takie banki" lub tez ze "innych
    > takich bankow nie ma". Moze wez przyklad z wlasnie takiej
    > postawy.

    Nie, nie lubie takiej postawy. Albo pisze o czym wiem i o czym moge
    napisac, albo nie wspominam o tym w ogole. W przeciwnym przypadku
    widzialbym siebie jako osobe, ktora pozuje na znawce, a w rzeczywistosci
    nic nie wie (zauwaz, ze w przypadku Twojej osoby na temat drugiej czesci
    niewiele moge powiedziec).

    Sam nie ukrywam, ze nie zajmuje sie kartami bankowymi zawodowo.

    > Przeciez mechanizm kontroli ilosci
    > wprowadzen blednego PINu dziala rowniez w transakcjach
    > on-line ?

    Oczywiscie. Opisywane transakcje nawet na pewno byly online, a to,
    ze "zatrzymywanie" kart bylo podwojnie bledne, to juz inna sprawa.

    > I, co wiecej, wlasnie przy transakcjach on-line
    > istnieje wiecej mozliwosci, aby po trzecim bledym PINie
    > nie zatrzymywac karty ?

    To stwierdzenie czy pytanie?
    Jesli pytanie, to w przypadku uzycia karty (np. 2 roznych kopii)
    w 2 bankomatach offline nie ma metody, by zatrzymac karte po 3 probach,
    w przeciwienstwie do kazdego normalnego bankomatu, ktory powinien
    zatrzymac karte (a co najwazniejsze, wszystkie kopie przestana
    dzialac w tym samym momencie).

    Naturalnie, w systemie online jest wiecej miejsc, gdzie moze byc
    jakis blad.

    > Co do transakcji off-line w bankomatach omawianego banku,
    > to moge Cie zapewnic na 100%, ze po trzykrotnym blednym
    > PINie bankomat karte zatrzyma. Po prostu tak jest sparametry-
    > zowany i nie musi w tym wzgledzie polegac na niedocieczonych
    > dyrektywach z centrum autoryzacyjnego, tylko na swoim wlasnym
    > procesorze.

    A co z innymi bankomatami? Oczywiscie, nie ma ich w wystarczajacej
    ilosci...

    > Aby cos zakodowac (uzywam tego slowa zamiast "zakodowac", bo,
    > jak zapewne wiesz, szyfrowanie jest tylko przypadkiem szczegolnym
    > kodowania, ktory to przypadek nb. nie znajduje tutaj zastosowania),
    > potrzebny jest algorytm. Algorytmy stosowane przy kodowaniu
    > takich danych ze wzgledow praktycznych opieraja sie na kluczach
    > (bo klucze latwiej utajnic niz caly algorytm).

    A wiec nie ma tu szyfrowania, a kodowanie (nie bedace szyfrowaniem)
    jakims kluczem?
    I, jak rozumiem, owo kodowanie jest odporne na kryptoanalize
    wykorzystujaca np. dwie (albo trzy, cztery, co tam) rozne karty tego banku
    oraz PINy do nich?

    > A pozwole sobie przypomniec, ze na poczatku dyskusji zanegowales
    > wlasnie potrzebe przechowywania kluczy w bankomacie.

    Dosc konkretnych, zreszta (sluzacych do testowania PINu), i to
    w bankomacie online.


    Tak czy owak, cala sprawa sprowadza sie do faktu, ze bankomaty offline,
    jesli w ogole jeszcze istnieja (co w zasadzie nie ma w tej chwili
    znaczenia praktycznego), sa w stadium wymierania, gdyz ich istnienie
    stwarza dla banku niebezpieczenstwo - tak jak banki zaczely np. emitowac
    karty online, tak i bankomaty offline musza umrzec smiercia naturalna.

    Moze takie bankomaty (albo niektore transakcje w nich) wroca razem
    z kartami chipowymi, zobaczymy (zdaje sie, ze w niektorych krajach juz
    tak jest).

    > A tu wychodzi, ze sa one niezbedne zarowno w bankomatach
    > on-line (kodowanie danych do transmisji do banku), jak i
    > off-line (weryfikacja kart i PINow, kodowanie j.w)

    No popatrz. Z tym kodowaniem z checia jednak dowiedzialbym sie czegos
    konkretnego - te klucze... jaka maja dlugosc? 56 bitow?
    Gdzie, Twoim zdaniem, przebiega granica pomiedzy szyfrowaniem i tylko
    zwyklym kodowaniem?
    Te 56 bitow bardzo mi sie jakos z DESem kojarzy.

    > > Ach, to inne banki rowniez akceptuja te karty offlinowo?
    > > Szczerze mowiac, byloby to bardzo ryzykowne.
    >
    > Bede troche zgryzliwy: szczerze mowiac, nie wydaje mi sie,
    > abys byl osoba, ktora dysponuje dostatecznymi danymi do oceny
    > tego ryzyka.

    Moze tak Ci sie wydawac, w koncu nie zajmuje sie bezpieczenstwem
    bankomatow, a tylko zwyczajniejszych komputerow.

    > Przy okazji, moim zdaniem, Twoja powyzsza wypowiedz
    > jest przykladem postawy "pogadam sobie, aby gadac -
    > a co do celu tego gadania, to po co on komu ?".
    > Ponownie podales w watpliwosc moje slowa nie majac
    > do tego zadnych podstaw merytorycznych.

    Nie, sprawa jest calkowicie odwrotna: to Ty nie przedstawiles zadnych
    podstaw merytorycznych.

    Alez prosze, jesli chodzi o merytoryczne podstawy - piszesz, ze do
    sprawdzenia PINu nie uzywa sie szyfrowania. Piszesz takze, ze podstawa
    bezpieczenstwa nie jest tajnosc algorytmu, a same klucze (co jest
    normalne, pod warunkiem, ze sam algorytm jest dostatecznie silny
    - ale ten warunek spelniaja jednak tylko algorytmy kryptograficzne).
    W jaki w takim razie sposob bank radzi sobie z przypadkami wyciagniecia
    kluczy z samych kart, jesli algorytm nie jest dostatecznie silny
    (w ogole nie jest silny - kodowanie nie ma sily w znaczeniu krypto)?

    > Co do meritum, to informuje Cie, ze jest to mozliwe zarowno
    > technicznie, jak i organizacyjnie; aczkolwiek w przypadku
    > omawianego banku nie jest to obecnie stosowane.

    Oddycham z ulga.

    > Jak pamietam, podales w watpliwosc mozliwosc samodestrukcji
    > scalakow, piszac rownoczesnie o tym, ze zgodzilbys sie na idee
    > mozliwosci samodestrukcji calego bankomatu.

    Wlasnie. Moze nawet nie calego, w koncu to nie wojna swiatowa - wystarczy
    wydzielonej czesci elektroniki.

    > Moim zdaniem, struktura krzemowa EEPROMu wraz
    > z dolaczonym kondensatorkiem, "osiatkowana" jako
    > calosc (nb. "siatka" to tylko jeden z wielu mozliwych
    > sposobow zabezpieczen) i w calosci zalana tworzywem,
    > z wyprowadzonymi nozkami - to raczej jest scalak,
    > a nie bankomat ?

    Wedlug powszechnie uzywanej nomenklatury, scalak (uklad scalony, integrated
    circuit) jest ukladem monolitycznym, zwykle krzemowym. Taka konstrukcja
    bylaby raczej nazwana ukladem hybrydowym. Choc naturalnie mozemy
    przyjac taka interpretacje.

    > Jak napisalem, w kazdym bankomacie (zarowno off-line,
    > jak i on-line) musza byc przechowywane w sposob bezpieczny
    > klucze kodowania. Obecnosc takiego zabezpieczonego scalaka,
    > czy nawet kilku, nie wplywa praktycznie wcale na koszt maszyny
    > - do ich wytworzenia wcale nie trzeba duzo wyzszej technologii,
    > niz do "zwyklych" scalakow. Nb. w bankomacie duzo drozsza
    > niz elektronika jest elektromechanika precyzyjna.

    Nie mialem na mysli kosztu elektroniki, a straty na fraudach.
    Taka elektronike (pomijajac wykrywanie ingerencji i niszczenie)
    bylby w stanie pewnie wyprodukowac srednio zdolny student 2 roku
    elektroniki.

    > Co do zlamania kluczy przy zalozeniu posiadania karty i PINu
    > - klania sie tutaj poczatek naszej dyskusji. Wszak napisalem,
    > ze algorytm liczenia pol kontrolnych jest nieodwracalny.
    > Nieodwracalnosc taka wynika z jego nadmiarowosci,
    > a ta dotyczy nie tylko danych, ale rowniez i kluczy...
    > Nb. algorytm jest zdecydowanie bardziej zlozony niz
    > "zwykly DES".

    ... i nie jest kryptografia? Bardzo dziwne, nie uwazasz?

    A moze jednak jest kryptografia, a dokladnie liczy sie skrot
    kryptograficzny i podpisuje sie go w jakis sposob tajnym kluczem,
    zgodnie z teoria znana od lat? To, czy to bedzie MD5+DES, czy
    np. SHA-1+kryptografia asymetryczna, czy po prostu bedzie to
    zaszyfrowany DESem blok danych (czyli skrot = tozsamosc), to juz
    jest mniej istotna sprawa, majaca znaczenie glownie dla czasu
    zlamania klucza (bez dostepu do np. bankomatu, komputera banku
    itp).

    > OK, tu po raz pierwszy dzisiaj musze przyznac Ci racje.
    > Faktycznie, zagalopowalem sie z tym "znakiem rowosci".
    > Co nie zmienia faktu, ze bankomaty off-line'owe dzialaly,
    > i nadal dzialaja, i nic mi nie wiadomo o tym, aby mialy jakis
    > wyzszy odsetek szeroko rozumianych "uszczuplen mienia".

    Jesli tak, to tylko dlatego, ze po prostu nikomu (odpowiedniemu)
    nie przyszlo do glowy sie do nich zabrac (?) Bo tak naprawde, ile mozna
    ukrasc z takich bankomatow zanim je (po wykryciu metody) zamkna?
    Moze lepiej zajmowac sie bardziej oplacalnymi rzeczami?

    Tyle ze od jakiegos czasu to tak nie musi dzialac - dostep do informacji
    i komputerow maja wszyscy, lacznie z dziecmi spragnionymi nawet
    niewielkich pieniedzy, i nie myslacymi o przyszlosci itp. No, moze
    dzieci tez maja utrudniony dostep do kart.

    > Niestety, co do drugiej czesci zdania, to technicznie
    > i organizacyjnie daloby sie to zrobic - w takim przypadku
    > w bankomacie off-line'owym nalezaloby po prostu uzyc
    > starego PINu i ewentualnie zmienic go jeszcze raz
    > (tym razem na karcie). Oczywiscie byloby to niewygodne
    > dla klienta, ktory musialby pamietac oba PINy - zarowno
    > stary, jak i nowy.

    Ale myslalem o nieco innej sytuacji - mamy normalna karte VISA, ktora
    na pewno nie ma zadnego PINu, jego skrotu itp na pasku magnetycznym.
    Ani starego PINu, ani nowego, ani zadnego. Takiej karty za zadne skarby
    nie moglibysmy uzyc w naszym offlinowym bankomacie - on dzialalby tylko
    z kartami naszego (wybacz, ze go tak nazwe) hipotetycznego banku.

    Szczerze mowiac nie mam zwyczaju chodzic po bankomatach i patrzec im
    na naklejki, ale znaczki VISA same sie rzucaja w oczy.

    > No i dochodzimy do sedna nieporozumienia. Ty pisales
    > opierajac sie glownie na doswiadczeniach z kartami
    > miedzynarodowymi, ja oprocz miedzynarodowych
    > znam rowniez praktyke kart lokalnych.

    Oczywiscie. Nie uzywam zadnej krajowej karty. Szczerze mowiac same
    karty krajowe mnie specjalnie nie interesuja, natomiast zainteresowal
    mnie problem bankomatow, ktore z definicji musza ich (i tylko ich)
    uzywac.

    > Faktycznie tak bylo. Z tym, ze nie nazywano tego "online"
    > - byly to typowe bankomaty off-line'owe, bo transakcje
    > w nich wykonywane byly jak najbardziej off-line'owe.

    Tak wlasnie napisalem, online odbywalo sie wylaczenie przekazywanie
    danych o dokonanych w poprzednim dniu transakcjach, zapewne sciaganie
    jakichs stoplist itp. Przez caly dzien polaczenia nie bylo.

    > Potem byl jeszcze okres, ze bankomaty pracowaly "w zasadzie"
    > on-line, ale jak padlo lacze lub bylo jakies "wykrzaczenie"
    > w banku lub w centrum autoryzacyjnym, to przechodzily
    > w tryb off-line i placily na podstawie zapisow na 3. sciezce.

    Do momentu, w ktorym nie dalo sie juz zweryfikowac PINu, jak rozumiem?
    --
    Krzysztof Halasa
    Network Administrator


  • 22. Data: 2002-02-11 06:52:27
    Temat: Re: Kradziez z karty - jak to sie stalo?
    Od: "tp" <t...@d...net>


    Czolem grupowiczom
    i w szczegolnosci p. Krzysztofowi

    Aby nie macic dopisywaniem urwanych fragmentow
    do juz poszatkowanego tekstu, pozwole sobie zebrac
    swoje wypowiedzi w jedna calosc.

    Na poczatek krotka rekapitulacja.

    Wracajac do poczatku dyskusji o kartach i bankomatach
    off-line: dyskusja ta rozwinela sie od zapytania, jak to sie
    dzieje, ze bankomat off-line moze zweryfikowac PIN bez
    istnienia zapisu PINu na karcie.

    Pierwotnemu pytajacemu odpisalem, ze dzieje sie tak
    dzieki istnieniu na karcie swoistej "sumy kontrolnej",
    wygenerowanej z zawartosci karty i PINu i sprawdzanej
    przez bankomat przy kazdym uzyciu karty.
    Zaznaczylem, ze opis ma charakter uproszczony.

    Po wyjasnieniu tego zjawiska pojawil sie problem, czy taka
    metoda jest odporna na atak "brute force". Wyjasnilem,
    ze atak taki wymagalby uprzedniego rozpoznania algorytmu
    kodowania i uzywanych w nim kluczy kodujacych.

    W trakcie dalszej dyskusji pojawily sie kolejne podane
    przeze mnie informacje:
    - ze karty off-line sa zapisaywane w oparciu o norme ISO 4909,
    czyli ta sama, ktora rzadzi czytaniem wszelkich kart bankowych
    (rowniez Visa i MC)
    - ze "sumy kontrolne" sa co najmniej dwie (1. weryfikacja
    integralnosci karty 2. weryfikacja PINu)
    - ze ich kreacja nastepuje w momencie pierwotnej kreacji
    karty, a nastepnie sa one zmieniane po kazdym off-line'owym
    uzyciu karty (a wiec bankomat off-line jak najbardziej "pisze"
    na karcie off-line)
    - ze do ich obliczania stosuje sie algorytm mieszajacy
    oparty na zestawie co najmniej 4 kluczy o dlugosci
    56- lub 112 bitow kazdy (wg wybranej opcji)
    - ze klucze te przechowywane sa w bankomacie
    w scalakach zabezpieczonych przed nieuprawnionym
    odczytem zawartosci, i ze takie scalaki wystepuja rowniez
    w bankomatach on-line i nie podnosza istotnie kosztu
    bankomatow.



    W ostatnim poscie p. Krzysztof ponownie podnosi kwestie
    narazenia banku stosujacego bankomaty off-line na fraudy,
    piszac [cyt.] "A wiec nie ma tu szyfrowania, a kodowanie
    (nie bedace szyfrowaniem) jakims kluczem?" oraz "piszesz,
    ze do sprawdzenia PINu nie uzywa sie szyfrowania.".
    No i tu wychodzi na jaw koniecznosc zamieszczenia
    istotnej uwagi nomenklaturowej, bedacej zrodlem duzego
    nieporozumienia.

    Otoz zgodnie ze znanymi mi konwencjami stosowanymi
    w literaturze kryptograficznej, termin "szyfrowanie" oznacza
    dla mnie wykonanie kodowania *tekstu* poprzez zastosowanie
    elementarnie prostego kodowania jednopodstawieniowego
    (litera za litere). Poniewaz w przypadku bankomatu taka sytuacja
    (litera za litere) nie zachodzi, dla opisu operacji zmierzajacych
    do weryfikacji kart, jak i zabezpieczania danych do transmisji
    uzywam nazwy "kodowanie".
    Oczywiste dla mnie jest przy tym (ze wzgledu na kontekst
    wypowiedzi), ze mowimy o kodowaniu kryptograficznym.

    Oczywiscie wiem, iz w polskim jezyku potocznym aby wyrazic
    pojecie "kodowanie kryptograficzne" uzywa sie terminu
    "szyfrowanie", ale mysle, ze jezyk potoczny chyba nie powinien
    byc traktowany jako wzorzec w dyskusji technicznej.

    Dlatego zdziwilo mnie, iz w swoim ostatnim poscie p. Krzysztof, bedacy
    [cyt.] "network administrator", i zajmujacy sie [cyt.] "bezpieczenstwem
    [...]
    komputerow" przeciwstawia te dwa pojecia, i traktuje pojecie "kodowanie"
    jako cos slabszego od "szyfrowania". Mam nadzieje, iz uwaga niniejsza
    wyjasnia dosc gruntownie nieporozumienie, ktorego wynikiem jest spora
    czesc ostatniego postu p. Krzysztofa.

    Powtorze jeszcze, iz klucze kodowania maja dlugosc 56 lub 112
    bitow, w zaleznosci od wybranej opcji. Algorytm jest 128 bitowy
    i wykorzystuje m.in. cztery operacje DES (ale oczywiscie powiazane
    nie linearnie) polaczone z innymi niepublikowanymi oficjalnie
    operacjami kodujacymi.
    Tak wiec, zlamanie tego systemu kodowania moze "chwile" zajac.
    I raczej nie jest to do wykonania przez nudzacego sie dzieciaka
    (a, jak juz sie uprzednio zgodzilismy, innym osobom lamanie
    zabezpieczen bankomatu raczej nie bedzie sie oplacac).

    ======

    Ponadto p. Krzysztof wyrazil "mocna" watpliwosc, "czy
    jakiekolwiek wydawane wspolczesnie karty maja cokolwiek
    zwiazanego z PINem zapisanego na karcie", argumentujac,
    ze "bankomaty nic na kartach nie zapisuja, glownie po to,
    by nie zniszczyc w ogole zapisu".

    Co do zapisywania danych przez bankomaty na kartach,
    patrz wyzej.

    Co do wspolczesnego istnienia takich bankomatow...
    No coz, jak napisalem, ja =wiem=, ze bankomaty off-line
    sa wspolczesnie uzywane. Napisalem juz swoje na ten temat
    i nie chce mi sie tego powtarzac. Jesli nie przekonalem
    - trudno, plakal nie bede. (Ale przynajmniej p. Krzysztof nie
    kwestionuje juz istnienia scalakow zdolnych do samo-
    destrukcji...)

    Moze tylko jeszcze dodam aspekt, ktorego p. Krzysztof
    nie bierze chyba pod uwage: ze podstawowym zadaniem
    bankomatow jest zastapienie kas i kasjerek. I w kontekscie
    tego wlasnie zadania naprawde nie ma znaczenia, czy karta
    jest Visa, MC,czy po prostu lokalna karta bankomatowa.
    Kazda umozliwia wyplate gotowki z okreslonej sieci
    bankomatow.

    Acha, zdaje sobie sprawe, ze w przypadku kart z logo Visa
    czy MC siec dostepnych bankomatow jest nieporownanie
    wieksza, niz dla karty lokalnej. Ale istnieja klienci (i jest ich
    bynajmniej niemalo), ktorzy korzystaja z karty tylko w tym
    zakresie, w jakim korzystaliby z uslug kasy banku:
    do wyplaty gotowki w miejscowosci zamieszkania.
    I dla nich taka karta lokalna jest calkowicie wystarczajaca.
    A fakt, ze taka karta *nie moze* byc uzyta do zakupow
    w sklepie, co niektorzy traktuja jako duzy plus...

    Ale, oczywiscie, nie zamierzam udowadniac nikomu,
    ze bankomaty off-line'owe sa lepsze od on-line'owych.
    Pozwole sobie przypomniec, ze nigdy tak nie twierdzilem
    (chociaz z tonu wypowiedzi p. Krzysztofa mogloby wynikac
    cos innego).

    Pozdrowionka
    Tadeusz

    ======

    P.S.
    Przy okazji scalakow: jeszcze jedna uwaga
    nomenklaturowa:

    P. Krzysztof pisze: [cyt.] "Wedlug powszechnie
    uzywanej nomenklatury, scalak (uklad scalony,
    integrated circuit) jest ukladem monolitycznym,
    zwykle krzemowym."

    No coz, mnie uczono inaczej: ze uklad scalony
    jest to wydzielona czesc obwodu elektrycznego,
    =o scisle okreslonych funkcjach=, zamknieta
    w obudowie (najczesciej z tworzywa sztucznego)
    i z wyprowadzonymi koncowkami umozliwiajacymi
    jej latwy montaz w obwodzie zewnetrznym.

    Taki scalak moze byc w srodku zarowno cyfrowy,
    jak i analogowy lub hybrydowy. Oczywiscie, jako
    komputerowcy, najczesciej spotykamy sie ze
    ukladami cyfrowymi. Ale utozsamianie pojecia
    "scalak" =wylacznie= z krzemowa struktura cyfrowa
    to chyba troche za silne ograniczenie.

    Pozdrowionka raz jeszcze
    Tadeusz




  • 23. Data: 2002-02-11 16:22:55
    Temat: Re: Kradziez z karty - jak to sie stalo?
    Od: Krzysztof Halasa <k...@d...pm.waw.pl>

    "tp" <t...@d...net> writes:

    > Otoz zgodnie ze znanymi mi konwencjami stosowanymi
    > w literaturze kryptograficznej, termin "szyfrowanie" oznacza
    > dla mnie wykonanie kodowania *tekstu* poprzez zastosowanie
    > elementarnie prostego kodowania jednopodstawieniowego
    > (litera za litere). Poniewaz w przypadku bankomatu taka sytuacja
    > (litera za litere) nie zachodzi, dla opisu operacji zmierzajacych
    > do weryfikacji kart, jak i zabezpieczania danych do transmisji
    > uzywam nazwy "kodowanie".
    > Oczywiste dla mnie jest przy tym (ze wzgledu na kontekst
    > wypowiedzi), ze mowimy o kodowaniu kryptograficznym.

    W takim razie...
    Wedlug nomenklatury, z ktora ja sie spotkalem, szyfrowanie jest
    szczegolnym przypadkiem kodowania, posiadajacym wszystkie cechy kodowania
    nie bedacego szyfrowaniem, oraz wykorzystujacym algorytmy kryptograficzne
    w ten sposob, by osoba nie posiadajaca odpowiedniego klucza (moze to byc
    "shared secret", albo "private key", lub tez inny wynalazek), albo nie
    znajaca algorytmu (stosowane dawniej), nie mogla odczytac oryginalnej
    wiadomosci.

    Kodowanie (a wiec takze szyfrowanie, bedace przeciez kodowaniem) jest
    odwracalne, tj. mozna bez trudu uzyskac oryginal (w przypadku
    szyfrowania potrzebna jest w praktyce znajomosc klucza). Funkcje
    jednokierunkowe (funkcje skrotu, hash) nie sa kodowaniami, gdyz ten
    warunek nie jest dla nich spelniony. Takie funkcje moga jednak uzywac
    kodowania (i szyfrowania) wewnetrznie. Moga one byc oczywiscie funkcjami
    kryptograficznymi (choc nie sa kodowaniem).

    - szyfrowanie nie musi byc "litera za litere". W ogole zestaw symboli
    wyjsciowych moze byc zupelnie inny niz wejsciowych (i czesto jest).

    > Oczywiscie wiem, iz w polskim jezyku potocznym aby wyrazic
    > pojecie "kodowanie kryptograficzne" uzywa sie terminu
    > "szyfrowanie", ale mysle, ze jezyk potoczny chyba nie powinien
    > byc traktowany jako wzorzec w dyskusji technicznej.

    Zapewne. Tak sie jednak sklada, ze "kodowanie kryptograficzne" i
    "szyfrowanie" to synonimy (przynajmniej w znanej mi nomenklaturze).

    Z tego wlasnie powodu na poczatku uzylem, zapewne nie najszczesliwszej,
    nazwy "szyfrowanie" (na okreslenie w ogole jakichkolwiek operacji
    kryptograficznych), co pozniej nieco uscislilem.

    Oczywiscie, niezaleznie od tego, czy uwazamy funkcje jednokierunkowe
    za kodowanie czy tez nie, nie zmienia to faktu, ze np. DES (Data
    Encryption Standard) jest algorytmem _szyfrujacym_. Stwierdzenie
    o braku szyfrowania oznaczalo dla mnie, ze niczego takiego jak DES
    sie nie uzywa, co - jak rozumiem - okazalo sie niespecjalnie prawdziwe.


    > Moze tylko jeszcze dodam aspekt, ktorego p. Krzysztof
    > nie bierze chyba pod uwage: ze podstawowym zadaniem
    > bankomatow jest zastapienie kas i kasjerek. I w kontekscie
    > tego wlasnie zadania naprawde nie ma znaczenia, czy karta
    > jest Visa, MC,czy po prostu lokalna karta bankomatowa.
    > Kazda umozliwia wyplate gotowki z okreslonej sieci
    > bankomatow.

    Tak jak napisalem, nie watpie ze jest to mozliwe. Praktyka (moja)
    jest taka ze czegos takiego od dawna nie widzialem (bankomatu, ktory
    nie akceptowalby VISA lub MC itp).

    Nie jest tu istotne, czy mamy _karte_ VISA czy jakas lokalna, i ze tej
    lokalnej nie da sie nigdzie poza naszym bankomatem uzyc. Istotne jest,
    ze ten "nasz" bankomat nie bedzie w stanie obsluzyc kart VISA itp.

    > P. Krzysztof pisze: [cyt.] "Wedlug powszechnie
    > uzywanej nomenklatury, scalak (uklad scalony,
    > integrated circuit) jest ukladem monolitycznym,
    > zwykle krzemowym."
    >
    > No coz, mnie uczono inaczej: ze uklad scalony
    > jest to wydzielona czesc obwodu elektrycznego,
    > =o scisle okreslonych funkcjach=, zamknieta
    > w obudowie (najczesciej z tworzywa sztucznego)
    > i z wyprowadzonymi koncowkami umozliwiajacymi
    > jej latwy montaz w obwodzie zewnetrznym.

    No coz, widocznie inaczej nas uczono.

    > Taki scalak moze byc w srodku zarowno cyfrowy,
    > jak i analogowy lub hybrydowy.

    Generalnie nazwa scalak jest nazwa potoczna, jesli mamy stosowac scisle
    techniczne terminy, lepiej uzywac nazwy "uklad scalony".

    Piszac "hybrydowy", mialem na mysli najczesciej stosowana definicje,
    nie majaca zwiazku z cyfrowoscia lub nie ukladu, a raczej z jego
    niemonolitycznoscia.

    > Oczywiscie, jako
    > komputerowcy, najczesciej spotykamy sie ze
    > ukladami cyfrowymi. Ale utozsamianie pojecia
    > "scalak" =wylacznie= z krzemowa struktura cyfrowa
    > to chyba troche za silne ograniczenie.

    Owszem, dlatego tez tak nigdy nie napisalem. Napisalem "zwykle krzemowy",
    bo zwykle (> 99%) jest wlasnie krzemowy, ale zdazaja sie takze uklady
    oparte o np. arsenek galu. O cyfrowosci nie pisalem w ogole, poniewaz
    oczywiste jest, ze "scalaki" moga byc takze analogowe i analogowo-cyfrowe.
    --
    Krzysztof Halasa
    Network Administrator


  • 24. Data: 2002-02-12 15:34:38
    Temat: Re: Kradziez z karty - jak to sie stalo?
    Od: "Syriusz" <s...@i...net.pl>

    > >nie majac samej karty w garsci nawet znajac PIN!..
    > >
    > skiming. Po prostu zrobili kopie karty. Ale jesli to byla kredytowa i
    > nie byla nigdy uzywana z PINem (tak jak tutaj wieskszoc ludzi wogole
    > nie zna swojego PINu od kredytowki) to bardzo dziwne.
    > Pewnoie jednak zdarzylo sie tej osobie wyplacac z pechowego bankomatu.

    Albo ktos podsluchal jej rozmowe telefoniczna przy aktywacji karty. Takie
    procedury (oczywiscie aktywacji, a nie podsluchiwania) ma chociazby
    Citibank. Po otrzymaniu nieaktywnej karty nalezy zadzwonic na infolinie i
    wstukac wymyslony przez siebie PIN do karty. Wystarczy taka rozmowe
    podsluchac prostym urzadzeniem - http://republika.pl/dtmf2/1odbdtmf.htm - do
    detekcji tonów DTMF (jakby ktos nie wiedzial: takie "piszczenie" w sluchawce
    po wcisnieciu klawisza w trakcie rozmowy). Nastepnie przy "okazji"
    zeskanowac karte - zrobic pare kopii, poszukac bankomatów OFF-line i
    zadluzyc pechowca na drobne 100 000. I niech sie martwi - przeciez Klient
    odpowiada za transakcje z uzyciem PIN'u.
    Tak przy okazji - przy aktywacji mojej karty, gdy zapytalem o bezpieczenstwo
    wstukiwania PIN'u przez telefon to Pani z infolinii powiedziala: "nie ma
    takiej mozliwosci". A ja twierdze, ze jest i co wy na to?
    Pozdrawiam
    Tomek
    PS
    Co do zabezpieczen laczy telefonicznych (a raczej ich braku), mam nadzieje,
    ze nie musze nikogo przekonywac.




  • 25. Data: 2002-02-12 20:58:26
    Temat: Re: Kradziez z karty - jak to sie stalo?
    Od: Wojtek Frabinski <w...@a...net.pl>

    On Tue, 12 Feb 2002 16:34:38 +0100, "Syriusz" <s...@i...net.pl>
    wrote:
    Nastepnie przy "okazji"
    >zeskanowac karte - zrobic pare kopii, poszukac bankomatów OFF-line
    ^^^^^^^^
    To mozna dluuugo szkuac :-)
    --
    Wojtek Frabinski ICQ 50443653
    w...@a...net.pl
    Moja strona Meat Loafa http://www.meatloaf.3a.pl/
    galeria kart bankowych http://www.karty.3a.pl/


  • 26. Data: 2002-02-12 22:12:46
    Temat: Re: Kradziez z karty - jak to sie stalo?
    Od: Krzysztof Halasa <k...@d...pm.waw.pl>

    "Syriusz" <s...@i...net.pl> writes:

    > Albo ktos podsluchal jej rozmowe telefoniczna przy aktywacji karty. Takie
    > procedury (oczywiscie aktywacji, a nie podsluchiwania) ma chociazby
    > Citibank. Po otrzymaniu nieaktywnej karty nalezy zadzwonic na infolinie i
    > wstukac wymyslony przez siebie PIN do karty. Wystarczy taka rozmowe
    > podsluchac prostym urzadzeniem - http://republika.pl/dtmf2/1odbdtmf.htm - do
    > detekcji tonów DTMF (jakby ktos nie wiedzial: takie "piszczenie" w sluchawce
    > po wcisnieciu klawisza w trakcie rozmowy). Nastepnie przy "okazji"
    > zeskanowac karte - zrobic pare kopii, poszukac bankomatów OFF-line i
    > zadluzyc pechowca na drobne 100 000. I niech sie martwi - przeciez Klient
    > odpowiada za transakcje z uzyciem PIN'u.

    Tak na marginesie ostatniej dyskusji o offlinowych bankomatach
    - nie da sie tego tu zrobic, bankomat obslugujac karte Citi musi
    byc online.
    --
    Krzysztof Halasa
    Network Administrator

strony : 1 . 2 . [ 3 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1