-
111. Data: 2002-06-03 07:23:54
Temat: Re: Podpis na karcie.
Od: Adam Płaszczyca <o...@m...oldfield.org.pl>
Wojtek Piecek <w...@p...waw.pl> wrote:
>> A wszystkie sprowadzają się do weryfikacji tego, co pinpad kabelkiem
>> pośle. W efekcie zamiast klawiaturki może być cokolwiek, byleby
>> podsyłało to, co podesłałby pinpad.
> No i?
Co oznacza, że mając PIN-pad, który jest de facto prostym
mikrokomputerkiem mogę odczytać jego program, i zmodyfikować go tak, aby
przesyłał do POS-a to samo, co nieprzerobiony, a miał dodatkowe funkcje
(np. - zapamiętywał ostatnio wbity PIN).
> Jasne. Ale co to ma do rzeczy? Powyzej masz fragment ktory mowi o
> przesylaniu podpisanych danych.
A co ma to do rzeczy? Dane są najpierw podawane jawnie, potem szyfrowane
i potem przesyłane. Wystarczy je przechwycić PRZED szyfrowaniem.
> A kazdy pos ma backdoora ktory wypisuje 'klient uzyl pinu 1234'.
Każdy może mieć. Tak się składa, że mikrokomputer 8051 ma jawny kod
maszynowy i jego modyfikacja nie jest niemożliwa.
>> A możesz uwierzyć, że przerobony PIN-pad może do przerobionego POS-a
>> przesłać PINblok, a po nim czysty, zywy PIN?
> A mozesz uwierzyc ze to wymaga modyfikacji POSa?
Oczywiście. Jeżeli chcę przesyłać. Bo jeżeli nie chcę, to nie wymaga.
> Alez pomiedzy nakladka na klawiature a przeprogramowaniem pinpada jest
> __olbrzymia__ roznica! Nie mieszaj tych dwoch rzeczy.
Może dla Ciebie, to rzecz tak skomplikowana, że niewykonalna. Dla
przeciętnego elektronika który ma cokolwiek wspólnego z
mikrokontrolerami i jedna, i druga operacja to dość proste modyfikacje.
Dla mnie, jako potencjalnej ofiary takich działań są to działania *zbyt
łatwe*, aby podawać PIN.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313
-
112. Data: 2002-06-03 07:25:31
Temat: Re: Podpis na karcie.
Od: Adam Płaszczyca <o...@m...oldfield.org.pl>
Wojtek Piecek <w...@p...waw.pl> wrote:
> He, jak sam mowiles ze polcard moze weryfikowac osobe obslugujaca to
> pewnie umie zlapac takiego kolesia.
Nie mówiłem, że Polcard może zweryfikować. Polcard może podjąć taką
próbę.
Policja może podjąc próbę złapania złodzieja.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313
-
113. Data: 2002-06-03 07:26:13
Temat: Re: Podpis na karcie.
Od: Adam Płaszczyca <o...@m...oldfield.org.pl>
Wojtek Piecek <w...@p...waw.pl> wrote:
>> puki co uzywam wypuklych i nie uzywam PINu, ale moze z czasem to sie zmieni.
> Spokojnie, ja tez pinu uzywam tylko w atmach. ;-)
I potem będziesz miał tak, jak Ci ludzie z PKO BP....
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313
-
114. Data: 2002-06-03 07:27:53
Temat: Re: Podpis na karcie.
Od: Adam Płaszczyca <o...@m...oldfield.org.pl>
Szymon <w...@p...com> wrote:
> I tak niby przychodzisz do sklepu zalozyc sobie POSa i odinstalowac i nikt
> Cie nie widzial, nie zna itp?uhm... Juz widze, jak zlodziej idzie do
> hipermarkertu instalowac na dzin czy dwa 40 posow :)
Po co 40? Wystarczy JEDEN. Biorąc pod uwagę do tego potencjalny zysk z
operacji i niewielkie ryzyko wpadki wystarczy wejsć w porozumienie z
kimś z obsługi sklepu. Przy rotacji kasjerek jaka jest w HM bez
większych problemów...
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313
-
115. Data: 2002-06-03 07:28:44
Temat: Re: Podpis na karcie.
Od: Adam Płaszczyca <o...@m...oldfield.org.pl>
Marcin F <m...@i...pl> wrote:
> i wyjdzie ze karty ktore wyczyscily konta byly uzyte w jednym
> posie tego jednego dnia, taki numer przeszedlby moze z jedna karta
Wyjdzie.
> czy wszystkie dane po ktorych identyfikowany jest pos sa umieszczone
> w zapisywalnej pamieci?
> czy pos nie ma jakiejs sprytnej plomby zabezpieczajacej przez otwarciem
> obudowy?
Ma. I co z tego? Oglądasz pos i PIN-pad przed transakcją?
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313
-
116. Data: 2002-06-03 11:00:11
Temat: Re: Podpis na karcie.
Od: w...@p...waw.pl (Wojtek Piecek)
On Mon, Jun 03, 2002 at 07:23:54AM +0000, Adam Płaszczyca wrote:
> Co oznacza, że mając PIN-pad, który jest de facto prostym
> mikrokomputerkiem mogę odczytać jego program, i zmodyfikować go tak, aby
> przesyłał do POS-a to samo, co nieprzerobiony, a miał dodatkowe funkcje
> (np. - zapamiętywał ostatnio wbity PIN).
Zastanawiam sie czy widziales kiedys pinpad.
> A co ma to do rzeczy? Dane są najpierw podawane jawnie, potem szyfrowane
> i potem przesyłane. Wystarczy je przechwycić PRZED szyfrowaniem.
Jasne.
> > Alez pomiedzy nakladka na klawiature a przeprogramowaniem pinpada jest
> > __olbrzymia__ roznica! Nie mieszaj tych dwoch rzeczy.
>
> Może dla Ciebie, to rzecz tak skomplikowana, że niewykonalna. Dla
> przeciętnego elektronika który ma cokolwiek wspólnego z
> mikrokontrolerami i jedna, i druga operacja to dość proste modyfikacje.
Czekam z niecierpliwoscia na czas, kiedy zaczniesz czytac posty na
ktore odpowiadasz. Zwlaszcza na zwrocenie uwagi na stwierdzenia co
jest dla mnie niemozliwe a czy jest pomiedzy tym roznica.
Ale przeciez technik Adam Płaszczyca jest specjalista _we_wszystkim_.
--
--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki
-
117. Data: 2002-06-04 08:00:24
Temat: Re: Podpis na karcie.
Od: Adam Płaszczyca <o...@m...oldfield.org.pl>
Wojtek Piecek <w...@p...waw.pl> wrote:
> Zastanawiam sie czy widziales kiedys pinpad.
Widziałem. Także w środku, ba, nawet sobie go rozebralem.
> Czekam z niecierpliwoscia na czas, kiedy zaczniesz czytac posty na
> ktore odpowiadasz. Zwlaszcza na zwrocenie uwagi na stwierdzenia co
> jest dla mnie niemozliwe a czy jest pomiedzy tym roznica.
Zacznę zwracać,kiedy zaczniesz pisac po polsku i nie będziesz sieplątał
w zbyt złożonych zdaniach. Szczególnie, kiedy uzywasz zaimków bez
wcześniejszego podania co one zastępują. Tak jak w ostatnim zdaniu
złożonym powyżej 'czy jest pomiędzy tym różnica' - 'tym' - czyli czym?
> Ale przeciez technik Adam Płaszczyca jest specjalista _we_wszystkim_.
Lepiej wiedzieć więcej, niż nie wiedzieć nic. Choć ostatnio ignorancja
jest w cenie.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313
-
118. Data: 2002-06-04 08:03:05
Temat: Re: Podpis na karcie.
Od: w...@p...waw.pl (Wojtek Piecek)
On Tue, Jun 04, 2002 at 08:00:24AM +0000, Adam Płaszczyca wrote:
> Lepiej wiedzieć więcej, niż nie wiedzieć nic. Choć ostatnio ignorancja
> jest w cenie.
Skromnosc byla zawsze. Choc nie dla wszystkich, niektorzy lubia
uchodzic za domoroslych specjalistow. Od wszystkiego.
EOT.
--
--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki
-
119. Data: 2002-06-04 19:17:27
Temat: Re: Podpis na karcie.
Od: Adam Płaszczyca <o...@m...oldfield.org.pl>
Wojtek Piecek <w...@p...waw.pl> wrote:
> Skromnosc byla zawsze. Choc nie dla wszystkich, niektorzy lubia
> uchodzic za domoroslych specjalistow. Od wszystkiego.
A inni wola uchodzić za specjalistów w dziedzinach, na których się
znają.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313