Wojtek Piecek <w...@p...waw.pl> wrote:

>> A wszystkie sprowadzają się do weryfikacji tego, co pinpad kabelkiem
>> pośle. W efekcie zamiast klawiaturki może być cokolwiek, byleby
>> podsyłało to, co podesłałby pinpad.

> No i?

Co oznacza, że mając PIN-pad, który jest de facto prostym
mikrokomputerkiem mogę odczytać jego program, i zmodyfikować go tak, aby
przesyłał do POS-a to samo, co nieprzerobiony, a miał dodatkowe funkcje
(np. - zapamiętywał ostatnio wbity PIN).

> Jasne. Ale co to ma do rzeczy? Powyzej masz fragment ktory mowi o
> przesylaniu podpisanych danych.

A co ma to do rzeczy? Dane są najpierw podawane jawnie, potem szyfrowane
i potem przesyłane. Wystarczy je przechwycić PRZED szyfrowaniem.

> A kazdy pos ma backdoora ktory wypisuje 'klient uzyl pinu 1234'.
Każdy może mieć. Tak się składa, że mikrokomputer 8051 ma jawny kod
maszynowy i jego modyfikacja nie jest niemożliwa.


>> A możesz uwierzyć, że przerobony PIN-pad może do przerobionego POS-a
>> przesłać PINblok, a po nim czysty, zywy PIN?

> A mozesz uwierzyc ze to wymaga modyfikacji POSa?
Oczywiście. Jeżeli chcę przesyłać. Bo jeżeli nie chcę, to nie wymaga.

> Alez pomiedzy nakladka na klawiature a przeprogramowaniem pinpada jest
> __olbrzymia__ roznica! Nie mieszaj tych dwoch rzeczy.

Może dla Ciebie, to rzecz tak skomplikowana, że niewykonalna. Dla
przeciętnego elektronika który ma cokolwiek wspólnego z
mikrokontrolerami i jedna, i druga operacja to dość proste modyfikacje.

Dla mnie, jako potencjalnej ofiary takich działań są to działania *zbyt
łatwe*, aby podawać PIN.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Wojtek Piecek <w...@p...waw.pl> wrote:

> He, jak sam mowiles ze polcard moze weryfikowac osobe obslugujaca to
> pewnie umie zlapac takiego kolesia.

Nie mówiłem, że Polcard może zweryfikować. Polcard może podjąć taką
próbę.
Policja może podjąc próbę złapania złodzieja.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Wojtek Piecek <w...@p...waw.pl> wrote:

>> puki co uzywam wypuklych i nie uzywam PINu, ale moze z czasem to sie zmieni.

> Spokojnie, ja tez pinu uzywam tylko w atmach. ;-)

I potem będziesz miał tak, jak Ci ludzie z PKO BP....


--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Szymon <w...@p...com> wrote:

> I tak niby przychodzisz do sklepu zalozyc sobie POSa i odinstalowac i nikt
> Cie nie widzial, nie zna itp?uhm... Juz widze, jak zlodziej idzie do
> hipermarkertu instalowac na dzin czy dwa 40 posow :)

Po co 40? Wystarczy JEDEN. Biorąc pod uwagę do tego potencjalny zysk z
operacji i niewielkie ryzyko wpadki wystarczy wejsć w porozumienie z
kimś z obsługi sklepu. Przy rotacji kasjerek jaka jest w HM bez
większych problemów...


--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

Marcin F <m...@i...pl> wrote:

> i wyjdzie ze karty ktore wyczyscily konta byly uzyte w jednym
> posie tego jednego dnia, taki numer przeszedlby moze z jedna karta

Wyjdzie.

> czy wszystkie dane po ktorych identyfikowany jest pos sa umieszczone
> w zapisywalnej pamieci?
> czy pos nie ma jakiejs sprytnej plomby zabezpieczajacej przez otwarciem
> obudowy?


Ma. I co z tego? Oglądasz pos i PIN-pad przed transakcją?

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

On Mon, Jun 03, 2002 at 07:23:54AM +0000, Adam Płaszczyca wrote:

> Co oznacza, że mając PIN-pad, który jest de facto prostym
> mikrokomputerkiem mogę odczytać jego program, i zmodyfikować go tak, aby
> przesyłał do POS-a to samo, co nieprzerobiony, a miał dodatkowe funkcje
> (np. - zapamiętywał ostatnio wbity PIN).

Zastanawiam sie czy widziales kiedys pinpad.

> A co ma to do rzeczy? Dane są najpierw podawane jawnie, potem szyfrowane
> i potem przesyłane. Wystarczy je przechwycić PRZED szyfrowaniem.

Jasne.

> > Alez pomiedzy nakladka na klawiature a przeprogramowaniem pinpada jest
> > __olbrzymia__ roznica! Nie mieszaj tych dwoch rzeczy.
>
> Może dla Ciebie, to rzecz tak skomplikowana, że niewykonalna. Dla
> przeciętnego elektronika który ma cokolwiek wspólnego z
> mikrokontrolerami i jedna, i druga operacja to dość proste modyfikacje.

Czekam z niecierpliwoscia na czas, kiedy zaczniesz czytac posty na
ktore odpowiadasz. Zwlaszcza na zwrocenie uwagi na stwierdzenia co
jest dla mnie niemozliwe a czy jest pomiedzy tym roznica.

Ale przeciez technik Adam Płaszczyca jest specjalista _we_wszystkim_.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Wojtek Piecek <w...@p...waw.pl> wrote:

> Zastanawiam sie czy widziales kiedys pinpad.

Widziałem. Także w środku, ba, nawet sobie go rozebralem.

> Czekam z niecierpliwoscia na czas, kiedy zaczniesz czytac posty na
> ktore odpowiadasz. Zwlaszcza na zwrocenie uwagi na stwierdzenia co
> jest dla mnie niemozliwe a czy jest pomiedzy tym roznica.

Zacznę zwracać,kiedy zaczniesz pisac po polsku i nie będziesz sieplątał
w zbyt złożonych zdaniach. Szczególnie, kiedy uzywasz zaimków bez
wcześniejszego podania co one zastępują. Tak jak w ostatnim zdaniu
złożonym powyżej 'czy jest pomiędzy tym różnica' - 'tym' - czyli czym?

> Ale przeciez technik Adam Płaszczyca jest specjalista _we_wszystkim_.

Lepiej wiedzieć więcej, niż nie wiedzieć nic. Choć ostatnio ignorancja
jest w cenie.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry

On Tue, Jun 04, 2002 at 08:00:24AM +0000, Adam Płaszczyca wrote:

> Lepiej wiedzieć więcej, niż nie wiedzieć nic. Choć ostatnio ignorancja
> jest w cenie.

Skromnosc byla zawsze. Choc nie dla wszystkich, niektorzy lubia
uchodzic za domoroslych specjalistow. Od wszystkiego.

EOT.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Wojtek Piecek <w...@p...waw.pl> wrote:

> Skromnosc byla zawsze. Choc nie dla wszystkich, niektorzy lubia
> uchodzic za domoroslych specjalistow. Od wszystkiego.

A inni wola uchodzić za specjalistów w dziedzinach, na których się
znają.


--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313

do góry