"kashmiri" <k...@i...pl> writes:

> To nie chodziło o filmik. Zajrzałeś na inne linki? Na
> http://www.cl.cam.ac.uk/research/security/banking/pe
d podany jest opis
> przeprowadzonych testów urządzeń.

To bez wiekszego znaczenia. Terminal (wraz z jego wszystkimi
czesciami, takze pin/card-padem) pozostaje pod calkowita kontrola
sprzedawcy i ten ostatni moze go zmodyfikowac w taki sposob, w jaki
zechce. To tylko kwestia wysilku. Nie da sie tego zmienic, wobec czego
nalezy traktowac terminal jako potencjalnie zrodlo ataku.

> Najbardziej przerażające jest to, że producenci tych urządzeń nabrali
> wody w usta. Cisza. Byle najmniej hałasu: interes musi się kręcić.

To moze i jest przerazajace w sensie medialnym, ale praktycznie nie ma
znaczenia - rownie dobrze moznaby podawac PIN sprzedawcy na kartce, a
karte wkladac do jego peceta - z Linuksem hakerskim :-)

PIN, CVV/CVC, CVV2/CVC2 to tylko takie dodatkowe, dosc slabe,
zabezpieczenia, ktore maja troche utrudnic zycie fraudsterow. W zadnym
przypadku nie nalezy sie na nich opierac jako na "niemozliwych", czy
tez "bardzo trudnych" do przejscia. Niestety uklad karta magnetyczna
(bez chipu) + PIN (/podpis) nie zawiera zadnego silnego zabezpieczenia
:-(

> Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.

Przeciez tamte karty mikroprocesorowe nie sa podatne na taki
atak. Podatne na atak sa sklepy itp., ktore nie obsluguja kart
procesorowych. Zrodlo danych, ktore trzeba zapisac na sciezce
magnetycznej, jest nieistotne. Aczkolwiek uzywanie tego samego CVV
na sciezce magnetycznej i w procesorze to raczej pomysl kogos
inteligentnego inaczej, ale rozne CVV to tylko takie dodatkowe,
bardzo slabe zabezpieczenie (przeciez sprzedawca moze po prostu
skopiowac pasek magnetyczny oddzielnym urzadzeniem).

Tak naprawde istotne jest, by _klient_ nie mogl zainstalowac (bez
wiedzy sprzedawcy) jakiegos sniffera w padzie.
--
Krzysztof Halasa

do góry

witek <w...@g...pl.invalid> writes:

> karta jest na tyle bezpieczna na ile bank zwraca pieniądze za fraud.
> Zabezpieczenia kart mają służyć bankom, a nie klientom.

Jasne -> liability shift, kto nie obsluguje chipa ten przegrywa.
--
Krzysztof Halasa

do góry

Krzysztof Halasa <k...@p...waw.pl> writes:

> magnetycznej, jest nieistotne. Aczkolwiek uzywanie tego samego CVV
> na sciezce magnetycznej i w procesorze to raczej pomysl kogos
> inteligentnego inaczej, ale rozne CVV to tylko takie dodatkowe,
> bardzo slabe zabezpieczenie (przeciez sprzedawca moze po prostu
> skopiowac pasek magnetyczny oddzielnym urzadzeniem).

Pasek mganetyczny mozesz zniszczyc i zyc w przekonaniu, ze masz
bezpieczna karte, ktorej sie sklonowac nie da. A tu d...a.

MJ

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m33arbcw6q.fsf@maximus.localdomain...


/.../

>> Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.
>
> Przeciez tamte karty mikroprocesorowe nie sa podatne na taki
> atak. Podatne na atak sa sklepy itp., ktore nie obsluguja kart
> procesorowych. Zrodlo danych, ktore trzeba zapisac na sciezce
> magnetycznej, jest nieistotne. Aczkolwiek uzywanie tego samego CVV
> na sciezce magnetycznej i w procesorze to raczej pomysl kogos
> inteligentnego inaczej, ale rozne CVV to tylko takie dodatkowe,
> bardzo slabe zabezpieczenie (przeciez sprzedawca moze po prostu
> skopiowac pasek magnetyczny oddzielnym urzadzeniem).

Wg mnie problem leży w standardzie.

Innego rodzaju karty mikroprocesorowe - mówię o kartach SIM - do ok. 2001
roku były bardzo łatwe do sklonowania (stworzenia idealnej kopii na czystej
karcie). Wynikło to ze złamania algorytmu tworzącego klucz szyfrujący (tzw
algorytm comp128). Wkrótce zestawy do klonowania (czytnik, czysta karta i
oprogramowanie) można było kupić na ebayu za 30 USD.

Od 2001 r zaczęto wprowadzać karty szyfrowane algorytmem comp128-2 - i mimo
ogromnych wysiłków ten algorytm do dziś nie został złamany. Dzięki
zastowsowaniu dobrego algorytmu, praktycznie niemożliwe jest dziś zarówno
sklonowanie nowej karty SIM, jak i "włamanie się" do rozmowy przeprowadzanej
przez osobę obok.

Instytucje finansowe w UK nie przeprowadziły takich badań, jak instytucje
standaryzujące komunikację GSM. Na skutek tego standard, który powstał, w
ogóle nie uwzględnia zagrożeń związanych z przesyłaniem niezabezpieczonych
danych! I o to się właśnie rozchodzi: dane przesyłane przez mikroprocesor do
czytnika (i z powrotem) nie są szyfrowane i mogą zostać przechwycone!

To nie do końca wina producentów czytników: karta bankowa nie musi
obsługiwać szyfrowania, aby być w pełni zgodna ze standardem EMV. Dlatego
czytnik też *musi* zezwalać na nieszyfrowaną komunikację. Do tego standard
wymaga, że szyfrowana komunikacja jest inicjowana poleceniem składającym się
z jedego bitu, a w jego braku komunikacja jest kontunuowana bez
szyfrowania - czyli wystarczy "zagłuszyć" ten bit, żeby całe szyfrowanie
diabli wzięli. Ot, taki standard!

Piszę o tym, żeby uzmysłowić, że ogromna część winy leży po stronie
niedopracowanych standardów EMV, które producenci muszą stosować w swoich
urządzeniach. Winą producentów jest tylko brak reakcji na te badania - i
brak nacisków na instytucje standaryzujące.

do góry

"kashmiri" <k...@i...pl> writes:

> (3) Koszty wymiany sprzętu byłyby dla banków wyższe niż te związane ze
> stratami wskutek fraudu.

Oj tak, zdecydowanie wyzsze. Banki (ani wydawcy tych kart, ani
uzytkownicy tych terminali) nie ponosza w ogole kosztow takich fraudow
- za takie fraudy placa banki i/lub sprzedawcy tam, gdzie sie chipow
nie uzywa.
--
Krzysztof Halasa

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> Pasek mganetyczny mozesz zniszczyc i zyc w przekonaniu, ze masz
> bezpieczna karte, ktorej sie sklonowac nie da. A tu d...a.

Przeciez wiadomo ze sie da, standard opisuje co tam ma byc, CVV ma 3
cyfry.
--
Krzysztof Halasa

do góry

"kashmiri" <k...@i...pl> writes:

> Wg mnie problem leży w standardzie.

W ktorym?

> Innego rodzaju karty mikroprocesorowe - mówię o kartach SIM - do
> ok. 2001 roku były bardzo łatwe do sklonowania (stworzenia idealnej
> kopii na czystej karcie). Wynikło to ze złamania algorytmu tworzącego
> klucz szyfrujący (tzw algorytm comp128). Wkrótce zestawy do klonowania
> (czytnik, czysta karta i oprogramowanie) można było kupić na ebayu za
> 30 USD.

Tyle ze tamte karty siedzialy w telefonie i nikt ich nikomu nie dawal.
No, +/i jakies firmowe telefony itp., ale to zupelnie inna skala.

> Instytucje finansowe w UK nie przeprowadziły takich badań, jak
> instytucje standaryzujące komunikację GSM.

Nie, problem jest inny, po prostu problemem jest istnienie sciezki
magnetycznej. Niestety tego problemu nie da sie wyeliminowac z dnia na
dzien, mysle ze bedziemy go jeszcze miec wiele lat. Tyle ze
konsekwencje fraudow spadaja, a przynajmniej powinny spadac i spadaja
w normalnym swiecie na tych, ktorzy nie potrafia obsluzyc chipow.

> Na skutek tego standard,
> który powstał, w ogóle nie uwzględnia zagrożeń związanych z
> przesyłaniem niezabezpieczonych danych!

Taaaak, pomiedzy zupelnie innymi urzadzeniami, karta ma sie do tego
dokladnie nijak.

> I o to się właśnie rozchodzi:
> dane przesyłane przez mikroprocesor do czytnika (i z powrotem) nie są
> szyfrowane i mogą zostać przechwycone!

Przez ktory mikroprocesor? Przez chip (mikrokomputer jednoukladowy) na
karcie? A moze przez klawiature pinpada do czytnika kart? RTF artykul
again.
--
Krzysztof Halasa

do góry

Uzytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisal w wiadomosci
news:m3prufbfhb.fsf@maximus.localdomain...
> Michal Jankowski <m...@f...edu.pl> writes:
>
>> Pasek mganetyczny mozesz zniszczyc i zyc w przekonaniu, ze masz
>> bezpieczna karte, ktorej sie sklonowac nie da. A tu d...a.
>
> Przeciez wiadomo ze sie da, standard opisuje co tam ma byc, CVV ma 3
> cyfry.

Ale kazdy bank sam sobie tworzy algorytm wyliczania tych cyfr, i jest on
bardzo tajny (do tej pory nigdy nie zdarzylo sie ujawnienie).

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3lk53bf5j.fsf@maximus.localdomain...
> "kashmiri" <k...@i...pl> writes:
>
>> Wg mnie problem leży w standardzie.
>
> W ktorym?

EMV - wprowadzonym niedawno w UK.


>> Innego rodzaju karty mikroprocesorowe - mówię o kartach SIM - do
>> ok. 2001 roku były bardzo łatwe do sklonowania (stworzenia idealnej
>> kopii na czystej karcie). Wynikło to ze złamania algorytmu tworzącego
>> klucz szyfrujący (tzw algorytm comp128). Wkrótce zestawy do klonowania
>> (czytnik, czysta karta i oprogramowanie) można było kupić na ebayu za
>> 30 USD.
>
> Tyle ze tamte karty siedzialy w telefonie i nikt ich nikomu nie dawal.
> No, +/i jakies firmowe telefony itp., ale to zupelnie inna skala.

Właśnie że dawał. Np. do punktów naprawy. Albo pracownikom telefony
służbowe. Wiesz co się działo przed wprowadzeniem comp128-2?


>> Instytucje finansowe w UK nie przeprowadziły takich badań, jak
>> instytucje standaryzujące komunikację GSM.
>
> Nie, problem jest inny, po prostu problemem jest istnienie sciezki
> magnetycznej. Niestety tego problemu nie da sie wyeliminowac z dnia na
> dzien, mysle ze bedziemy go jeszcze miec wiele lat. Tyle ze
> konsekwencje fraudow spadaja, a przynajmniej powinny spadac i spadaja
> w normalnym swiecie na tych, ktorzy nie potrafia obsluzyc chipow.

Artykuł w ogóle nie zajmuje się ścieżką magnetyczną. O tym wystarczająco
zostało powiedziane.
Chodzi o karty z mikroprocesorem, zauważyłeś?


>> Na skutek tego standard,
>> który powstał, w ogóle nie uwzględnia zagrożeń związanych z
>> przesyłaniem niezabezpieczonych danych!
>
> Taaaak, pomiedzy zupelnie innymi urzadzeniami, karta ma sie do tego
> dokladnie nijak.

Pomiędzy kartą a czytnikiem - czytaj uważnie.


>> I o to się właśnie rozchodzi:
>> dane przesyłane przez mikroprocesor do czytnika (i z powrotem) nie są
>> szyfrowane i mogą zostać przechwycone!
>
> Przez ktory mikroprocesor? Przez chip (mikrokomputer jednoukladowy) na
> karcie? A moze przez klawiature pinpada do czytnika kart? RTF artykul
> again.

Akurat ten mikrokomputer jest zdolny do tworzenia algorytmów szyfrujących.
Istnieje nawet standard na to - vide artykuł - ale nie jest on
popularny/obowiązkowy w UK.


> Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3tzjrbfjb.fsf@maximus.localdomain...
> "kashmiri" <k...@i...pl> writes:
>
>> (3) Koszty wymiany sprzętu byłyby dla banków wyższe niż te związane ze
>> stratami wskutek fraudu.
>
> Oj tak, zdecydowanie wyzsze. Banki (ani wydawcy tych kart, ani
> uzytkownicy tych terminali) nie ponosza w ogole kosztow takich fraudow
> - za takie fraudy placa banki i/lub sprzedawcy tam, gdzie sie chipow
> nie uzywa.

????? Chyba nie wiesz co piszesz.

do góry