eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiBezpieczenstwo karty ze scalakiemRe: Bezpieczenstwo karty ze scalakiem
  • Data: 2008-03-16 15:55:56
    Temat: Re: Bezpieczenstwo karty ze scalakiem
    Od: "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]


    "kashmiri" frj8pn$b8g$...@n...interia.pl

    > To by było mniej więcej tak ryzykowne, jak wydawanie reszty fałszywymi
    > banknotami. Nie każdy jest głupi albo niespotrzegawczy - skąd wiadomo, co
    > klient wie i gdzie pracuje?

    > Nie wyobrażam sobie przyzwoitego sklepu wystawiającego taką fałszywkę. Może
    > w taksówce, ale nie w supermarkecie.

    A ja nie wyobrażam sobie człowieka, który zna absolutnie wszystkie typy
    klawiatur PINowych. :) No... I szczerze wątpię w to, że elektronika ich
    ulega nieodwracalnemu zniszczeniu w wypadku otwarcia obudowy czytnika.

    Problem jest jednak inny -- co nas obchodzi, czy ta elektronika
    padnie czy nie padnie? Wyrzucamy ją przecież do śmietnika.


    Otwieramy obudowę czytnika (nawet łamiemy, oby nie za mocno, bo
    poklejony taśmami czytnik wzbudzić może podejrzenia -- akurat
    u mnie nie wzbudzają takie czytniki :) podejrzeń, bo nie do
    jednego się przyzwyczaiłem w Polsce) podmieniamy prawdziwy
    czytnik (wnętrze czytnika, czyli ,,elektronikę'') kawałkiem
    kalkulatora czy telefonu i zamykamy tę obudowę. Z wierzchu
    nie widać wnętrza. :)

    Widziałem takie czytniki PINów, że nie mogłem się powstrzymywać
    od śmiechu i śmiałem się tak, że trudno było ze mną rozmawiać. :)
    Poklejone taśmami, poprzecierane na wylot klawisze
    (cyfr niektórych klawiszy już dawno nie było, ale można było
    wydedukować ;) który klawisz co oznaczał -- zwłaszcza maciupkie
    płaszczaki tak wyglądały, i to w wielu sklepach, czasami bardzo
    dużych, nie w jednym, na jakiejś zapadłej prowincji)
    spod których wystawały kikuty :) mikrowyłączników, pokaleczone
    wyświetlacze LCD, poprzecierane (?na wylot? -- do miedzi)
    przewody połączeniowe...

    -=-

    Banki gustują natomiast w zaawansowaną myśl. :) Na przykład

    'wiem, ale nie powiem'. :)

    Czytnik czyta i decyduje o tym, czy PIN jest poprawny, ale
    sam tego PINu nie poznaje!!!

    -=-

    Ale te wszystkie zapobiegliwości są dobre psu na budę w zetknięciu
    z brutalnością niektórych rozwiązań typu podrobiony czytnik PINu.
    Gdybyż to było tak:

    -- klient wkłada kartę do czytnika kart

    -- czytnik kart prosi kartę o jakiś kod

    -- karta bezwzględnie kod podaje

    -- czytnik kart sprawdza ten kod w jakiejś bazie (która
    być może zmienia się jakoś (; dynDamicznie) i wysyła
    do karty (chipowej oczywiście) stosowną odpowiedź
    (różną w różnych okolicznościach)

    -- karta (chipowa oczywiście) po otrzymaniu odpowiedzi
    od czytnika kart podejmuje decyzję typu -- dobra
    jest ta odpowiedź, czy zła

    -- jeśli odpowiedź jest dobra, to karta kontynuuje rozmowę
    z czytnikiem i informuje jakoś swego właściciela (zwanego
    przez banki posiadaczem i niewłaścicielem zarazem), ale
    jeśli odpowiedź jest zła, to karta zamyka się na pół dnia
    lub nawet żąda wizyty w banku i złożenia wyjaśnień, celem
    których jest namierzanie podejrzanych sprzedawców

    -- klient nie ma prawa do podania PINu tak długo, jak
    długo karta mu nie powie, że zbadała sklepowy czytnik
    kart; czasami karta nie zezowali na podanie PINu, choć
    dogada się z czytnikiem kart -- jeśli klient PIN poda
    (o czym karta dowie się od sprawnego czytnika kart,
    z którym jest w jawnej zmowie) mimo braku zgody karty,
    to karta się zamknie :) przed sfinalizowaniem transakcji
    i poprosi klienta o wizytę w banku, gdzie ów klient
    zostanie (odpłatnie) poinformowany o tym, że nie wolno
    mu podawać PINu bez zgody jego karty

    Jeśli w tej sytuacji czytnik kart i czytnik PINu będą ZAWSZE w tej
    samej obudowie (otworzenie której skutkować będzie zniszczeniem
    elektroniki lub innym dezaktywowaniem czytnika kart/PINów) to
    wykradanie PINów będzie utrudnione, ale nadal możliwe będzie
    instalowanie ukrytych kamer, których zapisy pokażą wstukiwane PINy.

    I na te kamery nie ma prostych sposobów: jeśli czytnik kart/PINów
    nie prosi o podanie całego PINu, ale kolejno o którąś z jego cyfr,
    to nie tylko klient wie, o które cyfry chodzi, ale i kamera czy
    raczej kamerzysta... Rozwiązaniem by były karty rozmawiające
    z klientem za pomocą czegoś na kształt alfabetu braila, lecz
    to już scenariusz na SF z przewaga F. ;) Niby czytnik mógłby
    prosić o podawanie cyfr PINu ,,poprawionych'' w jakiś prosty
    sposób; na przykład tak: do każdej cyfry PINu dodaj pierwszą
    (lub drugą czy trzecią itd.) cyfrę Twego numeru PESEL... Ale
    wbrew pozorom takie podawanie PINu byłoby skutecznym
    utrudnieniem dla klientów. :)

    Łatwiej już w kartę wmontować czytnik linii papilarnych jej właściciela. :)

    Ale nadal możliwe będzie płacenie taką kartą przez internet
    i telefon oraz tam, gdzie nadal sztuka prasowania jest kultywowana.

    -===-

    Sprawna karta magnetyczna nie pogada z czytnikiem i zawsze poda mu
    to, czego on zapragnie. :) Podobnie jest z człowiekiem -- poda PIN
    i nie będzie sprawdzał (bo i gdzie?) autentyczności czytnika PIN.

    --
    .`'.-. ._. .-.
    .'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
    `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
    o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1