-
Data: 2008-03-16 15:55:56
Temat: Re: Bezpieczenstwo karty ze scalakiem
Od: "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
"kashmiri" frj8pn$b8g$...@n...interia.pl
> To by było mniej więcej tak ryzykowne, jak wydawanie reszty fałszywymi
> banknotami. Nie każdy jest głupi albo niespotrzegawczy - skąd wiadomo, co
> klient wie i gdzie pracuje?
> Nie wyobrażam sobie przyzwoitego sklepu wystawiającego taką fałszywkę. Może
> w taksówce, ale nie w supermarkecie.
A ja nie wyobrażam sobie człowieka, który zna absolutnie wszystkie typy
klawiatur PINowych. :) No... I szczerze wątpię w to, że elektronika ich
ulega nieodwracalnemu zniszczeniu w wypadku otwarcia obudowy czytnika.
Problem jest jednak inny -- co nas obchodzi, czy ta elektronika
padnie czy nie padnie? Wyrzucamy ją przecież do śmietnika.
Otwieramy obudowę czytnika (nawet łamiemy, oby nie za mocno, bo
poklejony taśmami czytnik wzbudzić może podejrzenia -- akurat
u mnie nie wzbudzają takie czytniki :) podejrzeń, bo nie do
jednego się przyzwyczaiłem w Polsce) podmieniamy prawdziwy
czytnik (wnętrze czytnika, czyli ,,elektronikę'') kawałkiem
kalkulatora czy telefonu i zamykamy tę obudowę. Z wierzchu
nie widać wnętrza. :)
Widziałem takie czytniki PINów, że nie mogłem się powstrzymywać
od śmiechu i śmiałem się tak, że trudno było ze mną rozmawiać. :)
Poklejone taśmami, poprzecierane na wylot klawisze
(cyfr niektórych klawiszy już dawno nie było, ale można było
wydedukować ;) który klawisz co oznaczał -- zwłaszcza maciupkie
płaszczaki tak wyglądały, i to w wielu sklepach, czasami bardzo
dużych, nie w jednym, na jakiejś zapadłej prowincji)
spod których wystawały kikuty :) mikrowyłączników, pokaleczone
wyświetlacze LCD, poprzecierane (?na wylot? -- do miedzi)
przewody połączeniowe...
-=-
Banki gustują natomiast w zaawansowaną myśl. :) Na przykład
'wiem, ale nie powiem'. :)
Czytnik czyta i decyduje o tym, czy PIN jest poprawny, ale
sam tego PINu nie poznaje!!!
-=-
Ale te wszystkie zapobiegliwości są dobre psu na budę w zetknięciu
z brutalnością niektórych rozwiązań typu podrobiony czytnik PINu.
Gdybyż to było tak:
-- klient wkłada kartę do czytnika kart
-- czytnik kart prosi kartę o jakiś kod
-- karta bezwzględnie kod podaje
-- czytnik kart sprawdza ten kod w jakiejś bazie (która
być może zmienia się jakoś (; dynDamicznie) i wysyła
do karty (chipowej oczywiście) stosowną odpowiedź
(różną w różnych okolicznościach)
-- karta (chipowa oczywiście) po otrzymaniu odpowiedzi
od czytnika kart podejmuje decyzję typu -- dobra
jest ta odpowiedź, czy zła
-- jeśli odpowiedź jest dobra, to karta kontynuuje rozmowę
z czytnikiem i informuje jakoś swego właściciela (zwanego
przez banki posiadaczem i niewłaścicielem zarazem), ale
jeśli odpowiedź jest zła, to karta zamyka się na pół dnia
lub nawet żąda wizyty w banku i złożenia wyjaśnień, celem
których jest namierzanie podejrzanych sprzedawców
-- klient nie ma prawa do podania PINu tak długo, jak
długo karta mu nie powie, że zbadała sklepowy czytnik
kart; czasami karta nie zezowali na podanie PINu, choć
dogada się z czytnikiem kart -- jeśli klient PIN poda
(o czym karta dowie się od sprawnego czytnika kart,
z którym jest w jawnej zmowie) mimo braku zgody karty,
to karta się zamknie :) przed sfinalizowaniem transakcji
i poprosi klienta o wizytę w banku, gdzie ów klient
zostanie (odpłatnie) poinformowany o tym, że nie wolno
mu podawać PINu bez zgody jego karty
Jeśli w tej sytuacji czytnik kart i czytnik PINu będą ZAWSZE w tej
samej obudowie (otworzenie której skutkować będzie zniszczeniem
elektroniki lub innym dezaktywowaniem czytnika kart/PINów) to
wykradanie PINów będzie utrudnione, ale nadal możliwe będzie
instalowanie ukrytych kamer, których zapisy pokażą wstukiwane PINy.
I na te kamery nie ma prostych sposobów: jeśli czytnik kart/PINów
nie prosi o podanie całego PINu, ale kolejno o którąś z jego cyfr,
to nie tylko klient wie, o które cyfry chodzi, ale i kamera czy
raczej kamerzysta... Rozwiązaniem by były karty rozmawiające
z klientem za pomocą czegoś na kształt alfabetu braila, lecz
to już scenariusz na SF z przewaga F. ;) Niby czytnik mógłby
prosić o podawanie cyfr PINu ,,poprawionych'' w jakiś prosty
sposób; na przykład tak: do każdej cyfry PINu dodaj pierwszą
(lub drugą czy trzecią itd.) cyfrę Twego numeru PESEL... Ale
wbrew pozorom takie podawanie PINu byłoby skutecznym
utrudnieniem dla klientów. :)
Łatwiej już w kartę wmontować czytnik linii papilarnych jej właściciela. :)
Ale nadal możliwe będzie płacenie taką kartą przez internet
i telefon oraz tam, gdzie nadal sztuka prasowania jest kultywowana.
-===-
Sprawna karta magnetyczna nie pogada z czytnikiem i zawsze poda mu
to, czego on zapragnie. :) Podobnie jest z człowiekiem -- poda PIN
i nie będzie sprawdzał (bo i gdzie?) autentyczności czytnika PIN.
--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....
Następne wpisy z tego wątku
- 16.03.08 16:15 Eneuel Leszek Ciszewski
- 16.03.08 16:20 Eneuel Leszek Ciszewski
- 16.03.08 16:31 MK
- 16.03.08 17:18 Piotr Kubiak
- 16.03.08 17:31 Eneuel Leszek Ciszewski
- 16.03.08 17:40 Eneuel Leszek Ciszewski
- 16.03.08 17:51 krzysztofsf
- 16.03.08 17:35 Mithos
- 16.03.08 18:46 kashmiri
- 16.03.08 18:49 kashmiri
- 16.03.08 20:40 Krzysztof Halasa
- 16.03.08 20:47 Krzysztof Halasa
- 16.03.08 20:50 Krzysztof Halasa
- 16.03.08 21:05 Krzysztof Halasa
- 16.03.08 21:19 Krzysztof Halasa
Najnowsze wątki z tej grupy
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- zloto
- Velo częściowo ugiął się...
Najnowsze wątki
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-03 zloto
- 2024-09-23 Velo częściowo ugiął się...