"kashmiri" frj8pn$b8g$...@n...interia.pl

> To by było mniej więcej tak ryzykowne, jak wydawanie reszty fałszywymi
> banknotami. Nie każdy jest głupi albo niespotrzegawczy - skąd wiadomo, co
> klient wie i gdzie pracuje?

> Nie wyobrażam sobie przyzwoitego sklepu wystawiającego taką fałszywkę. Może
> w taksówce, ale nie w supermarkecie.

A ja nie wyobrażam sobie człowieka, który zna absolutnie wszystkie typy
klawiatur PINowych. :) No... I szczerze wątpię w to, że elektronika ich
ulega nieodwracalnemu zniszczeniu w wypadku otwarcia obudowy czytnika.

Problem jest jednak inny -- co nas obchodzi, czy ta elektronika
padnie czy nie padnie? Wyrzucamy ją przecież do śmietnika.


Otwieramy obudowę czytnika (nawet łamiemy, oby nie za mocno, bo
poklejony taśmami czytnik wzbudzić może podejrzenia -- akurat
u mnie nie wzbudzają takie czytniki :) podejrzeń, bo nie do
jednego się przyzwyczaiłem w Polsce) podmieniamy prawdziwy
czytnik (wnętrze czytnika, czyli ,,elektronikę'') kawałkiem
kalkulatora czy telefonu i zamykamy tę obudowę. Z wierzchu
nie widać wnętrza. :)

Widziałem takie czytniki PINów, że nie mogłem się powstrzymywać
od śmiechu i śmiałem się tak, że trudno było ze mną rozmawiać. :)
Poklejone taśmami, poprzecierane na wylot klawisze
(cyfr niektórych klawiszy już dawno nie było, ale można było
wydedukować ;) który klawisz co oznaczał -- zwłaszcza maciupkie
płaszczaki tak wyglądały, i to w wielu sklepach, czasami bardzo
dużych, nie w jednym, na jakiejś zapadłej prowincji)
spod których wystawały kikuty :) mikrowyłączników, pokaleczone
wyświetlacze LCD, poprzecierane (?na wylot? -- do miedzi)
przewody połączeniowe...

-=-

Banki gustują natomiast w zaawansowaną myśl. :) Na przykład

'wiem, ale nie powiem'. :)

Czytnik czyta i decyduje o tym, czy PIN jest poprawny, ale
sam tego PINu nie poznaje!!!

-=-

Ale te wszystkie zapobiegliwości są dobre psu na budę w zetknięciu
z brutalnością niektórych rozwiązań typu podrobiony czytnik PINu.
Gdybyż to było tak:

-- klient wkłada kartę do czytnika kart

-- czytnik kart prosi kartę o jakiś kod

-- karta bezwzględnie kod podaje

-- czytnik kart sprawdza ten kod w jakiejś bazie (która
być może zmienia się jakoś (; dynDamicznie) i wysyła
do karty (chipowej oczywiście) stosowną odpowiedź
(różną w różnych okolicznościach)

-- karta (chipowa oczywiście) po otrzymaniu odpowiedzi
od czytnika kart podejmuje decyzję typu -- dobra
jest ta odpowiedź, czy zła

-- jeśli odpowiedź jest dobra, to karta kontynuuje rozmowę
z czytnikiem i informuje jakoś swego właściciela (zwanego
przez banki posiadaczem i niewłaścicielem zarazem), ale
jeśli odpowiedź jest zła, to karta zamyka się na pół dnia
lub nawet żąda wizyty w banku i złożenia wyjaśnień, celem
których jest namierzanie podejrzanych sprzedawców

-- klient nie ma prawa do podania PINu tak długo, jak
długo karta mu nie powie, że zbadała sklepowy czytnik
kart; czasami karta nie zezowali na podanie PINu, choć
dogada się z czytnikiem kart -- jeśli klient PIN poda
(o czym karta dowie się od sprawnego czytnika kart,
z którym jest w jawnej zmowie) mimo braku zgody karty,
to karta się zamknie :) przed sfinalizowaniem transakcji
i poprosi klienta o wizytę w banku, gdzie ów klient
zostanie (odpłatnie) poinformowany o tym, że nie wolno
mu podawać PINu bez zgody jego karty

Jeśli w tej sytuacji czytnik kart i czytnik PINu będą ZAWSZE w tej
samej obudowie (otworzenie której skutkować będzie zniszczeniem
elektroniki lub innym dezaktywowaniem czytnika kart/PINów) to
wykradanie PINów będzie utrudnione, ale nadal możliwe będzie
instalowanie ukrytych kamer, których zapisy pokażą wstukiwane PINy.

I na te kamery nie ma prostych sposobów: jeśli czytnik kart/PINów
nie prosi o podanie całego PINu, ale kolejno o którąś z jego cyfr,
to nie tylko klient wie, o które cyfry chodzi, ale i kamera czy
raczej kamerzysta... Rozwiązaniem by były karty rozmawiające
z klientem za pomocą czegoś na kształt alfabetu braila, lecz
to już scenariusz na SF z przewaga F. ;) Niby czytnik mógłby
prosić o podawanie cyfr PINu ,,poprawionych'' w jakiś prosty
sposób; na przykład tak: do każdej cyfry PINu dodaj pierwszą
(lub drugą czy trzecią itd.) cyfrę Twego numeru PESEL... Ale
wbrew pozorom takie podawanie PINu byłoby skutecznym
utrudnieniem dla klientów. :)

Łatwiej już w kartę wmontować czytnik linii papilarnych jej właściciela. :)

Ale nadal możliwe będzie płacenie taką kartą przez internet
i telefon oraz tam, gdzie nadal sztuka prasowania jest kultywowana.

-===-

Sprawna karta magnetyczna nie pogada z czytnikiem i zawsze poda mu
to, czego on zapragnie. :) Podobnie jest z człowiekiem -- poda PIN
i nie będzie sprawdzał (bo i gdzie?) autentyczności czytnika PIN.

--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....