-
Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.task.gda.pl
!not-for-mail
From: "Eneuel Leszek" <p...@c...fontem.lucida.console9>
Newsgroups: pl.biznes.banki
Subject: Re: Bezpieczenstwo karty ze scalakiem
Date: Sun, 16 Mar 2008 23:44:35 +0100
Organization: CI TASK http://news.task.gda.pl/
Lines: 122
Message-ID: <frk80n$5ek$1@news2.task.gda.pl>
References: <1...@h...unknown> <friviu$td9$1@news.interia.pl>
<frj0lo$nji$1@kushnir.sileman> <frj1mn$pl$1@news.interia.pl>
<frj29c$nji$3@kushnir.sileman> <frj51a$5mo$1@news.interia.pl>
<frj89a$ktu$1@flis.man.torun.pl> <frj8pn$b8g$1@news.interia.pl>
<frjgjo$iki$1@flis.man.torun.pl> <frjprr$717$1@news.interia.pl>
Reply-To: "Eneuel Leszek" <e...@g...com>
NNTP-Posting-Host: 5-221.89-161.tel.tkb.net.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Trace: news2.task.gda.pl 1205707607 5588 89.161.5.221 (16 Mar 2008 22:46:47 GMT)
X-Complaints-To: a...@n...task.gda.pl
NNTP-Posting-Date: Sun, 16 Mar 2008 22:46:47 +0000 (UTC)
X-Notice1: This post has been postprocessed on the news.task.gda.pl server.
X-Organization-Notice: Organization line has been filtered
X-MimeOLE: Numer mego telefonu '665 363835'='moj eneuel'
X-Organization-Original: Aleuania-Pueruania-Azalandia :)
C-Koordynaty: N 53°06'48", E 23°08'38", 1992 Arkedocja
X-Priority: 3
/pl.rec.ascii-art: Eneuel
Xref: news-archive.icm.edu.pl pl.biznes.banki:441238
[ ukryj nagłówki ]
"kashmiri" frjprr$717$...@n...interia.pl
> Pisza tam nie tylko o wadach czytnikow, ale też o zabezpieczeniach używanych
> obecnie - zarowno w urzadzeniach, jak i na poziomie komunikacji miedzy karta
> a czytnikiem. Np (na co nie wpadles) komunikacja miedzy karta a czytnikiem
> moze byc szyfrowana (troche tak jak SSL w przegladarce), jezeli karta
> obsluguje DDA (Dynamic Data Authentication).
A na co tu wpadać? Zawsze jest jakoś szyfrowane. :)
Problem w tym, że ktoś podaje klientowi nie czytnik
PINów, ale podrobioną maszynkę. Jak klient ma odróżnić
prawdziwą klawiaturę od podrobionej? To, co idzie z takiej
podrobionej klawiatury jest szyfrowane tak, jak Ty chcesz.
-==-
Pada elektronika w chwili otwarcia? I co z tego, skoro ją wyrzucasz
do śmietnika i wstawiasz w jej miejsce swoją własną -- zupełnie inną
niż ta, która padła w chwili otwarcia. Co z tego, że jest szyfrowanie?
Klient przecież wciska cyferki PINu bez jakiegokolwiek szyfrowania,
a dybiemy nie na zawartość karty, lecz na ów PIN, jeśli dobrze pamiętam. :)
Po co Ci to szyfrowanie? Po to, aby ktoś ze stetoskopem nie podsłuchał? ;)
To nie publiczny internet, ale komunikacja pomiędzy kartą i czytnikiem
lub pomiędzy czytnikiem PINu a resztą czytnika. I kolejny problem: Jak
sam zauważasz, informację się szyfruje, bo (na przykład) można wpiąć się
do przewodu (choć i tak trzeba znać protokoły transmisji, które już same
z siebie stanowią jakiś szyfr) a przecież żadna elektronika nie padnie od
tego, że ktoś zeskrobie trochę izolacji z przewodu, którym łączy się czytnik
PINów z resztą czytnika karty. :)
A może mylę się? Może jednak elektronika padnie, gdy stwierdzi, że
kawałek miedzi wystaje na zewnątrz przewodu? :) Poklejone przewody
czytników PINu wdziałem nieraz. Speca, który w ten sposób bada
instalacje alarmowe w samochodach -- znam. Zdejmuje izolację
z wiązki, po czym wpina się do pojedynczych przewodów tak, że po
badaniu nie zachodzi potrzeba izolowania nakłutych przewodów, choć
w samochodzie atmosfera sprzyja korozji miedzianych przewodów znacznie
mocniej niż w sklepie. Taki człowiek bez trudu podłączy się do takiego
przewodu i na nic niszczenie elektroniki czytnika karty czy PINu. :)
A że komunikacja jakoś jest szyfrowana -- to zawsze prawda, bo zawsze
jest jakiś sposób dogadywania się urządzeń. I jeśli tego sposobu nie
znasz -- na nic Ci podłączanie się do przewodów. Choć era analogowych
telefonów nie minęła, już dziś proste/bezpośrednie wpięcie się słuchawką
telefoniczną do czyjejś pary przewodów telefonicznych niekoniecznie umożliwi
podsłuchanie prowadzonej tą parką rozmowy. :)
-==-
Podanych przez Ciebie linków nie czytam (a raczej tego, co jest pod tymi
linkami) bo jeśli zechcę, otrzymam dokumentację techniczną tych urządzeń. :)
-==-
Aby uchronić się przed stratą (wykradnięciem) PINu, trzeba jakoś
szyfrować podawanie tego PINu do klawiatury. Klient ma podawać PIN
w sposób zaszyfrowany, nie zaś w prosty/bezpośredni. Niestety takie
szyfrowanie byłoby na tyle męczące, że ludzie zrezygnowaliby z kart.
Na razie klienta pamięta cyfry swego PINu (ja na przykład do swojej
złotej sprzed dziesięciu lat z PeKaO SA -- 8119) i wciska za każdym
razem te właśnie cyferki na klawiaturze. Wystarczy, że raz podejrzysz
te cyferki i po PINie. A podejrzysz za pomocą sprawnego oka lub kamery.
Na nic szyfrowanie, skoro klient wciska te cyferki bez szyfrowania!
Każda klawiatura jest dokładnie taka sama, jeśli chodzi o rozkład klawiszy.
Można zrobić inaczej: Na klawiaturze wyświetlają się wartości klawiszy -- za
każdym razem może być inaczej i klient ma wciskać konkretne cyferki, których
podpisy/wartości zmieniają się automagicznie po każdym naciśnięciu. Tutaj już
sprawne oko sprzedawcy na nic, bo nie widzi on tego, co widzi klient. Podobnie
może być z ukryta kamerą, ale nie musi -- kamer może być cała masa i wszystkie
razem mogą powiedzieć, co wciskał klient, bo patrzą na wyświetlaną klawiaturę
pod różnymi kątami, dzięki czemu widzą to samo, co widzi klient nawet wówczas,
gdy ten manipuluje klawiaturą w czasie wpisywania PINu.
Zapewniam Cię jednak, że taka pływająca ;) klawiatura byłaby nieprzyjemna
do tego stopnia, że zarzucono by płacenia kartami. :)
-=-
Lepszym rozwiązaniem jest podawanie PINu, który klient otrzyma za pomocą SMS.
Każdy PIN jest wówczas jednorazówką -- kamera czy dobre oko sprzedawcy tu na nic.
Co jednak wówczas, gdy ktoś zabierze Ci telefon razem kartami? :)
PIN można by podawać skaleczony** o kod (zaszyfrowany kodem) SMS. Wówczas
zabranie telefonu i karty niewiele pomoże, a wpisywany przez klienta PIN
jest nadal jednorazówką. Tu jednak potrzeba gimnastyki umysłowej klienta,
a ten jest zazwyczaj leniwy. :)
**Na przykład trzeba do cyfr PINu dodawać cyfry kodu SMS i sumy par
tych cyfr stosownie zMODULOwać, po czym wstukać dopiero otrzymane
sumy/cyfry --> modulo10(cyfra PINu plus cyfra kodu SMS) dla PINu
8119 i kodu 9136 dostajemy --> 8+9->7 --> wciskamy 7, choć PIN mówi
w tym miejscu 8 a kod 9; później wstukujemy 245, choć PIN mówi 119
a kod 136.
Niby podejrzenie otrzymanego kodu SMS i odczytanie tego, co wstukuje
klient (nadal mamy do dyspozycji kamerę lub masę kamer) w połączeniu
ze znajomością algorytmu kaleczenia PINu (różni klienci mogą mieć
różne algorytmy kaleczenia/szyfrowania) daje nam informację o PINie
karty, ale klientowi nadal trzeba zabrać telefon razem z kartą, gdyż
następnym razem przyjdzie inny kod, a sam PIN (wraz z algorytmem
kaleczenia tegoż PINu) na nic się nie zda... Czyli trzeba mu zabrać
telefon tuż/zaraz po tym, jak klientowi się wydawało, że płaci tą kartą...
Wpadka sklepu jest tutaj pewna.
-==-
Tak czy siak -- na razie PIN jest podawany przez klientów bez jakiegokolwiek
szyfrowania. Tak samo jest w sklepach i tak samo w bankomatach. Nagranie kamerą
(lub podejrzenie bystrym okiem) wstukiwanego PINu kładzie kres intymności. ;)
--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....
Następne wpisy z tego wątku
- 16.03.08 23:03 Eneuel Leszek
- 16.03.08 23:54 Eneuel Leszek Ciszewski
- 17.03.08 00:13 Eneuel Leszek Ciszewski
- 17.03.08 00:15 Eneuel Leszek Ciszewski
- 17.03.08 00:18 Eneuel Leszek Ciszewski
- 17.03.08 00:19 Eneuel Leszek Ciszewski
- 17.03.08 00:40 Eneuel Leszek Ciszewski
- 17.03.08 02:09 Eneuel Leszek Ciszewski
- 17.03.08 05:44 f...@s...poczta.onet.pl
- 17.03.08 08:13 kashmiri
- 17.03.08 08:24 kashmiri
- 17.03.08 08:47 kashmiri
- 17.03.08 12:57 Jan Strybyszewski
- 17.03.08 12:59 Jan Strybyszewski
- 17.03.08 13:03 Jan Strybyszewski
Najnowsze wątki z tej grupy
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- zloto
Najnowsze wątki
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-03 zloto