eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiBezpieczenstwo karty ze scalakiemRe: Bezpieczenstwo karty ze scalakiem
  • Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.task.gda.pl
    !not-for-mail
    From: "Eneuel Leszek" <p...@c...fontem.lucida.console9>
    Newsgroups: pl.biznes.banki
    Subject: Re: Bezpieczenstwo karty ze scalakiem
    Date: Sun, 16 Mar 2008 23:44:35 +0100
    Organization: CI TASK http://news.task.gda.pl/
    Lines: 122
    Message-ID: <frk80n$5ek$1@news2.task.gda.pl>
    References: <1...@h...unknown> <friviu$td9$1@news.interia.pl>
    <frj0lo$nji$1@kushnir.sileman> <frj1mn$pl$1@news.interia.pl>
    <frj29c$nji$3@kushnir.sileman> <frj51a$5mo$1@news.interia.pl>
    <frj89a$ktu$1@flis.man.torun.pl> <frj8pn$b8g$1@news.interia.pl>
    <frjgjo$iki$1@flis.man.torun.pl> <frjprr$717$1@news.interia.pl>
    Reply-To: "Eneuel Leszek" <e...@g...com>
    NNTP-Posting-Host: 5-221.89-161.tel.tkb.net.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset="iso-8859-2"
    Content-Transfer-Encoding: 8bit
    X-Trace: news2.task.gda.pl 1205707607 5588 89.161.5.221 (16 Mar 2008 22:46:47 GMT)
    X-Complaints-To: a...@n...task.gda.pl
    NNTP-Posting-Date: Sun, 16 Mar 2008 22:46:47 +0000 (UTC)
    X-Notice1: This post has been postprocessed on the news.task.gda.pl server.
    X-Organization-Notice: Organization line has been filtered
    X-MimeOLE: Numer mego telefonu '665 363835'='moj eneuel'
    X-Organization-Original: Aleuania-Pueruania-Azalandia :)
    C-Koordynaty: N 53°06'48", E 23°08'38", 1992 Arkedocja
    X-Priority: 3
    /pl.rec.ascii-art: Eneuel
    Xref: news-archive.icm.edu.pl pl.biznes.banki:441238
    [ ukryj nagłówki ]


    "kashmiri" frjprr$717$...@n...interia.pl

    > Pisza tam nie tylko o wadach czytnikow, ale też o zabezpieczeniach używanych
    > obecnie - zarowno w urzadzeniach, jak i na poziomie komunikacji miedzy karta
    > a czytnikiem. Np (na co nie wpadles) komunikacja miedzy karta a czytnikiem
    > moze byc szyfrowana (troche tak jak SSL w przegladarce), jezeli karta
    > obsluguje DDA (Dynamic Data Authentication).

    A na co tu wpadać? Zawsze jest jakoś szyfrowane. :)
    Problem w tym, że ktoś podaje klientowi nie czytnik
    PINów, ale podrobioną maszynkę. Jak klient ma odróżnić
    prawdziwą klawiaturę od podrobionej? To, co idzie z takiej
    podrobionej klawiatury jest szyfrowane tak, jak Ty chcesz.

    -==-

    Pada elektronika w chwili otwarcia? I co z tego, skoro ją wyrzucasz
    do śmietnika i wstawiasz w jej miejsce swoją własną -- zupełnie inną
    niż ta, która padła w chwili otwarcia. Co z tego, że jest szyfrowanie?
    Klient przecież wciska cyferki PINu bez jakiegokolwiek szyfrowania,
    a dybiemy nie na zawartość karty, lecz na ów PIN, jeśli dobrze pamiętam. :)

    Po co Ci to szyfrowanie? Po to, aby ktoś ze stetoskopem nie podsłuchał? ;)
    To nie publiczny internet, ale komunikacja pomiędzy kartą i czytnikiem
    lub pomiędzy czytnikiem PINu a resztą czytnika. I kolejny problem: Jak
    sam zauważasz, informację się szyfruje, bo (na przykład) można wpiąć się
    do przewodu (choć i tak trzeba znać protokoły transmisji, które już same
    z siebie stanowią jakiś szyfr) a przecież żadna elektronika nie padnie od
    tego, że ktoś zeskrobie trochę izolacji z przewodu, którym łączy się czytnik
    PINów z resztą czytnika karty. :)

    A może mylę się? Może jednak elektronika padnie, gdy stwierdzi, że
    kawałek miedzi wystaje na zewnątrz przewodu? :) Poklejone przewody
    czytników PINu wdziałem nieraz. Speca, który w ten sposób bada
    instalacje alarmowe w samochodach -- znam. Zdejmuje izolację
    z wiązki, po czym wpina się do pojedynczych przewodów tak, że po
    badaniu nie zachodzi potrzeba izolowania nakłutych przewodów, choć
    w samochodzie atmosfera sprzyja korozji miedzianych przewodów znacznie
    mocniej niż w sklepie. Taki człowiek bez trudu podłączy się do takiego
    przewodu i na nic niszczenie elektroniki czytnika karty czy PINu. :)

    A że komunikacja jakoś jest szyfrowana -- to zawsze prawda, bo zawsze
    jest jakiś sposób dogadywania się urządzeń. I jeśli tego sposobu nie
    znasz -- na nic Ci podłączanie się do przewodów. Choć era analogowych
    telefonów nie minęła, już dziś proste/bezpośrednie wpięcie się słuchawką
    telefoniczną do czyjejś pary przewodów telefonicznych niekoniecznie umożliwi
    podsłuchanie prowadzonej tą parką rozmowy. :)

    -==-

    Podanych przez Ciebie linków nie czytam (a raczej tego, co jest pod tymi
    linkami) bo jeśli zechcę, otrzymam dokumentację techniczną tych urządzeń. :)

    -==-

    Aby uchronić się przed stratą (wykradnięciem) PINu, trzeba jakoś
    szyfrować podawanie tego PINu do klawiatury. Klient ma podawać PIN
    w sposób zaszyfrowany, nie zaś w prosty/bezpośredni. Niestety takie
    szyfrowanie byłoby na tyle męczące, że ludzie zrezygnowaliby z kart.

    Na razie klienta pamięta cyfry swego PINu (ja na przykład do swojej
    złotej sprzed dziesięciu lat z PeKaO SA -- 8119) i wciska za każdym
    razem te właśnie cyferki na klawiaturze. Wystarczy, że raz podejrzysz
    te cyferki i po PINie. A podejrzysz za pomocą sprawnego oka lub kamery.
    Na nic szyfrowanie, skoro klient wciska te cyferki bez szyfrowania!
    Każda klawiatura jest dokładnie taka sama, jeśli chodzi o rozkład klawiszy.

    Można zrobić inaczej: Na klawiaturze wyświetlają się wartości klawiszy -- za
    każdym razem może być inaczej i klient ma wciskać konkretne cyferki, których
    podpisy/wartości zmieniają się automagicznie po każdym naciśnięciu. Tutaj już
    sprawne oko sprzedawcy na nic, bo nie widzi on tego, co widzi klient. Podobnie
    może być z ukryta kamerą, ale nie musi -- kamer może być cała masa i wszystkie
    razem mogą powiedzieć, co wciskał klient, bo patrzą na wyświetlaną klawiaturę
    pod różnymi kątami, dzięki czemu widzą to samo, co widzi klient nawet wówczas,
    gdy ten manipuluje klawiaturą w czasie wpisywania PINu.

    Zapewniam Cię jednak, że taka pływająca ;) klawiatura byłaby nieprzyjemna
    do tego stopnia, że zarzucono by płacenia kartami. :)

    -=-

    Lepszym rozwiązaniem jest podawanie PINu, który klient otrzyma za pomocą SMS.

    Każdy PIN jest wówczas jednorazówką -- kamera czy dobre oko sprzedawcy tu na nic.

    Co jednak wówczas, gdy ktoś zabierze Ci telefon razem kartami? :)

    PIN można by podawać skaleczony** o kod (zaszyfrowany kodem) SMS. Wówczas
    zabranie telefonu i karty niewiele pomoże, a wpisywany przez klienta PIN
    jest nadal jednorazówką. Tu jednak potrzeba gimnastyki umysłowej klienta,
    a ten jest zazwyczaj leniwy. :)

    **Na przykład trzeba do cyfr PINu dodawać cyfry kodu SMS i sumy par
    tych cyfr stosownie zMODULOwać, po czym wstukać dopiero otrzymane
    sumy/cyfry --> modulo10(cyfra PINu plus cyfra kodu SMS) dla PINu
    8119 i kodu 9136 dostajemy --> 8+9->7 --> wciskamy 7, choć PIN mówi
    w tym miejscu 8 a kod 9; później wstukujemy 245, choć PIN mówi 119
    a kod 136.

    Niby podejrzenie otrzymanego kodu SMS i odczytanie tego, co wstukuje
    klient (nadal mamy do dyspozycji kamerę lub masę kamer) w połączeniu
    ze znajomością algorytmu kaleczenia PINu (różni klienci mogą mieć
    różne algorytmy kaleczenia/szyfrowania) daje nam informację o PINie
    karty, ale klientowi nadal trzeba zabrać telefon razem z kartą, gdyż
    następnym razem przyjdzie inny kod, a sam PIN (wraz z algorytmem
    kaleczenia tegoż PINu) na nic się nie zda... Czyli trzeba mu zabrać
    telefon tuż/zaraz po tym, jak klientowi się wydawało, że płaci tą kartą...
    Wpadka sklepu jest tutaj pewna.

    -==-

    Tak czy siak -- na razie PIN jest podawany przez klientów bez jakiegokolwiek
    szyfrowania. Tak samo jest w sklepach i tak samo w bankomatach. Nagranie kamerą
    (lub podejrzenie bystrym okiem) wstukiwanego PINu kładzie kres intymności. ;)

    --
    .`'.-. ._. .-.
    .'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
    `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
    o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1