"tp" <t...@d...net> writes:

> Opisuje to norma ISO 4909 dotyczaca kodowania kart
> bankowych.

Czy on jest gdzies dostepna bez potrzeby placenia $$$?

> Zdecydowanie nie tak latwo.
> Jesli chcialbys przeprowadzic ten 'brute force attack'
> korzystajac z bankomatu - to pamietaj, ze po kazdej
> nieudanej probie podania PINu bankomat odnotowuje
> ten fakt (przy off-linie - robi to na sciezce nr 3 karty).
> Gdy licznik dostepnych jeszcze prob spadnie do zera
> (zazwyczaj po trzeciej probie) bankomat zatrzyma karte
> i tym samym uniemozliwi Ci dalsze proby.

No, roznie z tym jest. Wiele osob opisywalo "zatrzymywanie" przez bankomat
karty po jej zwrocie, i tak co trzeci raz.

Gdzie moge wyprobowac operacje offline i jaka karta?

> Aby probowac dopasowac PIN do karty bez bankomatu,
> oprocz karty musisz znac jeszcze 'sposob miksowania'.
> A tu: nie dosc, ze algorytm jest 'confidental', to jeszcze
> wykorzystuje serie kluczy elektronicznych (min. 4)
> dlugosci 56 lub 112 bitow kazdy, rozdzielonych pomiedzy
> kilka osob z kierownictwa banku i trzymanych gleboko
> w sejfach.

Podobno. I podobno te klucze sa tez w bankomacie. Zdrowy rozsadek
mowi, ze powinny byc raczej w banku. Albo po prostu nigdzie, bo tak
naprawde owe produkty kluczy mozna potraktowac jako dodatkowe dane
zapisane na karcie (bez interesowania sie z czego wynikaja), i bank
powinien ich normalnie wymagac. Niestety nie wiem dokladnie co jest
przesylane miedzy bankomatem i bankiem, oprocz faktu, ze wszystko
to wyglada mocno na security by obscurity.

> Dopiero majac algorytm i klucze moglbys zaczac 'brute force
> attack' ze swoimi 10 tysiacami kombinacji PINu. Byloby to
> faktycznie trywialne. Tylko po co tak kombinowac - majac te
> dane moglbys po prostu wyprodukowac calkiem nowa serie
> kart...

Ktore by sie do niczego nie nadawaly, bo zaden bank by nie dal im
autoryzacji.

> Acha, proba pozyskania algorytmu i kluczy z bankomatu
> rowniez moze byc dosc klopotliwa - sa one przechowywane
> w scalakach zamknietych w sejfie. Ponownie, moglbys
> sprobowac rozpruc sejf - ale wtedy te scalaki nie bylyby
> juz Ci chyba potrzebne... A nawet jesli, to maja one
> wbudowany mechanizm samodestrukcji...

Tak, scalaki. Tez o tym slyszalem, ale zupelnie w to nie wierze.
W to, ze w ogole bankomat moze miec mozliwosc samodestrukcji, to
jeszcze moge uwierzyc. Dodatkowo, mechanizm samodestrukcji na pewno
nie zadziala, jesli ktos bedzie wiedzial jak sie do tego zabrac.

> Dla informacji, metoda ta stosowana jest caly czas - przynajmniej
> przez co najmniej jeden polski bank.

Ktory?

> Niektore bankomaty jak najbrdziej potrafia zapisywac sciezke nr 3
> kart bankowych - przy operacjach off-line jest to niezbedne,
> aby zaktualizowac date ostatniej operacji i saldo dostepne
> do dalszych operacji off-line w danym okresie rozliczeniowym.

Podaj przyklad takiej operacji.

> Nic nie stoi na przeszkodzie, aby mozna bylo zmienic rowniez PIN
> (oczywiscie w formie zmiany tej w/w "sumy kontrolnej")
> - jest to uzaleznione tylko od decyzji kierownictwa banku.

Offlinowa zmiana PINu? Ciekawe, bo skad bank ma pozniej wiedziec ze
PIN zostal zmieniony?
--
Krzysztof Halasa
Network Administrator