eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiKradziez z karty - jak to sie stalo?Re: Kradziez z karty - jak to sie stalo?
  • Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!news.icm.edu.pl!pm.waw.pl!defiant.pm
    .waw.pl!not-for-mail
    From: Krzysztof Halasa <k...@d...pm.waw.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: Kradziez z karty - jak to sie stalo?
    Date: 06 Feb 2002 16:07:17 +0100
    Organization: The Palace of Youth in Warsaw
    Lines: 166
    Message-ID: <m...@d...pm.waw.pl>
    References: <3...@m...com> <a3e662$2p5$1@flis.man.torun.pl>
    <q...@4...com>
    <a3e6rg$32c$1@flis.man.torun.pl>
    <6...@4...com>
    <OkK68.9185$l5.243975@read2.cgocable.net>
    <m...@d...pm.waw.pl>
    <co378.10263$l5.320608@read2.cgocable.net>
    <m...@d...pm.waw.pl>
    <JVK78.14171$l5.475555@read2.cgocable.net>
    NNTP-Posting-Host: defiant.pm.waw.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-2
    Content-Transfer-Encoding: 8bit
    X-Trace: defiant.pm.waw.pl 1013008038 1244 195.116.170.34 (6 Feb 2002 15:07:18 GMT)
    X-Complaints-To: n...@d...pm.waw.pl
    NNTP-Posting-Date: Wed, 6 Feb 2002 15:07:18 +0000 (UTC)
    Xref: news-archive.icm.edu.pl pl.biznes.banki:161052
    [ ukryj nagłówki ]

    "tp" <t...@d...net> writes:

    > > No, roznie z tym jest. Wiele osob opisywalo "zatrzymywanie" przez bankomat
    > > karty po jej zwrocie, i tak co trzeci raz.
    > >
    >
    > Co chyba nie kloci sie z moja teza, ze przeprowadzenie
    > brutalnego ataku poprzez pakowanie karty do bankomatu
    > i probowanie kolejnych PINow ma raczej male szanse
    > powodzenia ?

    Jakbym ja mial przeprowadzac taki atak, to bym tego tak nie robil, wiec
    w tym przypadku sie nie kloci.
    Ale w przypadku ogolnym moze sie klocic - w koncu mozna sie uwziac na
    bankomat i stac tam godzinami. Zakladam oczywiscie, ze sytuacja jest j.w.
    No i oczywiscie dodatkowo musi byc to bankomat offlinowy, i jego
    karta, co ze wzgledu na pierwsze wymaganie wydaje mi sie nierealne.

    > > Gdzie moge wyprobowac operacje offline i jaka karta?
    >
    > Przykro mi, ale nie jestem upowazniony do informowania,
    > o jakim banku pisalem, ze "co najmniej jeden w Polsce".
    > Jesli trafi Ci sie, ze bedziesz jego klientem, to mysle,
    > ze sam sie zorientujesz.

    Jasne. Po prostu przypuszczam, ze takiego banku nie ma, ale z drugiej
    strony widzialem tak dziwne rzeczy w bankach (ktore normalnie w glowie
    sie nie mieszcza), ze bardzo bym sie nie zdziwil gdyby jakas firmowa
    karta (czyli zadna miedzynarodowa) chodzila offline w bankomacie.

    > Przepraszam, wyrazilem sie niescisle. Klucze w postaci
    > fizycznej znajduja sie w bankowych sejfach.

    To wydaje sie oczywiste.

    > W bankomacie, w jednym z jego EEPROMow znajduje sie
    > reprezentacja binarna tych kluczy.

    Ale to wydaje mi sie srednio oczywiste. Niestety, ze wzgledu na
    nieznajomosc sytuacji faktycznej przeze mnie, nie moge tego potwierdzic
    ani zaprzeczyc. Moge jedynie napisac, ze w ogole stawianie takiego
    bankomatu jest sprzeczne z logika.

    > Jest ona wprowadzana tam
    > z kluczy fizycznych przed rozpoczeciem akceptowania przez
    > bankomat jakichkolwiek kart. O zabezpieczeniu danych w tym
    > EEPROMie napisze nizej.
    > Nb. nie moga to byc "dodatkowe dane zapisane na karcie",
    > gdyz wlasnie na ich podstawie nastepuje weryfikacja danej
    > karty jako karty w ogole mozliwej do uzycia off-line'owego
    > w danym bankomacie.
    > Bez tych kluczy algorytm sprawdzajacy musialby pracowac
    > ze stalym sposobem kodowania (czyli i tak musialyby byc
    > jakies klucze, tylko ze zaszyte na stale w maszynie),
    > a byloby to zdecydowanie mniej godne zaufania
    > (i mniej wygodne) dla bankowcow.

    Mialem niezupelnie to na mysli - oczywiste jest, ze w przypadku transakcji
    offline (zakladajac, ze takie istnieja) koniecznie jest sprawdzenie
    integralnosci danych zapisanych na karcie oraz PINu, i ze trzeba to zrobic
    zapewne metoda skrotu kryptograficznego zaszyfrowanego jakims kluczem
    (znajdujacym sie w tym przypadku w bankomacie oraz w maszynce do zapisywania
    kart).

    Natomiast w przypadku transakcji online nie ma takiej potrzeby, nawet dla
    tych samych kart - mozna po prostu przetransmitowac ten zaszyfrowany
    skrot do banku i niech ten sobie sprawdza.

    > Alez nadawaly by sie - do uzycia w bankomatach tego wlasnie
    > banku, oraz ewentualnie innych bankow powiazanych z danym
    > umowa o akceptowaniu kart i konsekwentym z nia procesem
    > dystrybucji kluczy (jak widzisz, klucze "nie na stale w bankomacie"
    > pokazuja coraz to nowe zalety).

    Ach, to inne banki rowniez akceptuja te karty offlinowo?
    Szczerze mowiac, byloby to bardzo ryzykowne.

    > Eee, tu to juz chyba troche mnie podpuszczasz...
    > Nie wierze, aby osoba z wyzszym wyksztalceniem technicznym
    > negowala latwo sprawdzalne fakty rzetelnie udokumentowane
    > w literaturze przedmiotu.
    > Ale dla nie-fachowcow: kto zabroni producentowi zapakowac
    > do lub obok struktury scalaka kondensatorka ? i napakowac
    > go ladunkiem wystarczajacym do zaindukowania przepiecia
    > wystarczajacego nie tylko do skasowania zawartosci EEPROMu,
    > ale wrecz do zmiany calej struktury tego scalaka w krzemowy
    > "wegielek" ? (Jako, ze struktura jest malutka, ladunek wystarczy
    > tez malutki).

    To dlatego napisalem o mozliwosci zniszczenia calosci, w odroznieniu
    od samodestrukcji EPROMow.

    > Oczywiscie, mozna ominac to zabezpieczenie poslugujac sie
    > narzedziami klasy nanoinzynieryjnej (mikroskopy elektronowe,
    > szlifierki submikronowe, lasery itp.), ale znowu, ktos dysponujacy
    > takimi narzedziami raczej nie bedzie zainteresowany pruciem
    > jakichs tam scalaczkow w celu uzyskania algorytmu i kluczy
    > i wyciagniecia kasy nawet z kilkunastu bankomatow - mysle,
    > ze budzet takiego "ktosia" jest wielokrotnie wiekszy niz zawartosc
    > sejfow tychze bankomatow.

    Ale wtedy koszt takiego bankomatu bylby zbyt wysoki. Bezsensownie
    wysoki w porownaniu do normalnego bankomatu. I bezsensownie wysoki
    w porownaniu do kosztu uzyskania tych kluczy np. z samego banku,
    czy nawet zlamania ich (posiadajac karte i PIN), jesli to jest zwykly
    DES.

    > Reasumujac: zabezpieczenia takie wymyslili producenci
    > bankomatow off-line'owych. Zrobili to tak, aby ich produkt
    > mogl wzbudzic zaufanie bankowcow - ludzi z natury
    > dosc nieufnych. Udalo im sie, czyli zrobili to dobrze.

    Ja bym tu nie stawial znaku rownosci. Jasne jest dla mnie, ze bardzo
    wiele rozwiazan stosowanych w bankowosci nie jest bezpiecznych.

    > > Podaj przyklad takiej operacji.
    > >
    >
    > Nie bardzo rozumiem, czego oczekujesz.

    No nie, przede wszystkim chodzilo mi o konkretny przypadek (weryfikowalny).
    Jesli nie mozesz podac nazwy banku, to oczywiscie nie ma to sensu.

    > Ojoj, ale niedowiarek. To, ze bankomat pracuje off-line
    > nie oznacza, ze nie komunikuje sie z bankiem w ogole.
    > W koncu ktos co jakis czas musi zgrac z niego informacje
    > o przeprowadzonych operacjach (chocby po to, zeby
    > poobciazac stosowne konta). Jedna z tych informacji
    > moze byc informacja o zmianie PINu dla danej karty
    > (oczywiscie zakodowana). Minusem jest, ze dopoki
    > informacja o zmianie PINu nie znajdzie sie w banku,
    > klient korzystajac z bankomatow on-line'owych musialby
    > poslugiwac sie nadal 'starym' PINem. Moze dlatego
    > ta opcja nie jest stosowana.

    Nie ma tu zadnego "niedowiarstwa", po prostu nie wydaje mi sie to mozliwe
    do zastosowania. Z czym, jak rozumiem, zgadzasz sie.

    Fakt, ze np. w niektorych bankach mozna zmienic PIN bez fizycznego
    uzycia karty, tez nie oznacza, ze musi tak byc we wszystkich, choc
    oczywiscie skutecznie eliminuje to mozliwosc uzycia karty w takim
    offlinowym bankomacie.


    Moj brak wiary dotyczy glownie kart miedzynarodowych (VISA itp)
    - nigdy nie spotkalem sie z przypadkiem żądania PINu przy transakcji
    offline - nie tylko przy wyplacie z bankomatu (duze ryzyko), ale nawet
    w przypadku np. rozmowy telefonicznej na pokladzie samolotu (gdzie PIN
    bylby idealnym rozwiazaniem, jesli tylko bylaby taka mozliwosc
    techniczna). Zreszta chyba po to byly PINy telefoniczne (VISA phone itp)
    - bo jakos tam byly zapisane na karcie.

    Naturalnie kazdy bank moze uzywac bankomatow, ktore offlinowo beda
    wyplacac pieniadze. Inna sprawa, ze nie pamietam u nas bankomatu, ktory
    nie obslugiwalby przynajmniej jednej z kart miedzynarodowych (a wtedy musi
    byc online, i cala teoria do /dev/null). Co oczywiscie nie znaczy, ze
    takich nie ma.

    Inna sprawa jest takze historia. Kiedys bankomaty obslugiwaly tylko
    swoje karty, nie bylo w ogole miedzynarodowych organizacji w rodzaju
    VISA, i jestem przekonany, ze wiele bankomatow bylo online tylko przez
    krotki czas np. w nocy, albo po prostu obsluga wymieniala dane wraz
    z ladowaniem kaset.
    --
    Krzysztof Halasa
    Network Administrator

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1