-
Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!news.icm.edu.pl!pm.waw.pl!defiant.pm
.waw.pl!not-for-mail
From: Krzysztof Halasa <k...@d...pm.waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: Kradziez z karty - jak to sie stalo?
Date: 06 Feb 2002 16:07:17 +0100
Organization: The Palace of Youth in Warsaw
Lines: 166
Message-ID: <m...@d...pm.waw.pl>
References: <3...@m...com> <a3e662$2p5$1@flis.man.torun.pl>
<q...@4...com>
<a3e6rg$32c$1@flis.man.torun.pl>
<6...@4...com>
<OkK68.9185$l5.243975@read2.cgocable.net>
<m...@d...pm.waw.pl>
<co378.10263$l5.320608@read2.cgocable.net>
<m...@d...pm.waw.pl>
<JVK78.14171$l5.475555@read2.cgocable.net>
NNTP-Posting-Host: defiant.pm.waw.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: defiant.pm.waw.pl 1013008038 1244 195.116.170.34 (6 Feb 2002 15:07:18 GMT)
X-Complaints-To: n...@d...pm.waw.pl
NNTP-Posting-Date: Wed, 6 Feb 2002 15:07:18 +0000 (UTC)
Xref: news-archive.icm.edu.pl pl.biznes.banki:161052
[ ukryj nagłówki ]"tp" <t...@d...net> writes:
> > No, roznie z tym jest. Wiele osob opisywalo "zatrzymywanie" przez bankomat
> > karty po jej zwrocie, i tak co trzeci raz.
> >
>
> Co chyba nie kloci sie z moja teza, ze przeprowadzenie
> brutalnego ataku poprzez pakowanie karty do bankomatu
> i probowanie kolejnych PINow ma raczej male szanse
> powodzenia ?
Jakbym ja mial przeprowadzac taki atak, to bym tego tak nie robil, wiec
w tym przypadku sie nie kloci.
Ale w przypadku ogolnym moze sie klocic - w koncu mozna sie uwziac na
bankomat i stac tam godzinami. Zakladam oczywiscie, ze sytuacja jest j.w.
No i oczywiscie dodatkowo musi byc to bankomat offlinowy, i jego
karta, co ze wzgledu na pierwsze wymaganie wydaje mi sie nierealne.
> > Gdzie moge wyprobowac operacje offline i jaka karta?
>
> Przykro mi, ale nie jestem upowazniony do informowania,
> o jakim banku pisalem, ze "co najmniej jeden w Polsce".
> Jesli trafi Ci sie, ze bedziesz jego klientem, to mysle,
> ze sam sie zorientujesz.
Jasne. Po prostu przypuszczam, ze takiego banku nie ma, ale z drugiej
strony widzialem tak dziwne rzeczy w bankach (ktore normalnie w glowie
sie nie mieszcza), ze bardzo bym sie nie zdziwil gdyby jakas firmowa
karta (czyli zadna miedzynarodowa) chodzila offline w bankomacie.
> Przepraszam, wyrazilem sie niescisle. Klucze w postaci
> fizycznej znajduja sie w bankowych sejfach.
To wydaje sie oczywiste.
> W bankomacie, w jednym z jego EEPROMow znajduje sie
> reprezentacja binarna tych kluczy.
Ale to wydaje mi sie srednio oczywiste. Niestety, ze wzgledu na
nieznajomosc sytuacji faktycznej przeze mnie, nie moge tego potwierdzic
ani zaprzeczyc. Moge jedynie napisac, ze w ogole stawianie takiego
bankomatu jest sprzeczne z logika.
> Jest ona wprowadzana tam
> z kluczy fizycznych przed rozpoczeciem akceptowania przez
> bankomat jakichkolwiek kart. O zabezpieczeniu danych w tym
> EEPROMie napisze nizej.
> Nb. nie moga to byc "dodatkowe dane zapisane na karcie",
> gdyz wlasnie na ich podstawie nastepuje weryfikacja danej
> karty jako karty w ogole mozliwej do uzycia off-line'owego
> w danym bankomacie.
> Bez tych kluczy algorytm sprawdzajacy musialby pracowac
> ze stalym sposobem kodowania (czyli i tak musialyby byc
> jakies klucze, tylko ze zaszyte na stale w maszynie),
> a byloby to zdecydowanie mniej godne zaufania
> (i mniej wygodne) dla bankowcow.
Mialem niezupelnie to na mysli - oczywiste jest, ze w przypadku transakcji
offline (zakladajac, ze takie istnieja) koniecznie jest sprawdzenie
integralnosci danych zapisanych na karcie oraz PINu, i ze trzeba to zrobic
zapewne metoda skrotu kryptograficznego zaszyfrowanego jakims kluczem
(znajdujacym sie w tym przypadku w bankomacie oraz w maszynce do zapisywania
kart).
Natomiast w przypadku transakcji online nie ma takiej potrzeby, nawet dla
tych samych kart - mozna po prostu przetransmitowac ten zaszyfrowany
skrot do banku i niech ten sobie sprawdza.
> Alez nadawaly by sie - do uzycia w bankomatach tego wlasnie
> banku, oraz ewentualnie innych bankow powiazanych z danym
> umowa o akceptowaniu kart i konsekwentym z nia procesem
> dystrybucji kluczy (jak widzisz, klucze "nie na stale w bankomacie"
> pokazuja coraz to nowe zalety).
Ach, to inne banki rowniez akceptuja te karty offlinowo?
Szczerze mowiac, byloby to bardzo ryzykowne.
> Eee, tu to juz chyba troche mnie podpuszczasz...
> Nie wierze, aby osoba z wyzszym wyksztalceniem technicznym
> negowala latwo sprawdzalne fakty rzetelnie udokumentowane
> w literaturze przedmiotu.
> Ale dla nie-fachowcow: kto zabroni producentowi zapakowac
> do lub obok struktury scalaka kondensatorka ? i napakowac
> go ladunkiem wystarczajacym do zaindukowania przepiecia
> wystarczajacego nie tylko do skasowania zawartosci EEPROMu,
> ale wrecz do zmiany calej struktury tego scalaka w krzemowy
> "wegielek" ? (Jako, ze struktura jest malutka, ladunek wystarczy
> tez malutki).
To dlatego napisalem o mozliwosci zniszczenia calosci, w odroznieniu
od samodestrukcji EPROMow.
> Oczywiscie, mozna ominac to zabezpieczenie poslugujac sie
> narzedziami klasy nanoinzynieryjnej (mikroskopy elektronowe,
> szlifierki submikronowe, lasery itp.), ale znowu, ktos dysponujacy
> takimi narzedziami raczej nie bedzie zainteresowany pruciem
> jakichs tam scalaczkow w celu uzyskania algorytmu i kluczy
> i wyciagniecia kasy nawet z kilkunastu bankomatow - mysle,
> ze budzet takiego "ktosia" jest wielokrotnie wiekszy niz zawartosc
> sejfow tychze bankomatow.
Ale wtedy koszt takiego bankomatu bylby zbyt wysoki. Bezsensownie
wysoki w porownaniu do normalnego bankomatu. I bezsensownie wysoki
w porownaniu do kosztu uzyskania tych kluczy np. z samego banku,
czy nawet zlamania ich (posiadajac karte i PIN), jesli to jest zwykly
DES.
> Reasumujac: zabezpieczenia takie wymyslili producenci
> bankomatow off-line'owych. Zrobili to tak, aby ich produkt
> mogl wzbudzic zaufanie bankowcow - ludzi z natury
> dosc nieufnych. Udalo im sie, czyli zrobili to dobrze.
Ja bym tu nie stawial znaku rownosci. Jasne jest dla mnie, ze bardzo
wiele rozwiazan stosowanych w bankowosci nie jest bezpiecznych.
> > Podaj przyklad takiej operacji.
> >
>
> Nie bardzo rozumiem, czego oczekujesz.
No nie, przede wszystkim chodzilo mi o konkretny przypadek (weryfikowalny).
Jesli nie mozesz podac nazwy banku, to oczywiscie nie ma to sensu.
> Ojoj, ale niedowiarek. To, ze bankomat pracuje off-line
> nie oznacza, ze nie komunikuje sie z bankiem w ogole.
> W koncu ktos co jakis czas musi zgrac z niego informacje
> o przeprowadzonych operacjach (chocby po to, zeby
> poobciazac stosowne konta). Jedna z tych informacji
> moze byc informacja o zmianie PINu dla danej karty
> (oczywiscie zakodowana). Minusem jest, ze dopoki
> informacja o zmianie PINu nie znajdzie sie w banku,
> klient korzystajac z bankomatow on-line'owych musialby
> poslugiwac sie nadal 'starym' PINem. Moze dlatego
> ta opcja nie jest stosowana.
Nie ma tu zadnego "niedowiarstwa", po prostu nie wydaje mi sie to mozliwe
do zastosowania. Z czym, jak rozumiem, zgadzasz sie.
Fakt, ze np. w niektorych bankach mozna zmienic PIN bez fizycznego
uzycia karty, tez nie oznacza, ze musi tak byc we wszystkich, choc
oczywiscie skutecznie eliminuje to mozliwosc uzycia karty w takim
offlinowym bankomacie.
Moj brak wiary dotyczy glownie kart miedzynarodowych (VISA itp)
- nigdy nie spotkalem sie z przypadkiem żądania PINu przy transakcji
offline - nie tylko przy wyplacie z bankomatu (duze ryzyko), ale nawet
w przypadku np. rozmowy telefonicznej na pokladzie samolotu (gdzie PIN
bylby idealnym rozwiazaniem, jesli tylko bylaby taka mozliwosc
techniczna). Zreszta chyba po to byly PINy telefoniczne (VISA phone itp)
- bo jakos tam byly zapisane na karcie.
Naturalnie kazdy bank moze uzywac bankomatow, ktore offlinowo beda
wyplacac pieniadze. Inna sprawa, ze nie pamietam u nas bankomatu, ktory
nie obslugiwalby przynajmniej jednej z kart miedzynarodowych (a wtedy musi
byc online, i cala teoria do /dev/null). Co oczywiscie nie znaczy, ze
takich nie ma.
Inna sprawa jest takze historia. Kiedys bankomaty obslugiwaly tylko
swoje karty, nie bylo w ogole miedzynarodowych organizacji w rodzaju
VISA, i jestem przekonany, ze wiele bankomatow bylo online tylko przez
krotki czas np. w nocy, albo po prostu obsluga wymieniala dane wraz
z ladowaniem kaset.
--
Krzysztof Halasa
Network Administrator
Następne wpisy z tego wątku
- 07.02.02 07:29 tp
- 10.02.02 02:56 Krzysztof Halasa
- 11.02.02 06:52 tp
- 11.02.02 16:22 Krzysztof Halasa
- 12.02.02 15:34 Syriusz
- 12.02.02 20:58 Wojtek Frabinski
- 12.02.02 22:12 Krzysztof Halasa
Najnowsze wątki z tej grupy
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- zloto
- Velo częściowo ugiął się...
Najnowsze wątki
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-03 zloto
- 2024-09-23 Velo częściowo ugiął się...