On Fri, May 31, 2002 at 10:47:34AM +0000, Adam Płaszczyca wrote:

> A wszystkie sprowadzają się do weryfikacji tego, co pinpad kabelkiem
> pośle. W efekcie zamiast klawiaturki może być cokolwiek, byleby
> podsyłało to, co podesłałby pinpad.

No i?

>
> > Rozumiem ze fakt ze zamiast ciagu malo znaczacych bitow masz podpis
> > cyfrowy jest dla Ciebie czyms tak oczywistym do zlamania ze nawet nie
> > warto tego robic.
>
> Zacznij patrzeć na POS-a jak na czarną skrzynkę. Zrozum, że informacja
> p.t. PIN jest bezpieczna w mojej głowie, i potem, kiedy zostanie
> zaszyfrowana przez PIN-pada.
> Pomiędzy glową a szyfrowaniem jest ona jawna i można ja przechwycić.

Jasne. Ale co to ma do rzeczy? Powyzej masz fragment ktory mowi o
przesylaniu podpisanych danych.

> > I rozumiem ze wymaga to tylko modyfikacji pinapada?
> Aby przechwycic PIN? Tak.

A kazdy pos ma backdoora ktory wypisuje 'klient uzyl pinu 1234'.

> A możesz uwierzyć, że przerobony PIN-pad może do przerobionego POS-a
> przesłać PINblok, a po nim czysty, zywy PIN?

A mozesz uwierzyc ze to wymaga modyfikacji POSa?

> Zapytam wprost - jak zapobiegniesz zapamietaniu sekwencji w jakiej
> naciskane były klawisze na pin-padzie przez prosty układzik monitorujący
> matrycę klawiatury (czyli jej przełączniki).

Alez pomiedzy nakladka na klawiature a przeprogramowaniem pinpada jest
__olbrzymia__ roznica! Nie mieszaj tych dwoch rzeczy.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki