Wojtek Piecek <w...@p...waw.pl> wrote:

>> A wszystkie sprowadzają się do weryfikacji tego, co pinpad kabelkiem
>> pośle. W efekcie zamiast klawiaturki może być cokolwiek, byleby
>> podsyłało to, co podesłałby pinpad.

> No i?

Co oznacza, że mając PIN-pad, który jest de facto prostym
mikrokomputerkiem mogę odczytać jego program, i zmodyfikować go tak, aby
przesyłał do POS-a to samo, co nieprzerobiony, a miał dodatkowe funkcje
(np. - zapamiętywał ostatnio wbity PIN).

> Jasne. Ale co to ma do rzeczy? Powyzej masz fragment ktory mowi o
> przesylaniu podpisanych danych.

A co ma to do rzeczy? Dane są najpierw podawane jawnie, potem szyfrowane
i potem przesyłane. Wystarczy je przechwycić PRZED szyfrowaniem.

> A kazdy pos ma backdoora ktory wypisuje 'klient uzyl pinu 1234'.
Każdy może mieć. Tak się składa, że mikrokomputer 8051 ma jawny kod
maszynowy i jego modyfikacja nie jest niemożliwa.


>> A możesz uwierzyć, że przerobony PIN-pad może do przerobionego POS-a
>> przesłać PINblok, a po nim czysty, zywy PIN?

> A mozesz uwierzyc ze to wymaga modyfikacji POSa?
Oczywiście. Jeżeli chcę przesyłać. Bo jeżeli nie chcę, to nie wymaga.

> Alez pomiedzy nakladka na klawiature a przeprogramowaniem pinpada jest
> __olbrzymia__ roznica! Nie mieszaj tych dwoch rzeczy.

Może dla Ciebie, to rzecz tak skomplikowana, że niewykonalna. Dla
przeciętnego elektronika który ma cokolwiek wspólnego z
mikrokontrolerami i jedna, i druga operacja to dość proste modyfikacje.

Dla mnie, jako potencjalnej ofiary takich działań są to działania *zbyt
łatwe*, aby podawać PIN.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 608) 093 026
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://mike.oldfield.org.pl/
___________/ mail: _...@i...pl UIN: 4098313