"kashmiri" <k...@i...pl> writes:

> To nie chodziło o filmik. Zajrzałeś na inne linki? Na
> http://www.cl.cam.ac.uk/research/security/banking/pe
d podany jest opis
> przeprowadzonych testów urządzeń.

To bez wiekszego znaczenia. Terminal (wraz z jego wszystkimi
czesciami, takze pin/card-padem) pozostaje pod calkowita kontrola
sprzedawcy i ten ostatni moze go zmodyfikowac w taki sposob, w jaki
zechce. To tylko kwestia wysilku. Nie da sie tego zmienic, wobec czego
nalezy traktowac terminal jako potencjalnie zrodlo ataku.

> Najbardziej przerażające jest to, że producenci tych urządzeń nabrali
> wody w usta. Cisza. Byle najmniej hałasu: interes musi się kręcić.

To moze i jest przerazajace w sensie medialnym, ale praktycznie nie ma
znaczenia - rownie dobrze moznaby podawac PIN sprzedawcy na kartce, a
karte wkladac do jego peceta - z Linuksem hakerskim :-)

PIN, CVV/CVC, CVV2/CVC2 to tylko takie dodatkowe, dosc slabe,
zabezpieczenia, ktore maja troche utrudnic zycie fraudsterow. W zadnym
przypadku nie nalezy sie na nich opierac jako na "niemozliwych", czy
tez "bardzo trudnych" do przejscia. Niestety uklad karta magnetyczna
(bez chipu) + PIN (/podpis) nie zawiera zadnego silnego zabezpieczenia
:-(

> Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.

Przeciez tamte karty mikroprocesorowe nie sa podatne na taki
atak. Podatne na atak sa sklepy itp., ktore nie obsluguja kart
procesorowych. Zrodlo danych, ktore trzeba zapisac na sciezce
magnetycznej, jest nieistotne. Aczkolwiek uzywanie tego samego CVV
na sciezce magnetycznej i w procesorze to raczej pomysl kogos
inteligentnego inaczej, ale rozne CVV to tylko takie dodatkowe,
bardzo slabe zabezpieczenie (przeciez sprzedawca moze po prostu
skopiowac pasek magnetyczny oddzielnym urzadzeniem).

Tak naprawde istotne jest, by _klient_ nie mogl zainstalowac (bez
wiedzy sprzedawcy) jakiegos sniffera w padzie.
--
Krzysztof Halasa