janek z pola <a...@e...pl> writes:

> Pewnie że jest problem - jeżeli od danego merchanta lecą masowo requesty na
> nieistniejące numery kart, to jest to atak polegający na zgadywaniu
> właściwego numeru. To powinno zablokować takiego merchanta po pewnej
> rozsądnej liczbie takich prób. W zacytowanym tekście jest napisane, że
> MasterCard jest przed tym zabezpieczony. I to jest prawidłowe
> działanie.

I napisałeś to tylko na podstawie tego artykułu, bez żadnej dodatkowej
wiedzy?

Ja po prostu zajmuję się różnymi rzeczami, w tym bezpieczeństwem
systemów informatycznych, od pewnego czasu, i to powoduje, że rzeczy
normalnie oczywiste nie są już dla mnie takie oczywiste.

W szczególności, dopuszczam istnienie tzw. "szarych list" (sprzedawca na
takiej liście może być poddany obserwacji, ale to nie oznacza, że się go
całkiem blokuje, bo to m.in. nie pozwala zbierać dowodów). Rozumiem, że
nawet jeśli sprzedawca w taki sposób wygenerowałby nie wiem ile numerów
kart (itd), i następnie zostałyby one użyte we fraudach, to organizacja
karciana bez większego problemu skojarzy owe fakty (skoro potrafi
namierzyć sprzedawcę, przez którego ręce przeszło wiele kart użytych
później we fraudach, ale bez żadnych nietypowych sytuacji u tego
sprzedawcy).

Autor pisze, że "Scentralizowany system MasterCard wykrył taki atak po
mniej niż 10 próbach odgadnięcia danych" - ciekawe skąd autor o tym
wiedział, i skąd wiedział, że akurat VISA tego nie wykryła? Sklepy
chwalą się takimi informacjami?

A może autor próbował w taki sposób odgadnąć numer posiadanej przez
siebie karty (legalnej), i sprawdzał jej "status" w bankomacie? :-)

"Atak ułatwia fakt, że różne witryny proszą o różne kombinacje danych.
Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre
witryny żądają też podania kodu CVV. Nieograniczona możliwość zgadywanie
daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba jeszcze
zdobyć datę jej wygaśnięcia."

Tyle że niestety doktorant Ali nie dowiedział się, że w celu uzyskania
autoryzacji (co oznacza "dobrą" kartę) trzeba te dane podać
jednocześnie. To nie jest tak, że podamy dobry numer i złą datę, i bank
(sklep) nam powie "numer ok, data nie".

"Eksperci uważają, że w opisany powyżej sposób działali przestępcy,
którzy niedawno zaatakowali sieć Tesco i ukradli swoim ofiarom 2,5
miliona funtów"

Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby zbyt
proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z konta?
--
Krzysztof Hałasa