Krzysztof Halasa wrote:

> janek z pola <a...@e...pl> writes:
>
>> Pewnie że jest problem - jeżeli od danego merchanta lecą masowo requesty
>> na nieistniejące numery kart, to jest to atak polegający na zgadywaniu
>> właściwego numeru. To powinno zablokować takiego merchanta po pewnej
>> rozsądnej liczbie takich prób. W zacytowanym tekście jest napisane, że
>> MasterCard jest przed tym zabezpieczony. I to jest prawidłowe
>> działanie.
>
> I napisałeś to tylko na podstawie tego artykułu, bez żadnej dodatkowej
> wiedzy?

Opisałem mechanizm tego, co kolega wcześniej opisał na podstawie lektury
artykułu prasowego, który powstał na podstawie pracy naukowej wykonanej w
uczelni w UK.

>
> Ja po prostu zajmuję się różnymi rzeczami, w tym bezpieczeństwem
> systemów informatycznych, od pewnego czasu, i to powoduje, że rzeczy
> normalnie oczywiste nie są już dla mnie takie oczywiste.

Życzę Ci, żebyś się w tym swoim zajmowaniu od pewnego czasu nie zafiksował
na pewnych schematach, bo zdaje się że właśnie padłeś ofiarą tego.

>
> W szczególności, dopuszczam istnienie tzw. "szarych list" (sprzedawca na
> takiej liście może być poddany obserwacji, ale to nie oznacza, że się go
> całkiem blokuje, bo to m.in. nie pozwala zbierać dowodów). Rozumiem, że
> nawet jeśli sprzedawca w taki sposób wygenerowałby nie wiem ile numerów
> kart (itd), i następnie zostałyby one użyte we fraudach, to organizacja
> karciana bez większego problemu skojarzy owe fakty (skoro potrafi
> namierzyć sprzedawcę, przez którego ręce przeszło wiele kart użytych
> później we fraudach, ale bez żadnych nietypowych sytuacji u tego
> sprzedawcy).

No i co z tego, że skojarzy? Towar został wydany - organizacja płatnicza
będzie musiała się wytłumaczyć przed posiadaczem konkretnej karty skąd był
fraud. Przecież to będzie numer karty jakiegoś randomowego Kowalskiego.

>
> Autor pisze, że "Scentralizowany system MasterCard wykrył taki atak po
> mniej niż 10 próbach odgadnięcia danych" - ciekawe skąd autor o tym
> wiedział, i skąd wiedział, że akurat VISA tego nie wykryła? Sklepy
> chwalą się takimi informacjami?

Wiedział stąd, że mu się chciało ruszyć 4 litery i zrobić na to odpowiednie
badania. Prawdopodobnie schemat badań jest opisany w jego pracy naukowej.

Dodam, że jakbym ja był związany z bezpieczeństwem IT i by do mnie przyszedł
jakiś kolo i powiedział, że powszechnie używany system płatności ma jakieś
luki, to zamiast się z niego śmiać i deprecjonować użyte przez niego metody,
bym to najzwyczajniej w świecie sprawdził i zbadał. No ale widać, że jak się
ma tak dużo doświadczenia jak Ty, to już się niczego nie sprawdza, bo się
wie wszystko najlepiej.

>
> A może autor próbował w taki sposób odgadnąć numer posiadanej przez
> siebie karty (legalnej), i sprawdzał jej "status" w bankomacie? :-)
>
> "Atak ułatwia fakt, że różne witryny proszą o różne kombinacje danych.
> Absolutne minimum to numer karty i data jej wygaśnięcia. Niektóre
> witryny żądają też podania kodu CVV. Nieograniczona możliwość zgadywanie
> daje szerokie pole do popisu. Po odgadnięciu numeru karty trzeba jeszcze
> zdobyć datę jej wygaśnięcia."
>
> Tyle że niestety doktorant Ali nie dowiedział się, że w celu uzyskania
> autoryzacji (co oznacza "dobrą" kartę) trzeba te dane podać
> jednocześnie. To nie jest tak, że podamy dobry numer i złą datę, i bank
> (sklep) nam powie "numer ok, data nie".
>
> "Eksperci uważają, że w opisany powyżej sposób działali przestępcy,
> którzy niedawno zaatakowali sieć Tesco i ukradli swoim ofiarom 2,5
> miliona funtów"
>
> Taaak, jasne - generowali numery kart, daty ważności oraz kody CVV2,
> i używali ich do kradzieży pieniędzy z kont bankowych. "Zwykłe"
> uzyskanie tych danych, np. przez kasjerkę w supermarkecie, byłoby zbyt
> proste. BTW gdzie się wpisuje ten kod przy kradzieży pieniędzy z konta?

O czym my w ogóle dyskutujemy? Pieniądze z konta kradnie się tak, że konto
jest obciążane kartą debetową, do której się kradnie 3 dane: numer, datę
ważności i kod zabezpieczający. Jeżeli tego nie ogarniasz, to nie dziwię
się, że cały temat wydaje się Tobie podejrzany i niewarty uwagi.

--
Wysłane z pola.