-
Data: 2010-02-13 12:49:24
Temat: Re: dziura w EMV - chip & PIN to porazka?
Od: "MG" <n...@s...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Uzytkownik "Herr Moher" napisal:
> Witam
>
> Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
> o problemach jakie rodzic moze wykorzystanie standardu EMV (a
> wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecam
> http://www.lightbluetouchpaper.org/2010/02/11/chip-a
nd-pin-is-broken/
Znam opracowanie zespolu z Cambridge i postawili oni zbyt daleko idace tezy.
Zostalo to rozdmuchane przez malo nierzetelne media, które nie zadaly sobie
trudu zapytania, ile z tej teorii mozna rzeczywisci wykorzystac w praktyce.
Gdyby ktos byl zainteresowany, to oficjalne stanowiska na ten temat wydaly
rózne organizacje zajmujace sie systemami platniczymi, np:
http://skocz.pl/dbrny
Atak jest nieco wyimaginowany i atakujacy musi liczyc na szczescie podczas
jego przeprowadzania.
Mozliwy jest przy zalozeniu, ze wydawca nie potrafi skorzystac z
istniejacych mechanizmów bezpieczenstwa, a wtedy mozna równie dobrze
powiedziec, ze EMV jest niebezpieczne, bo wydawca moze nie weryfikowac
kryptogramów albo PINu online, kiedy wystepuje.
> W skrocie:
> - na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
> gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
> terminal ze PINem
> - zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"
Dobrze spersonalizowana karta ma mozliwosc odróznienia takich sytuacji od
normalnej transakcji i odrzucenia ich offline na podstawie analizy CVR.
> - dziala to zarowno podczas transakcji offline, ale rowniez online
> - na slipie bedzie widniala informacja ze transakcja zostala
> zatwierdzona PINem
Nie dziala dla online. Nawet jesli karta nie odrzuci transakcji w offline,
to CVR wyslany do wydawcy jasno mówi, ze do weryfikacji PIN offline nie
doszlo. Rozbieznosc pomiedzy informacja z karty i z terminala zakonczy sie
odmowa i taka wlasnie informacja pojawi sie na slipie.
--
MG
Następne wpisy z tego wątku
- 13.02.10 23:23 Krzysztof Halasa
- 14.02.10 01:09 MG
- 14.02.10 03:06 Krzysztof Halasa
- 14.02.10 13:47 MG
- 16.02.10 09:55 xbartx
- 16.02.10 11:12 Jacek Osiecki
- 16.02.10 17:48 MG
- 16.02.10 21:02 Krzysztof Halasa
- 18.02.10 19:28 MG
- 20.02.10 05:45 kashmiri
Najnowsze wątki z tej grupy
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
Najnowsze wątki
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże