-
Path: news-archive.icm.edu.pl!news.rmf.pl!nf1.ipartners.pl!ipartners.pl!plix.pl!newsf
eed1.plix.pl!news.nask.pl!news.nask.org.pl!feed.news.interia.pl!not-for-mail
From: "MG" <n...@s...com>
Newsgroups: pl.biznes.banki
Subject: Re: dziura w EMV - chip & PIN to porazka?
Date: Sat, 13 Feb 2010 13:49:24 +0100
Organization: INTERIA.PL S.A.
Lines: 43
Message-ID: <hl65h4$i4f$1@news.interia.pl>
References: <9...@i...googlegroups.com>
NNTP-Posting-Host: host-54-52.compi.net.pl
Mime-Version: 1.0
Content-Type: text/plain; format=flowed; charset="ISO-8859-1"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Trace: news.interia.pl 1266063716 18575 194.187.54.52 (13 Feb 2010 12:21:56 GMT)
X-Complaints-To: u...@n...interia.pl
NNTP-Posting-Date: Sat, 13 Feb 2010 12:21:56 +0000 (UTC)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579
X-Newsreader: Microsoft Outlook Express 6.00.2900.5843
X-Priority: 3
X-Authenticated-User: mijoma % interia+pl
X-MSMail-Priority: Normal
Xref: news-archive.icm.edu.pl pl.biznes.banki:518303
[ ukryj nagłówki ]Uzytkownik "Herr Moher" napisal:
> Witam
>
> Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
> o problemach jakie rodzic moze wykorzystanie standardu EMV (a
> wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecam
> http://www.lightbluetouchpaper.org/2010/02/11/chip-a
nd-pin-is-broken/
Znam opracowanie zespolu z Cambridge i postawili oni zbyt daleko idace tezy.
Zostalo to rozdmuchane przez malo nierzetelne media, które nie zadaly sobie
trudu zapytania, ile z tej teorii mozna rzeczywisci wykorzystac w praktyce.
Gdyby ktos byl zainteresowany, to oficjalne stanowiska na ten temat wydaly
rózne organizacje zajmujace sie systemami platniczymi, np:
http://skocz.pl/dbrny
Atak jest nieco wyimaginowany i atakujacy musi liczyc na szczescie podczas
jego przeprowadzania.
Mozliwy jest przy zalozeniu, ze wydawca nie potrafi skorzystac z
istniejacych mechanizmów bezpieczenstwa, a wtedy mozna równie dobrze
powiedziec, ze EMV jest niebezpieczne, bo wydawca moze nie weryfikowac
kryptogramów albo PINu online, kiedy wystepuje.
> W skrocie:
> - na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
> gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
> terminal ze PINem
> - zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"
Dobrze spersonalizowana karta ma mozliwosc odróznienia takich sytuacji od
normalnej transakcji i odrzucenia ich offline na podstawie analizy CVR.
> - dziala to zarowno podczas transakcji offline, ale rowniez online
> - na slipie bedzie widniala informacja ze transakcja zostala
> zatwierdzona PINem
Nie dziala dla online. Nawet jesli karta nie odrzuci transakcji w offline,
to CVR wyslany do wydawcy jasno mówi, ze do weryfikacji PIN offline nie
doszlo. Rozbieznosc pomiedzy informacja z karty i z terminala zakonczy sie
odmowa i taka wlasnie informacja pojawi sie na slipie.
--
MG
Następne wpisy z tego wątku
- 13.02.10 23:23 Krzysztof Halasa
- 14.02.10 01:09 MG
- 14.02.10 03:06 Krzysztof Halasa
- 14.02.10 13:47 MG
- 16.02.10 09:55 xbartx
- 16.02.10 11:12 Jacek Osiecki
- 16.02.10 17:48 MG
- 16.02.10 21:02 Krzysztof Halasa
- 18.02.10 19:28 MG
- 20.02.10 05:45 kashmiri
Najnowsze wątki z tej grupy
- Velo częściowo ugiął się...
- że co?
- I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- Jak to kupić?
- Re: Obronią nas doskonale czołgi...
- Re: Obronią nas doskonale czołgi...
- Zabawny epizod z Santander Consumerem
- Zapamiętana karta w aplikacji
- Velo -- zgłoszenie incydentu
- Velo -- kradzież czy bałagan?...
- Velo bank nie odpuszcza?...
- Velo jak zwykle bredzi...
- Od setki do setki...
- Velo ostrzega przed sobą?
- Nest -- polecenie
Najnowsze wątki
- 2024-09-23 Velo częściowo ugiął się...
- 2024-09-22 że co?
- 2024-09-22 I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- 2024-09-20 Jak to kupić?
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-12 Zabawny epizod z Santander Consumerem
- 2024-09-12 Zapamiętana karta w aplikacji
- 2024-09-11 Velo -- zgłoszenie incydentu
- 2024-09-10 Velo -- kradzież czy bałagan?...
- 2024-09-10 Velo bank nie odpuszcza?...
- 2024-09-05 Velo jak zwykle bredzi...
- 2024-09-01 Od setki do setki...
- 2024-08-30 Velo ostrzega przed sobą?
- 2024-08-29 Nest -- polecenie