Użytkownik "Krzysztof Halasa" napisał:
>> Atak jest nieco wyimaginowany i atakujacy musi liczyc na szczescie
>> podczas jego przeprowadzania.
>
> W sensie autoryzacji on-line?

Tak, choćby z powodu losowego wyboru transakcji do online musi liczyć na
szczęście, że to się nie stanie. A co jeśli się będzie online? W sumie można
w tym przypadku podmienić CID tak, żeby wyszło na transakcję odrzuconą, ale
to już czyni atak mniej ciekawym.

Ogólnie jednak, odkrycie, którego dokonał ten zespół jest znaną właściwością
tego systemu i nie stanowi zaskoczenia dla ludzi, którzy się tym zajmują.
Bardzo dobrze, że środowisko akademickie się interesuje i pracuje nad
poprawą systemu. Jest jeszcze wiele zaszłości, które wynikają choćby z
różnych ograniczeń istniejących w czasie, gdy powstawał standard. Prace te
powinny być jednak wyważone i dobrze przygotowane przed publikacją. W
przeciwnym wypadku, robi się tania sensacja, jak w tym przypadku.

>> Mozliwy jest przy zalozeniu, ze wydawca nie potrafi skorzystac z
>> istniejacych mechanizmów bezpieczenstwa,
>
> Jakich konkretnie?

Można np. przeprowadzać analizę CVR zawartego w IAD. Z różnymi implikacjami
może robić to zarówno karta, jak i wydawca w transakcjach online. Są również
inne rozwiązania zależne od implementacji służące zarządzaniu ryzykiem w
karcie.

> Ten akurat atak dziala tylko w jednym przypadku (transakcji offline przy
> chip & PIN), i polega na tym, ze nie trzeba znac PINu.

Autorzy twierdzili, że wydawca nie ma dostępu do informacji, jaka metoda
uwierzytelnienia została wybrana przez terminal. Jest to nieprawda, gdyż
jest ona przesyłana.

> Jasne ze w mBanku to nie zadziala (jesli prawda jest, ze wszystkie
> transakcje sa online).

Debetówki wydawane były z PINem offline, tylko zablokowanym. Z punktu
widzenia atakującego nie stanowiłoby to problemu, bo PIN try counter można
też przecież podmienić.

>> Dobrze spersonalizowana karta ma mozliwosc odróznienia takich sytuacji
>> od normalnej transakcji i odrzucenia ich offline na podstawie analizy
>> CVR.
>
> A cos konkretniej?

Niestety, konkretniej mogę jedynie wskazać istnienie szczegółowych zapisów w
specyfikacjach, które nie są publicznie dostępne i nie będę ich przytaczał.

>> Nawet jesli karta nie odrzuci transakcji w
>> offline,
>
> W zacytowanym przez Ciebie linku nie twierdza, ze moze sie to zdazyc,
> IOW biorac pod uwage charakter informacji, jest to wykluczone albo
> przynajmniej oni tak uwazaja :-)

Wypowiadam się z własnego doświadczenia, nie na podstawie cudzych informacji
prasowych. Sytuacja, o której napisałem jest jak najbardziej możliwa. Pewne
mechanizmy są stworzone, ale ponieważ zależą od platformy i różnią się
choćby pomiędzy organizacjami, nie można uogólnić.
W sferze zainteresowań ludzi odpowiedzialnych za duże wdrożenia powinno
leżeć zabezpieczenie się przed takimi sytuacjami.

Załączając link chciałem jedynie zaznaczyć, że pisząc te artykuły,
dziennikarze mogli się posłużyć również innymi źródłami i zapytać ludzi,
którzy znają problemy od strony praktycznej, a nie wyłącznie z akademickich
rozważań, co do których osobiście mam kilka zastrzeżeń (np. dlaczego badali
WYŁĄCZNIE karty Visa).

>> to CVR wyslany do wydawcy jasno mówi, ze do weryfikacji PIN
>> offline nie doszlo. Rozbieznosc pomiedzy informacja z karty i z
>> terminala zakonczy sie odmowa i taka wlasnie informacja pojawi sie na
>> slipie.
>
> Tyle ze tak bedzie przy online, a od poczatku wiemy, ze ten atak dziala
> tylko offline.

Herr Moher sugerował możliwość wykorzystania ataku w transakcjach online.
Z jego działaniem w offline też jest dosyć różnie, bo zależy od użytej
aplikacji kartowej i jej personalizacji.

> Ale tezy tam postawione sa smieszne: co kogo obchodzi, ze atak jest
> "highly complex to implement"? Zostal zaimplementowany, to wystarczy.
> Albo "transposition outside the laboratory conditions is complex" - dla
> kogo, dla autora tekstu? :-)

Również uważam, że pisanie takich rzeczy nie przystoi poważnej organizacji.

> BTW oni chyba nie wiedza ze transakcje kartami chipowymi niekoniecznie
> polegaja na przekazaniu karty sprzedawcy.

We Francji wiedzą jak najbardziej. W zdecydowanej większości przypadków jako
klient nie podawałem karty.

--
MG