-
Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.nask.pl!new
s.nask.org.pl!feed.news.interia.pl!not-for-mail
From: "MG" <n...@s...com>
Newsgroups: pl.biznes.banki
Subject: Re: dziura w EMV - chip & PIN to porazka?
Date: Sun, 14 Feb 2010 14:47:25 +0100
Organization: INTERIA.PL S.A.
Lines: 47
Message-ID: <hl8t9h$spu$1@news.interia.pl>
References: <9...@i...googlegroups.com><hl65h
4$i4f$1@news.interia.pl>
<m...@i...localdomain><hl7gsf$96g$1@news.interia.pl>
<m...@i...localdomain>
NNTP-Posting-Host: host-54-52.compi.net.pl
Mime-Version: 1.0
Content-Type: text/plain; format=flowed; charset="UTF-8"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Trace: news.interia.pl 1266153585 29502 194.187.54.52 (14 Feb 2010 13:19:45 GMT)
X-Complaints-To: u...@n...interia.pl
NNTP-Posting-Date: Sun, 14 Feb 2010 13:19:45 +0000 (UTC)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579
X-Newsreader: Microsoft Outlook Express 6.00.2900.5843
X-Priority: 3
X-Authenticated-User: mijoma % interia+pl
X-MSMail-Priority: Normal
Xref: news-archive.icm.edu.pl pl.biznes.banki:518395
[ ukryj nagłówki ]Użytkownik "Krzysztof Halasa" napisał:
>> Można np. przeprowadzać analizę CVR zawartego w IAD. Z różnymi
>> implikacjami może robić to zarówno karta, jak i wydawca w transakcjach
>> online. Są również inne rozwiązania zależne od implementacji służące
>> zarządzaniu ryzykiem w karcie.
>
> Ale konkretnie. Po czym karta ma to poznac?
Po CVMR, którego może żądać w CDOL1. Podczas zarządzania ryzykiem sytuacja
rozbieżności wartości CVMR i wewnętrznego stanu karty może (przy
odpowiedniej parametryzacji) zakończyć transakcję odmową offline.
>> Debetówki wydawane były z PINem offline, tylko zablokowanym. Z punktu
>> widzenia atakującego nie stanowiłoby to problemu, bo PIN try counter
>> można też przecież podmienić.
>
> Ale terminalowi, karta chyba nie ma schizofrenii przy tym ataku.
Atak niespecjalnie przejmuje się kartą i polega na tym, by terminal sądził,
że wykonał PIN offline.
Jeśli jest on na liście to terminal odpytuje o PIN try counter. Dla
mBankowych debetówek na razie wynosi 0 (choć podobno miało się to zmienić),
ale na potrzeby przeprowadzenia ataku wystarczy to przechwycić i zwrócić
cokolwiek innego (w granicach 1-15). Wtedy terminal wykona PIN offline, na
który atakujący odpowie SW 90 00. Zablokowanie PINu offline niewiele zatem
zmienia poza jeszcze innymi flagami, które karta ustawi w CVR.
> To przynajmniej napisz o ktore konkretnie zapisy (nie ich tresc)
> w jakich specyfikacjach chodzi, bo inaczej taki "argument" nie ma
> zadnego sensu.
Zgadzam się. U mnie w pracy wisi jednak taki obrazek:
http://www.prl.cba.pl/max/plakaty/tajemnic.jpg
W specyfikacji aplikacji kartowej jest rozdział poświęcony analizie ryzyka
podczas operacji generacji kryptogramu. Jest tam wyraźne odniesienie do
sytuacji, w której terminal uznaje, że PIN offline był sprawdzony, gdy do
tego nie doszło lub był błędny. Specyfikacja ma już kilka ładnych lat.
> To jest ogolny atak na typowe karty
> (i to raczej taki dosc akademicki, choc moze miec ciekawe konsekwencje
> pozatechniczne).
Ciężko niestety zdefiniować taki twór, jak typowa karta.
--
MG
Następne wpisy z tego wątku
- 16.02.10 09:55 xbartx
- 16.02.10 11:12 Jacek Osiecki
- 16.02.10 17:48 MG
- 16.02.10 21:02 Krzysztof Halasa
- 18.02.10 19:28 MG
- 20.02.10 05:45 kashmiri
Najnowsze wątki z tej grupy
- Velo częściowo ugiął się...
- że co?
- I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- Jak to kupić?
- Re: Obronią nas doskonale czołgi...
- Re: Obronią nas doskonale czołgi...
- Zabawny epizod z Santander Consumerem
- Zapamiętana karta w aplikacji
- Velo -- zgłoszenie incydentu
- Velo -- kradzież czy bałagan?...
- Velo bank nie odpuszcza?...
- Velo jak zwykle bredzi...
- Od setki do setki...
- Velo ostrzega przed sobą?
- Nest -- polecenie
Najnowsze wątki
- 2024-09-23 Velo częściowo ugiął się...
- 2024-09-22 że co?
- 2024-09-22 I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- 2024-09-20 Jak to kupić?
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-12 Zabawny epizod z Santander Consumerem
- 2024-09-12 Zapamiętana karta w aplikacji
- 2024-09-11 Velo -- zgłoszenie incydentu
- 2024-09-10 Velo -- kradzież czy bałagan?...
- 2024-09-10 Velo bank nie odpuszcza?...
- 2024-09-05 Velo jak zwykle bredzi...
- 2024-09-01 Od setki do setki...
- 2024-08-30 Velo ostrzega przed sobą?
- 2024-08-29 Nest -- polecenie