eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankikoniec kserowaniaRe: koniec kserowania
  • Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.cyf-kr.edu.pl!news.nask
    .pl!news.nask.org.pl!not-for-mail
    From: Krzysztof Halasa <k...@p...waw.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: koniec kserowania
    Date: Tue, 22 Dec 2015 18:13:24 +0100
    Organization: NASK - www.nask.pl
    Lines: 40
    Message-ID: <m...@p...waw.pl>
    References: <566b095c$0$22823$65785112@news.neostrada.pl>
    <0...@g...com>
    <n4fltu$hjq$1@node2.news.atman.pl>
    <e...@g...com>
    <b...@g...com>
    <n4gu7d$r92$1@node1.news.atman.pl>
    <566c11ad$0$22822$65785112@news.neostrada.pl>
    <n4ha1r$839$1@node1.news.atman.pl>
    <d...@g...com>
    <n4hg2j$enj$1@node1.news.atman.pl>
    <x...@4...net>
    <n4htdl$n5d$1@node2.news.atman.pl>
    <173gifh2pf231$.yq0zo16765pn.dlg@40tude.net>
    <n4i4m2$5bm$1@node1.news.atman.pl>
    <1236zgcbu95sh$.18to83qxz8dte.dlg@40tude.net>
    <n4jk09$l5s$1@node1.news.atman.pl>
    NNTP-Posting-Host: nat.piap.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=utf-8
    Content-Transfer-Encoding: 8bit
    X-Trace: pippin.nask.net.pl 1450804404 17967 195.187.100.13 (22 Dec 2015 17:13:24
    GMT)
    X-Complaints-To: abuse ATSIGN nask.pl
    NNTP-Posting-Date: Tue, 22 Dec 2015 17:13:24 +0000 (UTC)
    Cancel-Lock: sha1:+NbQMVlEcwjuH5i7Oh+/Yn882D0=
    Xref: news-archive.icm.edu.pl pl.biznes.banki:619187
    [ ukryj nagłówki ]

    Sebastian Biały <h...@p...onet.pl> writes:

    > Nie. Z prostej przyczyny. Dowód może być tokenem, takim na pin.
    > Zgubienie nic nie da zlodziejowi. Wtedy nawet internet nie jest
    > potrzebny żeby dowód nie dał się użyć.

    Owszem, ale wciąż jest wiele ataków na taki dowód. Bez ograniczenia
    sumy odpowiedzialności posiadacza takiego dowodu nie jest to bezpieczne.
    Ataki mogą być proste: np. klucze prywatne mogą być generowane
    w niebezpieczny sposób przez kartę (nie ma tego jak sprawdzić) albo
    w ogóle mogą być generowane poza kartą i np. przechowywane przez
    producenta "na wszelki wypadek" (a la seedy SecurID).
    Oprogramowanie może też być wadliwe przypadkowo (nie w sposób
    zaplanowany), chociaż w takich zastosowaniach to pewnie jest mniej
    prawdopodobne.

    > Jedyne znane obecnie atak na chipy w kartach kredytowych to exploit na
    > *oczywisty* błąd z flaga "pin ok" oraz dziadostwo algorytmiki mifare
    > wynikające z nadęcia i ignorancji inżynierów Philipsa.

    Jasne że ataków jest więcej. MIFARE ma się zresztą do tego nijak.

    Np. atak na karty wykorzystujące SDA (w praktyce sklonowana karta będzie
    działała w przypadku transakcji offline - konieczny dostęp do karty,
    np. do styków czytnika podczas transakcji, albo
    podsłuchanie/przeprowadzenie transmisji bezprzewodowej).

    Przed epoką kart bankowych karty chipowe wykorzystywane były do innych
    zastosowań (np. warunkowego dostępu), tam przetrenowano dość dużo
    rozmaitych ataków m.in. "środowiskowych" (kombinacje z napięciami,
    częstotliwościami itp.) i o ile producenci zapewniają, że obecne karty
    bankowe są na to odporne, o tyle kto ma mieć pewność czy tak jest
    w istocie, i czy dotyczy to wszystkich kart wszystkich producentów?

    Tak jakby trochę w to wątpię.

    Natomiast faktem jest, że karty procesorowe _potencjalnie_ mogą być
    zastosowane w taki sposób, by nie miało to znanych słabości.
    --
    Krzysztof Hałasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1