TwojePC.pl © 2001 - 2024
|
|
Piątek 12 lutego 2010 |
|
|
|
Nasze karty kredytowe nie są już bezpieczne Autor: Wedelek | źródło: Daily Telegraph | 23:04 |
(17) | Grupa informatyków z Uniwersytetu w Cambridge poinformowała opinię publiczną o odnalezionej luce w zabezpieczeniu kart kredytowych. W wywiadzie dla Daily Telegraph oświadczyli, że problem jest bardzo poważny i w najbliższym czasie może spowodować plagę masowych kradzieży środków pieniężnych z naszych kont bankowych. Do niedawna jedynym sposobem na elektroniczną kradzież było zmuszenie poprzez różne formy podstępu klienta do wyjawienia swojego numeru PIN. Niestety te czasy odeszły w niepamięć. Co więcej brytyjscy naukowcy przetestowali wszystkie karty kredytowe działające na rynku tego wyspiarskiego kraju. Werdykt był miażdżący. Żadna karta nie obroniła klienta przed kradzieżą środków zgromadzonych w banku.
Cała idea polega na specjalnym systemie destabilizacji łącza pomiędzy terminalem, na przykład w sklepie a serwerem w banku. Po całej operacji możliwe jest swobodne dokonywanie zakupów i pobierania pieniędzy z konta osoby zaatakowanej. Co ciekawe cała operacja nie wymaga podawania poprawnego kodu PIN, a jedynie dowolnego ciągu znaków o zadanej długości. Było to możliwe dzięki zastosowaniu dodatkowego urządzenia, które przechwyciło podawany kod PIN i zwróciło do terminala kod akceptujący 0x9000. Oczywiście z wiadomych przyczyn grupa uniwersytecka nie podała żadnych szczegółowych informacji osobom postronnym. Wiadomo jedynie że kod był napisany w otwartym języku Python. |
| |
|
|
|
|
|
|
|
|
|
K O M E N T A R Z E |
|
|
|
- wooowww... (autor: aras-n | data: 13/02/10 | godz.: 23:31)
noooo ... to jest news! czyli co? blokujemy?
- 4 znaki w kodzie PIN (autor: ditomek | data: 13/02/10 | godz.: 23:46)
to smiech na sali.
Inna sprawa to to ze kod pin nie jest zapisywany DOSŁOWNIE nigdzie.
prawdopodobny Pin jest generowany po stronie hosta i porównywany z tym co wyśle klient oraz o tzw Pin Verification Value - także zapisanym na karcie klienta.
Stad płyna dwa wnioski:
1) nikomu nie podajemy naszego PINu bo nigdzie oprócz naszej głowy nie jest on zapisany
2) wydaje się ze 4 cyfrowy kod PIN to liche zabezpieczenie bo istnieje tylko 10 tys kombinacji (z drugiej strony kto spamięta więcej) - w internecie są opisy sposobów łamania PINu w oparciu o PVV
- Tylko... (autor: kosa23 | data: 14/02/10 | godz.: 00:58)
Tylko straszą, by móc wprowadzić nową technologie i znowu kasę golić.
- @ditomek (autor: ligand17 | data: 14/02/10 | godz.: 09:36)
poczytaj sobie temat na boardzie - tam jest link do dokumentu opisującego dokładnie ten atak.
- odkąd przestałem (autor: ditomek | data: 14/02/10 | godz.: 19:10)
zajmować się kartami zawodowo temat przestał mnie tak interesować. W każdym bądź razie ten news nie zrobił na mnie jakiegoś wielkiego wrażenia jakieś 3 lata temu zastanawiałem sie kiedy to nastąpi :)
- No tak... (autor: Slak | data: 14/02/10 | godz.: 20:28)
Mój znajomy po podaniu numeru karty
po zastanowieniu się przez 2-3 minuty podał mi cyfry
z jakich składał się mój pin - oczywiście nie w prawidłowej kolejności, ale przy
4 cyfrach pin-u...
Podobnie z kartą mojej żony...
Ja już nie mam karty - muszę mieć na koncie sporo dyspozycyjnej kasy.
- ale w czym problem (autor: pit808 | data: 14/02/10 | godz.: 21:00)
wystarczy mieć 2 konta, na grubszą kasę bez karty, i 2 konto z dostępem za pomocą karty bankomatowej.
Każdy normalny bank daje taką opcję. Wystarczy wziąć np najstarszy bank internetowy w Polsce - mBank. Bierzemy eKonto z kartą, eMaxa i eMax+ i po sprawie.
Wiemy ile w danym dniu wydamy, przelewamy na jeden dzień wymaganą kwotę kasiorki i dysponujemy nią za pomocą kart.
Marudzącym na taki sposób dysponowania gotówką radzę się zastanowić. Bezpieczeństwo czy wygoda jest ważniejsza ?!
Nawet jak ktoś nam spróbuje ukraść kasę za pomocą w.w. systemowi, ukradnie jedynie te środki które zostały przelane na konto z dostępem za pomocą karty.
- ja mam konto w Inteligo (autor: digiter | data: 14/02/10 | godz.: 21:12)
i tam samemu ustawia się pin do karty. Numer seryjny karty nie ma na to zadnego wpływu.
- PIN jest generowany (autor: ditomek | data: 14/02/10 | godz.: 21:17)
podczas produkcji karty (jej personalizacji dokładnie rzecz biorąc) wygenerowany losowo jest zapisywany w PINmailerze (to co przychodzi do domu) i na jego podstawie jest liczony PVV który następnie zapisywany na pasku magnetycznym. Jedyne miejsce gdzie PIN jest zapisany to pinmailer, jesli sie go zniszczy to tylko klient zna PIN.
- jest generowany (autor: digiter | data: 14/02/10 | godz.: 22:37)
ale można go zmienić więc w czym kłopot
Screen z Inteligo: http://img705.imageshack.us/img705/9181/a33j.jpg
- @digiter (autor: ditomek | data: 14/02/10 | godz.: 22:58)
w poprzednim poście pisałeś o nr karty itd. Starałem się tylko potwierdzić Twoje informacje na temat tego mechanizmu.
- A jak to z tym PIN'em jest ? (autor: JE Jacaw | data: 15/02/10 | godz.: 00:26)
Z tego co czytam wnioskuję, że nie jest on zapisywany na karcie (w końcu też można go zmienić), ale w takim razie czy coś jest zapisane na karcie ? I jak wygląda sprawa ze zmianą PIN'u ?
- Jakim cudem PIN może być generowany przy produkcji karty?? (autor: Borat | data: 15/02/10 | godz.: 01:45)
W Inteligo sam nadaję PIN karcie więc w jaki sposób ma być nadawany podczas produkcji?
- w inteligo masz (autor: RusH | data: 15/02/10 | godz.: 11:23)
karte z paskiem a nie dczipem
- @ Borat (autor: ditomek | data: 15/02/10 | godz.: 13:07)
Tematem kart i atm zajmowałem sie ramach pracy zawodowej w banku.
Piszę Ci jak jest wiec Twoje pytanie jest dziwne.
Powtarzam: PIN jest generowany podczas personalizacji karty (drukowanie na niej danych) a nie podczas produkcji samego plastiku gdzieś w chinach :)
@JE Jacaw
jedyne miejsce we wszechświecie gdzie zapisywany jest PIN to pinmailer który dostajesz z banku, na samej karcie zapisany jet natomiast PVV.
- znaczy co... kolejny armageddon? (autor: Qjanusz | data: 15/02/10 | godz.: 14:46)
nudzą już mnie takie "głośne" doniesienia.
Za tydzień nikt zapewne nie będzie pamiętał o sprawie.
- ale jakie zapisywanie PINu (autor: pit808 | data: 16/02/10 | godz.: 08:53)
przecież metoda ta polega na zaburzeniu przesyłania danych z bankomatu do systemu bankowego. Sam pin jest jedynie kluczem.
W tej metodzie, PIN nie jest w ogóle potrzebny. Wpisujemy dowolne 4 liczby.
Co do samego PINu, na bank nie jest zapisywany na stałe na karcie w żadnej formie. Bardziej numer karty jest zapisywany, a sam pin jest kodem weryfikacyjnym karty w systemie transakcyjnym. PIN służy jedynie do potwierdzenia autentyczności karty.
Popieram Qjanusza, za tydzień nikt nie będzie pamiętał o tym.
|
|
|
|
|
|
|
|
|
D O D A J K O M E N T A R Z |
|
|
|
Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.
|
|
|
|
|
|
|
|
|
|