November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

А этот ваш chip-and-pin нифига не панацея от фрода

dil: (Default)
[personal profile] dil
Saturday, August 30th, 2008 12:54 pm
https://www.rte.ie/news/2008/0818/107055-fraud/

А всё потому, что общение между картой и терминалом совершенно незашифрованное. И соответственно, эти данные вполне можно перехватить и запомнить.

Ну и, конечно, потому что разгильдяи в магазинах даже не почесались позвонить в банк и проверить, что это за люди пришли менять терминал.
Tags:
Flat | Top-Level Comments Only

[identity profile] aol985.livejournal.com
Saturday, August 30th, 2008 12:59 pm (UTC)
оч. смахивает на бред, если честно. А вообще -- красиво, да.

[identity profile] dil.livejournal.com
Saturday, August 30th, 2008 01:18 pm (UTC)
бред там только в том, что об этом почему-то сообщил только один банк. терминалу-то совершенно пофигу от чьей карты данные сливать.

[identity profile] aol985.livejournal.com
Saturday, August 30th, 2008 01:10 pm (UTC)
после внимательного перечитывания понял, что оттупил. Действительно, номер карта отдает сама без всякого пина, а пин наверняка где-нибудь в терминале доступен в открытом виде. Какстрашножить.

[identity profile] dil.livejournal.com
Saturday, August 30th, 2008 01:18 pm (UTC)
вот какого, спрашивается, фига нельзя было использовать криптографию с открытым ключом? почему создатели были твёрдо убеждены в безопасности канала передачи?

[identity profile] aol985.livejournal.com
Saturday, August 30th, 2008 01:55 pm (UTC)
насколько я понимаю, основная фишка чипа как раз заключается в цифровой подписи транзакции, и с этой точки зрения все чисто: ну, в смысле, если есть подпись, то карта действительно побывала в данном терминале и был введен пин. Хуже то, что по номеру карты все равно можно сделать много всего интересного, на другом терминале -- но это уже немного другая зона ответственности.

[identity profile] ivlad.livejournal.com
Sunday, August 31st, 2008 01:52 am (UTC)
ты хочешь end-to-end секьюрити с процессингом? терминал с банком-эмитентом карты не общается, он общается со своим банком, так что это довольно заморочно. да и все равно не поможет, если мы не доверяем считывателю - ведь это на нем, а не на карте мы вводим пин.

[identity profile] dil.livejournal.com
Sunday, August 31st, 2008 08:50 am (UTC)
где ожно почитать о том, какая информация хранится на магнитной полосе, какая в чипе, насколько они пересекаются, и для чего именно используется пин в chip-and-pin картах? и где и какая криптография там используется?
а то у меня начало закрадываться подозрение, что сделать имитацию чипа, зная пин - совершенно не проблема..

[identity profile] ivlad.livejournal.com
Monday, September 1st, 2008 04:44 pm (UTC)
я на каких-то околохакерских сайтах находил формат магнитной полосы, собственно, быстрое гугленье принесло http://www.outpost9.com/how-to/hackfaq-cards.shtml и http://en.wikipedia.org/wiki/Magnetic_stripe

судя по первой ссылке, в смарт-карте ассиметричного крипто нет.

у меня один знакомый связан с разработкой чип-карт, могу у него попробовать спросить.

[identity profile] dil.livejournal.com
Monday, September 1st, 2008 05:10 pm (UTC)
я сегодня почитал краем глаза документы из http://www.emvco.com/specifications.asp?show=107, на досуге попробую поковырять свою карту :)
Но профессионалу, конечно, лучше знать. Спроси, если не сложно.

[identity profile] scarabeus.livejournal.com
Monday, September 1st, 2008 08:48 am (UTC)
Где-то, кажется на банкир-ру, я читал про случай, когда из магазина спёрли банкомат. Тупо приехали мужики в комбинезонах на фургончике, сказали "мы из банка, забираем в ремонт" - и уволокли девайс целиком.

Человеческий фактор - это наше всё, да :)
Flat | Top-Level Comments Only