dil: (Default)
dil ([personal profile] dil) wrote2008-08-30 12:54 pm
  • Add Memory
  • Share This Entry
Entry tags:

А этот ваш chip-and-pin нифига не панацея от фрода

https://www.rte.ie/news/2008/0818/107055-fraud/

А всё потому, что общение между картой и терминалом совершенно незашифрованное. И соответственно, эти данные вполне можно перехватить и запомнить.

Ну и, конечно, потому что разгильдяи в магазинах даже не почесались позвонить в банк и проверить, что это за люди пришли менять терминал.
Threaded | Top-Level Comments Only

[identity profile] aol985.livejournal.com 2008-08-30 12:59 pm (UTC)(link)
оч. смахивает на бред, если честно. А вообще -- красиво, да.

[identity profile] aol985.livejournal.com 2008-08-30 01:10 pm (UTC)(link)
после внимательного перечитывания понял, что оттупил. Действительно, номер карта отдает сама без всякого пина, а пин наверняка где-нибудь в терминале доступен в открытом виде. Какстрашножить.

[identity profile] dil.livejournal.com 2008-08-30 01:18 pm (UTC)(link)
вот какого, спрашивается, фига нельзя было использовать криптографию с открытым ключом? почему создатели были твёрдо убеждены в безопасности канала передачи?

[identity profile] dil.livejournal.com 2008-08-30 01:18 pm (UTC)(link)
бред там только в том, что об этом почему-то сообщил только один банк. терминалу-то совершенно пофигу от чьей карты данные сливать.

[identity profile] aol985.livejournal.com 2008-08-30 01:55 pm (UTC)(link)
насколько я понимаю, основная фишка чипа как раз заключается в цифровой подписи транзакции, и с этой точки зрения все чисто: ну, в смысле, если есть подпись, то карта действительно побывала в данном терминале и был введен пин. Хуже то, что по номеру карты все равно можно сделать много всего интересного, на другом терминале -- но это уже немного другая зона ответственности.

[identity profile] ivlad.livejournal.com 2008-08-31 01:52 am (UTC)(link)
ты хочешь end-to-end секьюрити с процессингом? терминал с банком-эмитентом карты не общается, он общается со своим банком, так что это довольно заморочно. да и все равно не поможет, если мы не доверяем считывателю - ведь это на нем, а не на карте мы вводим пин.

[identity profile] dil.livejournal.com 2008-08-31 08:50 am (UTC)(link)
где ожно почитать о том, какая информация хранится на магнитной полосе, какая в чипе, насколько они пересекаются, и для чего именно используется пин в chip-and-pin картах? и где и какая криптография там используется?
а то у меня начало закрадываться подозрение, что сделать имитацию чипа, зная пин - совершенно не проблема..

[identity profile] scarabeus.livejournal.com 2008-09-01 08:48 am (UTC)(link)
Где-то, кажется на банкир-ру, я читал про случай, когда из магазина спёрли банкомат. Тупо приехали мужики в комбинезонах на фургончике, сказали "мы из банка, забираем в ремонт" - и уволокли девайс целиком.

Человеческий фактор - это наше всё, да :)

[identity profile] ivlad.livejournal.com 2008-09-01 04:44 pm (UTC)(link)
я на каких-то околохакерских сайтах находил формат магнитной полосы, собственно, быстрое гугленье принесло http://www.outpost9.com/how-to/hackfaq-cards.shtml и http://en.wikipedia.org/wiki/Magnetic_stripe

судя по первой ссылке, в смарт-карте ассиметричного крипто нет.

у меня один знакомый связан с разработкой чип-карт, могу у него попробовать спросить.

[identity profile] dil.livejournal.com 2008-09-01 05:10 pm (UTC)(link)
я сегодня почитал краем глаза документы из http://www.emvco.com/specifications.asp?show=107, на досуге попробую поковырять свою карту :)
Но профессионалу, конечно, лучше знать. Спроси, если не сложно.
Threaded | Top-Level Comments Only