информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеГде водятся OGRыЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Атака на PIN-код банковских карт 05.03.03 09:44  Число просмотров: 1372
Автор: zoonoid Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Кто? Администратор безопасности!!! У если вы подключаете HSM по IP вы должны сделать следущее:
1 Организовать VLAN
2 запретить arp спуфинг
3 поставить аудит на arp спуфинг
4 запретить запуск на online подсистеме, всем кроме одного человека, запуск постороних приложений (и вообщее если у вас процессинг под юниксами настройте один раз и не копайтесь ни в системе ни в БД и главное ни кого не подпускайте к машинам)
А насчет того что как супрески хранить и проверять pin код на карте есть поучительный пример. В 1997 году два студента начали проводить работы на следущую тему "Анализ работы смарт карт по потребляемой мощности" многие говорили что это все полная лажа и фигня. Но в 2000 они на defcon-е показали реализацию данного алгоритма. Ломалось все и в том числе и чиповая Visa за 15-30 минут. Прямо на конференции с ними подписали контракт на работу в Datacard. А от себя могу сказать что это далеко не лажа т.к. сам проверял некоторые их наработки.
<site updates>
Атака на PIN-код банковских карт 27.02.03 09:09  
Publisher: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Атака на PIN-код банковских карт
Reseaux et Telecoms http://www.reseaux-telecoms.net/news_btree/03_02_26_161454_304/News_view

Mike Bond и Piotr Zielinski из Кембриджского университета опубликовали интересный документ, в котором описывается, как нечестный сотрудник банка может довольно быстро вычислять PIN-коды к карточкам клиентов. Обычно коды никогда не появляются в открытом виде и хранятся в специальном устройстве - Host Security Module (HSM), которое просто отвечает на предъявленный (в зашифрованном виде) код Yes/No. Количество попыток при проверке PIN-кода с банкомата обычно ограничено 3 попытками, но внутри банка программист может подбирать код со скоростью 60 вариантов в секунду. Очевидно, что для подбора 4-значного кода в среднем нужно перебрать 5000 комбинаций; описанный метод подмены таблиц децимализации позволяет подобрать код с 15 попыток, что существенно уменьшает время подбора. К счастью данная проблема касается только карт с магнитной полосой и "тупых" чиповых карт, которые содержать в своем...

Полный текст
Атака на PIN-код банковских карт 27.02.03 21:55  
Автор: + <Mikhail> Статус: Elderman
Отредактировано 27.02.03 21:55  Количество правок: 1
<"чистая" ссылка>
Dazhe chitat` ne stal potomuchto etoto text u menia vyzval smeh: "программист может подбирать код со скоростью 60 вариантов в секунду". Eto na chem na buhgalterskih schetah chtoli ili logarifmicheskoi lineike?
Атака на PIN-код банковских карт 28.02.03 07:39  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Dazhe chitat` ne stal potomuchto etoto text u menia vyzval
Или просто не нашел ссылку на отчет во французском тексте? ;)
> smeh: "программист может подбирать код со скоростью 60
> вариантов в секунду". Eto na chem na buhgalterskih schetah
> chtoli ili logarifmicheskoi lineike?
Ну и смейся дальше. Кто понимает о чем речь, уже осознал тяжесть проблемы. Если по-твоему в банках программисты только на счетах считают, то у тебя крайне неверное представление о функционировании кредитных организаций. Ты хоть раз живьем HSM видел? Работал с ним?
Hint: у HSM есть стандартный API, с помощью которого с ним общаются хосты, .банкоматы, ПВН и т.п.
Впрочем, в твоем непонимании есть и доля моей вины: я анонс писал в расчете на специалистов в этой области. Так что почитай все-таки текст отчета (http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-560.pdf), там проблема изложена на английском и более подробно, с объяснением как это все работает.

Decimalisation table attacks for PIN cracking
Атака на PIN-код банковских карт 27.02.03 22:04  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> Dazhe chitat` ne stal potomuchto etoto text u menia vyzval
> smeh: "программист может подбирать код со скоростью 60
> вариантов в секунду". Eto na chem na buhgalterskih schetah
> chtoli ili logarifmicheskoi lineike?
Не до смеха. Ты думаешь, внутри банковской системы первый попавшийся человек может на халяву добраться до ящика, в котором PINы хранятся?
Атака на PIN-код банковских карт 28.02.03 07:42  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Не до смеха. Ты думаешь, внутри банковской системы первый
> попавшийся человек может на халяву добраться до ящика, в
> котором PINы хранятся?
В том-то и дело, что при этой атаке до него физически добираться не нужно :(
Кстати, этот девайс очень даже tamper-resistant, т.е. при физическом доступе ты из него ПИНы не вынешь, иначе нафиг бы вообще народ о подобного рода атаках думал? ;)
Атака на PIN-код банковских карт 28.02.03 16:54  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> В том-то и дело, что при этой атаке до него физически
> добираться не нужно :(
Я не о физическом доступе говорил :) Я так понимаю, человек был слегка удивлен "огромной" в сравнении с другими системами скоростью перебора кодов :)
Атака на PIN-код банковских карт 27.02.03 22:30  
Автор: + <Mikhail> Статус: Elderman
Отредактировано 27.02.03 22:44  Количество правок: 1
<"чистая" ссылка>
> > Dazhe chitat` ne stal potomuchto etoto text u menia
> vyzval
> > smeh: "программист может подбирать код со скоростью 60
> > вариантов в секунду". Eto na chem na buhgalterskih
> schetah
> > chtoli ili logarifmicheskoi lineike?
> Не до смеха. Ты думаешь, внутри банковской системы первый
> попавшийся человек может на халяву добраться до ящика, в
> котором PINы хранятся?

Ne ponial kakai sviaz~ mezdu skorostu podbora i tem kto imeet dostup?

P.S. kstati A programmist kotoryi rabotaet v banke i ne sidit v tom zhe meste gde vsia eto baida s main fraimami, encrypt boxami i proche labudeniu i nikogda ne imel dostupa k realnoi systeme.
Атака на PIN-код банковских карт 28.02.03 16:55  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> Ne ponial kakai sviaz~ mezdu skorostu podbora i tem kto
> imeet dostup?
Гм, кажется, мне надо учиться говорить по-русски, раз никто не понимает... Я не имел в виду физический доступ, я имел в виду возможность со скоростью, ограниченной твоими вычислительными возможностями, перебирать коды.
Атака на PIN-код банковских карт 03.03.03 07:59  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> не понимает... Я не имел в виду физический доступ, я имел в
> виду возможность со скоростью, ограниченной твоими
> вычислительными возможностями, перебирать коды.
в данном случае скорость ограничена не твоими вычислительными мощностями, а тем, чтобы не перегрузить HSM, обрабатывающий в это же время запросы от банкоматов. авторы приводят "эмпирическую" цифру в 60 вариантов в секунду, чтот , по их мнению, не вызовет перегрузки.
а суть атаки в том, что она позволяет угадать код за меньшее число обращений. типа, загаданное число в диапазоне от 0 до 9999 можно угадывать, последовательно называя варианты (тотгда худший случай - 9999 ходов, в среднем - 5000); а можно спрашивать "число меньше 5000?", при положительном ответе - "число меньше 2500?" и т.д., что ускорит алгоритм в разы. это, конечно, упрощение, но так, для иллюстрации...
Атака на PIN-код банковских карт 28.02.03 07:45  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> P.S. kstati A programmist kotoryi rabotaet v banke i ne
> sidit v tom zhe meste gde vsia eto baida s main fraimami,
> encrypt boxami i proche labudeniu i nikogda ne imel
> dostupa k realnoi systeme.
Тапки разрываются от смеха ;)
1. Мэйнфреймы стоят обычно в специальных помещениях, в которых никто не сидит (микроклимат не очень подходящий, да и смысла нет).
2. Требования к помещениям для размещения HSM устанавливаются соответствующей системой (VISA International, например). И там тоже никто не сидит ;)
Атака на PIN-код банковских карт 28.02.03 21:50  
Автор: + <Mikhail> Статус: Elderman
<"чистая" ссылка>
> > P.S. kstati A programmist kotoryi rabotaet v banke i
> ne
> > sidit v tom zhe meste gde vsia eto baida s main
> fraimami,
> > encrypt boxami i proche labudeniu i nikogda ne imel
> > dostupa k realnoi systeme.
> Тапки разрываются от смеха ;)
> 1. Мэйнфреймы стоят обычно в специальных помещениях, в
> которых никто не сидит (микроклимат не очень подходящий, да
> и смысла нет).
U nas sidiat. I obiazanu sidet`.
> 2. Требования к помещениям для размещения HSM
> устанавливаются соответствующей системой (VISA
> International, например). И там тоже никто не сидит ;)
Dak I pro to zhe i govoril.
Атака на PIN-код банковских карт 03.03.03 08:04  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> > > P.S. kstati A programmist kotoryi rabotaet v
> banke i ne
> > > sidit v tom zhe meste gde vsia eto baida s main
> > fraimami, encrypt boxami i proche labudeniu i nikogda ne
> imel dostupa k realnoi systeme.

> > и смысла нет).
> U nas sidiat. I obiazanu sidet`.
Ужас какой ;) В серверной нефиг делать людям, во всяком случае постоянно...

> > 2. Требования к помещениям для размещения HSM
> > устанавливаются соответствующей системой (VISA
> > International, например). И там тоже никто не сидит ;)
> Dak I pro to zhe i govoril.
Ну, а зачем ему физический-то доступ? ;) У HSM есть API, через котоорый с ним общаются банкоматы, ПВН и т.п., по определению находящиеся в сети общего пользования...
Атака на PIN-код банковских карт 01.03.03 11:49  
Автор: dmitry Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Muzhiki,

da prochitayte vy vmeste dokument na kotory ssylka idet. Tam vse yasno i poniatno napisano pochemu da kak... vorpos v drugom, oni na tablizy kriptograficheskie ssylayutsia, kotorye na moy vzgliad uzhe ne primeniyutsia, eto na samom dele na moy vzgliad uzkoe mesto.

A potom esche neobhodimo nahoditsia na vnutrenney setke banka chtoby eto vse provernut, tak chto eto na samom dele vse interesno, no kak by ne ochen vypolnimo, nado otchen, otchen zahotet' chtoby vse eto sdelat.

> > > P.S. kstati A programmist kotoryi rabotaet v
> banke i
> > ne
> > > sidit v tom zhe meste gde vsia eto baida s main
> > fraimami,
> > > encrypt boxami i proche labudeniu i nikogda ne
> imel
> > > dostupa k realnoi systeme.
> > Тапки разрываются от смеха ;)
> > 1. Мэйнфреймы стоят обычно в специальных помещениях, в
> > которых никто не сидит (микроклимат не очень
> подходящий, да
> > и смысла нет).
> U nas sidiat. I obiazanu sidet`.
> > 2. Требования к помещениям для размещения HSM
> > устанавливаются соответствующей системой (VISA
> > International, например). И там тоже никто не сидит ;)
> Dak I pro to zhe i govoril.
Атака на PIN-код банковских карт 03.03.03 08:13  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> da prochitayte vy vmeste dokument na kotory ssylka idet.
читали ;) и не тоьлко этот, а и вадющуюся там же переписку с Ситибанком ;)

> Tam vse yasno i poniatno napisano pochemu da kak... vorpos
> v drugom, oni na tablizy kriptograficheskie ssylayutsia,
> kotorye na moy vzgliad uzhe ne primeniyutsia, eto na samom
> dele na moy vzgliad uzkoe mesto.
Не в этом дело. Цитирую: "This table is not considered a sensitive input by many HSMs, so an arbitrary table can be provided along with the account number and a trial PIN."
Т.е. HSM можно грузить не запросом "Проверь мне пин XXXX к счету YYYYYYYYY", а запросом: "Проверь мне пин XXXX к счету YYYYYYYYY с таблицей децимализации ZZZZZZZZZZZZZ".

> A potom esche neobhodimo nahoditsia na vnutrenney setke
> banka chtoby eto vse provernut, tak chto eto na samom dele
Атака изначально позицируется как инсайдерская, там и речь идет о "a corrupt bank programmer" ;)

> vse interesno, no kak by ne ochen vypolnimo, nado otchen,
> otchen zahotet' chtoby vse eto sdelat.
1. совсем халявных атак, по-моему, уже не осталось
2. для постороннего подключиться к кабелю, идущему от банкомата, задача вполне решаемая. равно как и подкуп сотрудника банка (не обязательно программера, просто сотрудника, имеющего возможность запустить программу на компе во внутренней сети).
Атака на PIN-код банковских карт 03.03.03 08:54  
Автор: zoonoid Статус: Незарегистрированный пользователь
<"чистая" ссылка>
У меня сейчас тоже лопнут мои тапочки от смеха.
1 Кто же тебе наивному даст доступ к HSM-у? он принимает соединения только от указаных хостов если работает через TCP\IP и виза рекомендует его подключать точка-точка через COM-порты к TII или еще чему.
2 И не смеши про "современную" карту типа Аккорд, если бы ты видел что там наворотили ты бы ее хакнул за месяц.
3 Прочитал (точнее 3 раз прочитал) я UCAM-CL-TR-560, но ни чего не вышло может они какой старый HSM использовали или дефаултовые настройки в нем оставили.
Вообщем полна лажа
Атака на PIN-код банковских карт 03.03.03 14:08  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> 1 Кто же тебе наивному даст доступ к HSM-у? он принимает
> соединения только от указаных хостов если работает через
> TCP\IP и виза рекомендует его подключать точка-точка через
> COM-порты к TII или еще чему.
Умница. И кто банковскому программеру мешает послать запрос с валидного адреса или прямо с хоста?

> 2 И не смеши про "современную" карту типа Аккорд, если бы
> ты видел что там наворотили ты бы ее хакнул за месяц.
Во-первых, "Аккорд" - платежная система, а не карта. Карта там все-таки GemPlus. Во-вторых, что там наворотили я в курсе. Речь не о наворотах, а о месте проверки ПИНа. Если это делается процем самой карты - банковский программер в этот процесс вмешаться не может, в отличие от централизованной проверки на HSM

> 3 Прочитал (точнее 3 раз прочитал) я UCAM-CL-TR-560, но ни
> чего не вышло может они какой старый HSM использовали или
> дефаултовые настройки в нем оставили.
> Вообщем полна лажа
Хм, а что должно было от ЧТЕНИЯ выйти? Озарение? Или ты все-таки ПОПРОБОВАЛ? (3 раза) ;)
Атака на PIN-код банковских карт 05.03.03 09:44  
Автор: zoonoid Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Кто? Администратор безопасности!!! У если вы подключаете HSM по IP вы должны сделать следущее:
1 Организовать VLAN
2 запретить arp спуфинг
3 поставить аудит на arp спуфинг
4 запретить запуск на online подсистеме, всем кроме одного человека, запуск постороних приложений (и вообщее если у вас процессинг под юниксами настройте один раз и не копайтесь ни в системе ни в БД и главное ни кого не подпускайте к машинам)
А насчет того что как супрески хранить и проверять pin код на карте есть поучительный пример. В 1997 году два студента начали проводить работы на следущую тему "Анализ работы смарт карт по потребляемой мощности" многие говорили что это все полная лажа и фигня. Но в 2000 они на defcon-е показали реализацию данного алгоритма. Ломалось все и в том числе и чиповая Visa за 15-30 минут. Прямо на конференции с ними подписали контракт на работу в Datacard. А от себя могу сказать что это далеко не лажа т.к. сам проверял некоторые их наработки.
Атака на PIN-код банковских карт 05.03.03 12:30  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Кто? Администратор безопасности!!! У если вы подключаете
> HSM по IP вы должны сделать следущее:
замечательно. только если все это реализовать, то и HSM нафиг не нужен, можно все просто в хосте хранить.

> это все полная лажа и фигня. Но в 2000 они на defcon-е
> показали реализацию данного алгоритма. Ломалось все и в том
> числе и чиповая Visa за 15-30 минут. Прямо на конференции с
А что, чиповая VISA уже умеет хранить ПИН-код? Насколько я знаю, чип на ней - обычное ЗУ, на котором продублирована информация с магнитной полосы... В отличие от упомянутых GemPlus, имеющих на борту проц и protected storage. Или мы вообще о разном говорим...

> ними подписали контракт на работу в Datacard. А от себя
> могу сказать что это далеко не лажа т.к. сам проверял
> некоторые их наработки.
Атаку с анализом потребления предлагали все, кому не лень. Заслуга студентов в том, что они довели это до практ. реализации.
Но, надеюсь, ты не будешь спорить, что эта атака предотвращается не сложнее обсуждаемой?
Атака на PIN-код банковских карт 11.03.03 11:12  
Автор: zoonoid Статус: Незарегистрированный пользователь
<"чистая" ссылка>
HSM нужен т.к. ни где в системе не должны храниться pin-кода в открытом виде только в зашифрованом.

Если ты думаешь что на Visa (EMV) картах дублируется что записанно на магнтной полосе то ты очень заблуждаешся, изучай для начала спецификации. :)

А насчет атаки по потребляемой мощности все довольно просто нужна только статистика по карточкам и доступ к массиву карт порядка 20-30 на которые производиться ататка, а девайс для снятия анализа тебе обойдется собрать всего за 100-120 у.е.
Атака на PIN-код банковских карт 11.03.03 14:47  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> HSM нужен т.к. ни где в системе не должны храниться
> pin-кода в открытом виде только в зашифрованом.
ну, так и в чем смысл HSM? это единственное место, где они (ПИНы) есть в открытом виде, и посему жутко защищенное. если принятьт драконовские меры к самому хосут, то и ХСМ не нужен. но это геморройно, посему его и придумали...

> Если ты думаешь что на Visa (EMV) картах дублируется что
> записанно на магнтной полосе то ты очень заблуждаешся,
> изучай для начала спецификации. :)
ага, щас подорвусь ;)
я предпочитаю делать свое дело, а эксплуатацией пластика пусть занимаются специально обученные этому люди. если они мне сказали неправду (не сам же я придумал про инфу на чипе) - обидно. может дашь ссылочку на информацию, а то пока у меня резонов верить тебе ровно столько же, сколько этим самым людям ;)

> А насчет атаки по потребляемой мощности все довольно просто
> нужна только статистика по карточкам и доступ к массиву
> карт порядка 20-30 на которые производиться ататка, а
> девайс для снятия анализа тебе обойдется собрать всего за
> 100-120 у.е.
не, я все-таки не пойму, к чему ты клонишь? ты пытаешься показать, что анализ по мощности прооще реализуется и сложнее предотвращается, чем игры с таблицей децимализации?
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach