информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле ЛевинаВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Для подбора PIN-кода банковской карты достаточно двух попыток 29.11.06 18:09  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>

Украсть деньги со счета могут не только частные лица, но и нечестные сотрудники банков. Как сообщает The Register, израильские специалисты по безопасности Омер Беркман (Omer Berkman) и Оделия Моше Островски (Odelia Moshe Ostrovsky) провели исследование, в котором показано, каким образом служащие банка (причем, не обязательно того, где выдана карта) могут легко подбирать PIN-коды.

Для того, чтобы разгадать стандартный четырехзначный PIN-код с вероятностью в 1/2, вообще-то надо совершить около 5000 попыток. Однако, взлом системы передачи данных от одной финансовой организации к другой ранее делал

возможным подобрать PIN-код c 15 попыток, а теперь вообще с двух. Для этого необходимо снимать деньги либо в банкомате другого банка (не того, где выдана карта), либо в банкомате, где используется онлайновая проверка PIN-кода.

“Сотрудник банка может использовать аппаратный модуль защиты (Hardware Security Module), чтобы открыть зашифрованные PIN-коды и воспользоваться ими для проведения нелегальных транзакций. Также он может создать карты, чьи PIN -коды отличаются от PIN-кодов легальных карт, но которые будут действовать столько же времени, сколько и обычные. Еще хуже то, что те же самые действия может совершить сотрудник другой финансовой организации, которая находится в другой стране или даже на другом континенте”, - говорит Оделия Островски.

Авторы исследования разослали его по различным банкам, но не получали ответа или вместо него видели только призыв не предавать результаты огласке. Зато с документом уже успел ознакомиться известный специалист по безопасности Брюс Шнайер (Bruce Schneier), прокомментировав его в своем блоге: “Один из самых волнующих аспектов этой уязвимости - это то, что приходится доверять не только своему банку, где хорошо следят за безопасностью, но и любому другому банку, где за сотрудниками может быть не такой строгий контроль”.

Вместе с тем компании разрабатывают новые технологии, исключающие возможность мошенничества. Например, израильская BioGuard Components and Technologies занимается различными применениями технологий биологической идентификации личности, позволяющих использовать отпечаток пальца в качестве универсального пароля и средства защиты в самых разных устройствах - от систем защиты компьютерной информации до противоугонных устройств и автоматов, регистрирующих время начала и окончания работы. Отпечаток пальца также можно использовать в качестве средства мгновенного платежа в магазинах и кафе.

Технология BioGuard Components and Technologies позволяет за 2 секунды идентифицировать отпечаток пальца из шеститысячной базы данных. Прибор включает одновременно оптический сенсор и инфракрасную камеру, и потому работает лишь при нажатии живого человеческого пальца - обмануть сенсор скопированным отпечатком, пальцем из латекса или просто цифровым кодом невозможно

zavtra.com.ua


Для подбора PIN-кода банковской карты достаточно двух попыток
вобще если чесно бред что это возможно с 2 попытак.... но... 20.12.06 22:22  
Автор: Tamas Статус: Member
<"чистая" ссылка>
>
> Украсть деньги со счета могут не только частные лица, но и
> нечестные сотрудники банков. Как сообщает The Register,
> израильские специалисты по безопасности Омер Беркман (Omer
> Berkman) и Оделия Моше Островски (Odelia Moshe Ostrovsky)
> провели исследование, в котором показано, каким образом
> служащие банка (причем, не обязательно того, где выдана
> карта) могут легко подбирать PIN-коды.
>
> Для того, чтобы разгадать стандартный четырехзначный
> PIN-код с вероятностью в 1/2, вообще-то надо совершить
> около 5000 попыток. Однако, взлом системы передачи данных
> от одной финансовой организации к другой ранее делал
>
> возможным подобрать PIN-код c 15 попыток, а теперь вообще с
> двух. Для этого необходимо снимать деньги либо в банкомате
> другого банка (не того, где выдана карта), либо в
> банкомате, где используется онлайновая проверка PIN-кода.
>
> “Сотрудник банка может использовать аппаратный модуль
> защиты (Hardware Security Module), чтобы открыть
> зашифрованные PIN-коды и воспользоваться ими для проведения
> нелегальных транзакций. Также он может создать карты, чьи
> PIN -коды отличаются от PIN-кодов легальных карт, но
> которые будут действовать столько же времени, сколько и
> обычные. Еще хуже то, что те же самые действия может
> совершить сотрудник другой финансовой организации, которая
> находится в другой стране или даже на другом континенте”, -
> говорит Оделия Островски.
>
> Авторы исследования разослали его по различным банкам, но
> не получали ответа или вместо него видели только призыв не
> предавать результаты огласке. Зато с документом уже успел
> ознакомиться известный специалист по безопасности Брюс
> Шнайер (Bruce Schneier), прокомментировав его в своем
> блоге: “Один из самых волнующих аспектов этой уязвимости -
> это то, что приходится доверять не только своему банку, где
> хорошо следят за безопасностью, но и любому другому банку,
> где за сотрудниками может быть не такой строгий контроль”.
>
> Вместе с тем компании разрабатывают новые технологии,
> исключающие возможность мошенничества. Например,
> израильская BioGuard Components and Technologies занимается
> различными применениями технологий биологической
> идентификации личности, позволяющих использовать отпечаток
> пальца в качестве универсального пароля и средства защиты в
> самых разных устройствах - от систем защиты компьютерной
> информации до противоугонных устройств и автоматов,
> регистрирующих время начала и окончания работы. Отпечаток
> пальца также можно использовать в качестве средства
> мгновенного платежа в магазинах и кафе.
>
> Технология BioGuard Components and Technologies позволяет
> за 2 секунды идентифицировать отпечаток пальца из
> шеститысячной базы данных. Прибор включает одновременно
> оптический сенсор и инфракрасную камеру, и потому работает
> лишь при нажатии живого человеческого пальца - обмануть
> сенсор скопированным отпечатком, пальцем из латекса или
> просто цифровым кодом невозможно
>
> zavtra.com.ua

вобще если чесно бред что это возможно с 2 попытак.... но вобще как я думаю....
PIN проверяет сам банкомат.... из этого вывод... из данных имеющихся на карточки
возможно расчитать PIN

как я думаю...в банкомате есть какойто ключ который не обходим для расчёта PIN
а может быть он просто записан на магнитке :-)))))))))))(хотя врятле)
В баксомате есть мастер карта (самое ценное ИМХО), без... 20.12.06 23:38  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> вобще если чесно бред что это возможно с 2 попытак.... но
> вобще как я думаю....
> PIN проверяет сам банкомат.... из этого вывод... из данных
> имеющихся на карточки
> возможно расчитать PIN
>
> как я думаю...в банкомате есть какойто ключ который не
> обходим для расчёта PIN
> а может быть он просто записан на магнитке
> :-)))))))))))(хотя врятле)
В баксомате есть мастер карта (самое ценное ИМХО), без которой баксомат не будет "принят" "своей" процессинговой системой.

Данные транзакции шифруются мастер кодом, кодом на магнитке и пин кодом. Если один из них неправилен - транзакция будет отклонена.

Прошли те времена когда пароль необходимо было хранить в открытом или неявном виде дял проверки авторизации.
Теперь хранят кеш (из него нельзя получить пароль, кроме брутфорса), а вводимый пароль просто хешируется и сравнивается с хешем.
В баксоматах нет пин кода и его расчета, они онлайновые и при отсутствии связи - вываливаются в аутофсервис.
ага это понятно что PIN в открытом виде негде нележит... 21.12.06 01:38  
Автор: Tamas Статус: Member
<"чистая" ссылка>
> > вобще если чесно бред что это возможно с 2 попытак....
> но
> > вобще как я думаю....
> > PIN проверяет сам банкомат.... из этого вывод... из
> данных
> > имеющихся на карточки
> > возможно расчитать PIN
> >
> > как я думаю...в банкомате есть какойто ключ который не
> > обходим для расчёта PIN
> > а может быть он просто записан на магнитке
> > :-)))))))))))(хотя врятле)
> В баксомате есть мастер карта (самое ценное ИМХО), без
> которой баксомат не будет "принят" "своей" процессинговой
> системой.
>
> Данные транзакции шифруются мастер кодом, кодом на магнитке
> и пин кодом. Если один из них неправилен - транзакция будет
> отклонена.
>
> Прошли те времена когда пароль необходимо было хранить в
> открытом или неявном виде дял проверки авторизации.
> Теперь хранят кеш (из него нельзя получить пароль, кроме
> брутфорса), а вводимый пароль просто хешируется и
> сравнивается с хешем.
> В баксоматах нет пин кода и его расчета, они онлайновые и
> при отсутствии связи - вываливаются в аутофсервис.


ага это понятно что PIN в открытом виде негде нележит....
вот только где интересно находится кеш... вобще PIN это всего 4 цифры....
если есть кеш его не составит труда взломать....

я думаю из за того что правильность PIN проверяется почти моментально...
это делает сам банкомат.... сответствино по идеи
возможно что честь кода на карте а чать в самом банкомате....
ну а из всего этого и получается кеш...
вобще конечно бред... но интересно
Шутишь? 20.12.06 23:35  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> PIN проверяет сам банкомат....
Шутишь?
Я всё время думал, что ПИН проверяется процессинговым центром во время транзакции.
нет я конечно не знаю... но запрос по сети занимает довольно... 21.12.06 01:32  
Автор: Tamas Статус: Member
<"чистая" ссылка>
> > PIN проверяет сам банкомат....
> Шутишь?
> Я всё время думал, что ПИН проверяется процессинговым
> центром во время транзакции.

нет я конечно не знаю... но запрос по сети занимает довольно большую паузу....
которая явно заметна при провидении операции... а правильность PIN подтверждается моментально....
это и навело меня на эту мысол... вот а вобще чисто по слухам.... гдето в серидине 9х французкие кардеры
умедрялись снимать наличьку... изготавливая сами карточки.... а данные на них вбивали из баз вскрытых онлин магазинов :-))))
Сколько я видел, ПИН сначала принимается всегда. О том, что... 21.12.06 12:00  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Сколько я видел, ПИН сначала принимается всегда. О том, что ты ввёл неправильный, ты узнаешь только после начала транзакции.
+1. Происходит "сбор" всей ключевой инфы. Пользователя - ПИН, карты - дорожка карты, банкомата-мастер_карта. И при транзакции весь этот "компот" передается в процессинг. Достаточно одного неправильного и транзакция идет в отказ. 21.12.06 12:44  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Суть статьи в том, что возможно сделать "дубликат", которым... 21.12.06 17:02  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 21.12.06 17:05  Количество правок: 3
<"чистая" ссылка>
Суть статьи в том, что возможно сделать "дубликат", которым можно пользоваться. Самое главное узнать ПИН. Для этого нужно иметь долступ к передаче информации (в статье было написно про банки-посредники и пр.).
Идеальная система защиты строится на подписи/шифровании пакета данных ключем, который храниться на карточке (ее магнитной полосе). Чтобы злоумышленник, завладевший карточкой не смог ей воспользоваться, придумали ПИН-пароль. Это может быть часть ключа, которая не храниться на карточке, но очень нужна для формирования подписи.
Возможна еще одна система, где ПИН прписывается в заданное поле данных. Тогда шифрование необходимо. В этом случае имеет место быть один неприятный момент - ПИН будет храниться в центре и возможна утечка ПИНов.
При всей, на первый взгляд, надежности эти системы могут иметь уязвимость, если злоумышленник имеет карточку (секретный ключ), зашифрованные/подписанные данные и их открытый аналог. Просто перебирается ПИН, либо в поле пина, либо в части ключа. Алгоритм, естественно доступен. То есть придется 10000 раз сформировать пакет для процессинг-центра и сравнить его с имеющимся. Как только результаты совпадут, мы имеем оригинальный пин.
При всей кажущейся простоте "взлома" - мы перебираем только часть данных или ключа, а именно четыре цифры ПИНа, нужно не забывать, что карточку (ключ) надо все-таки иметь, да еще пару - данные и их зашифрованно-подписаный аналог.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach