Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Шутишь? 20.12.06 23:35 Число просмотров: 3429
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> PIN проверяет сам банкомат....
Шутишь?
Я всё время думал, что ПИН проверяется процессинговым центром во время транзакции.
|
|
<hacking>
|
Для подбора PIN-кода банковской карты достаточно двух попыток 29.11.06 18:09
Автор: Garick <Yuriy> Статус: Elderman
|
Украсть деньги со счета могут не только частные лица, но и нечестные сотрудники банков. Как сообщает The Register, израильские специалисты по безопасности Омер Беркман (Omer Berkman) и Оделия Моше Островски (Odelia Moshe Ostrovsky) провели исследование, в котором показано, каким образом служащие банка (причем, не обязательно того, где выдана карта) могут легко подбирать PIN-коды.
Для того, чтобы разгадать стандартный четырехзначный PIN-код с вероятностью в 1/2, вообще-то надо совершить около 5000 попыток. Однако, взлом системы передачи данных от одной финансовой организации к другой ранее делал
возможным подобрать PIN-код c 15 попыток, а теперь вообще с двух. Для этого необходимо снимать деньги либо в банкомате другого банка (не того, где выдана карта), либо в банкомате, где используется онлайновая проверка PIN-кода.
“Сотрудник банка может использовать аппаратный модуль защиты (Hardware Security Module), чтобы открыть зашифрованные PIN-коды и воспользоваться ими для проведения нелегальных транзакций. Также он может создать карты, чьи PIN -коды отличаются от PIN-кодов легальных карт, но которые будут действовать столько же времени, сколько и обычные. Еще хуже то, что те же самые действия может совершить сотрудник другой финансовой организации, которая находится в другой стране или даже на другом континенте”, - говорит Оделия Островски.
Авторы исследования разослали его по различным банкам, но не получали ответа или вместо него видели только призыв не предавать результаты огласке. Зато с документом уже успел ознакомиться известный специалист по безопасности Брюс Шнайер (Bruce Schneier), прокомментировав его в своем блоге: “Один из самых волнующих аспектов этой уязвимости - это то, что приходится доверять не только своему банку, где хорошо следят за безопасностью, но и любому другому банку, где за сотрудниками может быть не такой строгий контроль”.
Вместе с тем компании разрабатывают новые технологии, исключающие возможность мошенничества. Например, израильская BioGuard Components and Technologies занимается различными применениями технологий биологической идентификации личности, позволяющих использовать отпечаток пальца в качестве универсального пароля и средства защиты в самых разных устройствах - от систем защиты компьютерной информации до противоугонных устройств и автоматов, регистрирующих время начала и окончания работы. Отпечаток пальца также можно использовать в качестве средства мгновенного платежа в магазинах и кафе.
Технология BioGuard Components and Technologies позволяет за 2 секунды идентифицировать отпечаток пальца из шеститысячной базы данных. Прибор включает одновременно оптический сенсор и инфракрасную камеру, и потому работает лишь при нажатии живого человеческого пальца - обмануть сенсор скопированным отпечатком, пальцем из латекса или просто цифровым кодом невозможно
zavtra.com.ua
Для подбора PIN-кода банковской карты достаточно двух попыток
|
|
вобще если чесно бред что это возможно с 2 попытак.... но... 20.12.06 22:22
Автор: Tamas Статус: Member
|
>
> Украсть деньги со счета могут не только частные лица, но и
> нечестные сотрудники банков. Как сообщает The Register,
> израильские специалисты по безопасности Омер Беркман (Omer
> Berkman) и Оделия Моше Островски (Odelia Moshe Ostrovsky)
> провели исследование, в котором показано, каким образом
> служащие банка (причем, не обязательно того, где выдана
> карта) могут легко подбирать PIN-коды.
>
> Для того, чтобы разгадать стандартный четырехзначный
> PIN-код с вероятностью в 1/2, вообще-то надо совершить
> около 5000 попыток. Однако, взлом системы передачи данных
> от одной финансовой организации к другой ранее делал
>
> возможным подобрать PIN-код c 15 попыток, а теперь вообще с
> двух. Для этого необходимо снимать деньги либо в банкомате
> другого банка (не того, где выдана карта), либо в
> банкомате, где используется онлайновая проверка PIN-кода.
>
> “Сотрудник банка может использовать аппаратный модуль
> защиты (Hardware Security Module), чтобы открыть
> зашифрованные PIN-коды и воспользоваться ими для проведения
> нелегальных транзакций. Также он может создать карты, чьи
> PIN -коды отличаются от PIN-кодов легальных карт, но
> которые будут действовать столько же времени, сколько и
> обычные. Еще хуже то, что те же самые действия может
> совершить сотрудник другой финансовой организации, которая
> находится в другой стране или даже на другом континенте”, -
> говорит Оделия Островски.
>
> Авторы исследования разослали его по различным банкам, но
> не получали ответа или вместо него видели только призыв не
> предавать результаты огласке. Зато с документом уже успел
> ознакомиться известный специалист по безопасности Брюс
> Шнайер (Bruce Schneier), прокомментировав его в своем
> блоге: “Один из самых волнующих аспектов этой уязвимости -
> это то, что приходится доверять не только своему банку, где
> хорошо следят за безопасностью, но и любому другому банку,
> где за сотрудниками может быть не такой строгий контроль”.
>
> Вместе с тем компании разрабатывают новые технологии,
> исключающие возможность мошенничества. Например,
> израильская BioGuard Components and Technologies занимается
> различными применениями технологий биологической
> идентификации личности, позволяющих использовать отпечаток
> пальца в качестве универсального пароля и средства защиты в
> самых разных устройствах - от систем защиты компьютерной
> информации до противоугонных устройств и автоматов,
> регистрирующих время начала и окончания работы. Отпечаток
> пальца также можно использовать в качестве средства
> мгновенного платежа в магазинах и кафе.
>
> Технология BioGuard Components and Technologies позволяет
> за 2 секунды идентифицировать отпечаток пальца из
> шеститысячной базы данных. Прибор включает одновременно
> оптический сенсор и инфракрасную камеру, и потому работает
> лишь при нажатии живого человеческого пальца - обмануть
> сенсор скопированным отпечатком, пальцем из латекса или
> просто цифровым кодом невозможно
>
> zavtra.com.ua
вобще если чесно бред что это возможно с 2 попытак.... но вобще как я думаю....
PIN проверяет сам банкомат.... из этого вывод... из данных имеющихся на карточки
возможно расчитать PIN
как я думаю...в банкомате есть какойто ключ который не обходим для расчёта PIN
а может быть он просто записан на магнитке :-)))))))))))(хотя врятле)
|
| |
В баксомате есть мастер карта (самое ценное ИМХО), без... 20.12.06 23:38
Автор: Garick <Yuriy> Статус: Elderman
|
> вобще если чесно бред что это возможно с 2 попытак.... но
> вобще как я думаю....
> PIN проверяет сам банкомат.... из этого вывод... из данных
> имеющихся на карточки
> возможно расчитать PIN
>
> как я думаю...в банкомате есть какойто ключ который не
> обходим для расчёта PIN
> а может быть он просто записан на магнитке
> :-)))))))))))(хотя врятле)
В баксомате есть мастер карта (самое ценное ИМХО), без которой баксомат не будет "принят" "своей" процессинговой системой.
Данные транзакции шифруются мастер кодом, кодом на магнитке и пин кодом. Если один из них неправилен - транзакция будет отклонена.
Прошли те времена когда пароль необходимо было хранить в открытом или неявном виде дял проверки авторизации.
Теперь хранят кеш (из него нельзя получить пароль, кроме брутфорса), а вводимый пароль просто хешируется и сравнивается с хешем.
В баксоматах нет пин кода и его расчета, они онлайновые и при отсутствии связи - вываливаются в аутофсервис.
|
| | |
ага это понятно что PIN в открытом виде негде нележит... 21.12.06 01:38
Автор: Tamas Статус: Member
|
> > вобще если чесно бред что это возможно с 2 попытак....
> но
> > вобще как я думаю....
> > PIN проверяет сам банкомат.... из этого вывод... из
> данных
> > имеющихся на карточки
> > возможно расчитать PIN
> >
> > как я думаю...в банкомате есть какойто ключ который не
> > обходим для расчёта PIN
> > а может быть он просто записан на магнитке
> > :-)))))))))))(хотя врятле)
> В баксомате есть мастер карта (самое ценное ИМХО), без
> которой баксомат не будет "принят" "своей" процессинговой
> системой.
>
> Данные транзакции шифруются мастер кодом, кодом на магнитке
> и пин кодом. Если один из них неправилен - транзакция будет
> отклонена.
>
> Прошли те времена когда пароль необходимо было хранить в
> открытом или неявном виде дял проверки авторизации.
> Теперь хранят кеш (из него нельзя получить пароль, кроме
> брутфорса), а вводимый пароль просто хешируется и
> сравнивается с хешем.
> В баксоматах нет пин кода и его расчета, они онлайновые и
> при отсутствии связи - вываливаются в аутофсервис.
ага это понятно что PIN в открытом виде негде нележит....
вот только где интересно находится кеш... вобще PIN это всего 4 цифры....
если есть кеш его не составит труда взломать....
я думаю из за того что правильность PIN проверяется почти моментально...
это делает сам банкомат.... сответствино по идеи
возможно что честь кода на карте а чать в самом банкомате....
ну а из всего этого и получается кеш...
вобще конечно бред... но интересно
|
| |
Шутишь? 20.12.06 23:35
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> PIN проверяет сам банкомат....
Шутишь?
Я всё время думал, что ПИН проверяется процессинговым центром во время транзакции.
|
| | |
нет я конечно не знаю... но запрос по сети занимает довольно... 21.12.06 01:32
Автор: Tamas Статус: Member
|
> > PIN проверяет сам банкомат....
> Шутишь?
> Я всё время думал, что ПИН проверяется процессинговым
> центром во время транзакции.
нет я конечно не знаю... но запрос по сети занимает довольно большую паузу....
которая явно заметна при провидении операции... а правильность PIN подтверждается моментально....
это и навело меня на эту мысол... вот а вобще чисто по слухам.... гдето в серидине 9х французкие кардеры
умедрялись снимать наличьку... изготавливая сами карточки.... а данные на них вбивали из баз вскрытых онлин магазинов :-))))
|
| | | |
Сколько я видел, ПИН сначала принимается всегда. О том, что... 21.12.06 12:00
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
Сколько я видел, ПИН сначала принимается всегда. О том, что ты ввёл неправильный, ты узнаешь только после начала транзакции.
|
| | | | |
+1. Происходит "сбор" всей ключевой инфы. Пользователя - ПИН, карты - дорожка карты, банкомата-мастер_карта. И при транзакции весь этот "компот" передается в процессинг. Достаточно одного неправильного и транзакция идет в отказ. 21.12.06 12:44
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | | | |
Суть статьи в том, что возможно сделать "дубликат", которым... 21.12.06 17:02
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 21.12.06 17:05 Количество правок: 3
|
Суть статьи в том, что возможно сделать "дубликат", которым можно пользоваться. Самое главное узнать ПИН. Для этого нужно иметь долступ к передаче информации (в статье было написно про банки-посредники и пр.).
Идеальная система защиты строится на подписи/шифровании пакета данных ключем, который храниться на карточке (ее магнитной полосе). Чтобы злоумышленник, завладевший карточкой не смог ей воспользоваться, придумали ПИН-пароль. Это может быть часть ключа, которая не храниться на карточке, но очень нужна для формирования подписи.
Возможна еще одна система, где ПИН прписывается в заданное поле данных. Тогда шифрование необходимо. В этом случае имеет место быть один неприятный момент - ПИН будет храниться в центре и возможна утечка ПИНов.
При всей, на первый взгляд, надежности эти системы могут иметь уязвимость, если злоумышленник имеет карточку (секретный ключ), зашифрованные/подписанные данные и их открытый аналог. Просто перебирается ПИН, либо в поле пина, либо в части ключа. Алгоритм, естественно доступен. То есть придется 10000 раз сформировать пакет для процессинг-центра и сравнить его с имеющимся. Как только результаты совпадут, мы имеем оригинальный пин.
При всей кажущейся простоте "взлома" - мы перебираем только часть данных или ключа, а именно четыре цифры ПИНа, нужно не забывать, что карточку (ключ) надо все-таки иметь, да еще пару - данные и их зашифрованно-подписаный аналог.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
