Dnia Tue, 27 Jul 2010 22:46:09 +0200, Robert Jaroszuk napisał(a):

> To że protokół EMV w założeniach miał służyć przeniesieniu
> odpowiedzialności za bezpieczeństwo transakcji z issuera na merchanta
> i/lub cardholdera.
> Jeśli transakcja została potwierdzona podpisem klienta - odpowiada
> merchant. Jeśli PINem - odpowiada klient. I pod tym względem się
> sprawdza. Bank przenosi ryzyko i odpowiedzialność na innych.

Co do zasady: troszkę w tym jednak ploty (którą sam rozpowszechniałem...)
-- "liability shift" dotyczy sprzedawców, którzy nie wdrożyli czip-
terminali (http://www.chipandpin.co.uk/business/card_payments/
means/
shift_liability.html); natomiast co do odpowiedzialności za transakcje to
w ustawie EIP jest to dość dokładnie rozpisane.

> W przypadku transakcji offline, weryfikacja PIN odbywa się poprzez
> komunikację z kartą, a nie z centrum autoryzacyjnym. Tego typu
> architektura z założenia będzie mniej bezpieczna niż transakcje
> online'owe, ponieważ nie ma "trzeciej strony", która autoryzuje
> transakcje. Myślę że nie muszę się specjalnie gimnastykować żeby
> udowodnić że jest to mniej bezpieczne, prawda?

Jednak "dawca" karty i techniki tam zaszytej też ma coś tu do powiedzenia
(i stracenia?).
Z drugiej strony transakcję online można podsłuchać. Nie mam pojęcia
(nietechniczny jestem) czy w ramach autoryzacji "idzie" PIN i jak to jest
szyfrowane, ale ryzyko zawsze istnieje.

> Są przez to podatne na różnego rodzaju ataki typu Man-in-the-middle, czy
> nawet na klonowanie i przeprogramowanie, przez co stają się tzw. 'yes
> card'. Po prostu sklonowana karta zawsze odpowiada twierdząco na
> zapytanie o poprawność PINu.

Czyli tak czy inaczej wychodzimy albo od sklonowanej, albo wytworzonej we
własnym zakresie -- w oparciu o cudze numery kart -- plasticzki.

> W przypadku kart DDA, które posiadają klucze RSA, istnieje możliwość
> oszukania terminala poprzez modyfikację pakietów autoryzacyjnych,
> przesyłanych pomiędzy kartą a terminalem. Oczywiście nie będzie to
> możliwe gdy musimy podać kartę sprzedawcy w sklepie i to on wtyka ją w
> terminal, ale często jest tak, że klient sam to robi i wtedy można użyć
> kradzionej karty.

Kradzionej czy podrobionej? Zakładając, że miałbym kartę tego rodzaju i
dałbym ją Tobie -- da się "podrobić" PIN? E...

--
pozdrawiam serdecznie, Olgierd
Lege Artis ==> http://LegeArtis.org.pl <==
pstryczki ==> http://www.flickr.com/photos/olgierd/
[reklama] dobre foto we Wrocławiu ==> http://foto-krzyki.pl

do góry

Robert Jaroszuk pisze:
> On 07/27/2010 11:16 AM, Tomasz Kaczanowski wrote:
>
>> Hmmm wtedy właśnie kilka banków jednak skorzystało z tego samego
>> systemu. Jest kwestia wprowadzenia powszechnego systemu takich
>> portmonetek. Co za różnica, czy będzie to ujednolicone, czy nie? Zaleta
>> jest taka, że autoryzacja jest offline'owa.
>
> Przy transakcjach offline jest dużo więcej realnych zagrożeń związanych
> z bezpieczeństwem, tak więc byłbym ostrożny z pisaniem o zaletach takich
> transakcji ;-)

Jedynym zagrożeniem może być złamanie systemu zapisu na kartę informacji
o transakcjach.



--
Kaczus
http://kaczus.republika.pl

do góry

Dnia Tue, 27 Jul 2010 16:45:24 -0500, witek napisał(a):


> Sklep może ci odmówić wszystkiego. Nawet sprzedaży czy też wpuszczenia
> cię do sklepu.

Powiedz że żartujesz? :)))
Chyba z rozpędu coś ci się pozajączkowało wituś ;)

do góry

Dnia Mon, 26 Jul 2010 14:19:35 +0100, pmlb napisał(a):


> No i teraz powiedz sklepikarzowi by zrezygnowal z 5% zysku....
> Mowisz o 5zl... a teraz pomysl o 1000 klientow z 5zl i jakie to straty dla
> sklepikarza.... za np. dzien.

Jesteś jakimś monopolistą czy co?
Tysiąc klientów dziennie... masz kurewskie szczęście chłopie :))
Niech będzie.... 1000 * 22dni = 22 000 klientów!!!
Powiadasz zakupy za 5zł .. czyli 22000 * 5 = 110 000zł miesięcznie (bez
sobót i niedziel).
ROTFL ... chłopie ty żyjesz w jakimś matriksie :))

Chyba że masz na myśli jakiś Real, Carefour, Tesco czy podobne
hipermarkety. Facet - na pewno nie maja takiego obrotu w podrzędnym
"osiedlowym sklepiku" o którym toczy się mowa.

Obudź się, już za miesiąc szkoła ;))

do góry

Użytkownik "Herald" <h...@o...eu> napisał w wiadomości
news:1m5rb66pclwm7.4wabhw7q91n8.dlg@40tude.net...
> Dnia Tue, 27 Jul 2010 16:45:24 -0500, witek napisał(a):
>
>
>> Sklep może ci odmówić wszystkiego. Nawet sprzedaży czy też wpuszczenia
>> cię do sklepu.
>
> Powiedz że żartujesz? :)))
> Chyba z rozpędu coś ci się pozajączkowało wituś ;)

A kolega jak widzę jeszcze w komjnistyczne przepisy o spekulacji wierzy - jak
większośc na tej grupie zresztą ;)
Polecam:
http://wiadomosci.gazeta.pl/Wiadomosci/1,80708,30797
84.html
No i prawdzwe życie oczywiście :D

K.

do góry

On 07/28/2010 09:07 AM, Olgierd wrote:
> Dnia Tue, 27 Jul 2010 22:46:09 +0200, Robert Jaroszuk napisał(a):
>
> Co do zasady: troszkę w tym jednak ploty (którą sam rozpowszechniałem...)
> -- "liability shift" dotyczy sprzedawców, którzy nie wdrożyli czip-
> terminali (http://www.chipandpin.co.uk/business/card_payments/
means/
> shift_liability.html); natomiast co do odpowiedzialności za transakcje to
> w ustawie EIP jest to dość dokładnie rozpisane.

Nie wiem o jakich plotkach mówisz, ale jeśli chodzi o resztę, to masz w
zupełności rację.

>> W przypadku transakcji offline, weryfikacja PIN odbywa się poprzez
>> komunikację z kartą, a nie z centrum autoryzacyjnym. Tego typu
>> architektura z założenia będzie mniej bezpieczna niż transakcje
>> online'owe, ponieważ nie ma "trzeciej strony", która autoryzuje
>> transakcje. Myślę że nie muszę się specjalnie gimnastykować żeby
>> udowodnić że jest to mniej bezpieczne, prawda?
>
> Jednak "dawca" karty i techniki tam zaszytej też ma coś tu do powiedzenia
> (i stracenia?).
> Z drugiej strony transakcję online można podsłuchać. Nie mam pojęcia
> (nietechniczny jestem) czy w ramach autoryzacji "idzie" PIN i jak to jest
> szyfrowane, ale ryzyko zawsze istnieje.


Technika zaszyta w karcie musi być kompatybilna z resztą świata, tak
więc issuer nie ma tutaj zbyt szerokich możliwości "poprawiania" EMV.
Jeśli o to Tobie chodziło :-)

Jeśli chodzi o komunikację np. terminali POS z hostem autoryzacyjnym,
najczęściej używa się ISO8583. Są różne wersje, bo protokół ewoluował
przez szereg lat. Jednakże zasada jest taka, że cały pakiet informacji o
karcie nie jest zaszyfrowany, z wyjątkiem PINBlock, który szyfruje się
kluczem transmisyjnym, który z kolei szyfrowany jest tzw. kluczem TMK
(Terminal Master Key).
W bankomatach zasada jest ta sama, tyle że częściej używa się protokołu NDC.

Tak więc podsłuchanie transakcji nie daje Tobie możliwości podsłuchania PIN.

Inną sprawą jest to, że obecnie operatorzy sieci bankomatów czy POSów są
zobowiązani przez VISA/MC do certyfikacji PCI-DSS.
Dlatego modernizuje się infrastrukturę płatniczą i dodaje urządzenia
szyfrujące cały ruch pomiędzy bankomatem a hostem.
Tak więc w wielu przypadkach podsłuchiwanie nic Tobie nie da, bo cała
transakcja lata wewnątrz tuneli VPN czy transmisji SSL.

Ale to są zabezpieczenia na warstwie transmisyjnej a nie na warstwie
protokołu EMV.

>> Są przez to podatne na różnego rodzaju ataki typu Man-in-the-middle, czy
>> nawet na klonowanie i przeprogramowanie, przez co stają się tzw. 'yes
>> card'. Po prostu sklonowana karta zawsze odpowiada twierdząco na
>> zapytanie o poprawność PINu.
>
> Czyli tak czy inaczej wychodzimy albo od sklonowanej, albo wytworzonej we
> własnym zakresie -- w oparciu o cudze numery kart -- plasticzki.

Lub kradzionej.

>> W przypadku kart DDA, które posiadają klucze RSA, istnieje możliwość
>> oszukania terminala poprzez modyfikację pakietów autoryzacyjnych,
>> przesyłanych pomiędzy kartą a terminalem. Oczywiście nie będzie to
>> możliwe gdy musimy podać kartę sprzedawcy w sklepie i to on wtyka ją w
>> terminal, ale często jest tak, że klient sam to robi i wtedy można użyć
>> kradzionej karty.
>
> Kradzionej czy podrobionej? Zakładając, że miałbym kartę tego rodzaju i
> dałbym ją Tobie -- da się "podrobić" PIN? E...

Wkładam Twoją (kradzioną) kartę do czytnika podpiętego do komputera,
ktory mam w plecaku. Podpinam do niego także inną kartę (nazwijmy ją
"serwisową"), którą wkładam do terminala POS (jako że z rękawa będzie mi
wystawała mała wiązka kabelków, to nie zadziała jeśli kartę trzeba podać
sprzedawcy).
Komunikacja pomiędzy POS a moją kartą jest transmitowana przez laptopa,
do Twojej karty, tak więc POS de facto rozmawia z TWOJĄ kartą.
Gdy przychodzi do autoryzacji, wpisuję dowolny PIN.
POS wysyła go do karty i oczekuje odpowiedzi 0x9000 jeśli PIN się zgadza
lub 0x63CX (gdzie X to ilość pozostałych prób PIN), jeśli się nie zgadza.

Twoja karta odpowiedziałaby 0x63Cx, natomiast ten fragment transmisji
został przechwycony przez komputer, który odesłał poprzez moją kartę do
terminala odpowiedź 0x9000.

Podstawowym niedociągnięciem EMV jest brak uwierzytelniania tej
komunikacji. Dlatego offline jest mniej bezpieczne niż online.

Pozdrawiam,

--
... Robert Jaroszuk ...
GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
We do not see things as they are, we see them as we are.
GPG key id: 0x5D9659C3
GPG fingerprint: E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

do góry

On 07/28/2010 09:10 AM, Tomasz Kaczanowski wrote:

> Jedynym zagrożeniem może być złamanie systemu zapisu na kartę informacji
> o transakcjach.

Niestety mylisz się.
Przeczytaj moją odpowiedź na post Olgierda, tam wyjaśniłem, dlaczego
jest inaczej.


--
... Robert Jaroszuk ...
GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
We do not see things as they are, we see them as we are.
GPG key id: 0x5D9659C3
GPG fingerprint: E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

do góry

Robert Jaroszuk pisze:
> On 07/28/2010 09:10 AM, Tomasz Kaczanowski wrote:
>
>> Jedynym zagrożeniem może być złamanie systemu zapisu na kartę informacji
>> o transakcjach.
>
> Niestety mylisz się.
> Przeczytaj moją odpowiedź na post Olgierda, tam wyjaśniłem, dlaczego
> jest inaczej.

A Ty przeczytaj wątek, by wiedzieć o czym rozmawiamy.

--
Kaczus
http://kaczus.republika.pl

do góry

On 07/28/2010 10:16 AM, Tomasz Kaczanowski wrote:
> Robert Jaroszuk pisze:
>> On 07/28/2010 09:10 AM, Tomasz Kaczanowski wrote:
>>
>>> Jedynym zagrożeniem może być złamanie systemu zapisu na kartę informacji
>>> o transakcjach.
>>
>> Niestety mylisz się.
>> Przeczytaj moją odpowiedź na post Olgierda, tam wyjaśniłem, dlaczego
>> jest inaczej.
>
> A Ty przeczytaj wątek, by wiedzieć o czym rozmawiamy.

Z tego co pamiętam, to odpisywałem na Twój post, w którym wypowiadałeś
się na temat zalet transakcji kartowych, a ja odpowiedziałem że obok
zalet funkcjonalnych należy pamiętać o zagrożeniach związanych z
bezpieczeństwem transakcji offline.
Ty z kolei odpisałeś coś o zagrożeniu złamania systemu zapisywania
historii transakcji na karcie (?).

Tak, chyba masz rację, nie ma sensu kontynuować dyskusji z Tobą.

--
... Robert Jaroszuk ...
GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
We do not see things as they are, we see them as we are.
GPG key id: 0x5D9659C3
GPG fingerprint: E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

do góry

Robert Jaroszuk pisze:
> On 07/28/2010 10:16 AM, Tomasz Kaczanowski wrote:
>> Robert Jaroszuk pisze:
>>> On 07/28/2010 09:10 AM, Tomasz Kaczanowski wrote:
>>>
>>>> Jedynym zagrożeniem może być złamanie systemu zapisu na kartę informacji
>>>> o transakcjach.
>>> Niestety mylisz się.
>>> Przeczytaj moją odpowiedź na post Olgierda, tam wyjaśniłem, dlaczego
>>> jest inaczej.
>> A Ty przeczytaj wątek, by wiedzieć o czym rozmawiamy.
>
> Z tego co pamiętam, to odpisywałem na Twój post, w którym wypowiadałeś
> się na temat zalet transakcji kartowych, a ja odpowiedziałem że obok
> zalet funkcjonalnych należy pamiętać o zagrożeniach związanych z
> bezpieczeństwem transakcji offline.

Widzisz, nie przeczytałeś dokładnie - pisałem o systemie, który był
testowany jakiś czas temu i nie jest powszechny.


> Ty z kolei odpisałeś coś o zagrożeniu złamania systemu zapisywania
> historii transakcji na karcie (?).

Tak - w tamtym systemie historia transakcji zapisywana była na karcie,
bo karta działała jak elektroniczna portmonetka, wydać mogłeś tyle ile
miałeś zapisane na karcie, historia była zaczytywana do systemu
bankowego, gdy przyszedłeś doładować kartę, albo gdy rozliczyła się
osoba, u której płaciłeś.

> Tak, chyba masz rację, nie ma sensu kontynuować dyskusji z Tobą.


Co chcesz kontynuować, skoro nawet nie zacząłeś?



--
Kaczus
http://kaczus.republika.pl

do góry