Nedeľa, 17. január, 2021 | Meniny má NatašaKrížovkyKrížovky

Načítavam moment...
Momentálne nie ste prihlásený

Hackeri prenikli do americkej siete bankomatov (Späť na článok)

Pridajte priamu reakciu k článku

Presne tak.
Nas tiez ucili, ze PIN je iba v hlave klienta a v obalke, ktoru dostal. Z cisla karty a pinu sa priamo v bankomate vygeneruje kod, ktory ACS nasledne schvali alebo neschvali, ale PIN sa nikam neposiela. Jedine, co z toho clanku vyplyva je fakt, ze tato banka to asi robila inak, t.j. posielala si PIN-y medzi bankomatmi a ACS. Ale to si neviem predstavit, ved na to existuju jasne standardy, na ktore dbaju aj emitenti kariet.
dunaj
Nie je to nahodou tak
ze PIN overi vlastne karta (teda ten mikocip na nej)? proces totiz prebieha takto: - vlozis kartu do terminalu (cojaviem na benzinovej pumpe) - zadas PIN - OKAMZITE odpovie: akceptovany/neakceptovany - potom dlho nic (to "dlho" je samozrejme relativne ale niekedy to fakt trva dlho - platba akceptovana (ak si mal pozadovany obnos na ucte) cize v bode 3. evidentne terminal komunikuje s bankou (resp. s nejakou centralou) co chvilku (par sekund) trva, ale ako vedel "ihded" ci si zadal spravny PIN stretol som sa dokonca s bankomatmi (v anglicku - v tureckom obchode ;) ) co vo faze 3. evidente dial-up uju na nejaky modem (trva to 100 rokov a este aj pocut typicke vrzukanie) netrvrdim ze je to tak alebo onak, ale fakt by ma to zaujimalo.
macomaciak
< 1 2

Ako si myslim, ze to funguje

bankomaty komunumikuju podobne ako platobne terminaly s databazami banky prostrednictvom telekomunikacnej siete (zrejme kryptovanej). Potrebuju totiz overit, ci je ucet platny, ci je na nom dostatocny kredit, oznamit poziadavku a potvrdit (pripadne zamietnut) transakciu. PIN sa da odkukat iba ked ho vytukavas, alebo nosis v dokladoch, pripadne ho davas vytukavat okoloiducim.
Po zadani PIN sa z neho v bankomate urobi nejaka forma hash kodu a ta sa porovnava s udajmi na karte. Teoreticky sa cez siet mozno prenasaju iba informacie o cisle uctu a kredite na nom (tj. nie mimoriadne citlive udaje ako PIN, ci osobne udaje uzivatela). Na spatne zistenie PINka z hashu by bylo treba vypoctovu farmu + dost vela casu (v zavislosti od typu, by islo o dni, mesiace, roky, tisicrocia) ... :)
 

na karte nie je cip len

na karte nie je cip len zaznamve magneticke medium
 

 

Ako prosim? Oprav sa prv, nez ta niekto zosmiesni.
 

nikto ho nezosmiesni

ma ciastocne pravdu. Stare kartu su s magnetickym pruzkom, bez cipu. Nove karty uz maju aj cip. Vcera som dostal novu kartu k uctu a pani mi nezabudla prizvukovat ze "UZ JE TO CHIPOVA KARTA".
.
"Pri platbe cez internet sú zadávané informácie vytlačené na karte spolu s informáciami o majiteľovi karty, kým pri platbe cez POS terminály a bankomaty sú načítavané dáta z magnetického prúžku a po novom aj z čipu, ktorý bol doplnený len nedávno ako ďalší ochranný prvok práve pred skimmingom. Preto sa táto ochrana nazýva chip&pin (pin podľa bežnej ochrany pin kódom). U nás je tento druh ochrany implementovaný takmer vo všetkých bankomatov a vo väčšine POS terminálov. Rôzne bezpečnostné spoločnosti prichádzajú neustále s inováciami ochranných prvkov a tak je možné, že sa čoskoro dočkáme platobných kariet, ktoré budú ukladať biometrické údaje majiteľa a neumožnia inej osobe s manipuláciou prostriedkov. Dnes je poslednou novinkou bezdotykový spôsob platby (obsahuje RFID čip), u ktorého však mnoho bezpečnostných výskumníkov poukázalo na veľkú mieru rizika a veľmi jednoduché získanie údajov. Systém je však ešte len v plienkach a jeho rozšírenie (ak k nemu dôjde) bude trvať minimálne niekoľko rokov."
.
viac info najdete v clanku na zive.sk:
http://www.zive.sk/Spravy/Ked-...
 

 

"a po novom aj z čipu, ktorý bol doplnený len nedávno ako ďalší ochranný prvok práve pred skimmingom."
Co prosim? Len nedavno??? Na mojich kartach su cipy uz dva roky.
 

Ale, ale

Ja mam doteraz niektore karty iba s pruzkom a neviem si ich vynachvalit. Na platbu staci podpis, co mi vyhovuje. Je to teraz urobene tak, ze ak mas aj chip aj pruzok, prioitny je chip, takze ked predavac cita cip, musis dat PIN, ale ked ho necita, ako napr. Carrefour a pod, staci podpis.
 

okrem Sporitelne to tak robia nase banky

okrem Sporitelne to tak robia nase banky

>Z cisla karty a pinu sa priamo v bankomate vygeneruje kod, ktory ACS nasledne schvali alebo neschvali, >ale PIN sa nikam neposiela.

na karte je token, z neho sa v bankomate pozuije hashovacia funkcia \"cislo PIN \", Tatra tam tusim ma \"PINxUNIXcas\", hash tokenu sa posle ACS-ku to overi hash z DB a ak hash sedi, tak povoli platbu..

V principe ak teda chytis hash tokenu a ten je nezavisly na case alebo polohe bankomatu vies autorizovat kaukolvek platbu, opataovnym poslanim hashu tokenu spolu s opisom opertacie...
nepotrebujes vediet PIN..
 

He

Az takto daleko som zatial nedosiel, ale akonahle mi pride prva SMS o platbe, ktoru som nerealizoval, idem na to!
 
Hodnoť

 

áááách ja milujem hackerov :)
 
Hodnoť

Carolina del Norte

kde je žiaden príspevok od vševedka z USA
 

 

Chybaju ti jeho prispevky?
Myslis, ze aj tvoje niekomu chybaju?
Co rypes?
 
Hodnoť

 

tak to je dost vazny bordel, ked sa piny daju ziskat na lubovolnom mieste okrem hlavy majitela karty.

to znamena ze zas niekto v mene zisku nedodrzal standard. do toho, free market for everybody
 

nuz ani nie ...

pokial ho samozrejme sam niekde nenapises :-) V banke su piny ulozene v kryptovanej forme v DB, kde je obmedzeny pristup. Napada ma jediny sposob, a to asistovanie pri tlaci tych obalok s pinom - su tlacene na ihlickovej tlaciarni, nebol by problem podlozit dalsi preklepovy papier a zbierat si piny a parovat ich s kartami. Ale toto maju banky zjavne dobre osetrene, nakolko som ziaden takyto pripad nezaregistroval. To je fakt jednoduchsie dat do bankomatu citacku a pinpad.
 
Hodnoť

bsod

minimalne bankomaty slsp pouzivaju M$ windows ako tzv. os, ak to plati aj pre banky v amerike, tak co sa divime?
 

Veru

aj ked na vecsine bankomatov som v minulosti zaregistroval OS2. je to FUN ked prides k bankomatu a najdes tam blue screen of death :)
 
Hodnoť

 

tak na jednej strane prejavili hackeri zručnost a na druhej také hlúpe chyby, ktoré viedli k ich zatknutiu.
čapli ich údajne na základe ICQ čísla, ktoré našli vyšetrovatelia na fórach venovaných kartám. K tomu ICQ číslu uvádzal jeden z nich svoje krstné meno a dokonca aj približnú adresu bydliska!! a v byte mali vyše pol melóna v taškách v šatníku. somári.
 

< 1 2

Najčítanejšie na SME