"kashmiri" <k...@i...pl> writes:

> Ale kazdy bank sam sobie tworzy algorytm wyliczania tych cyfr, i jest
> on bardzo tajny (do tej pory nigdy nie zdarzylo sie ujawnienie).

Uwaga: ujawniam :-)

Te trzy cyfry sa wybierane losowo (albo pseudolosowo, co na to samo w
tym przypadku wychodzi).

Jaka byla nagroda?
--
Krzysztof Halasa

do góry

"kashmiri" <k...@i...pl> writes:

>> W ktorym?
>
> EMV - wprowadzonym niedawno w UK.

Nope.

>> Tyle ze tamte karty siedzialy w telefonie i nikt ich nikomu nie dawal.
>> No, +/i jakies firmowe telefony itp., ale to zupelnie inna skala.
>
> Właśnie że dawał. Np. do punktów naprawy. Albo pracownikom telefony
> służbowe.

Przeciez napisalem o sluzbowych. Ile telefonow dawales do naprawy?
Nawet taktaki byly sprzedawane "zaklejone".

> Wiesz co się działo przed wprowadzeniem comp128-2?

Tak, klienci klonowali karty by miec wiecej miejsca w ksiazkach
telefonicznych. Teraz karty maja po 230 miejsc, a i tak wszyscy
korzystaja z ksiazek w telefonach, i pies z kulawa noga sie tym nie
zainteresuje.

> Artykuł w ogóle nie zajmuje się ścieżką magnetyczną. O tym
> wystarczająco zostało powiedziane.
> Chodzi o karty z mikroprocesorem, zauważyłeś?

RTF artykul jeszcze raz.

> Pomiędzy kartą a czytnikiem - czytaj uważnie.

Jakim czytnikiem? Tym pudeleczkiem w ktore wtykasz karte, i ktore
sprzedawca po godzinach moze wymienic na inne? Wroc do rzeczywistosci.
--
Krzysztof Halasa

do góry

"kashmiri" <k...@i...pl> writes:

>> Oj tak, zdecydowanie wyzsze. Banki (ani wydawcy tych kart, ani
>> uzytkownicy tych terminali) nie ponosza w ogole kosztow takich fraudow
>> - za takie fraudy placa banki i/lub sprzedawcy tam, gdzie sie chipow
>> nie uzywa.
>
> ????? Chyba nie wiesz co piszesz.

A cos konkretniej moze?
--
Krzysztof Halasa

do góry

kashmiri wrote:
>
>
> Użytkownik "witek" <w...@g...pl.invalid> napisał w
> wiadomości news:fq9p2p$lo9$3@inews.gazeta.pl...
>> kashmiri wrote:
>>>
>>> Właśnie o to chodzi, że tego typu fraud (1) jest łatwiejszy do
>>> przeprowadzenia niż banki mniemają, (2)
>>
>> to mnie nie obchodzi, to problem banku
>
> Tralala, ale zniknęły twoje pieniądze,

Banku.
Nie używam kart debetowych.
Po prostu biorę następną kartę albo używam dalej w zależności od
dostępnego limitu.


> a bank wcale nie musi uznać
> twojej reklamacji, jeżeli nie ma przesłanek wskazujących na oszustwo.

Zapis regulaminu jest prosty. Jeśli zgłaszam fraud w ciągu 2 dni, bank
oddaje wszystkie pieniądze, jeśli po tym okresie a bank udowodni mi, że
gdybym zgłosił wczesniej to poniósłby mniesze straty wówczas pokrywam
kwotę 50 dolarów z własnej kieszeni resztę oni.
Nie ma mowy o nieuznawaniu reklamacji.
Żeby to zrobić prokurator musiałby mi udowodnić oszustwo.



> Twoja deklaracja może coś zmieni za pierwszym razem, ale założę się, że
> po 5 takiej reklamacji w miesiącu bank ci po prostu podziękuje za
> współpracę.

I wzajemnie. Banków jest sporo w okolicy.
Jak narazie po 4 razach jakoś bank nie ma ochoty mi zamknąć karty.


>
>
>>> jest nie do udowodnienia przez klienta:
>>
>> to nie klient ma cokolwiek udowadniac, tylko bank klientowi
>> jeśli nie potrafi to problem banku.
>
> Nie.

tak.
problem klienta polega na tym, że wybrał zły bank jeśli tak nie jest.


>
>>> transakcja zostaje dokonana z użyciem kodu PIN, czyli dla banku to
>>> właściciel karty dokonał tej transakcji.
>>
>> to należy zmienić bank, ja takiego zapisu w regulaminie nie mam.
>
> Czy Twój bank wydaje karty z mikroprocesorem? Bo to o nich mowa.

pin i nieuznawanie reklamacji dotyczy również kart nieprocesorowych
zapis w regulaminie tyczy się wszystkich kart, nie tylko z
mikroprocesorem wiec to nie ma nic do rzeczy.
Bank wydaje, ale nie mam i nie bede mial, bo z defimicji nie korzystam z
kart z pinem.

>
>
>
>>> Chyba niedokładnie czytałeś. Problem jest w obowiązujących standardach.
>>> WSZYSTKIE czytniki są podatne na przechwycenie PIN-u - przede
>>> wszystkim dlatego, że standard EMV nie zakłada szyfrowania danych
>>> przesyłanych między kartą a czytnikiem.
>>> Tu nie chodzi o jakąś firmę czy usługodawcę.
>>
>>
>> poprzez usługi firmy miałem na myśli dostarczyciela urządzeń.
>> Skoro bankom to nie przeszkadza i chcą ponosic koszty tego typu
>> fraudów to ich sprawa. Co mnie obchodzi co robią banki ze swoim
>> bezpieczenstwem.
>
> 100% racja. Ale:
> (1) Autorzy raportu zbadali dwa urządzenia, ale wskazują, że WSZYSTKIE
> produkty na rynku mają tę samą wadę - wadę obowiązujących standardów.

a skąd wiadomo, że wszystkie produkty spełniają tylko minimum nałozone
przez standard. A może akurat robią coś więcej, co w standardzie nioe
jest opisane.
Błędne założenie to i błędne wnioski.


> (2) Instytucja taka jak bank nie zajmuje się badaniem urządzeń: zleca
> się to zewnętrznym firmom. No i w tym problem: urządzenia sprzedawane
> bankom posiadają certyfikaty bezpieczeństwa wydane przez oficjalnie
> autoryzowane firmy. Raport ujawnia, jak mało warta jest ta certyfikacja
> w świetle możliwości technicznych oraz wad obowiązującego standardu
> wymiany danych EMV.

więc banki moją do przedyskutowania czy nie powinny czegoś zmienić.


> (3) Koszty wymiany sprzętu byłyby dla banków wyższe niż te związane ze
> stratami wskutek fraudu. Dlatego żaden bank na świecie nie zmierza do
> wyeliminowania fraudu, tylko do zbilansowania kosztów zabezpieczeń i
> kosztów fraudu.

100% racji, więc czym się klient przejmuje.
Skoro bankom opłaca się zwrac pieniądze zamiast inwestować w inne
klawiaturki to ich sprawa. Od strony klient to wewnętrzna sprawa banku.

do góry

kashmiri wrote:
>
>
> Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
> news:m33arbcw6q.fsf@maximus.localdomain...
>
>
> /.../
>
>>> Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.
>>
>> Przeciez tamte karty mikroprocesorowe nie sa podatne na taki
>> atak. Podatne na atak sa sklepy itp., ktore nie obsluguja kart
>> procesorowych. Zrodlo danych, ktore trzeba zapisac na sciezce
>> magnetycznej, jest nieistotne. Aczkolwiek uzywanie tego samego CVV
>> na sciezce magnetycznej i w procesorze to raczej pomysl kogos
>> inteligentnego inaczej, ale rozne CVV to tylko takie dodatkowe,
>> bardzo slabe zabezpieczenie (przeciez sprzedawca moze po prostu
>> skopiowac pasek magnetyczny oddzielnym urzadzeniem).
>
> Wg mnie problem leży w standardzie.
>
> Innego rodzaju karty mikroprocesorowe - mówię o kartach SIM - do ok.
> 2001 roku były bardzo łatwe do sklonowania (stworzenia idealnej kopii na
> czystej karcie). Wynikło to ze złamania algorytmu tworzącego klucz
> szyfrujący (tzw algorytm comp128). Wkrótce zestawy do klonowania
> (czytnik, czysta karta i oprogramowanie) można było kupić na ebayu za 30
> USD.
>
> Od 2001 r zaczęto wprowadzać karty szyfrowane algorytmem comp128-2 - i
> mimo ogromnych wysiłków ten algorytm do dziś nie został złamany. Dzięki
> zastowsowaniu dobrego algorytmu, praktycznie niemożliwe jest dziś
> zarówno sklonowanie nowej karty SIM, jak i "włamanie się" do rozmowy
> przeprowadzanej przez osobę obok.


Co ma klonowanie karty do szyfrowania danych?
Jak coś już przepisujesz z jakiegoś artykułu to rób to z głową.




>
> Instytucje finansowe w UK nie przeprowadziły takich badań, jak
> instytucje standaryzujące komunikację GSM. Na skutek tego standard,
> który powstał, w ogóle nie uwzględnia zagrożeń związanych z przesyłaniem
> niezabezpieczonych danych! I o to się właśnie rozchodzi: dane przesyłane
> przez mikroprocesor do czytnika (i z powrotem) nie są szyfrowane i mogą
> zostać przechwycone!

głupie pytanie, ale ty w ogóle zrozumiałeś ten reportaż, albo czy go w
ogóle oglądałeś.
Bo tam nie było słowa o przesyłaniu danych z mikroprocesora do czytnika.

do góry

kashmiri wrote:
>
> Akurat ten mikrokomputer jest zdolny do tworzenia algorytmów
> szyfrujących.


Chłopie, jakbyś to powiedział na jakimś wykładzie, to albo bys dostał
Nobla, albo sala by rżała ze śmiechu jak stado ogierów.

do góry

Użytkownik "witek" <w...@g...pl.invalid> napisał w wiadomości
news:fqa4ju$lo9$7@inews.gazeta.pl...
> kashmiri wrote:
>>
>>
>> Użytkownik "witek" <w...@g...pl.invalid> napisał w
>> wiadomości news:fq9p2p$lo9$3@inews.gazeta.pl...
>>> kashmiri wrote:
>>>>
>>>> Właśnie o to chodzi, że tego typu fraud (1) jest łatwiejszy do
>>>> przeprowadzenia niż banki mniemają, (2)
>>>
>>> to mnie nie obchodzi, to problem banku
>>
>> Tralala, ale zniknęły twoje pieniądze,
>
> Banku.
> Nie używam kart debetowych.
> Po prostu biorę następną kartę albo używam dalej w zależności od
> dostępnego limitu.

W wypadku kart debetowych - Twoje. Większość kart w użyciu w UK to karty
debetowe.


>> a bank wcale nie musi uznać twojej reklamacji, jeżeli nie ma przesłanek
>> wskazujących na oszustwo.
>
> Zapis regulaminu jest prosty. Jeśli zgłaszam fraud w ciągu 2 dni, bank
> oddaje wszystkie pieniądze, jeśli po tym okresie a bank udowodni mi, że
> gdybym zgłosił wczesniej to poniósłby mniesze straty wówczas pokrywam
> kwotę 50 dolarów z własnej kieszeni resztę oni.
> Nie ma mowy o nieuznawaniu reklamacji.
> Żeby to zrobić prokurator musiałby mi udowodnić oszustwo.

Nie zgłaszasz fraudu w ciągu dwóch dni, bo w UK karta rozlicza się 3 dni
robocze i dopiero wtedy widzisz obciążenie.

Reklamację bank może uznać albo nie uznać jak woli, nic go nie zmusza poza
chęcią zdobycia klienta. Ale jeśli klient za dużo kosztuje, to na nim nie
zależy.



>> Twoja deklaracja może coś zmieni za pierwszym razem, ale założę się, że
>> po 5 takiej reklamacji w miesiącu bank ci po prostu podziękuje za
>> współpracę.
>
> I wzajemnie. Banków jest sporo w okolicy.
> Jak narazie po 4 razach jakoś bank nie ma ochoty mi zamknąć karty.

4 razy w miesiącu? Gdzie ty robisz zakupy?!


>>>> jest nie do udowodnienia przez klienta:
>>>
>>> to nie klient ma cokolwiek udowadniac, tylko bank klientowi
>>> jeśli nie potrafi to problem banku.
>>
>> Nie.
>
> tak.
> problem klienta polega na tym, że wybrał zły bank jeśli tak nie jest.

Bank nic nie udowadnia - po prostu nie uznaje reklamacji.
Potem możesz się procesować, proszę bardzo - autorzy raportu coś wspominają
o wielu toczących się procesach.



>>>> transakcja zostaje dokonana z użyciem kodu PIN, czyli dla banku to
>>>> właściciel karty dokonał tej transakcji.
>>>
>>> to należy zmienić bank, ja takiego zapisu w regulaminie nie mam.
>>
>> Czy Twój bank wydaje karty z mikroprocesorem? Bo to o nich mowa.
>
> pin i nieuznawanie reklamacji dotyczy również kart nieprocesorowych
> zapis w regulaminie tyczy się wszystkich kart, nie tylko z mikroprocesorem
> wiec to nie ma nic do rzeczy.
> Bank wydaje, ale nie mam i nie bede mial, bo z defimicji nie korzystam z
> kart z pinem.

To dlatego masz 4 reklamacje na miesiąc?


>>>> Chyba niedokładnie czytałeś. Problem jest w obowiązujących standardach.
>>>> WSZYSTKIE czytniki są podatne na przechwycenie PIN-u - przede wszystkim
>>>> dlatego, że standard EMV nie zakłada szyfrowania danych przesyłanych
>>>> między kartą a czytnikiem.
>>>> Tu nie chodzi o jakąś firmę czy usługodawcę.
>>>
>>>
>>> poprzez usługi firmy miałem na myśli dostarczyciela urządzeń.
>>> Skoro bankom to nie przeszkadza i chcą ponosic koszty tego typu fraudów
>>> to ich sprawa. Co mnie obchodzi co robią banki ze swoim bezpieczenstwem.
>>
>> 100% racja. Ale:
>> (1) Autorzy raportu zbadali dwa urządzenia, ale wskazują, że WSZYSTKIE
>> produkty na rynku mają tę samą wadę - wadę obowiązujących standardów.
>
> a skąd wiadomo, że wszystkie produkty spełniają tylko minimum nałozone
> przez standard. A może akurat robią coś więcej, co w standardzie nioe jest
> opisane.
> Błędne założenie to i błędne wnioski.

Czytałeś ten raport czy tylko wymyślasz?


>> (2) Instytucja taka jak bank nie zajmuje się badaniem urządzeń: zleca się
>> to zewnętrznym firmom. No i w tym problem: urządzenia sprzedawane bankom
>> posiadają certyfikaty bezpieczeństwa wydane przez oficjalnie autoryzowane
>> firmy. Raport ujawnia, jak mało warta jest ta certyfikacja w świetle
>> możliwości technicznych oraz wad obowiązującego standardu wymiany danych
>> EMV.
>
> więc banki moją do przedyskutowania czy nie powinny czegoś zmienić.

Banki tylko stosują obowiązujące prawo i wdrażają standardy. Od zmian jest
inna instytucja.


>> (3) Koszty wymiany sprzętu byłyby dla banków wyższe niż te związane ze
>> stratami wskutek fraudu. Dlatego żaden bank na świecie nie zmierza do
>> wyeliminowania fraudu, tylko do zbilansowania kosztów zabezpieczeń i
>> kosztów fraudu.
>
> 100% racji, więc czym się klient przejmuje.
> Skoro bankom opłaca się zwrac pieniądze zamiast inwestować w inne
> klawiaturki to ich sprawa. Od strony klient to wewnętrzna sprawa banku.
>

do góry

Uzytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisal w wiadomosci
news:m363w7bdx9.fsf@maximus.localdomain...
> "kashmiri" <k...@i...pl> writes:
>
>> Ale kazdy bank sam sobie tworzy algorytm wyliczania tych cyfr, i jest
>> on bardzo tajny (do tej pory nigdy nie zdarzylo sie ujawnienie).
>
> Uwaga: ujawniam :-)
>
> Te trzy cyfry sa wybierane losowo (albo pseudolosowo, co na to samo w
> tym przypadku wychodzi).
>
> Jaka byla nagroda?



http://en.wikipedia.org/wiki/CVV2

"The [CVV2] number is generated when the card is issued, by encrypting the
card number and expiration date under a key known only to the issuing bank."

Co wygralem?

k.

do góry

NIE KARMIĆ TROLLA

do góry

Użytkownik "witek" <w...@g...pl.invalid> napisał w wiadomości
news:fqa59t$lo9$9@inews.gazeta.pl...
> kashmiri wrote:
>>
>> Akurat ten mikrokomputer jest zdolny do tworzenia algorytmów
>> szyfrujących.
>
>
> Chłopie, jakbyś to powiedział na jakimś wykładzie, to albo bys dostał
> Nobla, albo sala by rżała ze śmiechu jak stado ogierów.



http://www.cl.cam.ac.uk/research/security/banking/pe
d :

"The more expensive DDA (Dynamic Data Authentication) cards allow the PIN to
be encrypted and so preventing it from being intercepted."

Więc o co ci chodzi?

do góry