-
Przeczytane na Slashdocie | mirekm <mirekmm...
Witam,
Może kogoś zainteresuje:
"In Chip & PIN card transactions, customers insert their card and enter
their PIN into a PIN Entry Device (PED). We have demonstrated that two
popular PEDs, the Ingenico i3300 and Dione Xtreme, fail to adequately
protect card details and PINs. Fraudsters, with basic technical skills,
can record this information and create fake cards which may be used to
withdraw cash from ATMs abroad, and even some in the UK. These failures
are despite the terminals being certified secure under the Visa approval
scheme, and in the case of the Ingenico, the Common Criteria system. Our
results expose significant failings in the entire evaluation and
certification process."
http://it.slashdot.org/article.pl?sid=08/02/28/2018228&from=rss
http://www.cl.cam.ac.uk/research/security/banking/ped/
W sumie żadna to nowość, czy rewelacja - karty chipowe dają przestępcom
możliwość wygodnego, w miarę bezstresowego fraudu.
Nawet jeśli większość tego programu BBC to oczywista oczywistość, to
warto przeskoczyć na koniec, do wywiadu z przedstawicielką APACS:
http://video.google.com/videoplay?docid=-2532888875266883498
Ostrzeżenie dla osób nie znających angielskiego: wszystkie powyższe
linki odwołują się do materiałów w języku mocno zagranicznym.
pozdrawiam,
mirek
-
Re: Przeczytane na Slashdocie | witek <witek7205_spam...
mirekm wrote:
> Witam,
>
> Może kogoś zainteresuje:
>
> "In Chip & PIN card transactions, customers insert their card and enter
> their PIN into a PIN Entry Device (PED). We have demonstrated that two
> popular PEDs, the Ingenico i3300 and Dione Xtreme, fail to adequately
> protect card details and PINs. Fraudsters, with basic technical skills,
> can record this information and create fake cards which may be used to
> withdraw cash from ATMs abroad, and even some in the UK. These failures
> are despite the terminals being certified secure under the Visa approval
> scheme, and in the case of the Ingenico, the Common Criteria system. Our
> results expose significant failings in the entire evaluation and
> certification process."
>
> http://it.slashdot.org/article.pl?sid=08/02/28/2018228&from=rss
> http://www.cl.cam.ac.uk/research/security/banking/ped/
>
> W sumie żadna to nowość, czy rewelacja - karty chipowe dają przestępcom
> możliwość wygodnego, w miarę bezstresowego fraudu.
>
> Nawet jeśli większość tego programu BBC to oczywista oczywistość, to
> warto przeskoczyć na koniec, do wywiadu z przedstawicielką APACS:
>
> http://video.google.com/videoplay?docid=-2532888875266883498
>
> Ostrzeżenie dla osób nie znających angielskiego: wszystkie powyższe
> linki odwołują się do materiałów w języku mocno zagranicznym.
>
> pozdrawiam,
>
> mirek
Nie bronię kart z pinem, ale ten program był bez sensu, facet chciał
babie wcisnąć, że czarne jest białe, w ogóle nie mając pojęcia o co w
tym wszystkim chodzi. Próba zrobienia sensacji na siłę, aby tylko było
czym czas antenowy zapełnić.
-
Re: Przeczytane na Slashdocie | "kashmiri" <kaacper-usunto...
Użytkownik "witek"
news:fq7nfo$qmi$1...
> mirekm wrote:
/.../
> Nie bronię kart z pinem, ale ten program był bez sensu, facet chciał
> babie wcisnąć, że czarne jest białe, w ogóle nie mając pojęcia o co w tym
> wszystkim chodzi. Próba zrobienia sensacji na siłę, aby tylko było czym
> czas antenowy zapełnić.
To nie chodziło o filmik. Zajrzałeś na inne linki? Na
http://www.cl.cam.ac.uk/research/security/banking/ped podany jest opis
przeprowadzonych testów urządzeń.
Najbardziej przerażające jest to, że producenci tych urządzeń nabrali wody w
usta. Cisza. Byle najmniej hałasu: interes musi się kręcić.
Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.
-
Re: Przeczytane na Slashdocie | witek <witek7205_spam...
kashmiri wrote:
>
>
> Użytkownik "witek"
> wiadomości news:fq7nfo$qmi$1...
>> mirekm wrote:
>
> /.../
>> Nie bronię kart z pinem, ale ten program był bez sensu, facet chciał
>> babie wcisnąć, że czarne jest białe, w ogóle nie mając pojęcia o co w
>> tym wszystkim chodzi. Próba zrobienia sensacji na siłę, aby tylko było
>> czym czas antenowy zapełnić.
>
> To nie chodziło o filmik. Zajrzałeś na inne linki? Na
> http://www.cl.cam.ac.uk/research/security/banking/ped podany jest opis
> przeprowadzonych testów urządzeń.
>
> Najbardziej przerażające jest to, że producenci tych urządzeń nabrali
> wody w usta. Cisza. Byle najmniej hałasu: interes musi się kręcić.
>
> Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.
>
>
>
to bez znaczenia.
karta jest na tyle bezpieczna na ile bank zwraca pieniądze za fraud.
Zabezpieczenia kart mają służyć bankom, a nie klientom.
Jeśli bank robi problemy należy natychmiast zmienić bank.
oczywiscie, że po ujawnieniu tego typu raportów reakcja powinna być
tylko jedna: natychmiast to poprawiamy. Z tym, że ten raport powinien
byc kierowany do banków, a nie do klientów i to banki powinny zareagować
poprzez wymuszenie zmian lub rezygnację z usług takiej firmy.
-
Re: Przeczytane na Slashdocie | "kashmiri" <kaacper-usunto...
Użytkownik "witek"
news:fq96pe$pn0$3...
> kashmiri wrote:
>>
>>
>> Użytkownik "witek"
>> wiadomości news:fq7nfo$qmi$1...
>>> mirekm wrote:
>>
>> /.../
>>> Nie bronię kart z pinem, ale ten program był bez sensu, facet chciał
>>> babie wcisnąć, że czarne jest białe, w ogóle nie mając pojęcia o co w
>>> tym wszystkim chodzi. Próba zrobienia sensacji na siłę, aby tylko było
>>> czym czas antenowy zapełnić.
>>
>> To nie chodziło o filmik. Zajrzałeś na inne linki? Na
>> http://www.cl.cam.ac.uk/research/security/banking/ped podany jest opis
>> przeprowadzonych testów urządzeń.
>>
>> Najbardziej przerażające jest to, że producenci tych urządzeń nabrali
>> wody w usta. Cisza. Byle najmniej hałasu: interes musi się kręcić.
>>
>> Ciekawe, czy polskie karty mikroprocesorowe też są podatne na taki atak.
>>
>>
>>
> to bez znaczenia.
> karta jest na tyle bezpieczna na ile bank zwraca pieniądze za fraud.
> Zabezpieczenia kart mają służyć bankom, a nie klientom.
> Jeśli bank robi problemy należy natychmiast zmienić bank.
Właśnie o to chodzi, że tego typu fraud (1) jest łatwiejszy do
przeprowadzenia niż banki mniemają, (2) jest nie do udowodnienia przez
klienta: transakcja zostaje dokonana z użyciem kodu PIN, czyli dla banku to
właściciel karty dokonał tej transakcji.
> oczywiscie, że po ujawnieniu tego typu raportów reakcja powinna być tylko
> jedna: natychmiast to poprawiamy. Z tym, że ten raport powinien byc
> kierowany do banków, a nie do klientów i to banki powinny zareagować
> poprzez wymuszenie zmian lub rezygnację z usług takiej firmy.
Chyba niedokładnie czytałeś. Problem jest w obowiązujących standardach.
WSZYSTKIE czytniki są podatne na przechwycenie PIN-u - przede wszystkim
dlatego, że standard EMV nie zakłada szyfrowania danych przesyłanych między
kartą a czytnikiem.
Tu nie chodzi o jakąś firmę czy usługodawcę.