Witam

Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
o problemach jakie rodzic moze wykorzystanie standardu EMV (a
wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecam
http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/

W skrocie:
- na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
terminal ze PINem
- zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"
- dziala to zarowno podczas transakcji offline, ale rowniez online
- na slipie bedzie widniala informacja ze transakcja zostala
zatwierdzona PINem

pozdrawiam
Michal Kisiel

http://blog.finnovation.pl

On 12 Lut, 15:07, Herr Moher <kisielmic...@gmail.com> wrote:

Witam

Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
o problemach jakie rodzic moze wykorzystanie standardu EMV (a
wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecamhttp://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/

W skrocie:
- na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
terminal ze PINem
- zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"
- dziala to zarowno podczas transakcji offline, ale rowniez online
- na slipie bedzie widniala informacja ze transakcja zostala
zatwierdzona PINem

pozdrawiam
Michal Kisiel

http://blog.finnovation.pl

Tylko - co z tego? Rozumiem, ze taka "akcja" moze sie sprawdzic w
momencie kiedy mam czyjas karte - a nie mam PIN, i moge w swoim
"zaprzyjaznionym" sklepie natrzepac transakcji.

Z karta na podpis problem mniejszy - bo mozna klepac "ok" :)

Dnia Fri, 12 Feb 2010 06:22:56 -0800 (PST), BK napisał(a):

Tylko - co z tego? Rozumiem, ze taka "akcja" moze sie sprawdzic w
momencie kiedy mam czyjas karte - a nie mam PIN, i moge w swoim
"zaprzyjaznionym" sklepie natrzepac transakcji.

Wystarczy, że ktoś zrobi kartę pośrednią z wifi (czy inną łącznością bezprzewodową) i można będzie wykorzystać bankomaty, albo zrobić ją wyglądającą jak zwykła i wtedy nie potrzeba "zaprzyjaźnionego" sklepu.

--
Kojer

Wystarczy, że ktoś zrobi kartę pośrednią z wifi (czy inną łącznością
bezprzewodową) i można będzie wykorzystać bankomaty, albo zrobić ją
wyglądającą jak zwykła i wtedy nie potrzeba "zaprzyjaźnionego" sklepu.

Wczoraj na BBC byl program o tym - ludzie z Cambridge spreparowali
karte podlaczajac ja przewodem do plytki z mikrokontrolerem , do
ktorego byla podpieta druga karta ( ta np. skradziona). Calosc
umieszczona w plecaku, kabelek prowadzacy do spreparowanej karty w
rekawie. Biorac pod uwage, ze w UK w wiekszosci przypadkow karte
samemu wklada sie do terminala, byli w stanie kupic np. butelke wody
za ÂŁ5. Czyli zaprzyjazniony sklep nie potrzebny.

Marcin

On 12 Lut, 15:57, Marcin <mbawol...@o2.pl> wrote:

> Wystarczy, że ktoś zrobi kartę pośrednią z wifi (czy inną łącznością
> bezprzewodową) i można będzie wykorzystać bankomaty, albo zrobić ją
> wyglądającą jak zwykła i wtedy nie potrzeba "zaprzyjaźnionego" sklepu.

Wczoraj na BBC byl program o tym - ludzie z Cambridge spreparowali
karte podlaczajac ja przewodem do plytki z mikrokontrolerem , do
ktorego byla podpieta druga karta ( ta np. skradziona). Calosc
umieszczona w plecaku, kabelek prowadzacy do spreparowanej karty w
rekawie. Biorac pod uwage, ze w UK w wiekszosci przypadkow karte
samemu wklada sie do terminala, byli w stanie kupic np. butelke wody
za ÂŁ5. Czyli zaprzyjazniony sklep nie potrzebny.

Marcin

I jakby nie patrzec koniecznosc osobistego uzycia karty wyklucza to
jako masowe narzedzie oszustw kartowych.

Juz teraz na wiele sposobow mozna wykorzystac czyjas karte "placac w
kasie" ale nikt tego nie robi [prawie nikt, czasami jakis amator].

Zawodowcy na masowa sklae zajmuja sie zasadniczo skimmingiem i
wybieraniem kasy z bankomatow. Bo to szybkie i bezpieczne.

Uzytkownik "BK" <bkapuscinski@gmail.com> napisal w wiadomosci news:b03e2484-3e50-4c26-b820-

Tylko - co z tego? Rozumiem, ze taka "akcja" moze sie sprawdzic w
momencie kiedy mam czyjas karte - a nie mam PIN, i moge w swoim
"zaprzyjaznionym" sklepie natrzepac transakcji.

Z karta na podpis problem mniejszy - bo mozna klepac "ok" :)

http://biznes.onet.pl/karta-z-chipem-tez-jest-slabo-zabezpieczona,18543,3176427,1,news-detal

wiatrak

On 12 Lut, 15:07, Herr Moher <kisielmic...@gmail.com> wrote:

Witam

Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
o problemach jakie rodzic moze wykorzystanie standardu EMV (a
wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecamhttp://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/
.....

w sumie jak się ukradnie portfel z gotówką to nawet nie trzeba nic
majstrować :) po prostu idziesz i płacisz.

--
plusz

On 2010-02-12 19:40, plusz wrote:

On 12 Lut, 15:07, Herr Moher <kisielmic...@gmail.com> wrote:

Witam

Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
o problemach jakie rodzic moze wykorzystanie standardu EMV (a
wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecamhttp://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/
.....

w sumie jak się ukradnie portfel z gotówką to nawet nie trzeba nic
majstrować :) po prostu idziesz i płacisz.

Jasne, w takim układzie gotówka nie jest wcale bezpieczniejsza  od karty ;-)

witrak()
PS. Tylko niektórzy będą twierdzić, że jednak nie, bo 30 czy 40 kpln nie noszą zwykle przy sobie...

On 13 Lut, 07:41, "witrak()" <wit...@hotmail.com> wrote:

PS. Tylko niektórzy będą twierdzić, że jednak nie, bo 30 czy 40 kpln
nie noszą zwykle przy sobie...

Z drugiej strony... nikt chyba nie trzeba tyle pieniedzy na koncie
powiazanym z karta debetowa ;)


Pozdrawiam
Rafal

Dnia Sat, 13 Feb 2010 04:20:28 -0800 (PST), Rafal M napisał(a):

PS. Tylko niektórzy będą twierdzić, że jednak nie, bo 30 czy 40 kpln
nie noszą zwykle przy sobie...

Z drugiej strony... nikt chyba nie trzeba tyle pieniedzy na koncie
powiazanym z karta debetowa ;)

Wystarczy linia kredytowa podpięta do RORu. Ba, w pekao na wydruku z
bankomatu jest (albo było) podawane dostępne saldo razem z linią, jak się
popatrzy na zostawiane potwierdzenia (po cholere ludzie je drukują jak nie
biorą?) to i 6 cyfrowe kwoty się trafiają.

--
Kojer

Użytkownik "Rafal M"

PS. Tylko niektórzy będą twierdzić, że jednak nie, bo 30 czy 40 kpln
nie noszą zwykle przy sobie...

Z drugiej strony... nikt chyba nie trzeba tyle pieniedzy na koncie
powiazanym z karta debetowa ;)

niestety nie każdy bank pozwala poczepić kartę pod dodatkowe subkonto,
nawet nieoprocentowane - mogłem tak zrobić w Fortisie, w DB-PBC,
ale np Nordea nie pozwala - karta mus byc podpieta do głównego konta
*** blad ***
PS - dlatego trzeba używać kilku rachunków, każdy do czego innego :-)

Uzytkownik "Herr Moher" napisal:

Witam

Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
o problemach jakie rodzic moze wykorzystanie standardu EMV (a
wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecam
http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/

Znam opracowanie zespolu z Cambridge i postawili oni zbyt daleko idace tezy. Zostalo to rozdmuchane przez malo nierzetelne media, które nie zadaly sobie trudu zapytania, ile z tej teorii mozna rzeczywisci wykorzystac w praktyce. Gdyby ktos byl zainteresowany, to oficjalne stanowiska na ten temat wydaly rózne organizacje zajmujace sie systemami platniczymi, np:
http://skocz.pl/dbrny

Atak jest nieco wyimaginowany i atakujacy musi liczyc na szczescie podczas jego przeprowadzania.
Mozliwy jest przy zalozeniu, ze wydawca nie potrafi skorzystac z istniejacych mechanizmów bezpieczenstwa, a wtedy mozna równie dobrze powiedziec, ze EMV jest niebezpieczne, bo wydawca moze nie weryfikowac kryptogramów albo PINu online, kiedy wystepuje.

W skrocie:
- na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
terminal ze PINem
- zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"

Dobrze spersonalizowana karta ma mozliwosc odróznienia takich sytuacji od normalnej transakcji i odrzucenia ich offline na podstawie analizy CVR.

- dziala to zarowno podczas transakcji offline, ale rowniez online
- na slipie bedzie widniala informacja ze transakcja zostala
zatwierdzona PINem

Nie dziala dla online. Nawet jesli karta nie odrzuci transakcji w offline, to CVR wyslany do wydawcy jasno mówi, ze do weryfikacji PIN offline nie doszlo. Rozbieznosc pomiedzy informacja z karty i z terminala zakonczy sie odmowa i taka wlasnie informacja pojawi sie na slipie.

--
MG

"MG" <no@spam.com> writes:

Atak jest nieco wyimaginowany i atakujacy musi liczyc na szczescie
podczas jego przeprowadzania.

W sensie autoryzacji on-line?

Mozliwy jest przy zalozeniu, ze wydawca nie potrafi skorzystac z
istniejacych mechanizmĂłw bezpieczenstwa,

Jakich konkretnie?

a wtedy mozna rĂłwnie dobrze
powiedziec, ze EMV jest niebezpieczne, bo wydawca moze nie weryfikowac
kryptogramĂłw albo PINu online, kiedy wystepuje.

Ten akurat atak dziala tylko w jednym przypadku (transakcji offline przy
chip & PIN), i polega na tym, ze nie trzeba znac PINu.

Jasne ze w mBanku to nie zadziala (jesli prawda jest, ze wszystkie
transakcje sa online).

Nie jest to koniec swiata dla EMV, nie ma watpliwosci, choc moze to byc
przynajmniej drobny problem dla PINu.

W skrocie:
- na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
terminal ze PINem
- zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"

Dobrze spersonalizowana karta ma mozliwosc odrĂłznienia takich sytuacji
od normalnej transakcji i odrzucenia ich offline na podstawie analizy
CVR.

A cos konkretniej?

Nawet jesli karta nie odrzuci transakcji w
offline,

W zacytowanym przez Ciebie linku nie twierdza, ze moze sie to zdazyc,
IOW biorac pod uwage charakter informacji, jest to wykluczone albo
przynajmniej oni tak uwazaja :-)

to CVR wyslany do wydawcy jasno mĂłwi, ze do weryfikacji PIN
offline nie doszlo. Rozbieznosc pomiedzy informacja z karty i z
terminala zakonczy sie odmowa i taka wlasnie informacja pojawi sie na
slipie.

Tyle ze tak bedzie przy online, a od poczatku wiemy, ze ten atak dziala
tylko offline.

Oczywiscie informacja z linku, typowo dla takich, to minimalizacja
strat. Osobiscie nie twierdze ze pominiecie PINu, zwlaszcza przy tylko
niektorych transakcjach, to jakies wielkie zlamanie EMV, zreszta sam
wiele razy pisalem, ze PIN to tylko dodatkowe, slabe zabezpieczenie.

Ale tezy tam postawione sa smieszne: co kogo obchodzi, ze atak jest
"highly complex to implement"? Zostal zaimplementowany, to wystarczy.
Albo "transposition outside the laboratory conditions is complex" - dla
kogo, dla autora tekstu? :-)
To, ze atak wymaga oryginalnej karty (najslabszy punkt ataku BTW) oraz
transakcji offline to zalozenia.

BTW oni chyba nie wiedza ze transakcje kartami chipowymi niekoniecznie
polegaja na przekazaniu karty sprzedawcy.
--
Krzysztof Halasa

Użytkownik "Krzysztof Halasa" napisał:

Atak jest nieco wyimaginowany i atakujacy musi liczyc na szczescie
podczas jego przeprowadzania.

W sensie autoryzacji on-line?

Tak, choćby z powodu losowego wyboru transakcji do online musi liczyć na szczęście, że to się nie stanie. A co jeśli się będzie online? W sumie można w tym przypadku podmienić CID tak, żeby wyszło na transakcję odrzuconą, ale to już czyni atak mniej ciekawym.

Ogólnie jednak, odkrycie, którego dokonał ten zespół jest znaną właściwością tego systemu i nie stanowi zaskoczenia dla ludzi, którzy się tym zajmują. Bardzo dobrze, że środowisko akademickie się interesuje i pracuje nad poprawą systemu. Jest jeszcze wiele zaszłości, które wynikają choćby z różnych ograniczeń istniejących w czasie, gdy powstawał standard. Prace te powinny być jednak wyważone i dobrze przygotowane przed publikacją. W przeciwnym wypadku, robi się tania sensacja, jak w tym przypadku.

Mozliwy jest przy zalozeniu, ze wydawca nie potrafi skorzystac z
istniejacych mechanizmĂłw bezpieczenstwa,

Jakich konkretnie?

Można np. przeprowadzać analizę CVR zawartego w IAD. Z różnymi implikacjami może robić to zarówno karta, jak i wydawca w transakcjach online. Są również inne rozwiązania zależne od implementacji służące zarządzaniu ryzykiem w karcie.

Ten akurat atak dziala tylko w jednym przypadku (transakcji offline przy
chip & PIN), i polega na tym, ze nie trzeba znac PINu.

Autorzy twierdzili, że wydawca nie ma dostępu do informacji, jaka metoda uwierzytelnienia została wybrana przez terminal. Jest to nieprawda, gdyż jest ona przesyłana.

Jasne ze w mBanku to nie zadziala (jesli prawda jest, ze wszystkie
transakcje sa online).

Debetówki wydawane były z PINem offline, tylko zablokowanym. Z punktu widzenia atakującego nie stanowiłoby to problemu, bo PIN try counter można też przecież podmienić.

Dobrze spersonalizowana karta ma mozliwosc odrĂłznienia takich sytuacji
od normalnej transakcji i odrzucenia ich offline na podstawie analizy
CVR.

A cos konkretniej?

Niestety, konkretniej mogę jedynie wskazać istnienie szczegółowych zapisów w specyfikacjach, które nie są publicznie dostępne i nie będę ich przytaczał.

Nawet jesli karta nie odrzuci transakcji w
offline,

W zacytowanym przez Ciebie linku nie twierdza, ze moze sie to zdazyc,
IOW biorac pod uwage charakter informacji, jest to wykluczone albo
przynajmniej oni tak uwazaja :-)

Wypowiadam się z własnego doświadczenia, nie na podstawie cudzych informacji prasowych. Sytuacja, o której napisałem jest jak najbardziej możliwa. Pewne mechanizmy są stworzone, ale ponieważ zależą od platformy i różnią się choćby pomiędzy organizacjami, nie można uogólnić.
W sferze zainteresowań ludzi odpowiedzialnych za duże wdrożenia powinno leżeć zabezpieczenie się przed takimi sytuacjami.

Załączając link chciałem jedynie zaznaczyć, że pisząc te artykuły, dziennikarze mogli się posłużyć również innymi źródłami i zapytać ludzi, którzy znają problemy od strony praktycznej, a nie wyłącznie z akademickich rozważań, co do których osobiście mam kilka zastrzeżeń (np. dlaczego badali WYŁĄCZNIE karty Visa).

to CVR wyslany do wydawcy jasno mĂłwi, ze do weryfikacji PIN
offline nie doszlo. Rozbieznosc pomiedzy informacja z karty i z
terminala zakonczy sie odmowa i taka wlasnie informacja pojawi sie na
slipie.

Tyle ze tak bedzie przy online, a od poczatku wiemy, ze ten atak dziala
tylko offline.

Herr Moher sugerował możliwość wykorzystania ataku w transakcjach online.
Z jego działaniem w offline też jest dosyć różnie, bo zależy od użytej aplikacji kartowej i jej personalizacji.

Ale tezy tam postawione sa smieszne: co kogo obchodzi, ze atak jest
"highly complex to implement"? Zostal zaimplementowany, to wystarczy.
Albo "transposition outside the laboratory conditions is complex" - dla
kogo, dla autora tekstu? :-)

RĂłwnieĹź uwaĹźam, Ĺźe pisanie takich rzeczy nie przystoi powaĹźnej organizacji.

BTW oni chyba nie wiedza ze transakcje kartami chipowymi niekoniecznie
polegaja na przekazaniu karty sprzedawcy.

We Francji wiedzą jak najbardziej. W zdecydowanej większości przypadków jako klient nie podawałem karty.

--
MG

"MG" <no@spam.com> writes:

Można np. przeprowadzać analizę CVR zawartego w IAD. Z różnymi
implikacjami może robić to zarówno karta, jak i wydawca w transakcjach
online. Są również inne rozwiązania zależne od implementacji służące
zarządzaniu ryzykiem w karcie.

Ale konkretnie. Po czym karta ma to poznac?

Autorzy twierdzili, że wydawca nie ma dostępu do informacji, jaka
metoda uwierzytelnienia została wybrana przez terminal. Jest to
nieprawda, gdyż jest ona przesyłana.

Przy offline nic nie jest przesylane, wiec maja racje. Nie ma sensu
zastanawiac sie tu nad online, bo to zupelnie inna sytuacja.

Debetówki wydawane były z PINem offline, tylko zablokowanym. Z punktu
widzenia atakującego nie stanowiłoby to problemu, bo PIN try counter
można też przecież podmienić.

Ale terminalowi, karta chyba nie ma schizofrenii przy tym ataku.

Niestety, konkretniej mogę jedynie wskazać istnienie szczegółowych
zapisów w specyfikacjach, które nie są publicznie dostępne i nie będę
ich przytaczał.

To przynajmniej napisz o ktore konkretnie zapisy (nie ich tresc)
w jakich specyfikacjach chodzi, bo inaczej taki "argument" nie ma
zadnego sensu.

Wypowiadam się z własnego doświadczenia, nie na podstawie cudzych
informacji prasowych. Sytuacja, o której napisałem jest jak
najbardziej możliwa. Pewne mechanizmy są stworzone, ale ponieważ
zależą od platformy i różnią się choćby pomiędzy organizacjami, nie
można uogólnić.

W pewnych szczegolnych przypadkach zapewne tak jest, wystarczy karta
PIN-only i ten atak nie zadziala. To jest ogolny atak na typowe karty
(i to raczej taki dosc akademicki, choc moze miec ciekawe konsekwencje
pozatechniczne).
--
Krzysztof Halasa

Użytkownik "Krzysztof Halasa" napisał:

Można np. przeprowadzać analizę CVR zawartego w IAD. Z różnymi
implikacjami może robić to zarówno karta, jak i wydawca w transakcjach
online. Są również inne rozwiązania zależne od implementacji służące
zarządzaniu ryzykiem w karcie.

Ale konkretnie. Po czym karta ma to poznac?

Po CVMR, którego może żądać w CDOL1. Podczas zarządzania ryzykiem sytuacja rozbieżności wartości CVMR i wewnętrznego stanu karty może (przy odpowiedniej parametryzacji) zakończyć transakcję odmową offline.

Debetówki wydawane były z PINem offline, tylko zablokowanym. Z punktu
widzenia atakującego nie stanowiłoby to problemu, bo PIN try counter
można też przecież podmienić.

Ale terminalowi, karta chyba nie ma schizofrenii przy tym ataku.

Atak niespecjalnie przejmuje się kartą i polega na tym, by terminal sądził, że wykonał PIN offline.
Jeśli jest on na liście to terminal odpytuje o PIN try counter. Dla mBankowych debetówek na razie wynosi 0 (choć podobno miało się to zmienić), ale na potrzeby przeprowadzenia ataku wystarczy to przechwycić i zwrócić cokolwiek innego (w granicach 1-15). Wtedy terminal wykona PIN offline, na który atakujący odpowie SW 90 00. Zablokowanie PINu offline niewiele zatem zmienia poza jeszcze innymi flagami, które karta ustawi w CVR.

To przynajmniej napisz o ktore konkretnie zapisy (nie ich tresc)
w jakich specyfikacjach chodzi, bo inaczej taki "argument" nie ma
zadnego sensu.

Zgadzam się. U mnie w pracy wisi jednak taki obrazek:
http://www.prl.cba.pl/max/plakaty/tajemnic.jpg
W specyfikacji aplikacji kartowej jest rozdział poświęcony analizie ryzyka podczas operacji generacji kryptogramu. Jest tam wyraźne odniesienie do sytuacji, w której terminal uznaje, że PIN offline był sprawdzony, gdy do tego nie doszło lub był błędny. Specyfikacja ma już kilka ładnych lat.

To jest ogolny atak na typowe karty
(i to raczej taki dosc akademicki, choc moze miec ciekawe konsekwencje
pozatechniczne).

Ciężko niestety zdefiniować taki twór, jak typowa karta.

--
MG

Dnia Sun, 14 Feb 2010 14:47:25 +0100, MG napisał(a):

Użytkownik "Krzysztof Halasa" napisał:

[...]

To przynajmniej napisz o ktore konkretnie zapisy (nie ich tresc)
w jakich specyfikacjach chodzi, bo inaczej taki "argument" nie ma
zadnego sensu.

Zgadzam się. U mnie w pracy wisi jednak taki obrazek:
http://www.prl.cba.pl/max/plakaty/tajemnic.jpg
W specyfikacji aplikacji kartowej jest rozdział poświęcony analizie ryzyka podczas operacji generacji kryptogramu. Jest tam wyraźne odniesienie do sytuacji, w której terminal uznaje, że PIN offline był sprawdzony, gdy do tego nie doszło lub był błędny. Specyfikacja ma już kilka ładnych lat.

Jeśli bezpieczeństwo kart by miało zależeć od tego że ktoś zatai algorytmy
autoryzacji to nie brzmi to najweselej :)

Pozdrawiam,
--
Jacek Osiecki joshua@ceti.pl GG:3828944
I don't want something I need. I want something I want.

Użytkownik "Jacek Osiecki" napisał:

Jeśli bezpieczeństwo kart by miało zależeć od tego że ktoś zatai algorytmy
autoryzacji to nie brzmi to najweselej :)

Jak najbardziej podzielam Twoje zdanie, ale bezpieczeństwo kart nie polega na tajności algorytmów. Co prawda, nie bardzo wiem, co rozumiesz pod pojęciem "algorytmu autoryzacji", ale same algorytmy, na których opiera się EMV są akurat znane.
To, czy ktoś ma prawo do publikacji czyjejś własności intelektualnej jest jedak całkiem odrębną sprawą.
Podejrzewam, że zespół z Cambridge mógłby bez problemu zaobserwować i opisać istniejące mechanizmy, gdyby poświęcił się nieco bardziej badaniam, a nieco mniej twórczości.

--
MG

"MG" <no@spam.com> writes:

Podejrzewam, że zespół z Cambridge mógłby bez problemu zaobserwować i
opisać istniejące mechanizmy, gdyby poświęcił się nieco bardziej
badaniam, a nieco mniej twórczości.

No ale co zrobili nie tak - przeciez wszystko, co napisali, jest prawda
(przynajmniej w ogolnych zarysach). Tamte szczegoly sprawdze jeszcze
w tzw. wolnej chwili, ale tak czy owak to nie zmienia generalnego obrazu
calosci, i tego, ze jest tak jak napisali.

To ze "dziennikarze" zrobili z tego "EMV zlamane" mozna bylo zapewne
przewidziec, ale to nie ich wina.
--
Krzysztof Halasa

Użytkownik "Krzysztof Halasa" napisał:

No ale co zrobili nie tak - przeciez wszystko, co napisali, jest prawda
(przynajmniej w ogolnych zarysach). Tamte szczegoly sprawdze jeszcze
w tzw. wolnej chwili, ale tak czy owak to nie zmienia generalnego obrazu
calosci, i tego, ze jest tak jak napisali.

No właśnie nie wszystko, co napisali, jest prawdą. Oczywiście, przedstawiany problem generalnie istnieje i warto się nim zająć, ale stawiane tezy idą zdecydowanie za daleko.
Pomijam drobnicę, bo do szczegółów i uproszczeń można się przyczepiać wielu. Jednym z większych błędów jest informacja, że po stronie wydawców nie jest dostępna informacja na temat metody uwierzytelnienia karty. Jest to jedna z głównych stawianych tez, a nie znajduje oparcia w faktach.
Niepoprawnym jest stawianie znaku równości pomiędzy Chip&PIN a EMV. Przydałoby się przynajmniej przeprowadzić dyskusję, czy takie uproszczenie ma sens. Skoro problem dotyczy EMV, to dotyczy też kart MasterCard, prawda? Dlaczego ich nie uwzględniono? Nie pasowały do teorii?

Poza częścią merytoryczną, między wierszami można z łatwością zauważyć emocjonalny stosunek autorów do przedstawianej sprawy. Nie umiem sobie wytłumaczyć, z czego to może wynikać, bo od publikacji naukowych oczekuje się przede wszystkim suchego przekazu i weryfikacji podanych przez siebie informacji.

To ze "dziennikarze" zrobili z tego "EMV zlamane" mozna bylo zapewne
przewidziec, ale to nie ich wina.

"Dziennikarze" dla rzetelności powinni przynajmniej uzyskać komentarz ze strony organizacji płatniczych. Jeśli sprawa jest tak poważna, jak przedstawiają autorzy, to dlaczego nikt nie był zainteresowany zebraniem dokładniejszych informacji, żeby wyjaśnić ją do końca.
Nad poziomem dziennikarstwa nie chciałbym się rozwodzić. Prawdą jest jednak, że to nie dziennikarzy tutaj bym piętnował za podawanie niesprawdzonych informacji.
Po wszystkich publikacjach dotyczących problemów z PINeem w branży zrobił się spory szum. Sądzę, że jest to akurat jeden z pozytywniejszych aspektów całej sprawy, bo pozwoli popchnąć kilka zaległych tematów.

--
MG

MG <no@spam.com> had the courage to write:

Użytkownik "Krzysztof Halasa" napisał:

No ale co zrobili nie tak - przeciez wszystko, co napisali, jest prawda
(przynajmniej w ogolnych zarysach). Tamte szczegoly sprawdze jeszcze
w tzw. wolnej chwili, ale tak czy owak to nie zmienia generalnego obrazu
calosci, i tego, ze jest tak jak napisali.

No właśnie nie wszystko, co napisali, jest prawdą. Oczywiście,
przedstawiany  problem generalnie istnieje i warto się nim zająć, ale
stawiane tezy idą  zdecydowanie za daleko.
Pomijam drobnicę, bo do szczegółów i uproszczeń można się przyczepiać
wielu.  Jednym z większych błędĂłw jest informacja, Ĺźe po stronie
wydawcĂłw nie jest  dostępna informacja na temat metody uwierzytelnienia
karty. Jest to jedna z  głównych stawianych tez, a nie znajduje oparcia
w faktach. Niepoprawnym jest stawianie znaku równości pomiędzy Chip&PIN
a EMV.  Przydałoby się przynajmniej przeprowadzić dyskusję, czy takie
uproszczenie  ma sens. Skoro problem dotyczy EMV, to dotyczy teĹź kart
MasterCard, prawda?  Dlaczego ich nie uwzględniono? Nie pasowały do
teorii?

Fakt, że MC jest bardzo mało populana w UK, a MC debet niemal wcale nie występuje (jedyny znany mi przypadek to Neteller bank). Badaniem tym objęto, jak się zdaje, tylko karty debetowe (zawsze dokonujące autoryzacji online).

Poza częścią merytoryczną, między wierszami można z łatwością zauważyć emocjonalny stosunek autorów do przedstawianej sprawy. Nie umiem sobie wytłumaczyć, z czego to może wynikać, bo od publikacji naukowych oczekuje się przede wszystkim suchego przekazu i weryfikacji podanych przez siebie informacji.

tak jakoś bardzo wygląda toto na dzieło studentów, i to niekoniecznie native speakerów. Bez względu na to, który profesor toto firmował.

To ze "dziennikarze" zrobili z tego "EMV zlamane" mozna bylo zapewne
przewidziec, ale to nie ich wina.

"Dziennikarze" dla rzetelności powinni przynajmniej uzyskać komentarz ze strony organizacji płatniczych. Jeśli sprawa jest tak poważna, jak przedstawiają autorzy, to dlaczego nikt nie był zainteresowany zebraniem dokładniejszych informacji, żeby wyjaśnić ją do końca.
Nad poziomem dziennikarstwa nie chciałbym się rozwodzić. Prawdą jest
jednak,  Ĺźe to nie dziennikarzy tutaj bym piętnował za podawanie
niesprawdzonych  informacji.
Po wszystkich publikacjach dotyczących problemów z PINeem w branży zrobił się spory szum. Sądzę, że jest to akurat jeden z pozytywniejszych
aspektĂłw  całej sprawy, bo pozwoli popchnąć kilka zaległych tematĂłw.

insha'allah, jak mówią niektórzy.

Tutaj można więcej poczytać co i jak w temacie.

http://www.cl.cam.ac.uk/research/security/banking/nopin/


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide