Jak widać skimerzy nie śpią i dziarsko idą do przodu ;)

http://preview.tinyurl.com/atak-klonow

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

xbartx wrote:

Jak widać skimerzy nie śpią i dziarsko idą do przodu ;)

http://preview.tinyurl.com/atak-klonow

bankowi przybyl kolejny powod do odpisania sobie strat.

Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:hmll54$cb0$7inews.gazeta.pl...

Jak widać skimerzy nie śpią i dziarsko idą do przodu ;)

http://preview.tinyurl.com/atak-klonow

Ostatnie zdanie jest pocieszające:

"...niedawno jednak brytyjscy naukowcy wykazali, że także zabezpieczenia metody EMV da się obejść".

Włodziu <pitbul83@wp.pl> napisał(a):

Ostatnie zdanie jest pocieszające:

"...niedawno jednak brytyjscy naukowcy wykazali, że także zabezpieczenia metody EMV da się obejść".

apropo brytyjskich naukowcow zapomnieli dodac, ze dotyczy to tylko kart skradzionych/zgubionych, nie dotyczy chipow CDA, transakcja musi byc w pelnym offlinie,trzeba miec odpowiedni (kosztowny) sprzet ktory nie zwroci sie na fraudach pozwalających wykorzystać tą metodę. Bank dodatkowo bedzie mial informacje, ze transakcja EMV nie była zatwierdzona PINem. No ale siać panikę trzeba ;)

--

"Seba" <bbastek13@NOSPAM.gazeta.pl> writes:

apropo brytyjskich naukowcow zapomnieli dodac, ze dotyczy to tylko kart skradzionych/zgubionych,

Tzn. po prostu oryginalnych.

nie dotyczy chipow CDA,

Nie jest to takie oczywiste. Osobiscie nie specjalizuje sie akurat
w kartach EMV, ale teoretycznie atak ma dzialac ze wszystkimi rodzajami
kart. Rezultaty to kwestia dostepnosci "typowych" kart.

transakcja musi byc w
pelnym offlinie,

Pisali ze to dziala takze online, z tym ze na podobnej zasadzie, na
ktorej moze "dzialac" zly CVV2.

trzeba miec odpowiedni (kosztowny) sprzet ktory nie zwroci
sie na fraudach pozwalających wykorzystać tą metodę.

Akurat, koszt tego sprzeciku to jest moze 100 zl przy wiekszej serii
(nawet mniej), a w 1000 zl zmiesci sie wraz z osobista dostawa przez
prezesa producenta (akurat m.in. tym sie zajmuje).

Bank dodatkowo bedzie
mial informacje, ze transakcja EMV nie była zatwierdzona PINem.

No ale przy offline to jakby troche pozno.
--
Krzysztof Halasa

Krzysztof Halasa <khc@pm.waw.pl> napisał(a):

No ale przy offline to jakby troche pozno.

i po to są właśnie limity ilościowe/kwotowe offline (w Polsce ustawiane na naprawde niewysokie kwoty) co powoduje ze zagrozenie tego typu fraudem jest znikome - przede wszystkim musi by oryginalna karta z chipem, a jak juz ją złodziej dostanie w lapy to zrobi 2-3 zakupy po kilkadziesiąt pln (przy zalozeniu ze dobrze dobierze sklepy tzn nie wpadnie na transakcje online, bo po pierwsze numer z pinem nie przejdzie a po drugie karta juz moze byc zastrzezona) i tyle. Duze ryzyko a zarobek, za przeproszeniem gówniany. Komu sie bedzie chcialo w to w takim kształcie bawic, poza naukwcami w laboratoriach ?

--

On 2010-03-03 14:55, Seba wrote:

Włodziu <pitbul83@wp.pl> napisał(a):

Ostatnie zdanie jest pocieszające:

"...niedawno jednak brytyjscy naukowcy wykazali, że także zabezpieczenia metody EMV da się obejść".

apropo brytyjskich naukowcow zapomnieli dodac, ze dotyczy to tylko kart skradzionych/zgubionych, nie dotyczy chipow CDA, transakcja musi byc w pelnym offlinie,trzeba miec odpowiedni (kosztowny) sprzet ktory nie zwroci sie na fraudach pozwalających wykorzystać tą metodę. Bank dodatkowo bedzie mial informacje, ze transakcja EMV nie była zatwierdzona PINem. No ale siać panikę trzeba ;)

I bardzo dobrze, że sprawa jest nagłaśniana, bo dzięki temu dochodzi do mediów (jest nius!), i może banki itp. wreszcie zaczną coś z tym robić (na początek wymieniać terminale na akceptujące karty bez paska i wydawać karty bez paska) a także naciskać na producentów.

Bez tego nie ma szans na poprawę.

witrak()

witrak() <witrak@hotmail.com> napisał(a):

I bardzo dobrze, że sprawa jest nagłaśniana, bo dzięki temu dochodzi do mediów (jest nius!), i może banki itp. wreszcie zaczną coś z tym robić (na początek wymieniać terminale na akceptujące karty bez paska i wydawać karty bez paska) a także naciskać na producentów.

Bez tego nie ma szans na poprawę.

witrak()

paski do tej sprawy nic nie mają, chodzi o tą "dziurę" w emv. A co do terminali to zdaje sie w polsce aż dwa banki zajmują się bezpośrednio acquireringiem (polbank i pekao sa), więc banki srednio mają wplyw na wymianę sprzetu (choc faktem jest ze pekao jest tutaj bardzo zacofane, rowniez w bankomatach)

--

On 2010-03-04 19:01, Seba wrote:

witrak() <witrak@hotmail.com> napisał(a):

I bardzo dobrze, że sprawa jest nagłaśniana, bo dzięki temu dochodzi do mediów (jest nius!), i może banki itp. wreszcie zaczną coś z tym robić (na początek wymieniać terminale na akceptujące karty bez paska i wydawać karty bez paska) a także naciskać na producentów.

Bez tego nie ma szans na poprawę.

witrak()

paski do tej sprawy nic nie mają, chodzi o tą "dziurę" w emv. A co do

Paski do tej sprawy nic nie mają, ale ta sprawa do pasków - poprzez ewentualny szum medialny - owszem i to sporo.
Czytaj powoli :-)

witrak()

Użytkownik "Seba" <bbastek13@NOSPAM.gazeta.pl> napisał w wiadomości news:hmoshq$n0p$1inews.gazeta.pl...

A co do
terminali to zdaje sie w polsce aż dwa banki zajmują się bezpośrednio
acquireringiem (polbank i pekao sa), więc banki srednio mają wplyw na
wymianę sprzetu (choc faktem jest ze pekao jest tutaj bardzo zacofane,
rowniez w bankomatach)

Oj, chyba cos sie zmienia, bo moje ostatnie 2 transakcje karta emv w posach pekao wymagaly weryfikacji pinem. Odczyt oczywiscie z paska, ale wczesniej transakcja byla potwierdzana podpisem. Jeszcze kilka lat i moze pekao nauczy sie obslugiwac i wydawac karty emv ;).

MK

Dnia Wed, 03 Mar 2010 13:57:53 +0100, W³odziu napisał(a):

Ostatnie zdanie jest pocieszajÂące:

"...niedawno jednak brytyjscy naukowcy wykazali, Âże takÂże zabezpieczenia
metody EMV da siê obejœÌ".

Nie takie hop siup

http://www.cl.cam.ac.uk/research/security/banking/nopin/



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide