перемещено из Самооборона в России
Вот такие новости.
http://habrahabr.ru/blogs/infosecurity/57454/
Специалисты продолжают удивляться, как хакеры умудряются начать практическое использование методов, которые ещё год назад признавались только теоретически возможными, да и то в узкой академической среде. Теперь они научились снимать PIN-коды с наших карточек, не проникая непосредственно в банкомат, которым мы пользуемся. Для этого достаточно найти слабый узел в сети, по которой идут пакеты от банкомата к банку.
Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов, которые передаются в зашифрованном виде, были и раньше, но после публикации отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые официально подтверждены.
Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на своём пути проходят через множество аппаратно-шифровальных модулей (HSM, на фото - HSM с PCI-интерфейсом) от других банков. Из-за того, что эти HSM имеют разные настройки и режим работы, пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать с новым открытым ключом, который действует в паре с закрытым ключом этого конкретного HSM, доступным через API. Так вот, теперь хакеры научились узнавать закрытый ключ HSM, если этот узел неправильно сконфигурирован. Как только хакерам удаётся расшифровать один PIN-код, они легко могут расшифровать весь массив PIN-кодов, которые проходят через этот HSM.
О практическом применении этой методики специалисты узнали только постфактум, когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в 2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано).
На диаграмме показана статистика по количеству скомпрометированных банковских счетов, в том числе карт-счетов (источник - Verizon). Как видим, это количество уже вдвое превышает число жителей, например, России. На самом деле скомпрометировано гораздо больше карточек, так что они уже сейчас составляют заметный процент в общем количестве всех банковских карточек, имеющихся в обращении.
А ведь зная пин-код, можно снять деньги не только с карточки, но напрямую с банковского счёта пользователя, причём доказать мошенничество и вернуть деньги потом будет предельно сложно.
По мнению экспертов Verizon, проблему можно решить только кардинальной сменой инфраструктуры мировых платёжных систем. Фактически, новую систему нужно создавать с нуля.
насколько я знаю в альфа-банке есть услуга "мой сейф"
т.е есть карточный транзитный счёт
и основной, на который поступают денежные средства и там хранятся, например зарплата, доступный через телефонный банк.
перед снятием некоторой суммы делается звонок в банк, через телефонный банк происходит идентификация клиента, перевод нужной суммы на карточный счёт
да,хлопотно зато деньги относительно защищены
"мой сейф"
интересная услуга
Просто надо использовать надежные банки. Стеклянные... 😊
------------------
Что такое невозможно? Невозможно штаны через голову надеть, а все остальное - было бы желание.
Наличка рулит.
------------------
Lupus lupo homo est
Моя карточка хранит не мои деньги а моё здоровье 😛
GSR+1!
Просто надо использовать надежные банки. Стеклянные...
Ничо. По ту сторону барикад тоже не дураки сидят. Ченить придумают
Roaring -DUSHMAN+
Ничо. По ту сторону барикад тоже не дураки сидят. Ченить придумают
Да- да, не дураки, жадные только. Если научились ломать 3-DES, выпустят клавиатуры и считки с новой защитой. Тока стоить они будут по тонне за клаиатуру и столько же за считку. И так на каждый банкомат. + есть старье, которое вообще замене не поддается 😉
Сберкнижки форева))
По ту сторону барикад тоже не дураки сидят. Ченить придумают
Вечный спор жопы и болта для нее 😊
marmelad78
насколько я знаю в альфа-банке есть услуга "мой сейф"
т.е есть карточный транзитный счёт
и основной, на который поступают денежные средства и там хранятся, например зарплата, доступный через телефонный банк.
перед снятием некоторой суммы делается звонок в банк, через телефонный банк происходит идентификация клиента, перевод нужной суммы на карточный счёт
да,хлопотно зато деньги относительно защищены
Нет, там всё несколько иначе - у меня "Альфа".
Счёт "Мой сейф" доступен для всех операций (переводы, съём денег) через банкомат и интернет-банк без всяких звонков. Единственное ограничение - с него нельзя совершать покупки. То есть, если вашу карту сопрут и отоварят в супермаркете, то вы рискуете потерять только деньги с основного счёта. Из плюсов в Альфе - очень качественная система СМС оповещений, СМС-ки приходят в течении полминуты. При несанкционированном снятии можно тут же заблокировать карту, и кроме того найти свидетелей того, что ничего в этот момент не снимал.
бредовая статья
начнем с того что пин код никогда никуда не передается вообще
ни в зашифрованном виде, ни в каком другом.
он даже в банкомат не попадает.
с него берется хэш ещё в PED (PIN Entry Device)
и после этого он забывается.
так что "злобным кулхацкерам" просто нечего расшифровывать, не передаётся пин никогда
так что "злобным кулхацкерам" просто нечего расшифровывать, не передаётся пин никогда+100 очередная страшилка для домохозяек и повышение аФторитете комерческим банкам, которые организовывают суппер-мега защиту своих транзакций 😊
[QUOTE][B]с него берется хэш ещё в PED [/QUOT[/B]
Ну хэш, привязанный к карточке, это уже очень и очень много. Долго ли с хэшем банальным брутом пин восстановить?
так что "злобным кулхацкерам" просто нечего расшифровывать, не передаётся пин никогдаМногие операции можно и без пина провести.
Например - покупки в магазинах (должны требовать паспорт, но, если кассир в доле?), расплатиться в инет-магазинах можно тоже без пина.
Банкомат - ИМХО не самое слабое место в банках.
Кроме того, если кто-то "вскроет" ключевание в конкретном банкомате, то, думаю, "вынесет" весь банкомат - то есть все деньги из него.
Банку сложно будет доказать, что в этом случае виноваты клиенты.
Любая циска, повешенная сразу же за банкоматом и шифрующая траффик "3-des - ключами", на порядок уменьшает и так невеликий риск.
А вот как меняются лица клиентов, только что разоряющихся о злобных хакерах и об этом долбанном банке, где пропадают деньги честных клиентов, при просмотре видео записи, где прелестная дочурка снимает папины деньги, посмотреть стоит.
aLexx564
бредовая статьяначнем с того что пин код никогда никуда не передается вообще
ни в зашифрованном виде, ни в каком другом.он даже в банкомат не попадает.
с него берется хэш ещё в PED (PIN Entry Device)
и после этого он забывается.так что "злобным кулхацкерам" просто нечего расшифровывать, не передаётся пин никогда
Неправда Ваша! ПИН- блок передается от банкомата в ПЦ в зашифрованном виде.
Неправда Ваша! ПИН- блок передается от банкомата в ПЦ в зашифрованном виде.+1.
хотя криптует таки сама EPP клавиатура. ТО есть ОС ( без разницы - OS\2 или XP) даже этого кода не видит.
sk0ndr
+1.
хотя криптует таки сама EPP клавиатура. ТО есть ОС ( без разницы - OS\2 или XP) даже этого кода не видит.
Какая разница- то? Суть поста топикстартера в том, что система шифрования, считавшаяся до недавнего времени неломаемой, была сломана. Я расцениваю это как большой ППЦ всей карточной системе.
перемещено из Самооборона в России
Неправда Ваша! ПИН- блок передается от банкомата в ПЦ в зашифрованном виде.
в пин блоке нету пина, учите матчасть, там хэш с пина, идентификатор банкомата и много чего еще (соль обязательно)
Это идеология всей этой системы, ПИН НЕ ПЕРЕДАЕТСЯ
PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать
PIN зашифрованный EPP не дешифруется ни одним блоком банкомата. Сгенеренные коды клавиатуры хранятся только в ней и иным системам не передаются.