-
Data: 2010-07-27 20:46:09
Temat: Re: Płatność kartą powyżej (...)zł
Od: Robert Jaroszuk <z...@n...iq.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 07/27/2010 09:14 PM, Olgierd wrote:
> Mianowicie co jest nie tak z transakcjami offline w kontekście ich
> bezpieczeństwa?
To że protokół EMV w założeniach miał służyć przeniesieniu
odpowiedzialności za bezpieczeństwo transakcji z issuera na merchanta
i/lub cardholdera.
Jeśli transakcja została potwierdzona podpisem klienta - odpowiada
merchant. Jeśli PINem - odpowiada klient. I pod tym względem się
sprawdza. Bank przenosi ryzyko i odpowiedzialność na innych.
W telegraficznym skrócie:
W przypadku transakcji offline, weryfikacja PIN odbywa się poprzez
komunikację z kartą, a nie z centrum autoryzacyjnym. Tego typu
architektura z założenia będzie mniej bezpieczna niż transakcje
online'owe, ponieważ nie ma "trzeciej strony", która autoryzuje
transakcje. Myślę że nie muszę się specjalnie gimnastykować żeby
udowodnić że jest to mniej bezpieczne, prawda?
Karty z SDA nie mają wygenerowanych kluczy RSA, służących do
podpisywania komunikatów przesyłanych pomiędzy kartą, terminalem a
centrum autoryzacyjnym.
Są przez to podatne na różnego rodzaju ataki typu Man-in-the-middle, czy
nawet na klonowanie i przeprogramowanie, przez co stają się tzw. 'yes
card'. Po prostu sklonowana karta zawsze odpowiada twierdząco na
zapytanie o poprawność PINu.
W przypadku kart DDA, które posiadają klucze RSA, istnieje możliwość
oszukania terminala poprzez modyfikację pakietów autoryzacyjnych,
przesyłanych pomiędzy kartą a terminalem. Oczywiście nie będzie to
możliwe gdy musimy podać kartę sprzedawcy w sklepie i to on wtyka ją w
terminal, ale często jest tak, że klient sam to robi i wtedy można użyć
kradzionej karty.
Jest jeszcze kilka innych ataków na protokół EMV.
Wszystkie zostały one dosyć dobrze udokumentowane, a opracowania na ten
temat są dostępne w sieci, tak więc jeśli interesuje Ciebie ten temat,
pogooglaj.
Pozdrawiam,
--
... Robert Jaroszuk ...
GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
We do not see things as they are, we see them as we are.
GPG key id: 0x5D9659C3
GPG fingerprint: E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3
Następne wpisy z tego wątku
- 27.07.10 21:45 witek
- 27.07.10 21:46 witek
- 28.07.10 07:07 Olgierd
- 28.07.10 07:10 Tomasz Kaczanowski
- 28.07.10 07:34 Herald
- 28.07.10 07:41 Herald
- 28.07.10 07:56 Konrad
- 28.07.10 08:09 Robert Jaroszuk
- 28.07.10 08:14 Robert Jaroszuk
- 28.07.10 08:16 Tomasz Kaczanowski
- 28.07.10 08:23 Robert Jaroszuk
- 28.07.10 08:29 Tomasz Kaczanowski
- 28.07.10 08:59 Robert Jaroszuk
- 28.07.10 09:02 Tomasz Kaczanowski
- 28.07.10 09:13 Robert Jaroszuk
Najnowsze wątki z tej grupy
- Nie kupisz paliwa na stacji
- Cenzura netu
- Re: Historyczny sukces tuskistanu: groźna cyber-przestępczyni emerytka Iza błyskawicznie ujęta!
- Re: Historyczny sukces tuskistanu: groźna cyber-przestępczyni emerytka Iza błyskawicznie ujęta!
- Re: Historyczny sukces tuskistanu: groźna cyber-przestępczyni emerytka Iza błyskawicznie ujęta!
- Niby to nie sąd ale kooorwa tak to w sądach dziś wygląda?
- Podpis elektroniczny na wydruku
- Re: Podpis elektroniczny na wydruku
- Re: Prawomocne zakończenie sprawy Nergal z figurką Chrystusa na gumowym penisie na filmiku w inecie (2018)
- Na noze - Zamach stanu
- Re: UK: Michał K. dalej czeka na rozprawę ekstradycyjną w areszcie [bo nie (jeszcze?) zebrał kaucji]
- Re: UK: Michał K. dalej czeka na rozprawę ekstradycyjną w areszcie [bo nie (jeszcze?) zebrał kaucji]
- podpisywanie umów z datą wsteczną
- kryminalni i dochodzeniowcy
- Bez żadnego trybu
Najnowsze wątki
- 2025-02-10 Nie kupisz paliwa na stacji
- 2025-02-09 Cenzura netu
- 2025-02-08 Re: Historyczny sukces tuskistanu: groźna cyber-przestępczyni emerytka Iza błyskawicznie ujęta!
- 2025-02-08 Re: Historyczny sukces tuskistanu: groźna cyber-przestępczyni emerytka Iza błyskawicznie ujęta!
- 2025-02-08 Re: Historyczny sukces tuskistanu: groźna cyber-przestępczyni emerytka Iza błyskawicznie ujęta!
- 2025-02-07 Niby to nie sąd ale kooorwa tak to w sądach dziś wygląda?
- 2025-02-06 Podpis elektroniczny na wydruku
- 2025-02-06 Re: Podpis elektroniczny na wydruku
- 2025-02-06 Re: Prawomocne zakończenie sprawy Nergal z figurką Chrystusa na gumowym penisie na filmiku w inecie (2018)
- 2025-02-06 Na noze - Zamach stanu
- 2025-02-05 Re: UK: Michał K. dalej czeka na rozprawę ekstradycyjną w areszcie [bo nie (jeszcze?) zebrał kaucji]
- 2025-02-05 Re: UK: Michał K. dalej czeka na rozprawę ekstradycyjną w areszcie [bo nie (jeszcze?) zebrał kaucji]
- 2025-02-04 podpisywanie umów z datą wsteczną
- 2025-02-03 kryminalni i dochodzeniowcy
- 2025-02-03 Bez żadnego trybu
![Reklama w internecie, telewizji i w radio w XII 2024 [© Freepik]](https://s3.egospodarka.pl/grafika2/reklama-internetowa/Reklama-w-internecie-telewizji-i-w-radio-w-XII-2024-264581-50x33crop.jpg "Reklama w internecie, telewizji i w radio w XII 2024 [© Freepik]")
Reklama w internecie, telewizji i w radio w XII 2024
