[buster]

(нет у нас отдельного раздела для новостей общего характера, поэтому кидаю сюда)



Специалист по безопасности Карстен Нол (Karsten Nohl), основатель Security Research Labs, выступил с заявлением об уязвимости протокола передачи данных, по которому платёжные pos-терминалы передают данные банковских карт. Сотрудники Security Research Labs на глазах у удивлённого корреспондента RT взломали пин-код его карточки и сделали её клон. При этом корреспондент использовал чипованную карту.

По словам Нола проблема заключается не в неправильной работе устройств, а в уязвимостях самого протокола. В связи с этим необходимо менять всю систему – что дорого и невыгодно, по крайней мере, пока взлом не приобрёл массовый характер.

Нол со своей командой пытались привлечь внимание банков к этой проблеме. Но те, хотя и признают её, не собираются принимать никаких мер. «Компании, отвечающие за отсутствие подобных уязвимостей, включая те же самые банки, признают её наличие, но никак пока не реагируют. – утверждает Нол. — Они говорят: „ведь взломов ещё не было“, но это всего лишь вопрос времени».

К сожалению, в репортаже RT отсутствуют технические подробности взлома. Судя по всему, уязвимость касается беспроводных терминалов, связывающихся с общей базой по WiFi.

Нол уже прославился большим разоблачением уязвимости, когда летом 2013 года сообщил об обнаружении уязвимости SIM-карт со стандартом шифрования DES (Data Encryption Standard). Это устаревший стандарт, который, впрочем, используется большим количеством производителей, и сотни миллионов SIM-карт поддерживают именно DES.

Источник.

P.S. Как страшно жить Нала скоро будут как огня бояться, и линчевать за него, а платить картой небезопасно, причем никто с этой проблемой бороться не собирается.

[Kotig]

Протокол работы платёжного терминала с банком - это одно, а протокол работы карты с терминалом - совсем другое и никак между собой не связанное.
Если сделали клон - пробит протокол именно карты. Т.Е. нужно менять вообще всё, карты, терминалы, банкоматы ..... Что (если правда новость) весьма печально.

[buster]

А причем тут протокол работы с картой? Туда ты как вмешаешься? Нет, речь об обмене данными с банком. Предполагают, что вот это есть та уязвимость, о которой идет речь в новости: https://srlabs.de/pos-vulns/ , но и там слишком мало деталей, чтобы понять, что имеется в виду.

Но вообще, воруют данные карты гораздо проще - ставят скрытую камеру, крутят карту клиента в руках и потом списывают с видео данные карты. Такой картой можно оплатить через инет. Даже если она защищена услугой 3D Secure это не спасёт от фрода на тех сайтах, которые 3D Secure не поддерживают. Поэтому я с некоторых пор поставил нулевой порог для оплаты через инет на своих картах, и поднимаю его только когда собираюсь оплатить, а потом опять ставлю 0.

[Kotig]

А причем тут протокол работы с картой?

Без его взлома клона не получить.

[buster]

Сделать клон чипа невозможно (это можно было бы теоретически путем очень долгого считывания на программаторе и перебора полученных данных, но карта быстрее сдохнет, чем ты сможешь что-то с этими данными сделать), но можно сделать клон магнитной ленты. Причем, видимо, уязвимость как раз в том и состоит, что можно по пересылаемым данным создать клон магнитной ленты, а вкупе со знанием пина, можно пойти налить бабки.

[Kotig]

Я в курсе протокола работы карты.
В сообщении что написано:

Сотрудники Security Research Labs на глазах у удивлённого корреспондента RT взломали пин-код его карточки и сделали её клон. При этом корреспондент использовал чипованную карту.

[buster]

А как это противоречит тому, что сказал я? Могли сделать клон магнитной ленты.

[Kotig]

Клон магнитной ленты делается на татам, любым с некривыми руками. Но вот пин-кода там нет, а в сообщении было о его взломе и полноценном копировании чипованной карты.

[buster]

Ты меня, похоже, через слово читаешь
Я ж говорю, что как я понимаю, из данных, полученных из взлома, очевидно, что можно создать клон карты, включая получение пин-кода. Данные, как предполагают, перехватываются из эфира. Т.е. это не тот случай, когда магнитную ленту физически клонируют.

[Kotig]

На самом деле, протокол обмена один у карт на кредитках, в сателитных приёмниках, в телефонах и ещё в куче мест. Возможности немного разные, а вот протокол - один.
По определённым законам спецслужбы должны иметь "задние ворота" ко всем таким системам, потому такие новости появляются довольно регулярно (что вообщем не исключает взлома).
Но ИМХО, в очередной раз для какого то обьёма карт стал известен спец код (что то вроде PUK). Тогда действительно - зная такой код (+ несложное устройство и известную в узких кругах программу), можно получить клон карты.
ПС. Ну причём тут перехват из эфира. Написано же. На глазах, взломали и скопировали чиповку.

[buster]

Ну причём тут перехват из эфира. Написано же. На глазах, взломали и скопировали чиповку.

Про копирование чипа никто не писал. Писали, что склонировали карту, а в каком виде никто не написал. Ты додумываешь одно, я додумываю другое, а истину мы узнаем только когда опубликуют детали.

P.S. В статье, кстати, как раз про эфир снизу написано (это не мои слова, если что).

[Kotig]

Судя по всему, уязвимость касается беспроводных терминалов, связывающихся с общей базой по WiFi.

Мда. Это просто гоооол.
На таком материале трудно вообще о чём то говорить.
Копирование карты и вай-фай, это вообще ничего общего, от слова совсем.
ПС. Это из серии "Как телеграмма через океан идёт я хорошо понимаю, но как она при этом сухой остаётся - не очень."
ПС2.Да, кстати.
а) - PIN не пересылается с терминала в банк. Банку PIN не нужен. PIN нужен для работы с картой.
б) - Знание PIN не сильно поможет для создания клона карты.

[buster]

а) - PIN не пересылается с терминала в банк. Банку PIN не нужен. PIN нужен для работы с картой.

Игорь, ты бы не торопился с такими утверждениями. Иначе как ты объяснишь, что пин можно установить/поменять через интернет-банк? Как по-твоему, терминал, узнает о том, что у тебя такой вот пин в карте стоит?

Но дело даже не в этом: терминал передаёт центральной базе по вайфаю некие данные, которые уже центральная база (находящаяся у ресторана же!) передаёт банку. Ты не знал?

[Kotig]

а) - смена PIN это совсем с другой оперы. Но в любом случае это от банка к карте. Там примерно тот же механизм, как при новых ключах для сателитного приёмника (кторый точно на орбиту ничего не передаёт).
б) - обмен данными у терминала идёт не с банком а с НСПК центром.

[buster]

Вот скажи мне ответ на простой вопрос, если пин не отправляется (твои слова), то как же он тогда проверяется? (напоминаю, я пин-код в своей карте установил через интернет-банк)

P.S. У меня по поводу сателлита есть ответ, но специально не пишу его, потому что хочу по порядку всё разобрать.