Pull to refresh

Comments 78

интересно, а почему с нуля — если черному по белому написанно: «при условии неправльного конфигурирования железки...» — а сконфигурировать «правильно» и более жестко следить за «правильным» конфигурированием так проблемно?
Я об этом не писал, но в оригинальной статье подробно рассказывается. Изначально все железки сконфигурированы правильно. Но всегда найдётся админ, который что-то упростит. Кроме того, это иногда требуется, насколько я понял, для обратной совместимости (legacy applications).

Вот точная цитата.

«Out of the box, the HSMs come configured in a very secure fashion if customers just deploy them as is. But for many operational reasons, customers choose to alter those default security configurations — supporting legacy applications may be one example — which creates vulnerabilities. Redesigning the global payment system to eliminate legacy vulnerabilities »would require a mammoth overhaul of virtually every point-of-sale system in the world," he says.
что-конфигурировать… почему это все изначально, и одназначно не сконфигурурировано так, чтобы проблем не было. Сами добавляют во всякие железки человеческий фактор.
UFO just landed and posted this here
и миллионом там явно дело не ограничится. ведь это касается тысяч миллионов терминалов (+ всей инфраструктуры) по всему миру. создать новую систему естественно проще чем исправить ошибки в настройках существующей.
UFO just landed and posted this here
PCI стандарт требует невыдираемости ключа.
причём чую что скорее всего этим грешат ОЧЕНЬ крупные банки… из-за массовости этих самых POS терминалов, и лености админов.
открытый ключ становится видим
Открытый ключ на то и «открытый», что может быть видим всем.
>>Фактически, новую систему нужно создавать с нуля.
Вот и кризис кстати пришелся.
Поправочка небольшая. Там не PCI-интерфейс, а PCI-Express
Payment Card Industry Data Security Standard (PCI DSS)
это не то же самое, что
Peripheral component interconnect (PCI)
sorry, зачитался фразой «PCI стандарт требует невыдираемости ключа»
спасибо за разъяснения=)
ой и я также зачитался сорри за минус в комент
храните деньги в сберегательной кассе
Храните деньги в сберегательной банке
Чё какой дерзикий? Ты с какова района ваще?
слыш, сынок, пальчики загни
UFO just landed and posted this here
Чо-чо демон, весна, семачек пакетик!
Храните деньги в виде приобретенных товаров и услуг… Они все равно мусор)
UFO just landed and posted this here
А лучше в недвижимости:-)
Ну да, кризис-то начался из-за поставщиков рыбы, ага;)

Не стоит класть все яйца в одну корзину.
Сейчас это, к сожалению, не так. Недвижимость падает в цене и будет падать ещё некоторое время.
Зато ее не сопрут так просто=) Она не виртуальна и не гуляет по каналам связи=) ии ее нельзя лишится набрав 4 цифирки на клавиатуре банкомата) а ценность может быть даже больше=)
Так что к мнению про недвижимость присоединяюсь)
а что это за график? что на нем за цифры?
стыренные у труженников лямы по годам. это так сложно додуматься?
ну как минимум неочевидно, я ж не просто так спрашиваю
UFO just landed and posted this here
я текст еще раз перечитал и со второго раза увидел что вначале абзаца перед диаграммой есть пояснение. оле!
страшно, имхо это подтолкнет развитие квантовыхшифраторов или как там их. который по оптики передают все данные, и расшифровать невозможно, из-за смены ключа каждую 1/60 секунды
UFO just landed and posted this here
ну система теоритически взламываемая, но требует затрат таких, что на сегодня просто тупо нет возможности такой. это как RSA только запас на много лет вперед
Что-то новое или модифицируют старое со словами «но требует затрат таких, что на сегодня просто тупо нет возможности такой» довольно часто, но как показывает практика рано или позно мы читает такие вот как эта сообщения ;)

Танк может быть супер защищеным, но в сложной машине всегдай найдется слабый винтик который и приведет к его поломке.
человек (читай персонал) всегда самое слабое звено
В этом мире уже давно нет ничего невозможного.
Ну всё идёт по плану. Каждое действие влечёт противодействие…
Так что делать-то нам смертным? Не снимать с банкомата, не оплачивать через инет?
Завернуться в простыню и ме-едленно, чтобы не создавать панику, ползти на кладбище (с)
Э… я конечно далек от торжества ынтырпрайза и венца Банковских Технологий, но идея перешифровывать трафик на каждом транзитном узле выглядит так-же идиотично, как идея перешифвровывать https трафик на каждом транзитном прокси-сервере.

Или я что-то не понимаю?
Гм. Всё просто.
Вы вводите на пин-паде банкомата пин-код. Пин-пад (да, сама клавиатура) этот код шифрует. В банкомат (компьютер) он уже попадает в виде зашифрованого пин-блока. Затем этот пин-блок отправляется на сервер банкомата. Он знает ключ пин-блока, поэтому может расшифровать пин-код. Затем он шифрует его своим ключем и отправляет на процессинг. Если карточка зарегистрирована в этом процессинге — то тут его путь заканчивается.
А если карточка чужая? Правильно, процессинг перешифровует пин-блок на ключах родного банка и отправляет туда. При чем не факт что напрямую. Может быть ещё через n серверов. И каждый сервер перешифровует пин-блок на других ключах для другого сервера.

Упс. Опечатка: «Он знает ключ пин-блока» -> «Он знает ключ пин-пада»
В классической схеме сравниваются зашифрованные блоки — HSM процессинга знает ключи всех банкоматов.
Пин-код никогда не расшифровывается. Он нигде не хранится, кроме памяти человека. И никакой сервер банкомата его расшифроваит не может. Он перенапрявляет только пин-блок, в формирование которого участвуют различные компоненты, такие как Expire Date, PAN, CVK, PVK, PVKi и тд. И все это бывает захешировано. Именно захешировано, а не зашифровано. И уже процессинг сравнивет хеши пин-блока и своей функции с помощью HSM.

Примерно так это работает.
странно почему их не расшифровывают простым перебором всего то 10к вариантов если уж удалось получить зашифрованный вариант и алгоритм шифрования то перебор не дожен представлять проблем.
А там не только пин-код. Данные передаются в виде пин-блока. А там кроме пин-кода ещё может лежать много всякого: время, соль, идентификатор пинпада, и т.д.
Расшифровать нужно не пин-код, а весь пакет, а тут уже не 10к вариантов.
все проще, ввел пинкод 3 раза неправильный и карта заблокировалась!!!
Блокируется в банке.
Представьте себе, что у вас есть 16 байт. Вы точно знаете, что там зашифровано либо слово «сосиска», либо слово «колбаса».
Вы знаете алгоритм шифрования — 3DES.

У вас всего два варианта, но какой вам от этого толк?
Нууу… как говорится за всякое разгильдяйство надо платить, платить не нам с вами, а кредитным учреждениями (банкам). Расшифрование, перехват шифрованного трафика, перехват открытого трафика, который секунду назад был шифрованным — это косяк банка, причем стандарт PCI DSS действует давно и такие банки надо наказывать, очень серьезно. Поэтому метод совсем не новый, а очень даже старый — безалаберность и разгильдяйство.
очень понравилась фраза "… до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано..."
Пользователям-кардхолдерам — обычные рекомендации: снимайте наличку в нормальных банкоматах — не тех, что в метро и торговых центрах стоят, а тех, что в отделениях банков, под охраной. Не держите все деньги на карте. Мониторьте остаток хотя бы раз в неделю: чуть что — звоните в банк и разбирайтесь. Ну и надейтесь на удачу: шанс, что у вас вытащат кошелёк в метро, думаю, повыше будет, чем то, что уведут деньги с карты. Хотя «всё возможно» и «были случаи».
Думаю есть смысл хранить основную сумму своих сбережений на банковских счетах без доступа к ним с дебиток…
а карточку и отдельный счет привязанный к ней использовать для карманных расходов… ну или незначительных покупок…
Нужно иметь хотя бы три карточки:
1. для крупных покупок в «надежных» местах.
2. для мелких покупок где угодно
3. для оплаты в Интернете

На последних двух не стоит держать значительные суммы денег, лучше пополнять их по мере необходимости.

Все карточки должны быть отвязаны от основного банковского счета
И не забывайте подключать мобайл-банкинг, если он не подключен по-дефолту. Всегда будете знать о движениях средств на картах.
По моему Медведев поднимал еще летом вопрос о переходе России и заинтересованных стран на независимую банковскую систему по обслуживанию кредитных карточек.
Может быть эта утечка эту идею и продвигает.
Зы. Это безумная идея, но тоже имеет право если не на жизнь, то на обсуждение.
Сбербанк уже давно вынашивает наполеоновские планы о создании Российской Платёжной Системы… как в своё время Юнион Россия. Только как всегда, то одно, то другое, то кризис, то делится с мелкими банками не хочет, то сложность инфраструктуры и т.д…
Они вроде уже сделали, называется Сберкарта
Напоминает планы о создании Российской ОС…
UFO just landed and posted this here
А pin код после ввода сверяется с карточкой или с банком?
Интересно насколько большой процент в кардинге занимает этот метод.

UFO just landed and posted this here
«Один крутой перец сказал...»
Похоже будет фразой дня...))…
UFO just landed and posted this here
Они его пиарят!
— Затем этот пин-блок отправляется на сервер банкомата. Он знает ключ пин-блока, поэтому может расшифровать пин-код — Пин код с системах банка не хранится. На основе некторых данных карты, таких как трек, CVV и тд, HSM с помощью различных алгоритмов формирует функцию. И вот выход этой функции сравнивается с пин-блоком. Если они совпадают, то принимается решение, что введен правильный пин.
Обычно в банках стоят вот такие HSM.



То есть большие, аппаратные и с хорошей производительностью…

Sign up to leave a comment.

Articles