»

Bodo nove kartice imele spreminjajočo kodo CVV?

Slo-Tech - Zlorabe plačilnih kartic za končne uporabnike niso velika nevšečnost, saj škodo in stroške banke načeloma vračajo, a vseeno predstavljajo težavo, ki letno stane več milijard evrov. Ponudniki plačilnih storitev zato iščejo načine za njihovo zajezitev, kamor sodijo tudi čipi in enkratne kode za izvajanje transakcij. Toda vse to bolj malo pomaga pri spletnih zlorabah, kjer se vpisuje zgolj številka kartice in koda CVV na zadnji strani kartic. V ZDA začenjajo preizkus kartic, ki bodo imele spreminjajočo kodo CVV.

Koda CVV je zapisana na zadnji strani kartice, zato bodo nove kartice imele v tem polju e-črnilo (e-ink), ki bo redno spreminjal napis. Statični CVV namreč ne nudi zadostne stopnje zaščite, saj ga je v končni fazi...

36 komentarjev

Napad na bančne kartice in morebitna revizija v preiskavi

ZDNet - Pretekli teden smo poročali, da so raziskovalci s Cambridgea odkrili napako v sistemu avtentikacije plačil z bančnimi karticami, saj je mogoče z napadom MITM ukaniti terminal in zaobiti potrebo po vnosu pravilnega PIN-a. Kot poroča ZDNet UK, EMVCo, ki postavlja standarde za kartično poslovanje in je v solasti American Express, JCB, MasterCard in Vise, je napovedal, da bodo članek in napada preučili in ocenili potrebne spremembe. Prav tako bodo incident preiskali v podjetjih, ki skrbijo za plačilne sisteme. Tako je MasterCard že potrdil, da standard EMV redno preverjajo in da bodo v sodelovanju z drugimi podjetji poskrbeli, da bo poslovanje varno. Profesor Ross Anderson iz Cambridgea...

13 komentarjev

Napad MITM na bančne kartice s PIN-om

Shema napada

BBC - Bančne kartice so v zadnjem času dobile lične zlatorjave čipe, ki pri plačilu preko terminala POS zahtevajo vnos PIN-a za avtorizacijo plačila. Kot pravi Bruce Schneier, je že dlje časa znano, da gre bolj za prelaganje odgovornosti in ne za nobeno pravo varnost. Zdaj so to demonstrirali še raziskovalci z angleškega Cambridgea, ki od leta 2004 bdijo nad sistemom in odkrivajo pomanjkljivosti.

V članku Chip and PIN is broken so opisali (izjava za javnost, pogosto zastavljena vprašanja), kako lahko z napadom s posrednikom (man-in-the-middle attack) pretentamo sistem v avtorizacijo, ne da bi sploh vnesli PIN. Normalna transakcija poteka takole. Uporabnik vtipka PIN v terminal, ta preveri njegovo veljavnost na čipu pametne kartice, ki odgovori z da ali ne,...

11 komentarjev

English Shell Code

Slashdot - Raziskovalci Joshua Mason, Sam Small, Fabian Monrose in Greg MacManus so na konferenci ACM Conference on Computer and Communications Security predstavili generator x86 ukazne kode, ki le-to predstavi z angleškimi besedami.

Koda, ki se bere kot spam (ali morda poezija), je namreč izvršljiva. English Shellcode, ko so zadevo poimenovali raziskovalci, ne potrebuje zunanjega nalagalnika in se izvede kot veljavna IA32 koda, pripraviti pa jo je mogoče v manj kot uri na običajni stojni opremi.

Besedilo:
There is a major center of economic activity, such as Star Trek, including The Ed Sullivan Show. The former Soviet Union. International organization participation Asian Development Bank, established in the United States Drug Enforcement Administration, and the Palestinian territories, the International Telecommunication Union, the first ma...

...tako npr. če ga izvedemo kot strojno kodo, pokliče funkcijo exit(0).

In tako bo spam dobil čisto nov pomen...

3 komentarji

Moorov zakon se bo kmalu končal

CNET News - Precej pogosta trditev, ki pa po besedah Carla Andersona, uslužbenca IBMa, zdaj drži. Anderson se ukvarja s snovanjem strežniških sistemov in meni, da bo zakon veljal le še generacijo ali dve za najhitrejše modele procesorjev. Slednji vsebujejo vedno več in več jeder ter predpomnilnika, zato bo zakon lahko veljal. A za vsakodnevna opravila večina uporabnikov ne potrebuje toliko jeder in predpomnilnika, zaradi česar se bo hitrost večanja zmanjšala. Problem je tudi v ceni razvoja čipov in postavljanja in vzdrževanja tovarn za izdelavo teh čipov. Eksponentna rast enostavno ni več ekonomična, sploh v teh kriznih časih.

Anderson za prihodnost stavi na 3D čipe (kjer so plasti tranzistorjev naložene ena na drugo), optične povezave v sistemih ter računanje z grafičnimi pospeševalniki, ki je trenutno že precej popularno, na tem področju pa sta močna AMD s svojo grafično divizijo ATi in nVidia, še letos pa naj bi se jima pridružil tudi Intel z Larrabeejem.

14 komentarjev

Varnostna analiza bančnega protokola: Chip Authentication Programme je neustrezen

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...

12 komentarjev

Visa z (zelo) pametnimi karticami

The Register - Visa se je z štirimi evropskimi bankami dogovorila, da bodo preizkusili novo generacijo kreditnih kartic, ki je namenjena zajezitvi internetnih zlorab. Britanska podružnica Bank of America, Corner Bank iz Švice, izraelski Cal in IW Bank iz Italije bodo 500 oz. 3000 komitentom izdali nove kartice. Te bodo imele na zadnji strani vgrajeno številčnico, s katero bodo uporabniki vnesli PIN, kartica pa bo izpisala kodo za enkratno uporabo. Podobni sistem so že v uporabi za dostop do npr. elektronskega bančništva, le da se kalkulator za izračun enkratne dostopne kode ne nahaja na kartici, temveč je ločena enota.

Na ta način izdajatelji želijo preprečiti napade, v katerih so...

30 komentarjev

Raziskovalci uspešno napadli bančne kartice s čipom

Schneier.com - Raziskovalci Cambridge University (Saar Drimer, Steven J. Murdoch in znani profesor Ross Anderson) so ugotovili, da dve znani napravi za plačevanje s pametnimi bančnimi karticami (tim PIN Entry Device) Ingenico i3300 in Dione Xtreme ne omogočata zadostne zaščite bančnih kartic z čipom.

Problem je v tem, da transakcija med bančno kartico z čipom in napravo za vnos PIN kode ni šifrirana. To omogoča prestrezanje komunikacije, na podlagi česar napadalec lahko izdela kopijo kartice (na magnetni kartici). Kljub temu, da naprave za vnos PIN kode ne onemogočajo takšnega prestrezanja, so bile certificirane in se še vedno uporabljajo. Oprema za napad stane le nekaj sto britanskih funtov, izvesti pa ga je mogoče na razmeroma enostaven način.

Kljub temu, da naj bi nove kartice za avtentikacijo transakcije uporabljale tehnologijo iCVV (ki izvaja avtentikacijo plačila s pomočjo digitalnega certifikata v čipu kartice), tudi novejše kartice (v Britaniji izdane februarja letos) še vedno...

4 komentarji

Varnost generatorjev naključnih števil

Schneier.com - Generatorji naključnih števil so zelo pomembni za varno delovanje kriptografskih aplikacij, zato je zelo pomembno, da le-ti generirajo čimbolj naključna števila. Varnost kriptografije je namreč odvisna tudi od varnosti generatorjev naključnih števil.

Žal so nekatere raziskave pokazale, da generatorji naključnih števil v nekaterih operacijskih sistemih niso dovolj zanesljivi. Raziskava Dorrendorfa, Guttermana in Pinkasa iz novembra letos je pokazala, da generator naključnih števil v Windows 2000 ni varen. Algoritem, ki se uporablja tudi za generiranje SSL ključev namreč ni bil javno objavljen, analiza pa je pokazala, da je mogoče z razmeroma preprostimi napadi predvideti prihodnje "naključne" vrednosti in s tem uganiti npr. SSL šifrirne ključe.

Seveda pa niti uporabniki operacijskega sistema Linux niso varni. Raziskava iz marca 2006 je namreč odkrila številne ranljivosti tudi v generatorju naključnih števil v tem operacijskem sistemu.

Ameriški National Institute of Standards...

48 komentarjev

Razbita zaščita brezžičnih Microsoftovih tipkovnic

Schneier.com - Po pregovorno ne-varni programski opremi podjetja Microsoft, bodo odslej očitno slabega imidža deležni tudi njihovi strojni izdelki.

Švicarsko podjetje Dreamlab Technologies je namreč odkrilo način prestrezanja in razbitja šifriranega podatkovnega prometa Microsoftovih brezžičnih tipkovnic.

Prestrezanje in kriptoanaliza deluje pri modelih Wireless Optical Desktop 1000 in 2000, zelo verjetno pa tudi pri modelih 3000 in 4000. Bluetooth tipkovnice (zaenkrat) niso ranljive.

Napadalec tako lahko brez večjih težav na daljavo prestreza tipkanje uporabnika brezžične tipkovnice.

Predstavnika podjetja Max Moser in Philipp Schrödel sta ugotovila,da tipkovnice uporabljajo šifrirni algoritem XOR, ključi pa so dolgi cel bajt (8 bitov), kar pomeni, da je mogoče šifrirano komunikacijo razbiti celo s PDA računalnikom.

Zaenkrat je edina rešitev ta, da lastniki Microsoftovih brezžičnih tipkovnic le-te prenehate uporabljati.

Zlobni uporabniki drugih operacijskih sistemov bi to priporočilo...

32 komentarjev

Knjiga Security Engineering na voljo brezplačno

Schneier.com - Ross Anderson, avtor ene najbolj znanih knjig o informacijski varnosti Security Engineering, se je v dogovoru z založbo, ki je knjigo izdala odločil, da bo knjigo brezplačno objavil na internetu.



Knjiga pokriva številna področja varnosti informacijskih sistemov, je napisana razumljivo (Andersonov namen je bil napisati knjigo za čim širšo publiko) in vsebuje številne zanimive primere. Knjigo lahko po poglavjih iz spleta prenesete brezplačno in popolnoma zakonito.

Veliko užitkov pri branju.

3 komentarji

PDA ki bere magnetne kartice?

Buy Korea21 - Ja, Korejci so se spomnili naresti tudi dodatek za PDA - takega, ki bere magnetne kartice. Morda boste potrebovali sliko, da si boste to predstavljali: To čudo je torej nekakšen podstavek, na katerega položimo dlačnik. Potem nam PDA lahko bere magnetne kartice in celo tiska. Kot sem z njihove strani razumel, je produkt WSC-M30 namenjen predvsem Compaqovim IPAQom. Zanimivo je tudi to, da lahko s pomočjo tega dodatka na dlančnik priklopimo brezžično omrežno kartico ali ostale podobne stvari...

2 komentarja