ZDNet - Pretekli teden smo poročali, da so raziskovalci s Cambridgea odkrili napako v sistemu avtentikacije plačil z bančnimi karticami, saj je mogoče z napadom MITM ukaniti terminal in zaobiti potrebo po vnosu pravilnega PIN-a. Kot poroča ZDNet UK, EMVCo, ki postavlja standarde za kartično poslovanje in je v solasti American Express, JCB, MasterCard in Vise, je napovedal, da bodo članek in napada preučili in ocenili potrebne spremembe. Prav tako bodo incident preiskali v podjetjih, ki skrbijo za plačilne sisteme. Tako je MasterCard že potrdil, da standard EMV redno preverjajo in da bodo v sodelovanju z drugimi podjetji poskrbeli, da bo poslovanje varno. Profesor Ross Anderson iz Cambridgea medtem pravi, da enostavne rešitve tega protokola ni.
V UK Payments Administration pa trdijo, da je napad izsledljiv, tako tudi problemov z dokazovanjem imetnikov kartic, da transakcij niso izvedli sami, ne bi smelo biti. Kot pravijo, bi napad lahko prepoznali, če bi po transakciji preverili tri elemente v zahtevku za avtorizacijo in poročilu o poravnavi. Pri prevari namreč pretentajo terminal, ki izpiše, da je bil vnesen pravilen PIN, a je transakcija zabeležena kot verificirana s podpisom (offline verification). Tako bi lahko imetniki kartic pokazali, da je šlo za zlorabo. Problem je, da je zlorabo moč dokazati šele po izvedbi in ne med samim dejanjem in da to preverjanje ni avtomatično, tako da mora transakcije izpodbijati lastnik računa.
Novice » Varnost » Napad na bančne kartice in morebitna revizija v preiskavi
Golden eye ::
Naj že nardijo vse z biometičnimi metodami pa ne bomo mel takih problemov. Pa še en kup kartic ne bo treba s sabo vlačt
techfreak :) ::
Golden eye je izjavil:
Naj že nardijo vse z biometičnimi metodami pa ne bomo mel takih problemov. Pa še en kup kartic ne bo treba s sabo vlačt
Golden eye je izjavil:
Kdor išče luknjo ta jo bo tudi našel, v takem sistemu živimo
Odloči se kaj zdaj? Ali bomo pri uporabi biometričnih metod bili bolj varni ali ne?
fiction ::
Signature verification fallback je feature. Problem je samo v tem, da na eni strani izgleda kot da je bil uporabljen PIN na drugi pa da ni bil (podpisa pa jasno zato, ker v stacuni izgleda kot da je bil vpisan pravi PIN tudi nihce ne gleda).
Fora pri vsem tem je, da ce je transakcija avtorizirana s podpisom, odgovarja prodajalec (ki mogoce ni dovolj dobro pogledal), ce je v uporabi PIN pa banka. Ampak ta praviloma rece, da je slo za malomarnost s tvoje strani, ce je nekdo drug poznal tvoj PIN.
Torej v praksi nastradas ali ti (ker naj bi nekdo drug vedel PIN) ali pa prodajalec (ker ni preveril podpisa), namesto, da bi banka prevzela odgovornost nase.
Lopovi si po novem lahko pomagajo na POS terminalu tudi s kartico za katero ne poznajo PIN-a, medtem ko za bankomate to nicesar ne spremeni.
Fora pri vsem tem je, da ce je transakcija avtorizirana s podpisom, odgovarja prodajalec (ki mogoce ni dovolj dobro pogledal), ce je v uporabi PIN pa banka. Ampak ta praviloma rece, da je slo za malomarnost s tvoje strani, ce je nekdo drug poznal tvoj PIN.
Torej v praksi nastradas ali ti (ker naj bi nekdo drug vedel PIN) ali pa prodajalec (ker ni preveril podpisa), namesto, da bi banka prevzela odgovornost nase.
Lopovi si po novem lahko pomagajo na POS terminalu tudi s kartico za katero ne poznajo PIN-a, medtem ko za bankomate to nicesar ne spremeni.
zee ::
Pred leti sem v Spaniji dozivel, da je bilo treba za placilo s kartico natipkati PIN, podpisati in pokazati osebno izkaznico.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
fiction ::
Kar se tice biometricnih postopkov: mogoce je vseeno bolje, da ti nekdo ukrade kartico kot pa odseka glavo. :)
fiction ::
zee: Mogoce si zgledal sumljiv. :)
Sicer pa ja: podpis in preverjanje osebne je pomoje prav. Edino ne vem zakaj je bil prej se PIN check. Prvo ali drugo bi moralo biti pomoje dovolj (razen ce je bila druga stvar se za "vsak slucaj", se pravi mimo ustaljenih principov).
Sicer pa ja: podpis in preverjanje osebne je pomoje prav. Edino ne vem zakaj je bil prej se PIN check. Prvo ali drugo bi moralo biti pomoje dovolj (razen ce je bila druga stvar se za "vsak slucaj", se pravi mimo ustaljenih principov).
BlueRunner ::
Ali ni bila Španija tisti kraj, kjer se je ravno nekje lani množično izkoriščalo ponarejene kartice, katerih podatki so bili ukradeni? Nekako se pokrije z z-jevo izkušnjo.
http://24ur.com/novice/slovenija/popotn...
http://mojevro.finance.si/260526
http://24ur.com/novice/slovenija/popotn...
http://mojevro.finance.si/260526
poweroff ::
Ne, to se samo zato, da prevarantje po tem, ko ti skopirajo kartico dobijo tako tvoj podpis, kot tvoj PIN. Ter seveda še osebne podatke 8naslov), itd...
sudo poweroff
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Namesto PIN-a MasterCard želi selfi in prstni odtisOddelek: Novice / Ostale najave | 12054 (9149) | Jst |
» | Teoretični napad na plačilne kartice s PIN-om tudi v praksiOddelek: Novice / Varnost | 12546 (9811) | Uranij |
» | Plačevanje z Maestro na web-uOddelek: Omrežja in internet | 2050 (1477) | MrStein |
» | NLB naknadno spremeni tečaj valuteOddelek: Loža | 3025 (1979) | Poldi112 |
» | Napad MITM na bančne kartice s PIN-omOddelek: Novice / --Nerazporejeno-- | 6167 (5522) | ender |