Хакеры научились расшифровывать PIN-коды

[Fitil]

selb609, вот например в банках терминалы как правило оборудованы выносными пин-падами (VeriFone точно), связь между пинпадом и терминалом шифрованная. Кстати, в платёжных терминала, что стоят в гипермаркетах (Киберплаты всякие и т.д.) тоже такая же ботва - клавиатура передаёт тоже не открытым текстом циферки - блок шифрования лично видел, его в местное отделение ФСБшного Аталаса возить надо. Если пин-пада нет - то как бы тоже ничего страшного, главное в обоих случаях смотреть чтобы с картой ничё лишнего не делали. Никуда не сували, ни через что кроме терминала не проводили. Ну и при наборе пина смотреть чтоб накладок не было на клавиатурах. Выковырять из потрохов терминала данные тоже сложно, там низкоуровневая аппаратная архитектура, туда же ключи зашиваются.
Щас спросил кассиров своих, ситуация следующая: все точки, в которых клиент проводил карточкой в случае несанкционированных транзакций автоматом первые попадают под подозрение. Так что сотрудники заведений, где стоят терминалы сами лично заниматься этим не будут - риск велик.

 

[moig]

Господа!
Бред полный. Кража пинкода мне представляется нереальной по этой схеме. Так как там шифрование такой сложности что чтобы сломать его надо реально попопеть годы, даже десятилетия. Учите матчасть. Любая книга по шифрованию даст ответ на вопрос а сколько надо времени чтобы сломать код?

 

[selb609]

Fitil:
Ну? ключи то не банка?
Т.е. где то есть перешифровка по дороге?

 

[Fitil]

selb609 - в смысле не банка?

 

[selb609]

Уф. Каким образом осуществляется синхронизация ключей на этом устройстве с вводом пинкода и моим банком , чтобы ввод PIN не перешифровывался где то по дороге ?
Мы же говорим о симметричном шифровании сейчас?

 

[Fitil]

Ключи - банка. Потому что платёжный терминал приходит из банка, уже зашитый. И цепляется он к процессингу своего банка. Так что перешифровки нету.
синхронизация ключей - термин мне не знакомый

 

[selb609]

Ок. С опубликованного пдфа еще раз:

"The higher monetary value commanded by PIN data has spawned a cycle of innovation in attack methodologies. Criminals have re-engineered their processes and developed new tools, such as memory-scraping malware, to steal this valuable commodity. "

Вопрос - из памяти чего тырили Pin ? На компе его вообще никто не вводит вроде....

 

[ANPolter]

1. Действительно странная формулировка, но может быть просто "проблемы перевода"

Подозреваю, что подразумевается система, когда вставив в банкомат карту можно открывать вклады, счета, кидать деньги с одного на другой. Это есть у некоторых банков с банкоматами-24 (банкоматы с приёмниками денег).

 

[ANPolter]

selb609Ну и при наборе пина смотреть чтоб накладок не было на клавиатурах.

Какие накладки? Сейчас шпионские видеокамеры столь миниатюрны, что в этом нет никакой необходимости. "Подсмотреть" его не составляет никакого труда. Пин уже не является защитой.

 

[Fitil]

memory-scraping malware - мне представляется, что речь идёт о некой разновидности электромагнитного перехвата, по типу "Ван-Эйковского" из "Криптономикона". Но там аппаратура нужна просто ППЦ какая сложная и дорогая. Нажатие кнопки с цифрой сопровождается некими электромагнитными возмущениями в округе.
В дополнении к этому могу сказать, что как до давно делали мы СКС одной ГОСконторе, так там витая пара сама по себе была в экране, да и плюс лежала в алюминиевых заземлённых коробах.
Мысль ANPolter-а мне кажется гораздо более простой в реализации Лично я перестраховывюсь на этот случай - набираю ПИН быстро (благо рука набита) и стараюсь закрыть рукой весь пин-пад.

 

[selb609]

memory-scraping malware
- процесс выковыривания пароля из оперативной памяти с помощью специального софта ( вируса)

 

[Fitil]

selb609 - остаётся решить простенький вопрос - как подсадить туда эту закладку?

 

[selb609]

Ну да, собственно вся соль в этом, а в докладе про способы молчат