Bankir.Ru
22 января, воскресенье 23:24

Объявление

Свернуть

Конференция «Банки и МСБ. Перезагрузка отношений»

Показать больше
Показать меньше

В плане наезда

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • В плане наезда

    Хотелось бы продолжить тему адвоката из Питера.
    Человек просит помощи, а тут все только пальцы гнут, хотя сами, в принципе-то нули.
    А пальцы-то гнут только потому, что если не будут - то выгонят с работы. Да и времени
    свободного до фига - все время пить кофе скучно?
    Информация по формату полосы никогда к ДСП не относилась. Кстати, это что? Сорт пиломатериалов
    или человечище переучился в РГГУ? Это спокойно можно купить на сервере ISO, причем дешево.
    Если "карточные спецы" начинают гнуть пальцы насчет ящиков типа HSM, то можно сказать, что алгоритмы
    генерения PVV/CVV и прочей фигни можно найти на сервере IBM. А если есть немного лишних денег
    то и самого купить - благо, продаются свободно на Airtech. со всеми доками в том числе по тем же
    PVV/CVV.
    Поэтому PVV вычислить без знания ключей PVK, ну, никак. Да, и какое отношение это имеет. Ведь
    ПИН тащится из ПИН блока с помощью TPK. Что у вас всегда эмитенская точка зрения? А эквайер
    хрен делает? Вопрос как он их стырил (PVK или TPK или ZPK) - ящик этот настолько дырявый, что
    просто надо немного терпения. Или просто купил?
    А "спецов", кто считает, что он хранит ПИНы?! - совсем крыша ушла? И какая на хрен разница
    откуда его ломать снаружи или изнутри? А говорят (нее, кур не доят), что кислота то из него не
    всегда выливатеся и EEPROM читается.
    Но если были и карты MC, то надо смотреть конкретный процессинг. Если там работал и ESM, то
    стырили вероятно на коммуникационном хосте. А, может, и для MC был HSM.
    Если звучала фраза по перебору, то можно предположить идиотскую идею (однако, подходящую
    к русским банкам): если в ПИН блоке тупо шифровался ПИН безо всяких замешиваний,
    по-моему, это ISO 9564 тип ПИН блока 1 - то он мог по шифрованному значению просто подобрать
    тупо ПИН, перебрав 10000 вариантов шифрованных ПИН блоков, без знаний каких либо ключей.
    Кстати, "спецы" - проскочила фраза, что вы в дампах всю фигню держите. Вы правда идиоты или
    готовите себе хорошую пенсию? Вроде для chargeback' а трек не нужен...
    А ведь правда, ну, кто поверит, что пацан со стороны снифферил канал в течении года? Так ште,
    видимо, и правда храните. Вы это в Визу сообщите...
    Так вот: взломать можно абсолютно ЛЮБОЙ банк/ПЦ, вопрос сколько это будет стоить заказщику.
    А это зависит от сложности работы - в крайнем случае можно и VAP хакнуть через скалалазов или
    через сканеры и влезть в Base I. Если, конечно, не получится в сеть банка влезть. Ведь куча идиотов
    подцепляет терминалы по IP. Или совсем простая идея - купить кого-нибудь?! ("Ну, какой я хакер без
    кувалды?"
    Почему этим не занимаются в России? Неее, не страшно - месячной зарплаты
    скаймера хватит, чтобы завалить всю СБ банка, вместе с его управляющим и купить всех мусоров.
    Хотя это проблемы заказщика . Да и денег на патроны жалко .
    Просто денег в русских банках нет, а то что есть, принадлежит бандитам.
    Которые вызовут на дуэль, опять таки, за 10$. Не стоит овчинка выделки. Поэтому информац. СБ русским
    банкам просто не нужна.
    А пацан этот, если его адвокат не подсуетится получит от 3 до 5. Я тоже считаю, что какая ошибка,
    если есть вообще все против него? Надо слезу кулачком растирать по щеке, а не рассказывать
    про "друзей". А то получается "в простонародье называемое бандой" - и там срок... По самое
    на балуйся.
    Я совсем не поощеряю кардинг, совсем наоборот. И я против журналов "Хакер". Просто обидно,
    когда молодые ребята парются на нарах за полную фигню. И здесь именно это надо объяснять
    молодеже, а не пальцы гнуть. А тех, кто покусился и правда надо сажать, только не надолго.
    А адвокат - это дело хорошее, ну, это, ребята, уже другая сказка...
    Скажите мне как "карточный эксперт" карточному эксперту, а вы в проферанс играть умеете?

  • #2
    Человек просит помощи, а тут все только пальцы гнут
    К сожалению это принцип работы данного форума. 90 % ответов на любые вопросы состоят из того, что т.н. "крутые спецы" убеждают себя в собственном величии. Как говорится ............- не мешки ворочать. Читаю только из-за нескольких людей, действительно пытающихся
    оказать реальную помощь.
    А вообще детей с манией величия к компу и близко подпускать нельзя
    [/B]

    Комментарий


    • #3
      Не хочу обидеть никого из членов форума, но пост ProstoUser чистейшая правда! С постом someone20032003 интуитивно согласен, но мало что понял

      Комментарий


      • #4
        Cashkitten А я бы добавил, что к сожалению это принцип работы ЛЮБОГО форума. А вот с г-ном someone20032003 во многом можно поспорить, но я тоже в данном случае чувствую это интуитивно ))). Вобщем то все что сказали господа с одним сообщением в форуме и но и-мейл конфирмейшн по большому счету тоже пальцы . И избавить от этого может только полная регистрация с реальной проверкой предъявленных к регистрации данных. Только в этом случае человек может нести ответсвенность за свои слова. В случае же со всякими Смартами, Васями, Кэшкитанами, ПростоВасями и Коектами практически любая тема неизменно будет превращаться словоблудие, пальцегнутие и подобного рода недержание. ИМХО конечно все это как и все остальное, сказанное мною на форуме.

        Комментарий


        • #5
          Smart
          А я интуитивно чуствую, что ни с someone20032003 ни с ProstoUser спорить не надо. Это вредно для нервов, времени и дела.

          Что-то последнее время, я меняю свое отношение к свободе слова в этом форуме. Больше нравится плакат "Не болтай!".

          Комментарий


          • #6
            Smart BlueJacket


            Мера во всем нужна.

            Комментарий


            • #7
              Вообще господин someone20032003 просто озвучил один из постулатов
              информационной безопаности, что для преодоления любого средства защиты или их совокупности существует наперед заданный объем ресурсов (k*время + n*деньги, где k и n весовые характеристики). Это очевидно.

              Вопрос как он их стырил (PVK или TPK или ZPK) - ящик этот настолько дырявый, что
              просто надо немного терпения.


              Что касается "дырявости" HSM или средств защиты сети, то любые средства
              защиты действуют в комплексе с соответствующими регламентами безопасности,
              нарушение которых действительно полностью может свести на нет работу
              средства, а уровень безопасности системы в целом определяется самым узким
              местом.


              ISO 9564 тип ПИН блока 1 - то он мог по шифрованному значению просто подобрать
              тупо ПИН, перебрав 10000 вариантов шифрованных ПИН блоков


              Это интересно как?
              Во-первых EncPINBlock = DES(PIN||const), т.к. DES обладает свойством
              замешивания, то изменение PIN'а отражается на всем векторе значений,
              т.е. 2^64 вариантов. Возможно снифить трафик банкомата за текущий
              день и если на этом банкомате совершено > 10000 операций, также учесть,
              что распределение ПИН-ов равномерно, то сопоставить ПИН и карту будет
              невозможно без доступа к HSM и фронтальной базе данных, т.к. существуют
              счетчики неверного ввода ПИН-ов, которые просто заблокируют карту.

              В таком случае, допустим можно методом перебора (или методом дифференциального криптоанализа) подобрать сессионный ключ, но а он
              меняется как минимум раз в сутки, не имея серьезной вычислительной мощности
              это сделать сложно (в случае с Питерским хакером). Также следует отметить, что:

              1. Использование вышеописанного метода шифрования ПИН-блока уже давно
              запрещено VISA.
              2. Все больше и больше терминалов переходят на 3DES.
              3. Обычно применяется макирование и шифрование трафика в терминалах.

              Поэтому все доводы someone20032003 расчитаны, либо на эквайера
              5-ти и более летней давности или уж совершенно нерадивой службы информационной безопасности, которые используются самые устаревшие методы защиты, не соблюдают регламентов работы с HSM, наверное, теоретически такое быть может в России как это не прискорбно (из-за любви экономить) и поэтому, IMHO, эти посты, я надеюсь,
              заставят СБ некоторых банков провести аудит безопасности своих систем и
              хотя бы проверить не стоит ли их HSM в online'е в авторизованной моде или
              что-то подобное этому

              И в этом мы сказать спасибо господину someone20032003 и госпоже
              Адвокату, что иногда заставляют службы информационной безопасности
              провести внутренний аудит своих систем...
              Nick_st

              Комментарий


              • #8
                nick_st Обычно применяется макирование и шифрование трафика в терминалах. (подчёркнуто мною)
                А MACирование здесь причём?
                Его применяют для того, чтобы терминал знал, что отвечает ему его родной хост, а не фиг знает что.
                Ростислав.
                Нам и карты в руки!

                Комментарий


                • #9
                  Alisoman
                  Но и обратная задачка, что запрос делает родной банкомат, а там всякие TVN,
                  Message Coordination Numbers, что тоже обычно макируется, поэтому просто так собрать запрос с правильным
                  ПИН-блоком и отправить его не так просто.
                  Nick_st

                  Комментарий


                  • #10
                    nick_st Alisoman
                    Вы еще подеритесь, на радость ...
                    Verba volant, scripta manent.

                    Комментарий

                    Пользователи, просматривающие эту тему

                    Свернуть

                    Присутствует 1. Участников: 0, гостей: 1.

                    Обработка...
                    X