Lue keskustelun säännöt.
Kiista kaverin kanssa: Onko pankkikortin tunnusluvun sisältävä tieto salakoodattu pankkikortin magneettijuovan tai sirun tietoihin?
23.04.2017 |
Kun esimerkiksi tankkaat bensaa kylmäasemalla, näillä asemilla ei ole yhteyttä ko. kortin myöntäneen pankin tietojärjestelmiin varmuuden saamiseksi sieltä, että annettu pin-koodi on oikien. Tällöin ainoaksi mahdollisuudeksi jää, että tieto oikeasta pin-koodista on, luonnollisesti erittäin vahvasti salattuna, itse kortilla jo valmiiksi. Meneekö näin?
Kommentit (42)
Vierailija kirjoitti:
Pin-koodi on sim-kortissa, ei pankkikortissa :D
PIN = Personal Identification Number
PIN- koodi voi olla siis ihan missä tahansa kortissa tai nettiapplikaatiossa tai vaikka rakennusten ovien kulkujärjestelmissä tai ihan missä vaan, missä tarvitaan "henkilökohtainen tunnistusnumero".
Ei se siis ole mikään sim-kortin yksinoikeus.
Sisältö jatkuu mainoksen alla
Sisältö jatkuu mainoksen alla
Siis se kortissa oleva siru on käytännössä pieni tietokone muisteineen. Sinne todellakin on tallennettu pin-koodi, sekä myös salausavaimet, joita kortti käyttää "keskustellessaan" laitteiden kanssa. Kaikki tämä on hyvin suojattuna, eikä tietoja pysty lukemaan vakoilumielessä kortilta pois.
Magneettijuovalliset, siruttomat kortithan eivät ole mitenkään suojattuja. Se magneettijuova on vähän kuin silmälle näkymätön viivakoodi, joka sisältää kortinhaltijan tiedot sekä kortin numeron. Ihan salaamattomana ja standardoidussa muodossa. Eli kunhan omistaa jonkunlaisen lukijan/kirjoittajan, niin kortin kopiointi ja tietojen lukeminen on ihan suoraviivaisen simppeli homma.
Finnairin lennollakin voi maksaa pankkikortilla. Ette kai te urpot kuvittele, että se maksulaite ottaa sieltä taivaalta yhteyttä pankin tietojärjestelmiin pin-koodin oikeellisuudesta ja katteesta varmistuakseen? No ei! Konehan voi lentää juuri sillä hetkellä keskellä Atlantia tai Pohjois-Siperiassa!
Vierailija kirjoitti:
Finnairin lennollakin voi maksaa pankkikortilla. Ette kai te urpot kuvittele, että se maksulaite ottaa sieltä taivaalta yhteyttä pankin tietojärjestelmiin pin-koodin oikeellisuudesta ja katteesta varmistuakseen? No ei! Konehan voi lentää juuri sillä hetkellä keskellä Atlantia tai Pohjois-Siperiassa!
et huomannut että tässä alkuperäisessä viestissä on kaksi väitettä. joissa toista virheellistä väitettä käytettiin perustelemaan sinällään oikeassa olevaa väitettä.
eli koska kylmäasemilla ei ole tietoliikenneyhteyttä (väärin), pinnin on oltava kortilla. Tämä väitä on epätosi. Tosin se että pinnin hash löytyy kortilta on totta tässä väitteessä. Päättelyketju vain on virheellinen.
Vierailija kirjoitti:
Siis se kortissa oleva siru on käytännössä pieni tietokone muisteineen. Sinne todellakin on tallennettu pin-koodi, sekä myös salausavaimet, joita kortti käyttää "keskustellessaan" laitteiden kanssa. Kaikki tämä on hyvin suojattuna, eikä tietoja pysty lukemaan vakoilumielessä kortilta pois.
Magneettijuovalliset, siruttomat kortithan eivät ole mitenkään suojattuja. Se magneettijuova on vähän kuin silmälle näkymätön viivakoodi, joka sisältää kortinhaltijan tiedot sekä kortin numeron. Ihan salaamattomana ja standardoidussa muodossa. Eli kunhan omistaa jonkunlaisen lukijan/kirjoittajan, niin kortin kopiointi ja tietojen lukeminen on ihan suoraviivaisen simppeli homma.
Sinne kortin sirulle EI todellakaan ole tallennettu sitä pin-koodia.
Kortin 11 viimeisestä numerosta (poislukien viimeinen numero joka on tarkistusnumero) ja näpytellystä PIN-koodista saadaan tietyllä laskutoimituksella laskettu numeroarvo. Tämä numeroarvo pitää vastata ostopaikalla ja kortin myöntäjän tietokannassa toisiaan.
Mutta sitä 4-numeroista pin-koodia ei siis sellaisenaan todellakaan ole kortin sirussa.
Sisältö jatkuu mainoksen alla
Ap, kaverisi on siis oikeassa. Ei siihen pinnin tarkistukseen tarvita yhteyttä pankkiin, vaan kaikki tarvittava on jo itse kortilla.
Vierailija kirjoitti:
Vierailija kirjoitti:
Siis se kortissa oleva siru on käytännössä pieni tietokone muisteineen. Sinne todellakin on tallennettu pin-koodi, sekä myös salausavaimet, joita kortti käyttää "keskustellessaan" laitteiden kanssa. Kaikki tämä on hyvin suojattuna, eikä tietoja pysty lukemaan vakoilumielessä kortilta pois.
Magneettijuovalliset, siruttomat kortithan eivät ole mitenkään suojattuja. Se magneettijuova on vähän kuin silmälle näkymätön viivakoodi, joka sisältää kortinhaltijan tiedot sekä kortin numeron. Ihan salaamattomana ja standardoidussa muodossa. Eli kunhan omistaa jonkunlaisen lukijan/kirjoittajan, niin kortin kopiointi ja tietojen lukeminen on ihan suoraviivaisen simppeli homma.
Sinne kortin sirulle EI todellakaan ole tallennettu sitä pin-koodia.
Kortin 11 viimeisestä numerosta (poislukien viimeinen numero joka on tarkistusnumero) ja näpytellystä PIN-koodista saadaan tietyllä laskutoimituksella laskettu numeroarvo. Tämä numeroarvo pitää vastata ostopaikalla ja kortin myöntäjän tietokannassa toisiaan.
Mutta sitä 4-numeroista pin-koodia ei siis sellaisenaan todellakaan ole kortin sirussa.
Nojoo, totta kai näin. Yksinkertaistin vähän, koska kysehän oli ajatustasolla kuitenkin siitä, tapahtuuko pin-koodin validointi nettiyhteyden yli vai ei. Pin-koodia ei siis sellaisenaan löydy kortilta, mutta kuitenkin pin-koodista laskettu tiivistearvo, jonka avulla syötetty koodi voidaan validoida pelkän kortin tiedoilla ilman nettiä.
Sisältö jatkuu mainoksen alla
Jatketaanpa nyt vielä vähän, kun tämä on oikeastaan tällaiselle harrastelijakoodarille aika mielenkiintoinen (ja uusi) aihe. Yksinkertaistettuna tuo sirukortti toimii seuraavasti:
-Maksupääte, tai mikään muukaan laite, ei pysty lukemaan mitään sirun sisältämää tietoa
-Kaikki tiedonvaihto tapahtuu sirulle annettavien komentojen kautta (nämä ovat tarkasti määriteltyjä)
-Jos komento on sellainen, että se vaatii käyttäjän autentikoinnin (lähes kaikki ovat), niin pin-koodi vaaditaan
Tässä on ehkä se ainut iskun paikka hakkereille ja pahiksille : Mitä jos rakentelisikin vihamielisen maksupäätteen, joka juttelisi sirukortin kanssa ihan standardien mukaisesti, mutta tallentaisi pin-koodin, suorittaisi taustalla ylimääräistä tiedonvaihtoa kortin kanssa (kyselisi korttinumeron yms.) ja tallentaisi näitä tietoja johonkin. Saisikohan sieltä kortilta revittyä kaikki tiedot, mitä tarvitsee vaikkapa korttimaksuun netissä? Semmonen jonkun sortin Man in the middle -attack.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Siis se kortissa oleva siru on käytännössä pieni tietokone muisteineen. Sinne todellakin on tallennettu pin-koodi, sekä myös salausavaimet, joita kortti käyttää "keskustellessaan" laitteiden kanssa. Kaikki tämä on hyvin suojattuna, eikä tietoja pysty lukemaan vakoilumielessä kortilta pois.
Magneettijuovalliset, siruttomat kortithan eivät ole mitenkään suojattuja. Se magneettijuova on vähän kuin silmälle näkymätön viivakoodi, joka sisältää kortinhaltijan tiedot sekä kortin numeron. Ihan salaamattomana ja standardoidussa muodossa. Eli kunhan omistaa jonkunlaisen lukijan/kirjoittajan, niin kortin kopiointi ja tietojen lukeminen on ihan suoraviivaisen simppeli homma.
Sinne kortin sirulle EI todellakaan ole tallennettu sitä pin-koodia.
Kortin 11 viimeisestä numerosta (poislukien viimeinen numero joka on tarkistusnumero) ja näpytellystä PIN-koodista saadaan tietyllä laskutoimituksella laskettu numeroarvo. Tämä numeroarvo pitää vastata ostopaikalla ja kortin myöntäjän tietokannassa toisiaan.
Mutta sitä 4-numeroista pin-koodia ei siis sellaisenaan todellakaan ole kortin sirussa.
Nojoo, totta kai näin. Yksinkertaistin vähän, koska kysehän oli ajatustasolla kuitenkin siitä, tapahtuuko pin-koodin validointi nettiyhteyden yli vai ei. Pin-koodia ei siis sellaisenaan löydy kortilta, mutta kuitenkin pin-koodista laskettu tiivistearvo, jonka avulla syötetty koodi voidaan validoida pelkän kortin tiedoilla ilman nettiä.
Kaikki tarvittava tieto on talletettuna sirukorttiin. Pankki ei talleta itselleen mitään pinkoodiin liittyvää. Noiden tietojen tallettaminen pankkiin aiheuttaisi vain tietoturvariskin ilman mitään konkreettista hyötyä.
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Finnairin lennollakin voi maksaa pankkikortilla. Ette kai te urpot kuvittele, että se maksulaite ottaa sieltä taivaalta yhteyttä pankin tietojärjestelmiin pin-koodin oikeellisuudesta ja katteesta varmistuakseen? No ei! Konehan voi lentää juuri sillä hetkellä keskellä Atlantia tai Pohjois-Siperiassa!
Finnairin lennoilla voi myös käyttää nettiä koko lennon ajan, ainakin tietyissä konemalleissa, joissa on miehistön wlanin lisäksi matkustajillekin oma... Satelliitin kautta toimii.
Täällä on juttuakin aiheesta:
http://www.talouselama.fi/uutiset/testissa-lentokonenetti-nain-hoituu-s…
Vierailija kirjoitti:
Jatketaanpa nyt vielä vähän, kun tämä on oikeastaan tällaiselle harrastelijakoodarille aika mielenkiintoinen (ja uusi) aihe. Yksinkertaistettuna tuo sirukortti toimii seuraavasti:
-Maksupääte, tai mikään muukaan laite, ei pysty lukemaan mitään sirun sisältämää tietoa
-Kaikki tiedonvaihto tapahtuu sirulle annettavien komentojen kautta (nämä ovat tarkasti määriteltyjä)
-Jos komento on sellainen, että se vaatii käyttäjän autentikoinnin (lähes kaikki ovat), niin pin-koodi vaaditaan
Tässä on ehkä se ainut iskun paikka hakkereille ja pahiksille : Mitä jos rakentelisikin vihamielisen maksupäätteen, joka juttelisi sirukortin kanssa ihan standardien mukaisesti, mutta tallentaisi pin-koodin, suorittaisi taustalla ylimääräistä tiedonvaihtoa kortin kanssa (kyselisi korttinumeron yms.) ja tallentaisi näitä tietoja johonkin. Saisikohan sieltä kortilta revittyä kaikki tiedot, mitä tarvitsee vaikkapa korttimaksuun netissä? Semmonen jonkun sortin Man in the middle -attack.
Näitähän rakennellaan jo. ja esim ABC:n ja teboilin asemilla suhteellisen useasti asennettukin.
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Tässä on ehkä se ainut iskun paikka hakkereille ja pahiksille : Mitä jos rakentelisikin vihamielisen maksupäätteen, joka juttelisi sirukortin kanssa ihan standardien mukaisesti, mutta tallentaisi pin-koodin, suorittaisi taustalla ylimääräistä tiedonvaihtoa kortin kanssa (kyselisi korttinumeron yms.) ja tallentaisi näitä tietoja johonkin. Saisikohan sieltä kortilta revittyä kaikki tiedot, mitä tarvitsee vaikkapa korttimaksuun netissä? Semmonen jonkun sortin Man in the middle -attack.
Mutta ei pinkoodia käytetään korttimaksuun netissä. Miten tuo vihamielinen laitteesi eroaa tavallisesta skimmeristä, joista uutisoidaan aika säännöllisesti.
Vierailija kirjoitti:
Pin-koodi on sim-kortissa, ei pankkikortissa :D
Et taida edes tietää mikä PIN-koodi on?
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Vierailija kirjoitti:
Finnairin lennollakin voi maksaa pankkikortilla. Ette kai te urpot kuvittele, että se maksulaite ottaa sieltä taivaalta yhteyttä pankin tietojärjestelmiin pin-koodin oikeellisuudesta ja katteesta varmistuakseen? No ei! Konehan voi lentää juuri sillä hetkellä keskellä Atlantia tai Pohjois-Siperiassa!
Finnairin lennoilla voi myös käyttää nettiä koko lennon ajan, ainakin tietyissä konemalleissa, joissa on miehistön wlanin lisäksi matkustajillekin oma... Satelliitin kautta toimii.
Täällä on juttuakin aiheesta:
http://www.talouselama.fi/uutiset/testissa-lentokonenetti-nain-hoituu-s…
Kiva, kiva. Mutta ei liity tuohon maksupäätelaitteen toimintaan ja maksamiseen mitenkään.
Vierailija kirjoitti:
Jatketaanpa nyt vielä vähän, kun tämä on oikeastaan tällaiselle harrastelijakoodarille aika mielenkiintoinen (ja uusi) aihe.
Mitä tekemistä koodauksella ja tällä asialla on keskenään?
Vierailija kirjoitti:
pankkikortissa on pinnin hash ei itse pinniä, hashista ei voi laskea itse pinniä, laskutoimitus toimii vain toiseen suuntaan eli pinnistä luodaan hash mutta hashista ei voi laskea pin-koodia
Hashista ;)
Vierailija kirjoitti:
Jatketaanpa nyt vielä vähän, kun tämä on oikeastaan tällaiselle harrastelijakoodarille aika mielenkiintoinen (ja uusi) aihe. Yksinkertaistettuna tuo sirukortti toimii seuraavasti:
-Maksupääte, tai mikään muukaan laite, ei pysty lukemaan mitään sirun sisältämää tietoa
-Kaikki tiedonvaihto tapahtuu sirulle annettavien komentojen kautta (nämä ovat tarkasti määriteltyjä)
-Jos komento on sellainen, että se vaatii käyttäjän autentikoinnin (lähes kaikki ovat), niin pin-koodi vaaditaan
Tässä on ehkä se ainut iskun paikka hakkereille ja pahiksille : Mitä jos rakentelisikin vihamielisen maksupäätteen, joka juttelisi sirukortin kanssa ihan standardien mukaisesti, mutta tallentaisi pin-koodin, suorittaisi taustalla ylimääräistä tiedonvaihtoa kortin kanssa (kyselisi korttinumeron yms.) ja tallentaisi näitä tietoja johonkin. Saisikohan sieltä kortilta revittyä kaikki tiedot, mitä tarvitsee vaikkapa korttimaksuun netissä? Semmonen jonkun sortin Man in the middle -attack.
Maailma on paha ja tällaisia laitteita on käytössä pilvin pimein.
Kerran oli yksi turvallisuusvinkki varsinkin langattomien kortinlukijoiden kanssa, eli antaa ensin tahallaan väärän koodin. Jos kortinlukija vain kopioi kortin tiedot, niin siinä ei ole pin-tarkistusta, jolloin häkkeri saa väärän pinnin.
Vierailija kirjoitti:
Vierailija kirjoitti:
Jatketaanpa nyt vielä vähän, kun tämä on oikeastaan tällaiselle harrastelijakoodarille aika mielenkiintoinen (ja uusi) aihe.
Mitä tekemistä koodauksella ja tällä asialla on keskenään?
Luulisi näin maallikkona, että siinä kortinlukijassa on aika läjä koodia, mutta kerro toki tarkemmin, jos se toimiikin ilman koodia.
Vierailija kirjoitti:
Vierailija kirjoitti:
Jatketaanpa nyt vielä vähän, kun tämä on oikeastaan tällaiselle harrastelijakoodarille aika mielenkiintoinen (ja uusi) aihe.
Mitä tekemistä koodauksella ja tällä asialla on keskenään?
No kun olen paljolti koodaillut kaikkeen tiedon siirtämiseen liittyviä juttuja (vaikkapa itse testimielessä kyhätty sähköpostipalvelin). Niissä pitää tietää käytetty protokolla, jotta saa ohjelmat keskustelemaan keskenään. Olisihan se kiva osata ja ymmärtää tuo kättely ja autentikointiprosessi myös noinkin arkipäiväisissä laitteissa. Onko se samanlaista kyselyä ja kuittailua kuin vaikka normi Tcp-yhteys, vai luotetaanko yhteyteen enemmän?
En siis ole mikään koodari ammatiltani, mutta tykkään tuolta kantilta tutkia ja kokeilla asioita. Ja nimenomaan verkon yli tapahtuvat interaktiot ohjelmien välillä ovat kaikista mielenkiitoisia häkkyröitä rakennella.
Ei ole yksittäistä ajanhetkeä milloin tuo on muuttunut. Se tasan on muuttunut joka asemalla eri aikaan.
Jo ennen vuotta 2000 on ollut mahdollista että osa asemista ja pumpuista ovat olleet kyvykkäitä tekemään tuon tarkistuksen. Eli asemakohtaisesti on uusittu tietoliikenneyhteyksiä ja pumppuja ja lukijalaitteita, joten yhtä ajankohtaa on mahdoton sanoa. Mahdollisuudet siihen on ollut jo 1990-luvulla.