Эксперт Адам Лори взломал кредитную карту

image

Теги: кредитная карта, RFID, PIN-код

Согласно сообщению эксперта по безопасности RFID Адама Лори, хакеры легко могут считывать персональную информацию, которая закодирована на магнитной полоске кредитной карты. Для этого им вполне достаточно некоего компактного устройства.

Специалист по безопасности устройств RFID создал программу, способную считывать информацию с чипа и номер-идентификатор кредитных карт стандата EMV.

Согласно сообщению эксперта по безопасности RFID Адама Лори, хакеры легко могут считывать персональную информацию, которая закодирована на магнитной полоске кредитной карты. Для этого им вполне достаточно некоего компактного устройства.

На брифинге Black Hat DC один из участников анонсировал тестовую программу под названием CHaP.py, позволяющую считать данные с микросхемы кредитной карты и узнать ее PIN-код. В этих целях используется стандарт EMV (Europay, MasterCard и VISA), который служит для аутентификации при платежах с помощью кредитных и дебетовых карт.

Лори, занимающий посты главного менеджера безопасности и директора британской фирмы The Bunker Secure Hosting, объявил также, что собирается встроить программу CHaP.py в популярную Python-библиотеку RFIDIOt, предназначенную для исследования устройств радиочастотной идентификации RFID.

В ходе демонстрации создатель программы пояснил, что ее первая версия может работать только со считывателями PC/SC. Вместе с тем программа поддерживает интерфейс как самой микросхемы, так и RFID. А это значит, что открывается простой путь взлома технологий бесконтактных платежей AmEx Expresspay и MasterCard PayPass.

По словам Лори, новый инструментарий может быть использован для считывания с магнитной полоски конфиденциальной информации, включая фамилию владельца, номер счета, а также ряд других идентификационных данных. Владея подобной информацией, злоумышленнику ничего не стоит с помощью существующих средств клонировать взломанную кредитную карточку.


или введите имя

CAPTCHA
Страницы: 1  2  
1
28-02-2008 22:06:49
они таки на питоне написана? в биореактор!
0 |
1
29-02-2008 00:07:00
А ты сам таких программ сколько написал и на чем? Когда мы рочитаем о твоем выступлении на Black Hat?
0 |
1
29-02-2008 20:57:42
В чем суть наезда на Питон? Программа работает? - работает. А производительность и прочие количественные характеристики для подобного proof of concept не важны.
0 |
1
29-02-2008 00:22:20
Тут какая то каша вообще. И про чиованые карточки, и про полоски магнитные и про рфид - все в кучу намешали. Подождем релиза программы и более грамотного описания, потом будем думать.
0 |
1
29-02-2008 00:57:44
чего ждать-то? оно (chap.py) уже месяц как доступно на http://rfidiot.org/. это по сути плагин к рфидиоту.
0 |
1
29-02-2008 01:09:46
На брифинге Black Hat DC один из участников анонсировал тестовую программуоно (chap.py) уже месяц как доступноО как! Мир полон чудес... И что? Эта чудо программа действительно достает пин-код? Что-то с трудом верится. У меня таких железок нет, я этим профессионально не занимаюсь, интересуюсь чисто как пользователь карточек. Освети вопрос кратенько, если не трудно.
0 |
1
29-02-2008 10:08:20
И что? Эта чудо программа действительно достает пин-код? Ну разумеется нет. На сиклабе еще и не то напишут. Вы почитайте на сайте описание и все станет на свои места. Пины можно будет доставать только когда rfid-чипы нам в голову будут принудительно интегрировать.
0 |
29-02-2008 02:21:55
Спасибо, полезная инфа - буду теперь дергать банкомат за все выступающие части, вдруг отвалится что-то "лишнее"
0 |
29-02-2008 08:40:14
Как я понимаю, pin в карте не хранится. На введенном pinе хранящаяся информация на карте преобразуется (шифруется, хэшируется или т.п.) и передается на сервер аутентификации. Думаю, так. Если бы pin хранился на карте, то накладки на клавиатуры не нужны. Аутентификация, думаю, должна проходить именно на сервере, иначе, в противном случае, должны существовать хакерские устройства для автономного подбора пина. Если я не прав, поделитесь иинформацией.
0 |
я
29-02-2008 12:06:06
пин храниться на EMV-чипе (хотя часто просто не используется, т.к. хранить в банке надёжнее). а вот прочитать чип его просто так не даст. прочитать можна номер карты, имя владельца и т.п. т.е. те же данные, что и с магнитной полосы. все спецификации есть на оффсайте - emvco.com
0 |
29-02-2008 10:29:11
http://community.livejournal.com/ua_bank/90424.html?thread=532536
0 |
1
29-02-2008 10:43:17
Хм, интересно, каким пользуетесь для поиска первоисточника? А так +1, оперативно.
0 |
Страницы: 1  2