Изучение уязвимостей электронных систем.
 
key programming immo tools emergency start device программаторы ключа заводилки Кодграббер штатных охранных систем, toyota, lexus, subaru.

Вернуться   Изучение уязвимостей электронных систем > Фрикинг > Пластиковые карты

Пластиковые карты Магнитные карты, смарт карты, таксофонные карты и тд.

Ответ
 
Опции темы
Старый 28.07.2012, 16:27   #1
Piratcom
продвинутый фрикер
 
Аватар для Piratcom
 
Регистрация: 16.02.2008
Сообщений: 1,710
Поблагодарил: 127
Поблагодарили 268 раз в 177 сообщениях
Piratcom стоит на развилке
По умолчанию POS терминалы

Приветствую! Решил открыть новую тему, в которой будут обсуждаться все вопросы связанные с POS терминалами.
Выкладываем сюда что у кого есть и кто что знает.
-----------------------------------------------------------------------------------------------------------------------------------

Системы POS (Point-Of-Sale), обеспечивающие расчеты продавца и покупателя в точке продажи, получили широкое распространение в развитых странах и, в частности, в США. Системы POS осуществляют проверку и обслуживание дебетовых и кредитных карт покупателя непосредственно в местах продажи товаров и услуг в рамках системы электронных платежей. POS-терминалы, входящие в эти системы, размещаются на различных предприятиях торговли – в супермаркетах, на автозаправочных станциях и т.п.
POS-терминалы предназначены для обработки транзакций при финансовых расчетах с использованием пластиковых карт с магнитной полосой и смарт-карт. Использование POS-терминалов позволяет автоматизировать операции по обслуживанию этих карт и существенно уменьшить время обслуживания. Возможности и комплектация POS-терминалов варьируются в широких пределах, однако типичный современный POS-терминал снабжен устройствами считывания как с карт с магнитной полосой, так и со смарт-карт; энергонезависимой памятью; портами для подключения PIN-кла-виатуры (клавиатуры для набора клиентом PIN-кода); принтера; соединения с персональным компьютером или электронным кассовым аппаратом.
Обычно POS-терминал бывает также оснащен модемом с возможностью автодозвона. POS-терминал обладает “интеллектуальными” возможностями-его можно программировать. В качестве языков программирования используются язык ассемблера, а также диалекты языков Си и Бейсик. Все это позволяет проводить авторизацию карт с магнитной полосой в режиме реального времени (on-line) и использовать при работе со смарт-картами автономный режим (off-line) с накоплением протоколов транзакций. Эти протоколы транзакций передаются в процессинговый центр во время сеансов связи. Во время этих сеансов POS-терминал может также принимать и запоминать информацию, передаваемую ЭВМ про-цессингового центра. В основном это бывают стоп-листы.
Стоимость POS-терминалов в зависимости от комплектации и возможностей может меняться от нескольких сотен до нескольких тысяч долларов, хотя обычно не превышает полутора-двух тысяч долларов. Размеры и вес POS-терминала сопоставимы с аналогичными параметрами телефонного аппарата.
Схема системы POS приведена на рис. 9.4. Покупатель для оплаты покупки предъявляет свою дебетовую или кредитную карту и вводит значение PIN для подтверждения личности. Продавец, в свою очередь, вводит сумму денег, которую необходимо уплатить

за покупку или услуги. Затем в банк-эквайер (банк продавца) направляется запрос на перевод денег. Банк-эквайер переадресует этот запрос в банк-эмитент для проверки подлинности карты, предъявленной покупателем. Если эта карта подлинная и покупатель имеет право применять ее для оплаты продуктов и услуг, банк-эмитент переводит деньги в банк-эквайер на счет продавца. После перевода денег на счет продавца банк-эквайер посылает на POS-терминал извещение, в котором сообщает о завершении транзакции. После этого продавец выдает покупателю товар и извещение.
Следует обратить внимание на тот сложный путь, который должна проделать информация о покупке, прежде чем будет осуществлена транзакция. Во время прохождения этого пути возможны искажения и потеря сообщений.
Для защиты системы POS должны выполняться следующие требования.
• Проверка PIN, введенного покупателем, должна производиться системой банка-эмитента. При пересылке по каналам связи значение PIN должно быть зашифровано.
• Сообщения, содержащие запрос на перевод денег (или подтверждение о переводе), должны проверяться на подлинность для защиты от замены и внесения изменений при прохождении по линиям связи и обрабатывающим процессорам [22].
Самым уязвимым местом системы POS являются ее POS-тер-миналы. В отличие от банкоматов в этом случае изначально предполагается, что POS-терминал не защищен от внешних воздействий. Угрозы для POS-терминала связаны с возможностью раскрытия секретного ключа, который находится в POS-терминале и служит для шифрования информации, передаваемой этим терминалом в банк-эквайер. Угроза раскрытия ключа терминала достаточно реальна, так как эти терминалы устанавливаются в таких неохраняемых местах, как магазины, автозаправочные станции и пр.
Потенциальные угрозы из-за раскрытия ключа получили такие названия.
• “Обратное трассирование”. Сущность этой угрозы состоит в том, что если злоумышленник получит ключ шифрования, то он может пытаться восстановить значения PIN, использованные в предыдущих транзакциях.
• “Прямое трассирование”. Сущность этой угрозы состоит в том, что если злоумышленник получит ключ шифрования, то он попытается восстановить значения PIN, которые будут использоваться в последующих транзакциях.
Для защиты от угроз обратного и прямого трассирования предложены три метода:
• метод выведенного ключа;
• метод ключа транзакции;
• метод открытых ключей.
Сущность первых двух методов состоит в том, что они обеспечивают модификацию ключа шифрования передаваемых данных для каждой транзакции.
Метод выведенного ключа обеспечивает смену ключа при каждой транзакции независимо от ее содержания. Для генерации ключа шифрования используют однонаправленную функцию от текущего значения ключа и некоторой случайной величины. Процесс получения (вывода) ключа для шифрования очередной транзакции представляет собой известное “блуждание” по дереву (рис. 9.5).
Вершиной дерева рис. 9.5 является некоторое начальное значение ключа I. Чтобы получить ключ с номером S, число S представляют в двоичной форме. Затем при вычислении значения ключа учитывается структура двоичного представления числа S, начиная со старшего разряда. Если L-й двоичный разряд числа S равен 1, то к текущему значению ключа К применяется однонаправленная функция FL(K), где L- номер рассматриваемого двоичного разряда. В противном случае переходят к рассмотрению следующего разряда числа S, не применяя однонаправленной функции. Последняя реализована на основе алгоритма DES. Для получения достаточного быстродействия количество единиц в двоичном представлении числа S обычно ограничивается – их должно быть не более 10. Этот метод обеспечивает защиту только от угрозы “обратного трассирования”.
Метод ключа транзакции позволяет шифровать информацию, передаваемую между POS-терминалами и банком-эквайером на уникальном ключе, который может меняться от транзакции к транзакции. Для генерации нового ключа транзакции используются следующие составляющие:
• однонаправленная функция от значения предыдущего ключа;
• содержание транзакции;
• информация, полученная от карты.
При этом предполагается, что предыдущая транзакция завершилась успешно. Метод ключа транзакции обеспечивает защиту как от “обратного трассирования”, так и от “прямого трассирования”. Раскрытие одного ключа не дает возможности злоумышленнику вскрыть все предыдущие и все последующие транзакции. Недостатком данной схемы является сложность ее реализации.
Метод открытых ключей позволяет надежно защититься от любых видов трассирования и обеспечить надежное шифрование передаваемой информации. В этом случае POS-терминал снабжается секретным ключом для расшифровки сообщений банка-эквайера. Этот.ключ генерируется при инициализации терминала. После генерации секретного ключа терминал посылает связанный с ним открытый ключ на компьютер банка-эквайера. Обмен между участниками взаимодействия выполняется с помощью открытого ключа каждого из них. Подтверждение подлинности участников осуществляется специальным центром регистрации ключей с использованием своей пары открытого и закрытого ключей. Недостатком этого метода является его сравнительно малое быстродействие.
Источник: [Ссылки могут видеть только зарегистрированные пользователи. ]

---------- Post added at 14:27 ---------- Previous post was at 14:24 ----------

Я делал снифер ком порта, подключал кажется к Verifone 5100 на терминалке одни "0"
время мало было поэтому быстро свернулся, картина была типа:

00000000000000000000000000000000000000000000000000 00000000000000
00000000000000000000000000000000000
00000000000000000000000000000000000000000000000000 000000000000000000000
000000000000000
000000000000000000000000000000000000000000000



Снифер рабочий, подключал дома 2 компа между ними снифер, на компах работали терминалки с помощью которых отправлял и принимал запросы, снифер подключенный к ноуту перехватывал всё без потерь, тока не успел замутить передачу, там нюанс есть... так что хз пока вариков нет чтобы ещё раз проверить, как найду отпишусь... думал сниф замутить GSM т.е. залезть в терминал, поставить и спокойно работать, но пока тоже нет вариков, если у кого завалялся POS терминал, я бы попробывал... )))


Если вас мучает совесть по ночам - спите днем!
------------------------------------------------------------
Если ты обманываешь людей, будь готов к тому что когда - нибудь тебе придётся сесть в тюрьму...
Piratcom вне форума   Ответить с цитированием
Старый 28.07.2012, 16:31   #2
Piratcom
продвинутый фрикер
 
Аватар для Piratcom
 
Регистрация: 16.02.2008
Сообщений: 1,710
Поблагодарил: 127
Поблагодарили 268 раз в 177 сообщениях
Piratcom стоит на развилке
По умолчанию

• Сообщения, содержащие запрос на перевод денег (или подтверждение о переводе), должны проверяться на подлинность для защиты от замены и внесения изменений при прохождении по линиям связи и обрабатывающим процессорам.

Самым уязвимым местом системы POS являются ее POS-терминалы. В отличие от банкоматов в этом случае изначально предполагается, что POS-терминал не защищен от внешних воздействий. Угрозы для POS-терминала связаны с возможностью раскрытия секретного ключа, который находится в POS-терминале и служит для шифрования информации, передаваемой этим терминалом в банк-эквайер. Угроза раскрытия ключа терминала достаточно реальна, так как эти терминалы устанавливаются в таких неохраняемых местах, как магазины, автозаправочные стан*ции и пр.

Потенциальные угрозы из-за раскрытия ключа получили такие названия.

• "Обратное трассирование". Сущность этой угрозы состоит в том, что если злоумышленник получит ключ шифрования, то он может пытаться восстановить значения PIN, использованные в предыдущих транзакциях.

• "Прямое трассирование". Сущность этой угрозы состоит в том, что если злоумышленник получит ключ шифрования, то он попытается восстановить значения PIN, которые будут использоваться в последующих транзакциях.

Для защиты от угроз обратного и прямого трассирования предложены три метода:

- метод выведенного ключа;

- метод Ключа транзакции;

-метод открытых ключей.

Сущность первых двух методов состоит в том, что они обеспечивают модификацию ключа шифрования передаваемых данных для каждой транзакции.

Метод выведенного ключа обеспечивает смену ключа при каждой транзакции независимо от ее содержания. Для генерации ключа шифрования используют однонаправленную функцию от текущего значения ключа и некоторой случайной величины. Процесс получения (вывода) ключа для шифрования очередной транзакции представляет собой известное "блуждание" по дереву (рис. 5).


Рис. 5. Схема вывода ключа с учетом двоичного представления номера S ключа.

Вершиной дерева рис. 5 является некоторое начальное значение ключа I. Чтобы получить ключ с номером S, число S представляют в двоичной форме. Затем при вычислении значения ключа учитывается структура двоичного представления числа S, начиная со старшего разряда. Если L-й двоичный разряд числа S равен 1, то к текущему значению ключа К применяется однонаправленная функция FL(K), где L - номер рассматриваемого двоичного разряда. В противном случае переходят к рассмотрению следующего разряда числа S, не применяя однонаправленной функции. Последняя реализована на основе алгоритма DES. Для получения достаточного быстродействия количество единиц в двоичном представлении числа S обычно ограничивается - их должно быть не более 10. Этот метод обеспечивает защиту только от угрозы "обратного трассирования".

Метод ключа транзакции позволяет шифровать информацию, передаваемую между POS-терминалами и банком-эквайером, на уникальном ключе, который может меняться от транзакции к транзакции. Для генерации нового ключа транзакции используются следующие составляющие:

* однонаправленная функция от значения предыдущего ключа;

* содержание транзакции;

* информация, полученная от карты.

При этом предполагается, что предыдущая транзакция завершилась успешно. Метод ключа транзакции обеспечивает защиту как от "обратного трассирования", так и от "прямого трассирования". Раскрытие одного ключа не дает возможности злоумышленнику вскрыть все предыдущие и все последующие транзакции. Недостатком данной схемы является сложность ее реализации.

Метод открытых ключей позволяет надежно защититься от любых видов трассирования и обеспечить надежное шифрование передаваемой информации. В этом случае POS-терминал снабжается секретным ключом для расшифровки сообщений банка-эквайера. Этот ключ генерируется при инициализации терминала. После генерации секретного ключа терминал посылает связанный с ним открытый ключ на компьютер банка-эквайера. Обмен между участниками взаимодействия выполняется с помощью от*
крытого ключа каждого из них. Подтверждение подлинности участников осуществляется специальным центром регистрации ключей с использованием своей пары открытого и закрытого ключей. Недостатком этого метода является его сравнительно малое быстродействие.


,

1.5. Обеспечение безопасности банкоматов


Банкоматом называют банковский автомат для выдачи и инкассирования наличных денег при операциях с пластиковыми картами. Кроме того, банкомат позволяет держателю карты получать информацию о текущем состоянии счета (в том числе и выписку на бумаге), а также проводить операции по перечислению средств с одного счета на другой

Банкомат снабжен устройством для чтения карты, а также дисплеем и клавиатурой для интерактивного взаимодействия с держателем карточки. Банкомат оснащен персональной ЭВМ, которая обеспечивает управление банкоматом и контроль его состояния. Последнее весьма важно, поскольку банкомат является хранилищем наличных денег. Для обеспечения коммуникационных функций банкоматы оснащаются платами Х.25, а иногда и модемами.

Денежные купюры в банкомате размещаются в кассетах, которые находятся в специальном сейфе. Число кассет определяет количество номиналов купюр, выдаваемых банкоматом. Размеры кассет регулируются, что позволяет заряжать банкомат практически любыми купюрами.

Банкоматы - это стационарные устройства больших габаритных размеров и веса. Примерные размеры: высота -1,5...1,8 м, ширина и глубина - около 1 м, вес - около тонны. Более того, с целью пресечения возможных хищений их монтируют капитально. Банкоматы размещают как в охраняемых помещениях, так и непосредственно на улице.

На сегодняшний день большинство моделей банкоматов рассчитано на работу в режиме реального времени (on-line) с картами с магнитной полосой, однако появились банкоматы, способные работать со смарт-картами в автономном режиме (off-line).

Автономный режим (off-line) работы банкомата характерен тем, что банкомат функционирует независимо от компьютеров банка. Запись информации о транзакции производится на внутренний магнитный диск и выводится на встроенный принтер. Достоинствами автономного режима банкомата являются его относительная дешевизна и независимость от качества линий связи. Это весьма важно для стран с плохой телефонной связью. В то же время низкая стоимость установки напрямую обусловливает высокую стоимость эксплуатации таких банкоматов [18,46]. Чтобы обновлять "черные списки" (стоп-списки) утраченных карточек, необходимо хотя бы раз в день специально выделенному человеку обходить и обслуживать такие банкоматы. При большом числе таких устройств подобное обслуживание затруднительно. Отказ же от ежедневного обновления списков может привести к значительным потерям для банка в случае подделки карты или при пользовании краденой картой.

Сложности возникают также при идентификации (аутентификации) клиента. Для защиты информации, хранящейся на карте с магнитной полосой, применяется ее шифрование. Для того чтобы банкоматы одного и того же банка воспринимали пластиковые карты с магнитной полосой, в них должен быть использован один ключ для шифрования (расшифрования). Компрометация его хотя бы на одном из банкоматов приведет к нарушению защиты на всех банкоматах

Режим реального времени (on-line) характерен тем, что банкомат должен быть подсоединен непосредственно или через телефонную сеть к главному компьютеру банка. В этом случае регистрация транзакций осуществляется непосредственно на главном компьютере банка, хотя подтверждение о транзакции выдается на принтер банкомата. При реализации транзакции банкомат обменивается с главным компьютером банка тремя сообщениями (рис 6)

1) запрос банкомата;

2) ответное сообщение банка;

3) сообщение банкомата о платеже.


Рис 6. Схема обмена сообщениями между банкоматом и главной ЭВМ банка
при идентификации и платеже


Запрос банкомата включает следующие данные:

• идентификатор банкомата;

• номер счета и другая учетная информация клиента;

• серийный номер карты,

• защитный символ;

• зашифрованный PIN клиента;

• количество требуемых денег;

• номер транзакции;

• проверочный код для всех данных сообщения

Ответное сообщение банка включает следующие данные.

• идентификатор банкомата,

• код операции, разрешающий (запрещающий) платеж,

• номер транзакции;

• проверочный код для всех данных сообщения

В этом обмене сообщениями для проверки целостности данных используется код аутентификации сообщения MAC (Message Authentication Code).

Режим реального времени имеет ряд преимуществ по сравнению с автономным режимом. Он дает возможность клиенту не только получить наличные деньги, но и осуществлять манипуляции со своим счетом. Централизованная идентификация/аутентификация позволяет существенно повысить устойчивость системы к компрометации ключей шифрования Централизованная проверка идентификатора пользователя делает возможным оперативное обновление списков запрещенных к использованию карт, а также введение ограничений на количество наличных денег, которые может получить клиент в течение одного дня (для защиты от использования украденных карт).

Однако этот режим возможен лишь при наличии надежных каналов связи между банкоматами и банком, что делает его довольно дорогим. Кроме того, наличие канала связи порождает и другие угрозы безопасности по сравнению с автономным режимом работы. Это - анализ трафика между банкоматом и главным компьютером и имитация работы главного компьютера компьютером злоумышленника. При анализе трафика можно получить информацию о счетах, суммах, условиях платежей и т. п. При имитации работы главного компьютера банка компьютер злоумышленника может выдавать положительный ответ на запрос банкомата о результатах идентификации/аутентификации

Сети банкоматов являются в настоящее время распространенной формой эксплуатации банкоматов, в которой участвуют несколько банков. Банки-участники такой сети преследуют следующие цели:

• уменьшение стоимости операций для участников,

• разделение затрат и риска при внедрении новых видов услуг между участниками,

• преодоление географических ограничений и соответственно повышение субъективной ценности услуг для потребителей

При совместном использовании несколькими банками сети банкоматов возникает серьезная проблема - защита конфиденциальной информации банков друг от друга (ключи шифрования и т.п.) Для разрешения этой проблемы предложена схема централизованной проверки PIN каждым банком в своем центре связи с банкоматами. Усложняется также система распределения ключей между всеми участниками сети.

Рассмотрим схему прохождения информации о PIN клиента между банкоматом, банком-эквайером (которому принадлежит банкомат) и банком-эмитентом (который выпустил карту клиента) (рис. 7).


Рис. 7 Схема прохождения информации о PIN клиента между банкоматом,
банком-эквайером и банком-эмитентом.

Пусть клиент Банка 2 (Эмитента) обратился к банкомату Банка 1 (Эквайера). При этом в сети банкоматов происходят следующие действия.

1. Считывающее устройство банкомата считывает информацию, записанную на банковской карте, предъявленной клиентом, и затем банкомат определяет, имеет ли этот клиент счет в Банке 1 - Эквайере.

2. Если клиент не имеет счета в Банке 1, транзакция направляется в сетевой маршрутизатор, который, используя иден*тификационный номер Банка 2 - Эмитента BIN (Bank Identification Number), направляет эту транзакцию на главный компьютер Банка 2 или производит проверку PIN для Банка 2.

3. Если проверка PIN производится на главном компьютере Банка 2, то этот компьютер получает полную информацию о транзакции и проверяет достоверность PIN.

4. Независимо от результата проверки компьютер Банка 2 пересылает сообщение с этим результатом через сетевой маршрутизатор компьютеру Банка 1.

Как следует из примера, к банку-эмитенту предъявляются следующие требования:

• выпускаемые им карты должны восприниматься всеми банкоматами сети;

• банк-эмитент должен обладать технологией проверки PIN собственных клиентов.

К банку-эквайеру предъявляются другие требования:

• в банкомате или главном компьютере банка должна быть реализована проверка принадлежности транзакции;

• если нет возможности проверить правильность чужого PIN, банк-эквайер должен передать данные о транзакции на сетевой маршрутизатор.

Для защиты взаимодействия компьютеров банков друг с другом и с банкоматами должно применяться оконечное (абонентское) шифрование информации, передаваемой по линиям связи. Обычно используется следующий подход: вся сеть банкоматов разбивается на зоны, и в каждой из них используется свой главный зональный управляющий ключ ZCMK (Zone Control Master Key). Ключ ZCMK предназначен для шифрования ключей при обмене между сетевым маршрутизатором и главным компьютером банка. Ключ ZCMK индивидуален для всех участников сети. Обычно он генерируется случайным образом маршрутизатором и передается неэлектронным способом в банк. Раскрытие ключа ZCMK приведет к раскрытию всех PIN, которые передаются между маршрутизатором и главным компьютером банка

Для шифрования информации, поступающей от главного компьютера банка-эмитента на маршрутизатор, используется рабочий ключ эмитента IWK (Issuer Working Key). Его сообщает главному компьютеру банка-эмитента маршрутизатор в зашифрованном на уникальном ZCMK виде. Ключ IWK может меняться по запросу пользователя в процессе работы.

Аналогичный по назначению ключ для обмена между банком-эквайером и маршрутизатором называется рабочим ключом эквайера AWK (Acquirer Working Key). Для шифрования информации при передаче от банкомата к главному компьютеру банка-эквайера используется связной ключ эквайера АСК (Acquirer Communication Key).

При рассмотрении функционирования системы защиты введены следующие обозначения:

ЕY (X) - шифрование сообщения X по алгоритму DES с использованием ключа Y;

DY (X) - расшифрование сообщения X по алгоритму DES с использованием ключа Y;

PBL (PIN Block Local) - локальный блок PIN, полученный из введенного клиентом PIN, дополненного до восьми символов, и представленный во внутреннем формате банкомата;

PBN (PIN Block Network) - сетевой блок PIN, полученный из введенного клиентом PIN, дополненного до восьми символов, и представленный в виде, готовом для передачи в сети.

Вернемся к рассмотрению схемы на рис. 7.

1. Клиент предъявил банкомату Банка 1 банковскую карту и ввел с клавиатуры свой PIN. Банкомат формирует PBL, шифрует его с использованием АСК, т.е. вычисляет криптограмму ЕАск(РВL), и отправляет ее на главный компьютер Банка 1.

2. На главном компьютере Банка 1 блок PBL расшифровывается и преобразуется в блок PBN, затем блок PBN шифру*ется с использованием AWK и отсылается в Сетевой маршрутизатор. Процесс преобразования

EACK (PBL) -> EAWK (PBN)

называют трансляцией блока PIN с ключа АСК на ключ AWK. Основное назначение этого процесса — смена ключа шифрования.

3. Если PIN проверяется на Сетевом маршрутизаторе, после получения криптограммы eawk(pbn) производится ее рас*шифрование, а затем выделение PIN с помощью преобразований

d AWK ( e awk ( pbn )) = PBN -> PIN.

Если PIN проверяется Банком 2, принятая криптограмма транслируется с ключа AWK на ключ IWK (оба ключа хранятся на Сетевом маршрутизаторе):
EAWK (PBN) -> EIWK(PBN).
Затем криптограмма EIWK(PBN) отправляется в Банк 2.

4. Поступившая в Банк 2 криптограмма EIWK(PBN) преобразуется в зависимости от используемого способа проверки либо в открытый PIN:

DIWK (EIWK (PBN)) = PBN->PIN,

либо в PIN в форме блока PBL, зашифрованного на ключе базы данных DBK:

E IWK (PBN) -> EDBK (PBL).

5. После любого из этих преобразований осуществляется поиск принятого PIN в базе данных существующих PIN.

6. В результате выполненной проверки введенный клиентом PIN либо принимается, либо отвергается. Вне зависимости от результата проверки главный компьютер Банка 2 пересылает сообщение с результатом через Сетевой маршрутизатор на компьютер Банка 1, а тот оповещает банкомат о результатах решения.

Рассмотренная схема обеспечения безопасности взаимодействия компьютеров в сети базируется на симметричном алгоритме шифрования DES. Поэтому на распространение ключа ZCMK налагаются жесткие ограничения. Применение асимметричной системы шифрования с открытым ключом позволяет несколько упростить ключевую систему и соответственно взаимодействие между банкоматами и главными компьютерами банков.

В неразделяемой сети банкоматов достаточно использовать на всех банкоматах одинаковый открытый ключ, а на главном компьютере банка - закрытый ключ. Это позволяет шифровать запрос и подтверждающее сообщение из банка, так как обеспечение конфиденциальности ответного сообщения необязательно.

Проблема защиты запроса от активных атак (изменения или введения ложного запроса) может быть решена в случае неразделяемой сети использованием пароля для идентификации банкоматов.

1.6. Универсальная электронная платежная система UEPS

Ряд социальных и экономических проблем, присущих России после распада СССР: наличие в стране высококвалифицированных специалистов, низкий уровень оплаты труда технической интеллигенции, высокий уровень криминальности в стране, - дают основание предположить, что проблемы мошенничества в электронных системах безналичных расчетов с использованием пластиковых карт могут стоять в России более остро по сравнению с Западом, где ежегодные потери составляют миллиарды долларов. Поэтому вопрос обеспечения безопасности функционирования электронной платежной системы и контроля доступа к финансовой информации приобретает особое значение. Ввиду недостаточного развития линий связи в России наиболее перспективны платежные системы, основанные на автономном принципе (off-line) обслуживания владельцев карточек в торговой точке или банкомате. Универсальная электронная платежная система UEPS (Universal Electronic Payment System) отвечает указанным требованиям и отличается высоким уровнем защищенности, что подтверждено результатами авторитетных международных экспертиз. Именно поэтому построение электронной платежной системы "Сберкарт" с использованием микропроцессорных карт в Сбербанке Российской Федерации базируется на технологии UEPS. Концепция и технология платежной системы UEPS разработана французской компанией NET1 International.


Если вас мучает совесть по ночам - спите днем!
------------------------------------------------------------
Если ты обманываешь людей, будь готов к тому что когда - нибудь тебе придётся сесть в тюрьму...
Piratcom вне форума   Ответить с цитированием
Старый 28.07.2012, 16:41   #3
Piratcom
продвинутый фрикер
 
Аватар для Piratcom
 
Регистрация: 16.02.2008
Сообщений: 1,710
Поблагодарил: 127
Поблагодарили 268 раз в 177 сообщениях
Piratcom стоит на развилке
По умолчанию

Новейшие POS терминалы, такие как например VeriFone Vx675 имеют защиту:
Сертификат PCI PTS 3.0, сертификат EMV, поддержка решений безопасности VeriFone VeriShield


EMV

EMV (Europay, MasterCard и VISA) — международный стандарт для операций по банковским картам с чипом. Этот стандарт разработан совместными усилиями компаниями Europay, MasterCard и Visa, чтобы повысить уровень безопасности финансовых операций.

Основное отличие для пользователя карты стандарта EMV, это требование ввода пин-кода при проведении любого платежа через терминал (например, в магазинах, ресторанах).

Стандарт EMV определяет физическое, электронное и информационное взаимодействие между банковской картой и платёжным терминалом для финансовых операций. Существуют стандарты, основанные на ISO/IEC 7816 для контактных карт, и стандарты ISO/IEC 14443 для бесконтактных карт.

Первый стандарт для платёжных карт был создан во Франции в 1989 году и назывался Carte Bancaire B0' стандарт. Также стандарт Geldkarte в Германии предшествовал EMV. EMV полностью совместим с этими двумя стандартами. Франция перевела все карты выпускаемые на территории страны на стандарт EMV.

Наиболее распространенные вариации стандарта EMV:
VSDC — VISA;
MChip — MasterCard;
AEIPS — American Express;
J Smart — JCB;

Основные преимущества — повышенный уровень безопасности транзакций и возможность более точного контроля транзакций в «оффлайн». Одна из целей EMV — повысить функциональность карт (например, платежная карта с электронным проездным).

Повышенный уровень безопасности обеспечивается за счёт ухода от визуального контроля (проверка продавцом голограммы, подписи, сверка имени с удостоверением личности) к использованию ПИН кода и криптографических алгоритмов, таких как DES, Triple-DES, RSA и SHA для аутентификации карты. Время проведения транзакции сопоставимо с онлайновыми транзакциями.

Новый уровень безопасности позволил банкам и эмитентам карт перенести ответственность за утерянные средства таким образом, что теперь (с 1 января 2005 года в ЕС) торгующие организации несут ответственность за мошеннические транзакции, совершенные при помощи систем, не поддерживающих стандарт EMV, а при использовании карт стандатра EMV ответственность ложится на владельца карты, если он не сможет доказать, что не присутствовал при совершении транзакции, не давал разрешение на транзакцию и не раскрыл PIN-код третьим лицам.

Перехват ПИН кода и клонирование магнитной записи карты делают возможным снятие с нее наличных в POS-терминале (банкомате). Были прецеденты успешных атак!

VeriShield Protect Frequently Asked Questions инфо на англ. языке [Ссылки могут видеть только зарегистрированные пользователи. ]


Если вас мучает совесть по ночам - спите днем!
------------------------------------------------------------
Если ты обманываешь людей, будь готов к тому что когда - нибудь тебе придётся сесть в тюрьму...
Piratcom вне форума   Ответить с цитированием
Старый 16.10.2012, 19:07   #4
spiki
гость
 
Регистрация: 13.08.2009
Сообщений: 144
Поблагодарил: 10
Поблагодарили 17 раз в 13 сообщениях
spiki стоит на развилке
По умолчанию

кто вкурсе как вбивают информацию об собственнике постика, или он получает из центра?
spiki вне форума   Ответить с цитированием
Старый 16.10.2012, 19:52   #5
old
Заблокирован
 
Аватар для old
 
Регистрация: 06.03.2012
Адрес: человек мира
Сообщений: 328
Поблагодарил: 40
Поблагодарили 55 раз в 43 сообщениях
old стоит на развилке
По умолчанию

Эта инфа идет с сервера процесингового центра.....
old вне форума   Ответить с цитированием
Старый 27.10.2012, 13:30   #6
Чиполка
редкий гость
 
Регистрация: 11.04.2012
Сообщений: 64
Поблагодарил: 7
Поблагодарили 2 раз в 2 сообщениях
Чиполка стоит на развилке
По умолчанию

а кто может рассказать про разбор корпусов?
Чиполка вне форума   Ответить с цитированием
Старый 02.12.2014, 20:10   #7
g3d
гость
 
Аватар для g3d
 
Регистрация: 03.01.2010
Сообщений: 246
Поблагодарил: 654
Поблагодарили 28 раз в 19 сообщениях
g3d стоит на развилке
По умолчанию

есть доступ к этому прибору, уже настроенному и в работе, также есть возможность в нём поковыряться. что можно замутить интересного, изучая его изнутри (по,железо) ?
g3d вне форума   Ответить с цитированием
Старый 19.12.2014, 10:26   #8
AliStark
Модератор
 
Аватар для AliStark
 
Регистрация: 16.08.2014
Адрес: Красное море
Сообщений: 255
Поблагодарил: 23
Поблагодарили 139 раз в 93 сообщениях
AliStark имеет захватывающую ауруAliStark имеет захватывающую ауруAliStark имеет захватывающую ауру
По умолчанию

Я вскрывал когда то 3 штуки
там достаточно простая защелка на нижней крышке
сам контакт на верхней на размыкания

Чем то на взрыватель противопехотки похож
У меня есть мнение что если хорошенько накачать
парами цианакрилата, ака суперклеея - механизм слипнется
и не отстрелисться !!!
Но правда и клаве пин пада придет пиздец, придется менять резину и/или чистить контакты клавы

Хорошо бы выяснить при срабатывании - сразу идет пакет с сигналом
тревоги на процессинговый центр или все же идет отметка во флеш/еепром
и уже все последующие транзакции будут с палевной пометокй

Во втором случае (если в еепром) было бы кууууда проще!
GSM снифак достаточно не сложно сделать при условии близкого расположения к ПОСу
Можно заняться, да и даже нужно!

Но помеому лучше всего 3д принтер....

================================================== =
А ни у кого кишок не осталось ? хочу конкретно изучить протокол чтения чипа
и весьма не исключено, что найду решение
Мне так и так с бокорезами на заправку идти


Если вас провцируют на НЕ содержательный разговор, сообщениями
НЕ несущими смысловой нагрузки, КОРМЯ провокационной

- НЕ ОТВЕЧАЙТЕ !, пишите нам !
тыкнуть "БАН" проще чем чистить грязь !


Хочется срача ? / Инет принимаете за реальную жизнь ?
- соц сети ваш выбор !
AliStark вне форума   Ответить с цитированием
Старый 05.02.2015, 13:54   #9
Heddy
случайно влез
 
Аватар для Heddy
 
Регистрация: 05.02.2015
Сообщений: 6
Поблагодарил: 0
Поблагодарили 3 раз в 3 сообщениях
Heddy стоит на развилке
По умолчанию

Цитата:
Сообщение от AliStark Посмотреть сообщение
Я вскрывал когда то 3 штуки
там достаточно простая защелка на нижней крышке
сам контакт на верхней на размыкания

Чем то на взрыватель противопехотки похож
У меня есть мнение что если хорошенько накачать
парами цианакрилата, ака суперклеея - механизм слипнется
и не отстрелисться !!!
Но правда и клаве пин пада придет пиздец, придется менять резину и/или чистить контакты клавы

Хорошо бы выяснить при срабатывании - сразу идет пакет с сигналом
тревоги на процессинговый центр или все же идет отметка во флеш/еепром
и уже все последующие транзакции будут с палевной пометокй

Во втором случае (если в еепром) было бы кууууда проще!
GSM снифак достаточно не сложно сделать при условии близкого расположения к ПОСу
Можно заняться, да и даже нужно!

Но помеому лучше всего 3д принтер....

================================================== =
А ни у кого кишок не осталось ? хочу конкретно изучить протокол чтения чипа
и весьма не исключено, что найду решение
Мне так и так с бокорезами на заправку идти


Друже а можешь по подробнее про gsm сниффер ? Испытывал? Дамп с поса идет в такой же кодировке как и пин или нет?
Heddy вне форума   Ответить с цитированием
Старый 13.02.2015, 07:51   #10
AlexRSB
случайно влез
 
Регистрация: 24.04.2013
Сообщений: 23
Поблагодарил: 2
Поблагодарили 1 раз в 1 сообщении
AlexRSB стоит на развилке
По умолчанию

Цитата:
Хорошо бы выяснить при срабатывании - сразу идет пакет с сигналом
тревоги на процессинговый центр или все же идет отметка во флеш/еепром
и уже все последующие транзакции будут с палевной пометокй

локально. потом пос вместо загрузки выдает ошибку tampered.
AlexRSB вне форума   Ответить с цитированием
Ответ

Метки
pos, терминал


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вело-терминалы hrdcr Пластиковые карты 1 02.09.2014 18:33
[Вопрос] Лоторейные терминалы! Ilyas.k Всё по теме электронного взлома 3 20.03.2014 01:59
POS-терминалы Zloymudvin Пластиковые карты 35 27.11.2012 18:55


Текущее время: 12:01. Часовой пояс GMT +4.


Перевод: zCarot