bank "Madrock

Tag: bank

DUKPT Opis i notatki transakcji

przez Derek na Jun.22, 2009, pod Bankowość i Eftpos

Witam,

Ostatnio questing zwrócono na inne stanowisko w odniesieniu do DUKPT. Biorąc pod uwagę Mam mnóstwo materiałów na ten temat myślałem, że stworzenie tego wątku. Link

Wrócę na pewnym etapie i rozwinąć ten czas, kiedy mogę.

Transakcji procesu narracji:

Diagram opisuje mobilnych terminali / ATM jest opisane w AS2805 ('2805 ') typ wiadomości i 3DES DUKPT i podwójnego SSL auth kierunku od terminala do aquirer (przełącznik transakcji).

Dobre wyjaśnienie DUKPT można również znaleźć w Wikipedii .

Schemat przepływu

DUKPT transaction flow - terminal to bank

transakcję DUKPT - terminal do banku

informacje dodatkowe:

Terminal ATM lub najpierw szyfruje użytkownik wprowadzi kod PIN (może to być unikalny DUKPT kluczowe lub statyczny, w zależności od modelu i banków, których) przed włączyć go do 2805 AS wiadomość transakcji.
Wiadomość jest następnie ponownie szyfrowane przy użyciu klucza DUKPT, która została ustanowiona przez proces logowania handlowej w aquirer Host Security Module (HSM), czyli użytkownik wprowadzi PIN jest szyfrowany oddzielnie i otoczonych DUKPT szyfrowany 2805 wiadomości w celu zapewnienia pełnego szyfrowania wiadomości.
Na schemacie uwierzytelniania dwóch oddzielnych sesji SSL jest także używany między terminalem / ATM oraz infrastruktury aquirers. Ten pozwala transakcji w tym pin przemierzać zewnętrznych przewodowy / GPRS / WLAN w ciągu 2 niezależnych warstw podstawowych szyfrowania, z 3 ^rd ochrony PIN.
Kiedy transakcja przedostaje się do środowiska aquirer warstwy hermetyzacji wiadomości przekazanych przez SSL jest removed.Â to pozostawiając DUKPTâ € ™ ed 2805 komunikat, który również łączy w sobie oddzielnie szyfrowany PIN.
Tego zaszyfrowaną wiadomość przekazywana jest do silnika poprzez przełącznik aquirer do aquirer w HSM do deszyfrowania 2805 wiadomości, z wyłączeniem użytkownik wprowadzi kod PIN.
Transakcji, gdy jest to niezbędne informacje dla aquirerâ € ™ s sprawozdawczości handlowych (ścięty numer karty, kwota transakcji, rodzaju transakcji, itp.) oraz zarządzanie danymi oszustwa są zbierane.
Przełącznik aquirer następnie przekazuje zaszyfrowany kod PIN w celu HSM aquirer prośbą o PIN być rozszyfrowane za pomocą aquirer's szyfrowania PIN i przetłumaczone na następne banki (Bank 1) PIN Encryption Key (tłumaczenie Pin występuje tylko w HSM aquirer) To jest to przesyłane z powrotem do aquirer silnika Switch jako banku 1 szyfrowany PIN.
Wyłącznik silnika aquirer następnie wysłać rozszyfrował 2805 wiadomości z nowo szyfrowany PIN powrót do HSM aquirer być szyfrowane z 1 Bank klucz MAC.
Uzyskana Bank 1 klucz zaszyfrowaną wiadomość zostanie wysłana do banku 1 do przetworzenia i / lub przejścia do wystawcy karty (za pomocą podobny proces, jak opisano powyżej).
Gdy wynik jest z powrotem otrzymał od banku wydającego jest szyfrowany z 1 Bank klucz MAC (pin nie będzie obecny w wiadomości wynik).
Jest to następnie odszyfrowane przez HSM aquirer, wynik los transakcji przechowywane w aquirer system sprawozdawczości i handlowych transakcji los ponownie szyfrowane oryginalnego klucza DUKPT aquirer (powinny być inne na terminal / sprzedający przykład), a wynik przesyłane z powrotem do terminal przez pierwotnego ustalono szyfrowanego połączenia SSL terminal.

Aquirer może zakończyć połączenie SSL na urządzeniu sprzętowych, takich jak Cisco Content Service Switch (CSS) lub równoważny zamiast opisywanego na rysunku, który kończy się na sesji serwera SSL / bramki (w tym możliwe Certificate Authority) lub przełącznika transakcji aquirer.

PIN, gdy bloki są odbierane przez centrum przetwarzania aquirer, szyfrowania PIN jest tłumaczony z terminala) przez Host Security Module (HSM), aby lokalne Master Key (LMK.

Gdy wiadomość jest wysyłana na wyżej link interchange banku emitenta lub bramy, HSM aquirer przekłada szyfrowany blok PIN z LMK do strefy Master Key (ZMK) związku wymiany aquirer. Bloku PIN jest zawsze szyfrowane przy użyciu DEA3 (3DES), gdy na zewnątrz Terminal lub ATM.

HSM-8000-Instrukcja obsługi V2.2

Syetms EFT Uwagi i urządzeń

przez Derek na Aug.05, 2008, w ramach Bankowość i Eftpos , bezpieczeństwa

EFT urządzenia i systemy różnią się w zależności od producenta sprzętu, kraju i banku / agregator płatności.
Poniżej znajduje się lista rzeczy, może ci się do rozważenia. Lista ta jest z góry w mojej głowie więc to chyba nie jest kompletna.

Patrząc na nas produktów i relacji zazwyczaj dobry początek.

Rzeczy do rozważenia:

Karta szumiące metod
Niektóre urządzenia EFT POS ograniczyć połączenia skimmer
Przegląd poziomu oszustw związanych
Przegląd urządzeń i metod EFT
Przegląd terminal identyfikacji (kupca i klienta)
Ręcznego przetwarzania danych. (Wewnętrznych i zewnętrznych)
Produkty eCommerce
Oprogramowanie PC
Usługi dedykowane serwer (Nobil, itp.)
Internetowych silnika (Obiekty użytkownika, Web pop-upy, itd.)
Upoważnienie / metody identyfikacji (Kupiec i klienta)
przechwycenia sesji TCPIP / spoofing sesji
Polecenia zapłaty, a także karty kredytowe.
Swift (metod i kontroli)
transfer Telegraficznej (metody i kontroli)
relacje kanałów płatności (np. płatności Tech, obróbki ręcznej, sprawdź skanowania, itp.)
Wyposażenie Bankowość internetowa (atak / penetracji, świadectwa rejestracji / zarządzanie, ISP SLA, itd.)
Wdrażanie kart inteligentnych i / lub innych urządzeń uznanie klientów.
Outsourcing i związanego z nimi ryzyka / Umowy o poziomie usług
przetwarzania płatności
rozliczenia płatności
Płatności przełączania
Sprawozdawczym (segregacji handlowych / klientów / agregatory / partnerów / local / międzynarodowych)
wykrywania nadużyć finansowych i sprawozdawczości
3rd party ryzyko nabycia
Jednego ID wiele firm handlowych
Pozwala sum pieniężnych do prania, czy agregator płatności nie miejsce odpowiednie kontrole handlowych.
Szyfrowania
Internet / zaufanego partnera / międzybankowym / extranet
Prywatne lub publiczne certyfikaty
Jednolitego stosowania certyfikatów
certyfikatów po stronie klienta
procesów platnosci i kontroli.
usuwania skutków awarii i ręczne procedury EFT powrót spadek (związanych z zagrożeniami dla bezpieczeństwa i pojednania)
Trusted partnerskich relacji, SLA, zobowiązań i ryzyka.
EFT regulacyjnych / prawnych (między bankami i rząd)
Zwrot przetwarzania / zezwolenia. (Zasady, procedury kontroli, itp.)
CVV CVV-2 / CVC-2 przetwarzania i zarządzania. (Http://www.atlanticpayment.com/CVV.htm)
mechanizm wykrywania nadużyć finansowych (sieci neuronowe, między bankami / departament kontroli klienta, itp.)
Obsługiwane systemy kartowe (AMEX / Visa / Mastercard / muzykę / etc)
Przegląd limitów EFT piętrze (korporacyjnych oraz małych i średnich kupców)
Przegląd możliwości wstrzymania rozliczenia kupca do występowania oszustw została ustalona.
Szczegóły Review identyfikacji klienta. Takich jak (ten waha się na całym świecie w zależności od lokalnych przepisów / ustaw prywatności)
Przegląd w czasie rzeczywistym i dozowane metod przetwarzania i kontroli (numery sekwencji, dostęp do surowych danych, itp.)
Przegląd przetwarzania i bez daty ważności. (Wyjątkiem kontroli i polityki)
wyjątkiem przeglądu / raporty oszustw.
sklep płatności weryfikacja i polityki do przodu i procedur.
Pre-Auth przeglądu i kontroli Zakończenie.
Token na płatności (Ecash, itp.)
Merchant pojednania, sprawozdawczości i kontroli (papier, Internet, e-mail, PDF, faks, itp.) i związane z bezpieczeństwem.
Brutto w czasie rzeczywistym polityki rozliczeń, procedur i kontroli. (IT i kwoty)
Wydawania kart i procedur. (ID klienta, kontroli, itp.)
infrastruktury bankowe (ingres / wyjście), kontroli i bezpieczeństwa. (Web, partner, przełączniki płatności, outsourcingu infrastruktury, monitorowania / raportowania.)
Wykorzystania technologii Internet do transferów między bankami i urządzenia zdalnego.
Ochrony fizycznej i kontroli urządzeń, ATM, s, szyfrowanie pliku line, itp.

more... Zostaw komentarz : dostęp , atak , zezwoleń , bank , bankowe , karty , systemy kartowe , szumiące karty , świadectwa rejestracji , handel , firmy , kredytowych , uznanie klientów , CVV , danych , Debit , usuwania skutków awarii , EFT , szyfrowanie , sprzętu , identyfikacji , Ingres , międzynarodowe oszustwo , Internet , ISP , handlowców , klientów, handlowcy , ceny , sieci , partnerskie relacje , płatności , rozliczenia płatności , prywatności , przetwarzania danych , zarządzanie rejestracji , sprawozdawczości , bezpieczeństwo , serwer , umowy o poziomie usług , rozliczenia , Shiraz , Skimmer , SLA , kart inteligentnych , wsparcia , SWIFT , TCPIP , transfer telegraficzny , VISA , web więcej ...

Ocena zabezpieczeń w bankowości Internet

przez Derek na Aug.05, 2008, w ramach Bankowość i Eftpos , bezpieczeństwa

Poproszono mnie jakiś czas temu, jakie rzeczy można uznać patrząc Internet Banking.

Poniżej znajduje się lista rzeczy, które można uznać. To był tylko dump mózgu i jako takie nie mogą być niepełne.

Nie doceniać wartości standardowe dla infrastruktury, konfiguracja strony, konfiguracja silnika bazy danych / architektura, inscenizacja środowiska i rozwoju / środowiskach jakości.

Kilka myśli:

Wielu z nich nie zablokować konta logowania po X nie jest to zazwyczaj robione dla dobrej obsługi klienta, ale pozostawia system podatny.

- I wszystkie inne rzeczy spodziewać zdalnej sesji logowania (wymuszone zmiany haseł, starzenia się, itp.))
- Narzędzia takie jak Brutus mogą być używane do brutalnej siły hack uwierzytelnionych sesji.

Wiele pozwolić numery sekwencji sesji jest zwiększona, dzięki czemu użytkownik uwierzytelniony w celu wyświetlenia innych sesji klienta.

- Mogą to być po stronie serwera, po stronie klienta, cookie, itp.
- Dlaczego ktoś sprawdzić metodologii tworzenia i kod używany.
- Ciągi zapytań w bazie mogą być wprowadzone do pola wejścia test, pozwalający wysypisk tabeli do przeglądarki.
- Sprawdź, czy wszystkie strony serwowane są bezpieczne i zawierają flagi uwierzytelniania użytkowników.

Dane klientów nie mogą być rozdzielone, to musi być sprawdzone.
Dane klientów nie powinny znajdować się na Web Server.

bazy danych uwierzytelniania / danych system nie powinien znajdować się na serwerze.
Bazy danych powinny znajdować się na prywatnej / network półprywatne.

- Inny segment do głównego systemu bankowego.

Serwera powinien być podwójny adresie IP lub równoważne (niektóre techniki są dobre VLAN)

- Oddzielny prywatnych i publicznych karty sieciowe, monitoring / backup / administracja
- Infrastruktura konfiguracji wyraźnie zaprzecza przychodzących / wychodzących portów, prywatne IP i monitoring ucieczki z sieci.

We wszystkich punktach segregacji danych zapewniają przepisy są w miejscu, które docenia jednak, że punkt ruchu.

Wszystkich danych klienta w miarę możliwości powinien być pozyskiwany z bezpiecznej bazie danych typu back-end.

- To może być środowisku próbnym. tj. nie ma głównego systemu bankowego.
- To zwykle pozwala na transakcji do stawienia się w czasie rzeczywistym do klienta.
- Wiele transakcji mogą być zgrupowane w rzeczywistości. (Wewnętrznego lub zewnętrznego do banku)

Zapewnić odpowiednie przepisy były w konfiguracji firewall.

- Należy przychodzących i wychodzących reguł firewall i filtrowanie na routerach.

Nie dopuszczać, infrastruktury na przód, aby umożliwić zdalne połączenia administracyjnych. (Telnet, itp.)

- Korzystanie z portem szeregowym do łączenia się z serwerem lub back-end serwera terminali.

Sprawdzić segregacji / inscenizację treści online klienta z głównych systemów bankowych

Zapewnienia oddzielnego rozwoju / QA / system ochrony środowiska i odpowiedni proces produkcji jest na miejscu.

Usługi nie są wykorzystywane przez system są aktywne

- Powinny być one wyłączone.

Skanowanie portów i infrastruktury wspierającej (routery / przełączniki) i serwer (y).

- Zbadać przyczyny wszystkie otwarte porty.

Nie stosować głównej bramy dla zaufanych dostęp partner (wyczyszczenie / RAS / itp.)
Zrobić wszystko, standard IIS kontroli i kontroli NT (przykładowe skrypty, zarządzanie zmianami, łatanie metodologii, itp.)
Zapewnienie odmowa usługi ostrożności zostały uwzględnione wszystkie infrastruktury i urządzeń serwerowych.
Sprawdzić prawidłowość procedury eskalacji stosowane.

- Spójrz na monitorowanie w czasie rzeczywistym i alarmowania.
- Sprawdzić matrycy odpowiedzialność.
- Sprawdzić własności kwestii.

Rozważyć upstream przewoźnika (-ów) zagrożenia (denial of service, spoofing IP, DNS hacking, itd.)
Rozważyć inżynierii społecznej klienta, administracyjnych, finansowych partner / systemów / infrastruktury.

- Procedury i polityki Helpdesk i / lub technologii alternatywnych (Caller ID, IP bramy, itp.).

Korzystać z dynamicznych haseł w miarę możliwości (SecureID, TACACS, itp.).
Użyciu zaszyfrowanych tuneli w razie potrzeby (IPSec, firewall 1 itp.)
Zastanów się patrząc na innych metod uwierzytelniania klienta w celu wzmocnienia istniejących metod.

- Cert Digital, adres IP ustawiony na konto, itp.
- Rozważyć możliwość wykorzystania CVV lub CVN na bank wydaje karty.

Rozważyć, w jaki hasła są rozdzielone / zmiana dla klientów.

- Zwykły tekst e-mail, telefon, itp.
- Czy można zmienić hasła online?

Dodatkowej autoryzacji używane jest między sekcjami usług raz poświadczone?
Zastanów się, co klient ma dostęp do raz potwierdzona.

- Spójrz na SWIFT, RTGS, między bankowe, dostęp do karty kredytowej, itp.
- Jeśli atakujący wejść na stronę, co można zrobić?

Wykorzystanie technik w celu zapewnienia, stron, danych klienta nie są buforowane na ISP, lub system klienta.

- To są flagi, które można ustawić w stron.
- Normalnie SSL jest buforowana, ale niektóre pełnomocnictwa sprzedawcy grają z techniki do tego.
- Buforowanie stron z SSL w systemie klienta może być włączone w niektórych przeglądarkach.
- Banki mogą korzystać z Java (lub podobny) programik dla wszystkich interakcji z klientem, ograniczenie wszelkich kwestii buforowania.

Zapewnienie na papierze i on-line dostępne są klauzule dotyczące odpowiedzialności są kierowane do wszystkich obszarach dotkniętych.
Zapewnienia w ramach rejestracji klienta bankowości proces odpowiedzialność jest ograniczona.

- Widziałem stwierdzenia typu "korzystać z tego systemu na własne ryzyko, odpowiedzialność za jakiekolwiek zobowiązania lub roszczenia nie ... ..."
- Nie bardzo skoncentrowani na kliencie, ale to, co ich działu prawnego zalecane.

Wszystkie powyższe może mieć wpływ na bezpieczeństwo i / lub funkcjonowania systemu bankowego on-line.

Inne rzeczy do rozważenia:

rozwój zewnętrzny i poparcie wniosku.
Własności i zarządzania sprzętu / aplikacji
punktów Publishing na nowe treści (wewnętrzny / private / lub zaufanych sieci Internet)
Topologii przodu tj. end.Â Architektura zabezpieczeń dokument powinien być na miejscu i odpowiednio zarządzane.
Są ograniczone testy AP wykonywane zawsze w przypadku zmiany w środowisku? czyli zintegrowany AP w procesie zmian zarządzania.
Dostęp do baz danych. Jest buforowane czy też żyć z podstawowych systemów bankowych.
Jakie narzędzia zostały dostarczone? Polecenie zapłaty kartą kredytową + + + SWIFT ... .... Rozważyć różne scenariusze dla ataku w zależności od funkcji.
Jakie inne usługi są udostępniane w segmencie sieci Internet Banking jest uruchomiona usługa. To może być wykorzystane do kompromisu stronie internetowej bankowości. np.. różnych support / biznes / organizacji rozwoju, z różnych strategii bezpieczeństwa / profiles.
Rozważenia wszystkich zewnętrznych usług wsparcia w was AP. Spójrz na wewnętrzne / zewnętrzne DNS możliwości zatrucia, przekazywanie poczty, itp. Co zrobić w IPS wykorzystują ISP ma jakiejkolwiek możliwości dostępu do systemów lub usług pomocniczych, które mogą mieć wpływ na Internet Banking.
W zależności od wielkości banku, wiele organizacji nie należy używać tych samych grup wsparcia dla infrastruktury i aplikacji. W wyniku połączenia zewnętrzne do infrastruktury mogą być przewidziane zewnętrzne wsparcie organizacji do zarządzania infrastrukturą.
Spojrzenie na biznes i metod uwierzytelniania użytkowników i ścieżek (certyfikatów po stronie klienta, ID bezpieczne, Smart Card, itp.). Rozważmy dwa uwierzytelniania i nowoczesne metody identyfikacji użytkownika. np.. Jakie jest Twoje ulubione jedzenie oprócz normalnych nazw użytkownika i haseł. Czy pracownicy administracji, korzystać z dynamicznych haseł (SecureID, itp.)?
Sprawdzić, czy aplikacja Internet Banking wysyła e-mail do użytkownika, które mogą zawierać ciekawe informacje.
Lepszy dostęp do aplikacji mogą być zazwyczaj uzyskane od dostępu do systemu. tj. uzyskać uzasadnione konto w systemie. Przekonałem się, że niektóre próbki / ekrany administracji zostały ograniczone do uwierzytelnionych użytkowników.
Rozważyć inżynierii społecznej Help desk do resetowania hasła konta.

more... 7 Komentarze : dostęp , konta , infrastruktury, administracji , architektury , atak , uwierzytelniania , autoryzacji , bank , bankowość , system bankowy , brutalnej siły hack , Brutus , karty , kredytowe , CVV , danych , Debit , DES , rozwoju , metod rozwoju , cyfrowe , DNS , EFT , środowiska , hack , Hacking , sprzętu , identyfikacji , infrastruktury internetowej , Internet , ipsec , ISP , JAVA , Mall , sieć , online , hasła , patch , Łatanie , telefon , Pin , Relay , zdalne logowanie , skryptów , bezpieczeństwa , architektury bezpieczeństwa , serwera , uwierzytelniania serwera , Shiraz , karty chipowej , inscenizację , wsparcia , SWIFT , technika , telnet , tekst , transakcji , uwierzytelnianie , wrażliwość , wrażliwe , web więcej ...

Bankowość Mobile Security Uwagi i oceny ryzyka

przez Derek na Aug.05, 2008, w ramach Bankowość i Eftpos , bezpieczeństwa

Rozważając Mobile Security bankowe i związane z nimi ryzyko, podejścia do oceny zależy w dużym stopniu od rozwiązania tworzone lub świadczone.
Ogólnie podejście opiera się na wspieraniu i warstw otaczających standardów technologii i technik.

Oto kilka rzeczy do rozważenia.

oceny stanu bezpieczeństwa na ogół skupia się na dwóch głównych rzeczy.

1 / Czułość danych
Co jest wysyłany. np.. PIN, numery kart kredytowych, salda konta, adres domowy, numer konta bankowego, itp.
Dane nie mogą być wrażliwe na bank, ale mogą być uznane przez klienta za wrażliwe.
etc ... ... ....

2 / możliwość dostępu do danych.
Co medium jest używany?
Czy łatwo jest hack?
Co szyfrowania jest używany?
Są wszystkie ścieżki dane są bezpieczne (klienta i back end)?
Czy istnieje 3rd party udział w przełączanie transakcji?
etc ... ... ...

Rzeczy do rozważenia:

Pin resetuje wysyłane SMS do klienta, nie powinien być stosowany jako jedyny sposób dostępu do kont. Dodatkowe konkretnego klienta (ewentualnie statyczny) przekazać słowa / frazy powinny być wykorzystywane w uzupełnieniu do dynamicznie generowane pin. SMS może być powąchał (w zależności od sposobu i lokalizacji).
WAP, jeśli jest używany, wszystkie urządzenia są zdolne do szyfrowania? Jeśli urządzenia nie ma możliwości szyfrowania, mamy odmówić dostępu do tych urządzeń? Jeśli na stronie klienta JAVA lub inteligentne urządzenie (win CE, itp.), zapewnienie to nie może być naruszona przez trojana oraz inne techniki rejestrowania.
Organizacja ma za certyfikaty po stronie klienta w celu sprawdzenia urządzenia przed transakcji są akceptowane? Zastanów się wiele urządzeń i metod identyfikacji użytkownika (w dużym stopniu zależne rozwiązanie).
Najbardziej mobilnych terminali POS szyfrowania klient wpisuje numer PIN, ale nie szyfruje wszystko w tej transakcji. Jeśli medium transmisji jest naruszona, należy rozważyć, czy szyfrowania może być pęknięty i jeżeli niezaszyfrowane dane wrażliwe. Rozważyć dodatkowe stosowanie szyfrowania danych hermetyzacji tj. wszystkich szyfrowanie (SSL, IPSec) lub skorzystać z terminala, który wykorzystuje pochodne kluczem za każdą transakcję (DUKPT).
Wiele aplikacji bankowych zostały naruszone przez typowe hacki takie jak uprowadzenie sesji SQL injection, nie losowe klucze sesji (po stronie klienta i po stronie serwera), etc ... Te typowe hacki należy rozważyć w swoim Secure SDLC i procesów QA po sobie sprawę z stosowanej technologii i / lub wykorzystane.
PBX i systemy okablowania przełącznic mogą mieć urządzenia podłączone do zbierania transakcji. Urządzenia bezprzewodowe są obecnie podłączone do tych systemów. Atakujący siedzi w samochodzie na parkingu na zewnątrz. To jest często wykonywane w super rynków.
bramy Wireless transakcji, jeżeli nie są szyfrowane są łatwo pobierane przez nikogo w zasięgu sieci bezprzewodowej. Bezprzewodowej 802.11 i inne / podczerwieni wykorzystywane są media (ocena technologii i medium używane).
Czy organizacja dynamiczna klucze do użytkowników telefonów komórkowych? Istnieje kilka bardzo niskie koszty SecureID typu rozwiązań dostępnych obecnie, ale klienci muszą mieć tych urządzeń na nich, gdy chcesz zrobić transakcję.

more... 1 Komentarz : dostęp , konta , atak , bank , bankowe , karty , kredytowe , dane , DUKPT , hermetyzacji , szyfrowanie , hack , identyfikacji , iniekcji , inteligentne urządzenie , ipsec , JAVA , klucz rejestracji , bankowości komórkowej , Pin , bezpieczeństwo , serwer , Shiraz , SMS , SQL injection , norm , wsparcia , technika , technologia , transakcji , transmisji , typ więcej ...

Breaking PIN VISA

przez Derek na Jul.02, 2008, w ramach Bankowość i Eftpos

Poniżej znajduje się artykuł znalazłem niedawno. To jeden z najbardziej wyczerpujące opisy PIN Weryfikacja jakości (PVV) hacking.

Myślałem, że powielanie go tutaj dla mojego lokalnego odniesienia.

Jako swoje uwagi dotyczące gramatyki używane w oryginalnym tekście, mam poprawione niektóre oczywiste błędy przy jednoczesnym zachowaniu związku z oryginalnego materiału.

http://69.46.26.132/ ~ biggold1/fastget2you/tutorial.php

--- Tekst oryginalny ----

Przedmowa
Czy kiedykolwiek zastanawiałeś się, co się stanie, jeśli zgubisz kartę kredytową lub debetową, a ktoś uzna. Czy ta osoba jest w stanie wypłacić gotówkę z bankomatów w niepewności, w jakiś sposób swój PIN? Ponadto, jeżeli ktoś, kto znajdzie się karty byłoby spróbować odgadnąć PIN i podejmuje szansę zdobyć łatwe pieniądze? Oczywiście odpowiedź na oba pytania należy "nie". Praca ta nie zajmuje się drugie pytanie, to kwestia etyki osobistej. Niniejszym postaram się odpowiedzieć na pierwsze pytanie.

Wszystkich informacji wykorzystanych do tej pracy ma charakter publiczny i mogą być swobodnie znaleźć w Internecie. Reszta to kwestia matematyki i programowania, w ten sposób możemy nauczyć się czegoś i dobrze się bawić. I nie ujawniają tajemnice. Ponadto, w celu (i ostatecznych wniosków) tej pracy jest wykazanie, że algorytmy PIN jeszcze wystarczająco silny, aby zapewnić wystarczające bezpieczeństwo. Wszyscy wiemy, technologia nie jest słaby punkt.

Niniejszej analizy pracy jeden z najpopularniejszych algorytmów PIN, VISA PVV, używane przez wielu kart bankomatowych (karty kredytowe i debetowe) i próbuje dowiedzieć się, jak odporny jest PIN zgadywania ataków. Przez "zgadywanie" nie mam na myśli wybór losowy PIN i próbuje go w ATM. Jest dobrze wiadomo, że na ogół daje nam trzy kolejne próby, aby wprowadzić prawo PIN, jeśli nie uda nam ATM trzyma karty. Visa PIN czterocyfrowy długo można łatwo wywnioskować, że szanse na losowe PIN zgadywanie jest 3 / 10000 = 0,0003, wydaje się wystarczająco niskie, aby być bezpieczne, to znaczy musisz tracić karty ponad trzy tysiące razy (lub utratę ponad trzy tysiące kart w tym samym czasie:) do istnieje uzasadnione prawdopodobieństwo utraty pieniędzy.

Co naprawdę oznacza "zgadywania" złamała algorytm PIN tak, że ze względu każdej karty można od razu poznać związane PIN. Dlatego ten dokument możliwość badania, analizy algorytmu i proponuje metodę ataku. W końcu dajemy narzędzie, które wykonuje atak i prezentacji wyników o szacunkowej szansą na obalenie systemu. Należy pamiętać, że tak długo, jak inne zabezpieczenie bankowych związanych algorytmów (inne formaty, takie jak IBM PIN lub PIN karty weryfikacji podpisów, takie jak CVV lub CVC) są podobne do VISA PIN, analiza samego można dokonać przynosi prawie takie same wyniki i wnioski.

VISA PVV algorytm

Jednym z najbardziej powszechnych algorytmów PIN PIN VISA weryfikacji jakości (PVV). Klient otrzymuje PIN i karty z paskiem magnetycznym. Wpisane w pasek magnetyczny to czterocyfrowy numer, zwany PVV. Ten numer jest kryptograficzne podpis PIN i innych danych związanych z kartą. Gdy użytkownik wprowadzi swój PIN w bankomacie odczytuje pasek magnetyczny, szyfruje i wysyła wszystkie informacje do centralnego komputera. Czy próba PVV jest obliczana za pomocą klienta weszła PIN i karty z algorytm kryptograficzny. Procesu PVV jest porównywana z PVV zapisane na karcie, jeśli mecz centralny komputer powraca do ATM zezwolenia na transakcję. Zobacz bardziej szczegółowo.

Opis algorytmu PVV można znaleźć w dwóch dokumentach związanych z poprzedniej strony. W skrócie polega ona na szyfrowanie a 8 bajtów (64 bitów) ciąg danych, zwany Transformed Security Parameter (TSP), z algorytmu DES (DEA) w trybie Electronic Code Book (EBC) przy użyciu tajnego klucza 64 bitów. PVV pochodzi z wyjścia procesu szyfrowania, który jest 8 bajtowy ciąg znaków. Cztery cyfry PVV (od lewej do prawej) odpowiadają pierwszych czterech cyfr (od lewej do prawej) wyjście z DES rozpatrywane jako 16 znaków szesnastkowych (16 x 4 bit = 64 bit) łańcuch. Jeśli nie ma cztery cyfr wśród 16 znaków szesnastkowych następnie PVV zakończeniu podjęte (z lewej) i bez znaków po przecinku decimalizing je za pomocą konwersji A-> 0, B-> 1, C-> 2, D -> 3, E-> 4, F-> 5. Oto przykład:

Wyjście z DES: 0FAB9CDEFFE7DCBA

PVV: 0975

Strategia unikania decimalization omijając znaków do czterech cyfr po przecinku znajdują się (co zdarza się prawie cały czas jak zobaczymy poniżej) jest bardzo mądry, ponieważ pozwala uniknąć stronniczości ważne w dystrybucji cyfry, które okazały się śmiertelne dla innych systemów, choć wpływ na ten system będzie znacznie niższy. Zobacz także związanym z tym problemem nie mające zastosowanie do VISA PVV.

TSP, widziana jako 16 znaków szesnastkowych (64 bit) string, tworzą (od lewej do prawej) z 11 cyfr z prawej strony PAN (numer karty), z wyłączeniem ostatniej cyfry (cyfra), jedna cyfra od 1 do 6 które wybiera szyfrowanie kluczem tajnym i wreszcie cztery cyfry kodu PIN. Oto przykład:

PAN: 1234 5678 9012 3445
Klawisz wyboru: 1
PIN: 2468

TSP: 5678901234412468

Oczywiście problem łamania VISA PIN polega na znalezieniu tajnego klucza szyfrowania DES. Metody to zrobić brute wyszukiwania życie klawisz spacji. Należy pamiętać, że nie jest to jedyna metoda, można było spróbować znaleźć słabość w DEA, próbowałem wielu, ale to stary standard jest jeszcze w powszechnym użyciu (obecnie zastąpione przez AES i RSA, chociaż). Świadczy to o tym jest odporny na tyle, że ślepa siła jest jedynym realnym metody (jest kilka lepszych ataków, ale nie praktyczne w naszym przypadku, na podsumowanie zob. Memo LASEC i brudne szczegóły patrz Biham i Shamir 1990, Biham i Shamir 1991 r., Matsui 1993 r., Biham i Biryukov Heys 1994 i 2001).

Klawisz wyboru cyfrowy było bardzo prawdopodobne, wprowadzone na pokrycie możliwość kompromitacji klucza. W takim przypadku po prostu musiał wydać nowe karty za pomocą innego klucza wyboru. Starsze karty mogą być zastąpione nowymi lub po prostu ATM można napisać nowy przejrzysty PVV (odpowiadające nowy klucz i zachowaniu tej samej PIN) następnym razem klient korzysta z jego karty. Dla shake bezpieczeństwa wszystkich użytkowników należy zwrócić się do zmiany kodów PIN, jednak byłoby to kłopotliwe dla banku do wyjaśnienia przyczyn, więc bardzo prawdopodobne, ponieważ nie złożenia takiego wniosku.

Przygotowanie ataku

Brute force polega na szyfrowaniu TSP PVV znany z wykorzystaniem wszystkich możliwych kluczy szyfrowania i porównać uzyskane PVV każdej ze znanym PVV. Gdy mecz jest znaleźć klucz mamy kandydata. Ale jak wielu kluczy musimy spróbować? Jak wspomniano powyżej, 64-bitowy klucz jest długi, oznaczałoby to, że musimy starać się 2 ^ 64 kluczy. Jednak nie jest to prawdą. Faktycznie tylko 56 bitów są skuteczne w kluczy DES, ponieważ jeden bit (najmniej znaczący) obecnie każdy oktet był historycznie zastrzeżone jako sumy kontrolnej dla innych, w praktyce te 8 bitów (po jednym na każdym z 8 oktetów) są ignorowane.

W związku z tym kluczowe miejsce DES składa się z 2 ^ 56 kluczy. Jeżeli spróbujemy wszystkich tych klawiszy znajdziemy jeden i tylko jeden mecz, co odpowiada bank klucz? Na pewno nie. otrzymamy wiele dopasowanych kluczy. Jest tak dlatego, PVV jest tylko niewielka część (jedna czwarta) część produkcji DES. Ponadto PVV jest zdegenerowane, ponieważ niektóre cyfry (tych od 0 do 5 po ostatnim, patrząc od lewej do prawej, cyfry pomiędzy 6 i 9) mogą pochodzić z dziesiątek lub decimalized szesnastkowym cyfry produkcji DES. W ten sposób wiele klawiszy spowoduje wyjście DES co daje tym samym dopasowania PVV.

To co możemy zrobić, aby znaleźć prawdziwy klucz Wśród innych fałszywych kluczy pozytywny? Po prostu mamy do szyfrowania drugiego różnych TSP, znany również z PVV, ale tylko przy użyciu kluczy kandydujących, które pozytywnie pasujące z pierwszej pary TSP-PVV. Jednak nie ma gwarancji, że nie dostanie znowu wiele fałszywych alarmów wraz z prawdziwym kluczem. Jeśli tak, to będziemy musieli trzeciej parze TSP-PVV, powtórzyć proces i tak dalej.

Zanim zaczniemy nasz atak musimy wiedzieć, ile par TSP-PVV będziemy potrzebować. W tym mamy do obliczenia prawdopodobieństwa losowych produkcji DES, aby uzyskać dopasowanie PVV tylko przez przypadek. Istnieje kilka sposobów obliczania tej liczby i tu użyję proste podejście łatwe do zrozumienia, ale wymaga pewnych podstaw matematyki prawdopodobieństwa.

Prawdopodobieństwem można zawsze postrzegać jako korzystny stosunek przypadków możliwych przypadków. Problem w naszym liczby możliwych przypadków jest przez permutacji 16 elementów (od 0 do cyfry szesnastkowe F) w grupie 16 z nich (z 16 cyfr szesnastkowych wyjściowego DES). Ten znajduje się o 16 ^ 16 ~ 1,8 * 10 ^ 19, które oczywiście zbiega się z 2 ^ 64 (różną liczbę 64 bitów). To zbiór liczb można podzielić na pięć kategorii:

Osób z co najmniej czterech cyfr (0 do 9) wśród 16 cyfr szesnastkowych (0 do F) z produkcji DES.

Z dokładnie tych tylko trzy cyfry po przecinku.

Z dokładnie tych tylko dwóch cyfr po przecinku.

Osób z dokładnie tylko jeden dziesiątek.

Osób bez cyfr po przecinku (wszystkie od A do F).

Policzmy, ile numerów spadek w każdej kategorii. Jeśli etykieta z 16 cyfr szesnastkowych wyjściowego DES jako X1 do X16 to możemy etykiety pierwszych czterech cyfr danej liczby pierwszej kategorii Xi, Xj, XK i XL. Liczbę różnych kombinacji w tym profilu jest przez Produkt 6 i-1 * 10 * 6J-i-1 * 10 * 6k-j-1 * 10 * 6 lk-1 * 10 * 1616-l, gdzie 6 ' s pochodzą z wielu możliwości do F-cyfrowy, 10 pochodzi z możliwości cyfry 0 do 9, i 16 pochodzą z możliwości 0 do F cyfry. Obecnie łączna liczba w pierwszej kategorii jest po prostu podane przez zsumowanie produktu nad i, j, k, l od 1 do 16, ale z i <j <k <l. Jeśli popracować matematyki widać to równa się iloczynowi 104 / 6 z sumowania się i od 4 do 16 (i-1) * (i-2) * (i-3) * 6i-4 * 16 16-i ~ 1.8 * 1019.

Analogicznie liczba przypadków, w drugiej kategorii jest przez zsumowanie nad i, j, k od 1 do 16 z i <j <k produktu 6i-1 * 10 * 6J-i-1 * 10 * 6k-j -1 * 10 * 616-k którym można się dogadać do 16! / (3! * (16-13)!) * 103 * 6 13 = 16 * 15 * 14 / (3 * 2) * 103 * 613 = 56 * 104 * 613 ~ 7,3 * 1015. Podobnie w przypadku kategorii trzeciej mamy podsumowanie nad i, j od 1 do 16 z i <j z dnia 6 i-1 * 10 * 6J-i-1 * 10 * 616-j, co równa się 16! / (2! * (16-14)!) * 102 * 614 = 2 * 103 * 615 ~ 9,4 * 1014. Ponownie, dla czwartej kategorii mamy ponad podsumowanie i od 1 do 16 z 6i-1 * 10 * 616-i 160 * 615 = ~ 7,5 * 1013. I wreszcie wysokości przypadkach, w piątej kategorii jest przez przestawienie się z sześciu elementów (od A do F cyfr) w grupie 16, które, 616 ~ 2,8 * 1012.

Mam nadzieję, że po obliczeniach do tej pory, część jest trudno zrobić. Teraz jako dowód, że wszystko jest w porządku możesz suma liczby przypadków, w 5 kategoriach i zobaczyć równa łącznej liczbie możliwych przypadków obliczyliśmy wcześniej. Czy do operacji z użyciem 64-bitowych liczb lub zaokrąglania (dla pływaków) lub przelewem (do liczb całkowitych) błędów nie pozwoli uzyskać dokładny wynik.

Do tej pory została przeliczona na liczbę możliwych przypadków, w każdej z pięciu kategorii, ale jesteśmy zainteresowani zdobyciem wielu przypadkach zamiast korzystne. Jest bardzo łatwy do uzyskania go od byłego jak to tylko ustalające połączenie czterech cyfr po przecinku (lub wymaganego cyfr szesnastkowych, jeżeli nie ma cztery cyfr) z PVV, zamiast pozwolić im wolne. W praktyce oznacza to obrót 10's w formule powyżej na 1 i wymaganej kwoty z 6 w 1 jest to jeśli nie ma cztery cyfr. Oznacza to, że musimy podzielić wynik przez pierwszy 104, drugi 103 * 6, a trzeci 102 * 62, czwarta z 10 * 63 i jeden piąte przez 64. Od liczby korzystnych przypadkach w pięciu kategoriach są około 1,8 * 1015, 1.2 * 1012 * 1011 2,6, 3,5 * 1010, 2.2 * 109 odpowiednio.

Teraz jesteśmy w stanie uzyskać to, co jest prawdopodobieństwo wyjścia na mecz DES PVV przez przypadek. Musimy tylko dodać pięć numerów korzystnych przypadkach i podzielić ją przez liczbę wszystkich możliwych przypadków. Ten sposób otrzymujemy, że prawdopodobieństwo jest bardzo ok. 0,0001 lub jeden z dziesięciu tysięcy. Czy to dobrze zaokrąglone dziwny wynik? Wcale nie, wystarczy spojrzeć na liczby, oblicza się powyżej. Pierwszej kategorii dominuje przez kilka rzędów wielkości liczbę przypadków korzystne i możliwe. To jest raczej intuicyjna, jak wydaje się jasne, że jest bardzo mało prawdopodobne, nie o czterech cyfr (10 z 16 szans na cyfrowy) spośród 16 cyfr szesnastkowych. Widzieliśmy wcześniej, że związek między liczbą przypadków korzystne i możliwe do pierwszej kategorii był podział przez 10 ^ 4, to gdzie nasz wynik p = 0,0001 pochodzi.

Naszym celem dla wszystkich tych obliczeń było dowiedzieć się, jak wiele par TSP-PVV musimy przeprowadzić udany atak "siłowy". Teraz jesteśmy w stanie wyliczyć spodziewaną liczbę fałszywych alarmów w pierwszej wyszukiwania: będzie to liczba prób razy prawdopodobieństwo dla jednej losowo fałszywie dodatni, tzn. p * t gdzie t = 2 ^ 56, rozmiar klucza przestrzeni. Stanowi to około 7,2 * 10 ^ 12, dość duża liczba. Spodziewanej liczby fałszywych alarmów w drugiej wyszukiwania (tylko do pozytywnych kluczy znalezionych w pierwszej wyszukiwania) zostanie (t * p) p *, dla trzeciej wyszukiwania będą ((t * p) p *) i * p tak dalej. Tak więc dla n wyszukiwania spodziewanej liczby fałszywych alarmów będzie t * p ^ n.

Możemy uzyskać liczbę wyszukiwań wymagane oczekiwać tylko jeden fałszywy wyrażając t równanie * p ^ n = 1 i rozwiązywania n. Więc n jest równa logarytm przy podstawie p = 1 / t, które ze względu na właściwości logarytmów to daje n = log (1 / t) / log (p) ~ 4.2. Ponieważ nie możemy zrobić ułamkową wyszukiwania wygodnie jest zaokrąglić w górę tej liczby. W związku z tym, co jest oczekiwane liczby fałszywych alarmów, jeśli wykonać pięć wyszukiwania? Jest t * p ^ 5 ~ 0,0007, czyli ok. 1 z 1400 roku. Tak więc za pomocą pięciu par TSP-PVV jest bezpieczny, aby uzyskać prawdziwy klucz, bez fałszywych alarmów.

Atak

Raz wiemy, że trzeba pięć par TSP-PVV, w jaki sposób je zdobyć? Oczywiście potrzebny jest przynajmniej jeden znany PIN z karty, a ze względu na charakter algorytmu PVV, to jedyną rzeczą, jakiej potrzebujemy. PIN z innych systemów, takich jak IBM, musielibyśmy pięć kart, jednak nie jest to konieczne z VISA PVV algorytmu. Musimy tylko do odczytu paska magnetycznego, a następnie zmienić PIN cztery razy, ale czytanie karty po każdej zmianie.

Należy zapoznać się z paska magnetycznego karty, aby uzyskać PVV i szyfrowanie kluczem wyboru. Możesz kupić czytnik paska magnetycznego handlowych lub zrobić samemu postępując zgodnie z instrukcjami można znaleźć w poprzedniej strony i linki w nim. Once you have a reader see this description of standard magnetic tracks to find out how to get the PVV from the data read. In that document the PVV field in tracks 1 and 2 is said to be five character long, but actually the true PVV consists of the last four digits. The first of the five digits is the key selector. I have only seen cards with a value of 1 in this digit, which is consistent with the standard and with the secret key never being compromised (and therefore they did not need to move to another key changing the selector).

I did a simple C program, getpvvkey.c, to perform the attack. It consists of a loop to try all possible keys to encrypt the first TSP, if the derived PVV matches the true PVV a new TSP is tried, and so on until there is a mismatch, in which case the key is discarded and a new one is tried, or the five derived PVVs match the corresponding true PVVs, in which case we can assume we got the bank secret key, however the loop goes on until it exhausts the key space. This is done to assure we find the true key because there is a chance (although very low) the first key found is a false positive.

It is expected the program would take a very long time to finish and to minimize the risks of a power cut, computer hang out, etc. it does checkpoints into the file getpvvkey.dat from time to time (the exact time depends on the speed of the computer, it's around one hour for the fastest computers now in use). For the same reason if a positive key is found it is written on the file getpvvkey.key. The program only displays one message at the beginning, the starting position taken from the checkpoint file if any, after that nothing more is displayed.

The DES algorithm is a key point in the program, it is therefore very important to optimize its speed. I tested several implementations: libdes, SSLeay, openssl, cryptlib, nss, libgcrypt, catacomb, libtomcrypt, cryptopp, ufc-crypt. The DES functions of the first four are based on the same code by Eric Young and is the one which performed best (includes optimized C and x86 assembler code). Thus I chose libdes which was the original implementation and condensed all relevant code in the files encrypt.c (C version) and x86encrypt.s (x86 assembler version). The code is slightly modified to achieve some enhancements in a brute force attack: the initial permutation is a fixed common steep in each TSP encryption and therefore can be made just one time at the beginning. Another improvement is that I wrote a completely new setkey function (I called it nextkey) which is optimum for a brute force loop.

To get the program working you just have to type in the corresponding place five TSPs and their PVVs and then compile it. I have tested it only in UNIX platforms, using the makefile Makegetpvvkey to compile (use the command “make -f Makegetpvvkey”). It may compile on other systems but you may need to fix some things. Be sure that the definition of the type long64 corresponds to a 64 bit integer. In principle there is no dependence on the endianness of the processor. I have successfully compiled and run it on Pentium-Linux, Alpha-Tru64, Mips-Irix and Sparc-Solaris. If you do not have and do not want to install Linux (you don't know what you are missing ;-) you still have the choice to run Linux on CD and use my program, see my page running Linux without installing it.

Once you have found the secret bank key if you want to find the PIN of an arbitrary card you just have to write a similar program (sorry I have not written it, I'm too lazy :) that would try all 10^4 PINs by generating the corresponding TSP, encrypting it with the (no longer) secret key, deriving the PVV and comparing it with the PVV in the magnetic stripe of the card. You will get one match for the true PIN. Only one match? Remember what we saw above, we have a chance of 0.0001 that a random encryption matches the PVV. We are trying 10000 PINs (and therefore TSPs) thus we expect 10000 * 0.0001 = 1 false positive on average.

This is a very interesting result, it means that, on average, each card has two valid PINs: the customer PIN and the expected false positive. I call it “false” but note that as long as it generates the true PVV it is a PIN as valid as the customer's one. Furthermore, there is no way to know which is which, even for the ATM; only customer knows. Even if the false positive were not valid as PIN, you still have three trials at the ATM anyway, enough on average. Therefore the probability we calculated at the beginning of this document about random guessing of the PIN has to be corrected. Actually it is twice that value, ie, it is 0.0006 or one out of more than 1600, still safely low.

Results

It is important to optimize the compilation of the program and to run it in the fastest possible processor due to the long expected run time. I found that the compiler optimization flag -O gets the better performance, thought some improvement is achieved adding the -fomit-frame-pointer flag on Pentium-Linux, the -spike flag on Alpha-Tru64, the -IPA flag on Mips-Irix and the -fast flag on Sparc-Solaris. Special flags (-DDES_PTR -DDES_RISC1 -DDES_RISC2 -DDES_UNROLL -DASM) for the DES code have generally benefits as well. All these flags have already been tested and I chose the best combination for each processor (see makefile) but you can try to fine tune other flags.

According to my tests the best performance is achieved with the AMD Athlon 1600 MHz processor, exceeding 3.4 million keys per second. Interestingly it gets better results than Intel Pentium IV 1800 MHz and 2000 MHz (see figures below, click on them to enlarge). I believe this is due to some I/O saturation, surely cache or memory access, that the AMD processor (which has half the cache of the Pentium) or the motherboard in which it is running, manages to avoid. In the first figure below you can see that the DES breaking speed of all processors has more or less a linear relationship with the processor speed, except for the two Intel Pentium I mentioned before. This is logical, it means that for a double processor speed you'll get double breaking speed, but watch out for saturation effects, in this case it is better the AMD Athlon 1600 MHz, which will be even cheaper than the Intel Pentium 1800 MHz or 2000 MHz.

In the second figure we can see in more detail what we would call intrinsic DES break power of the processor. I get this value simply dividing the break speed by the processor speed, that is, we get the number of DES keys tried per second and per MHz. This is a measure of the performance of the processor type independently of its speed. The results show that the best processor for this task is the AMD Athlon, then comes the Alpha and very close after it is the Intel Pentium (except for the higher speed ones which perform very poor due to the saturation effect). Next is the Mips processor and in the last place is the Sparc. Some Alpha and Mips processors are located at bottom of scale because they are early releases not including enhancements of late versions. Note that I included the performance of x86 processors for C and assembler code as there is a big difference. It seems that gcc is not a good generator of optimized machine code, but of course we don't know whether a manual optimization of assembler code for the other processors (Alpha, Mips, Sparc) would boost their results compared to the native C compilers (I did not use gcc for these other platforms) as it happens with the x86 processor.

Aktualizacja

Here is an article where these techniques may have been used.

http://redtape.msnbc.com/2008/08/could-a-hacker.html

3 Comments : access , algorithm , atm cards , attack , bank , Banking , bar , Card , conclusion , Credit , CVV , data , Debit , debit card , debit cards , DES , difference , easy money , EFT , Electronic , encryption , hack , Hacking , Internet , ISP , logarithm , magnetic stripe , Mall , Material , mathematics , money , permutation , personal ethics , php , Pin , probability , PVV , Reader , RSA , script , security , Shiraz , something , technique , technology , text , transaction , TSP-PVV , type , Verification , VISA , weak point more...

Financial Transaction Processing

przez Derek na Jul.02, 2008, w ramach Bankowość i Eftpos

I have been recently working inside one of the larger Banks in Australia.
Through this work I have been looking at the controls and mechanisms surrounding the processing of credit and debit cards around the Asia Pacific.

I get perform many security architecture and payment systems assessments.
Over the years I have always considered the protection of the card data as one of the key considerations.

Until yesterday I had never seen an CVV or PVV decryption tools. I think some scripted use of these tools could be very interesting.
The site hziggurat29.com

Many of the other tools on this site are also very unique and worth a look.
Big thanks to ziggurat29 for providing such awesome tools.

As many of these sites are of this nature are difficult to find and often seem to vanish over the years, I have chosen to replicate the the text from this page and provide local copies on the files.
It is worth periodically visiting the ziggurat29 site every now and again to see if any additional tools have been posted.

One of the more extraordinary files is the Atalla Hardware Security Module (HSM)Â and BogoAtalla for Linksys emulation (simulation) tools. So I wonder if Eracom and Thales are shaking in their boots. Some how I don't think so. ;-)

——– ziggurat29 Text ———

These are all Windows command-line utilities (except where noted); execute with the -help option
to determine usage.

DUKPT Decrypt (<- the actual file to download)

This is a utility that will decrypt Encrypted PIN Blocks that have been produced via the DUKPT triple-DES method. I used this for testing the output of some PIN Pad software I had created, but is also handy for other debugging purposes.

VISA PVV Calculator (<- the actual
file to download)

This is a utility that will compute and verify PIN Verification Values that have been produced using the VISA PVV technique. It has a bunch of auxiliary functions, such as verifying and fixing a PAN (Luhn computations), creating and encrypting PIN blocks, decrypting and extracting PINs from encrypted PIN blocks, etc.

VISA CVV Calculator (<- the actual file to download)

This is a utility that will compute Card Verification Values that have been produced using the VISA CVV technique. MasterCard CVC uses the CVV algorithm, so it will work for that as well. It will compute CVV, CVV2, CVV3, iCVV, CAVV, since these are just variations on service code and the
format of the expiration date. Verification is simply comparing the computed value with what you have received, so there is no explicit verification function.

Atalla AKB Calculator (<- the actual file to download)

This is a utility that will both generate and decrypt Atalla AKB cryptograms. You will need the plaintext MFK to perform these operations. When decrypting, the MAC will also be checked and the results shown.

BogoAtalla (<- the actual file to
download)

This is an Atalla emulator (or simulator). This software emulation (simulation) of the well-known Atalla Hardware Security Module (HSM) that is used by banks and processors for cryptographic operations, such as verifying/translating PIN blocks, authorising transactions by verifying
CVV/CSC numbers, and performing key exchange procedures, was produced for testing purposes. This implementation is not of the complete HP Atalla command set, but rather the just
portions that I myself needed. That being said, it is complete enough if you are performing acquiring and/or issuing processing functions, and are using more modern schemes such as Visa PVV and DUKPT, and need to do generation, verification, and translation.

This runs as a listening socket server and handles the native Atalla command set. I have taken some liberties with the error return values and have not striven for high-fidelity there (ie, you may get a different error response from native hardware), but definitely should get identical positive
responses. Some features implemented here would normally require purchasing premium commands, but all commands here implemented are available. Examples are generating PVV values and encrypting/decrypting plaintext PIN values.

BogoAtalla for Linksys (<- the actual file to download)

This is the Atalla emulator ported to Linux and build for installation on an OpenWRT system. Makes for a really cheap ($60 USD) development/test device.

Local Files

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc

26 Comments : algorithm , architecture , Australia , bank , BogoAtalla , Card , card verification , computations , Credit , CVV , data , Debit , debit card , debit cards , decrypt , decryption , decryption tools , DES , development , DUKPT , EFT , emulation , emulator , Eracom , financial transaction , hardware , hardware security , HSM , Linksys , Mall , mechanisms , payment , Pin , pin pad , processing , Protection , PVV , SAP , script , security , security architecture , server , Shiraz , simulation tools , SLA , SMS , technique , text , Thales , transaction , triple des , utility , Verification , VISA more...

â€œContactlessâ€ credit cards with RFID are easily hacked

przez Derek na Jun.18, 2008, w ramach RFID

A blog posting on BoingBoing provides further discussion as to the
inappropriate deployment and of RFID chips within the existing payment
marketplace.

http://www.boingboing.net/2006/10/23/report_contactless_c.html

The underlying point of this article is, the card schemes and banks said they are using key rotating encryption of all data between the card and the acquirer/issuer, but this is clearly not the case in many situations.

Another interesting paper is 'RFID Payment Card Vulnerabilities Technical Report' located at:

http://www.nytimes.com/packages/pdf/business/20061023_CARD/techreport.pdf

Leave a Comment : acquirer , bank , BoingBoing , Card , card schemes , Chip , contactless credit cards , Credit , data , DES , encryption , hack , JAVA , javascript , payment , RFID , rfid chip , rfid chips , script , Shiraz , Technical , Vulnerabilities more...

Słownik E-Commerce

przez Derek na Jun.18, 2008, w ramach Bankowość i Eftpos

Instytucja przejmująca
Instytucji finansowej, która posiada konto Merchant uczestnictwo w transakcji finansowej, zazwyczaj pierwszy bank zajmujących się przetwarzaniem płatności.

Programik
Niewielki program komputerowy, który ułatwia wykonywanie poszczególnych zadań.

Pasma
Zdolność serwera do przewożenia lub przetwarzania informacji. Im wyższa przepustowość tym szybciej grafiki ładunkiem stronach internetowych download.

Przeglądarka
Skrót od przeglądarki internetowej, aplikacja służy do lokalizowania i wyświetlania stron internetowych. Dwóch najbardziej popularnych przeglądarek Netscape Navigator i Microsoft Internet Explorer. Oba są przeglądarek graficznych, co oznacza, że mogą wyświetlać grafiki i tekstu. Ponadto w większości nowoczesnych przeglądarek może przedstawić informacji multimedialnych, w tym dźwięku i obrazu, choć wymaga plug-in dla niektórych formatów.

Buforowanie
Automatycznego kopiowania i przechowywania często wykorzystywanych informacji na system komputerowy € "Zazwyczaj podczas buforowania jest online surfowanie w Internecie (grafika, itp.) oraz wykorzystywanych przez dostawców usług internetowych (ISPA € ™ s), aby zmniejszyć ilość danych wymaganych od użytkowników do Internetu.

Emitenta
Instytucja finansowa, która wydała karty konta i karty.

Karty
The individual participating in the financial transaction whose card is being credited or debited.

Weryfikacja danych z karty
Dodatkowe informacje wydrukowane na karcie do przetworzenia. Ten jest używany w celu sprawdzenia, czy karta była obecna, gdy transakcja została initiated.Â Jest to dodatkowe cyfry nadruk na karcie zwykle na odwrocie Visa i Mastercard oraz z przodu na AMEX.

Świadectwo
Certyfikatu X.509 używane do uwierzytelniania podmiotów, takich jak Kupcy i płatności bram. Certyfikaty mogą służyć do identyfikacji i / lub szyfrowanie poufnych danych, takich jak numery kart i dane osobowe posiadacza karty.

CGI
Common Gateway Interface: protokół umożliwiający strony sieci Web na uruchamianie programów na serwerze WWW. Formularze, liczniki i księgi gości typowe przykłady programów CGI.

Każdy program może być program CGI, jeśli obsługuje wejście i wyjście zgodnie ze standardem CGI. Zwykle program CGI to mały program, który pobiera dane z serwera WWW i robi coś z nim, jak wprowadzenie treści w postaci wiadomości e-mail, lub skręcania dane do zapytania. CGI "skrypty" są tylko skrypty, które wykorzystują CGI. CGI jest często mylony z Perl, który jest językiem programowania, natomiast CGI interfejs do serwera z danego programu.

Klient
Komputerowego lub oprogramowania, aby wnioski o świadczenie usług w systemie komputerowym lub inny proces ("serwer"). Na przykład stacja robocza z wnioskiem o zawartość pliku z serwera plików jest klientem serwera plików. Przeglądarki internetowej powszechnie określa się jako klient.

Klientów i serwerów
Ogólnie rzecz biorąc, wszystkie maszyny w Internecie mogą zostać podzielone na dwa typy: serwerów i klientów. Tych maszyn, które świadczą usługi (np. serwery WWW czy serwery FTP) na inne maszyny są serwery. I maszyn, które są używane do łączenia tych usług klientów.

Podczas łączenia się z Yahoo na stronie www.google.com czytania strony, Google oferuje maszyny (prawdopodobnie klaster maszyn bardzo duży), do użytku w Internecie, obsługę żądania. Google udostępnia serwer. Komputer, z drugiej strony, to prawdopodobnie nie zapewnia usług innym osobom w internecie. W związku z tym, że jest to maszyna użytkownika, znany również jako klient. Jest to możliwe i wspólne dla obu maszyn do serwera i klienta!

Cookie
Akt przekazanych przez niektóre serwery WWW na dysku twardym komputera, aby umożliwić Ci łatwo i szybko powrócić do poszczególnych witryn. Cookies give rise to privacy concerns as they are often used to store information used for marketing purposes.

Głównym celem plików cookie jest identyfikacja użytkowników i ewentualnie przygotować dostosowane do ich stron internetowych. Po wprowadzeniu witryny za pomocą plików cookie, możesz zostać poproszony o wypełnienie formularza przekazywanie takich informacji jak imię, nazwisko i zainteresowania. Te informacje są umieszczane w pliku cookie i wysyłane do przeglądarki, który przechowuje je do późniejszego wykorzystania. Następnym razem, gdy trafiają do tej samej witryny sieci Web, przeglądarka wysyła cookie do serwera sieci Web. Serwer może wykorzystać te informacje przedstawić Państwu własne strony WWW. Tak, na przykład, zamiast widzieć tylko ogólny stronie powitalnej można zobaczyć strona powitalna z nazwą.

CRN
Odbiór Liczba klientów (CRN) jest wykorzystane do posiadacza karty, bramy płatności i transakcji przez nabywcę w celu potwierdzenia transakcji zostały przetworzone i śledzenie transakcji w trakcie całego procesu transakcji end-to-end. Ten jest często używany W razie pytań na temat transakcji lub do śledzenia transakcji.

Cybersquatting
Złej wierze, nadużyć w rejestracji nazw domen. Cybersquatters register company and product names as domain names with a view to selling them at inflated prices to the â€œrightfulâ€ owners.

/ CVC
Dodatkowe informacje wydrukowane na karcie do przetworzenia. Ten jest używany w celu sprawdzenia, czy karta była obecna, gdy transakcja została initiated.Â Jest to dodatkowe cyfry nadruk na karcie zwykle na odwrocie Visa i Mastercard oraz z przodu na AMEX.

Baza danych
Gromadzenie danych: numery katalogowe, kody produktów, informacje o klientach, itp. zwykle odnosi się do organizacji i danych przechowywanych na komputerze mogą być wyszukiwane i pobierane przez program komputerowy.

Deep link
Hipertekstowy link bezpośrednio do strony internetowej, często pomijając stronach lub innych stron identyfikacji.

Certyfikat cyfrowy
Okienko, które pozwala określić poziom szyfrowania w celu zabezpieczenia poszczególnych witryn.

Podpis cyfrowy
Złożona numeryczne "podpis" przeznaczony do stosowania w połączeniu ze specjalnym oprogramowaniem do uwierzytelniania nadawcy wiadomości i gwarantuje, że treść wiadomości nie zostały zmienione podczas transmisji do odbiorcy. UE przyjęła przepisy, które sprawia, że podpis elektroniczny w mocy. Electronic Transaction Bill (Cth) 1999 ma taki sam skutek w Australii.

Nazwa domeny
Zwykły angielski nazwa hosta do miejsca docelowego w Internecie, na przykład, www.madrock.net. Przyrostek, dot.com znany jest jako ogólne domeny najwyższego poziomu, prefiks madrock. Formy nazwy domeny części lub Internet Adres URL.

Nazwa, która identyfikuje jeden lub więcej adresów IP. Na przykład, nazwa domeny microsoft.com stanowi około kilkanaście adresów IP. Nazwy domen są używane w szczególności do określenia adresów stron internetowych. Na przykład w http://www.madrock.net URL, nazwa domeny jest madrock.net.

Pobierz
Do przesyłania informacji z jednego komputera do komputera.

Dynamiczne strony www
Dokument internetowy, który jest tworzony z bazy danych w czasie rzeczywistym lub "w locie" w tym samym czasie to jest przeglądana, zapewniając ciągły przepływ nowych informacji i dając gościom nowe doświadczenie przy każdej wizycie na stronie internetowej.

Dynamiczne strony internetowe oferują użytkownikowi możliwość korzystania z witryny internetowej. Ta interakcja może odbywać się w formie poszukiwania produktów, które automatycznie kwestionariusz posty i ankiety, wyniki online. Zasadniczo, dynamicznych stron WWW i treści są generowane z wejścia użytkownika.

EC
Handel elektroniczny.

Często nazywany po prostu e-commerce, firmy, która prowadzona jest przez Internet za pomocą dowolnej aplikacji, które wykorzystują Internet, takich jak e-mail, komunikatory internetowe, wózki sklepowe, usług sieci Web i FTP, i inne. Handel elektroniczny może być dwóch firm przekazywanie funduszy, towarów, usług i / lub danych lub pomiędzy biznesowych i klientów.

ECI
Wskaźnik handlu elektronicznym (ECI), służy do określenia źródła pierwotnego wniosku transakcji. Jest to program, że banki opracowały i nakazały ita € ™ s używać.

Elektronicznej wymiany danych (EDI)
Systemy utworzone przez firmy, które ułatwiają elektronicznej wymiany informacji.

Szyfrowania
Proces kodowania danych uniemożliwić oglądane przez osoby nieuprawnione.

Data ważności
The date printed on the card indicating when the card will expire. Nie mylić z datą wydania karty znajduje się na niektórych kartach.

Firewall
Elektronicznej bariery bezpieczeństwa i / lub filtrować ruch.

Forms
Formularzy stron internetowych składa się z tekstu i "pola" dla użytkownika o wprowadzenie informacji. Są one doskonałym sposobem na gromadzenie i przetwarzanie informacji od osób odwiedzających stronę internetową, a także pozwala im na interakcję ze stronami WWW. Formularze są napisane w HTML i przetwarzane przez programy CGI.

Ramka
Oznacza podziału ekranu internetowej na kilka grup. Ramki mogą stanowić podstawę do sporów prawnych, jeżeli strony internetowe stworzone przez osoby trzecie są sformułowane jako własne.

serwerów FTP
Jeden z najstarszych na usługi internetowe, File Transfer Protocol pozwala przenieść jeden lub więcej plików między komputerami bezpiecznie pliku przy jednoczesnym zapewnieniu bezpieczeństwa i organizacji, jak również kontroli transferu.

Spełnienie
1. Proces dostarczania towarów po otrzymaniu zamówienia.
2. Proces reakcji na żądanie klienta, obejmujące wszystko, co się stało od momentu klient składa zamówienie, dopóki nie zostaną całkowicie spełnione.

Host
Dowolnego komputera w sieci, która świadczy usługi lub informacje do innych komputerów w sieci. Przyjmującego jest również nazywany serwerem.

Integracja
Oprogramowania i / lub procesów biznesowych, które łączą handlowca (strona internetowa, back office, itp.) system realizacji zamówień z sieci EFT Elektroniczny system płatności.

adres IP
Każdy komputer podłączony do Internetu ma przypisany unikalny numer zwany Internet Protocol (IP). Ponieważ numery te są przydzielane grupowo do poszczególnych krajów, za pomocą adresu IP można często określić kraj, z którego komputer łączy się z Internetem.

Gateway
A system allowing incompatible computer networks to send and receive information.

HTML (Hypertext Markup Language)
Język używany do tłumaczenia dokumentów tekstowych do postaci, które mogą być przesyłane w sieci.

Hiperłącze
Podświetlone wyrażenie w dokumencie, który pozwala na łączenie się do innego dokumentu lub części dokumentu.

Host treści internetowych (ICH)
Tych, którzy przyjmującego lub zaproponować do organizacji treści w Internecie. Każdy, kto jest odpowiedzialny za stronę internetową, grup dyskusyjnych i forum, który zawiera teksty, grafiki lub innej zawartości Internetu świadczonych przez innych. Host może / nie może także tworzyć własne treści i / lub zapewniają dostęp do Internetu za pośrednictwem usługi przewozu, tzn. mogą być również ISP.

Dostawcy usług internetowych (ISP)
Firma, która zapewnia połączenie z Internetem poprzez jakąś Internet przewozu usługi, na przykład Sprint, Chello Broadband, Telstra Bigpond, Adam Internet, międzywęźla. ISP może / nie może być ICHs.

Serwery pocztowe
Prawie tak wszechobecne i niezbędne, jak serwery WWW, serwery pocztowe i ruch mail przechowywać przez sieci korporacyjne (za pośrednictwem sieci LAN i WAN) oraz przez Internet.

konta sprzedawcy
To jest utworzenie konta w banku do przetwarzania zleceń od klientów karty kredytowej.

Kupiec
Do podmiotu otrzymującego płatności za towary lub usługi.

Merchant Account
Handlowca Konto, na które transakcje są zapisywane lub obciążone.

Merchant Server
Oprogramowania zainstalowanego na stronach internetowych handlowca lub back office, aby umożliwić w czasie rzeczywistym lub zgrupowane przetwarzania transakcji finansowych.

Merchant Server Administrator
Osobę (osoby) odpowiedzialne za utrzymanie Merchant Server, w tym wydawanie i importowania certyfikatów handlowych.

MTL
Warstwa transakcji handlowej (MTL)

PAN
Podstawowej numer konta (PAN) jest numer wydrukowany na karcie referencyjnej klientów do rachunku posiadacza karty finansowych. Zwykle jest to numer karty.

Payment Gateway
Payment Gateway stanowi centralny punkt kontaktowy / transakcji przełączania z sieci bankowej w Merchant Server lub oprogramowania urządzenia. EFT bramki płatności Networks oferuje zaawansowane zintegrowanego raportowania, usług integracji handlowej (Mainframe, Mini, Windows, UNIX, OS400, Desktop / Server, EFT POS. Systemy lojalnościowe, itp.) oraz Merchant / Bank niestandardowe rozwiązania nie oferowane przez regionalnych lub światowych instytucji bankowych.

System online w czasie rzeczywistym opłat od kart kredytowych, gdy klient składa zamówienie. Zwykle wymaga konta handlowego.

Typowe pytanie kupców jest "Czy musimy zmienić banki do korzystania z płatności bram?"

The answer is NO!Â – All you need to do is open a merchant facility with one of the supported banks, EFT Networks can ensure you open the correct one for your transaction needs. Obiekt handlowy to związane z wyznaczoną na przykład konto bankowe: Bank of New Zealand, ANZ, St George Bank, NAB, Rzeczypospolitej, Westpac, Bank of America, Bank of Scotland, Barclay's Bank of Queensland, pieniądze itd. następnie przeniesione na koniec każdego dnia z konta handlowych nominowanych do konta.

“Pretty Good Privacy”
Rodzaj programu do szyfrowania danych wyścig.

Portal
Witryna, która gromadzi wielu miejscach pod wspólną marką, na przykład, Yahoo i Excite.

Klucz prywatny
Hasło, które pozwala na informacje, które mają być dekodowane w system publicznego klucza szyfrowania.

Klucza publicznego
Hasło, które jest używane do przesyłania wiadomości w bezpieczny system publicznego klucza szyfrowania.

Certyfikat bezpieczny
Dokument, który jest używany w celu poświadczenia, że użytkownik lub organizacja, którzy mówią, że są. Zawierają one informacje o tym, kto należy, który został wydany przez, data ważności oraz informacje, które mogą być wykorzystane do zapoznania się z treścią świadectwa. To jest tak ważną częścią systemu SSL stworzenie bezpiecznych połączeń.

Server
Komputer, który świadczy usługi dla innych komputerów (tzw. klientów) w sieci.

Koszyk
Koszyk jest oprogramowaniem, które działa jako sklep internetowy w katalogu procesu zamawiania. Zazwyczaj koszyk jest interfejs między witrynę sieci Web firmy i jej infrastruktury głębiej, dając klientom możliwość wyboru towaru, przegląd tego, co wybrałeś, dokonać niezbędnych zmian lub uzupełnień oraz zakup towaru.

Wózki sklepowe mogą być sprzedawane jako niezależne części oprogramowania, więc firmy mogą włączyć je w swoje unikalne rozwiązanie w trybie online, lub też mogą być oferowane jako funkcja z usługi, która będzie tworzyć i udostępniać firmy e-commerce.

Spam
Korzystanie z poczty elektronicznej lub grup dyskusyjnych do wysyłania niechcianych informacji.

SSL
Skrót od Secure Sockets Layer, protokół opracowany przez firmę Netscape w zakresie przekazywania dokumentów prywatnych w Internecie. SSL działa przy użyciu klucza prywatnego do szyfrowania danych, które przesyłane za pośrednictwem połączenia SSL. Zarówno Netscape Navigator jak i Internet Explorer obsługuje SSL, a wiele stron internetowych używa protokołu w celu uzyskania poufnych informacji użytkownika, takich jak numery kart kredytowych. Konwencjonalnie, adresy URL, które wymagają połączenia SSL rozpocząć się od https: zamiast http:.

Pozwalając klientom wiedzieć, że masz SSL ochrony nadaje wiarygodność witryny i może zachęcić klientów do czynienia z wami w tajemnicy.

Protokół zabezpieczeń używanych do ochrony informacji - zwykle używany między posiadacza karty w przeglądarce internetowej i serwera WWW i handlowca w trakcie całego procesu przetwarzania transakcji. 128 SSL jest wykorzystywany jako typowy minimalny poziom płatności w przemyśle i finansowe.

Secure Server wykorzystuje certyfikat SSL. Jest ogólnie kawałek przestrzeni internetowej, które mogą być rozwiązywane w drodze przy użyciu protokołu SSL zapewnienie, że dane przekazywane między przestrzeń i przeglądarki internetowej jest szyfrowana.

Statyczne strony www
W zakresie strony internetowej, statycznych stron internetowych oznacza, że nie są interaktywne. Ponieważ wysokość stronie internetowej nie ma żadnej kontroli nad informacjami, strony i informacje nie zmieniają się z każdej wizyty. Nie dwukierunkową komunikację pomiędzy użytkownikiem (klientem) oraz na stronie internetowej (serwer) w statycznej stronie.

Uniform Resource Locator (URL)
Adres internetowy.

strony WWW
Określona grupa powiązanych ze sobą plików w sieci, która jest zwykle postrzegana jako jeden dokument.

serwery sieci Web
W swej istocie, serwer sieci Web obsługuje statyczny do przeglądarki internetowej poprzez załadowanie pliku z dysku twardego i obsługujących go w sieci do użytkownika przeglądarki internetowej. Cała ta wymiana odbywa się za pośrednictwem przeglądarki i serwera rozmawiają ze sobą za pomocą protokołu HTTP.

Strona internetowa
Zbiór stron internetowych przechowywanych na serwerze plików.

1 Comment : access , account , acquirer , Australia , authenticate , bank , Banking , bar , Card , card verification , Commerce , common gateway interface , Corporate , Credit , data , Debit , DES , Digital , Dust , EFT , Electronic , encryption , Explorer , financial institution , financial transaction , IEC , integration , interface , Internet , ISP , Mall , Merchant , Microsoft , money , network , online , password , payment , payment gateways , Pin , privacy , processing , Protection , reporting , script , security , server , Shiraz , SLA , something , support , Telstra , text , transaction , transmission , type , Verification , verification data , VISA , web more...

Technologia jest zawsze zakwestionowane

przez Derek na Jun.18, 2008, w ramach RFID

Czytałem bardzo ciekawy dokument stworzony przez University of Massachusetts, Â RSA Laboratories i Innealta, Inc <<

Niniejszy dokument odnosi się głównie do kompromisu kontaktu mniej technologii płatniczych (RFID), jeżeli RFID i / lub czytelnik nie zostały wykonane prawidłowo lub dostawcy rozwiązań używa niewłaściwego typu RFID i omawia wyzwania około Chip Pin i finansowych w odniesieniu do transakcji, np. standardy EMV i zgodności.

Ponadto, dokument opisuje sposób przekaźnik RFID, który jest dyskutowany w wielu forach na całym świecie i mamy teraz zaczęła widzieć urządzenia produkowane przez odpieniacze RFID / clonners wykorzystać do złych środków.

Głównym punktem tego dokumentu jest stosowanie odpowiednich układów RFID i rozwiązań, które popiera bezpieczeństwa / prywatności użytkownika i cel theÂ transakcji (lub niefinansowych) <<finansowych

W pracy można znaleźć na stronie http://prisms.cs.umass.edu/ ~ kevinfu / dokumenty / RFID-CC-manuscript.pdf

W nowoczesnych rozwiązań RFID i płatności Chip, nowsze urządzenia mogą być używane, które posiadają wysoki poziom mocy przetwarzania, a zatem są w stanie wykonać silne metod kryptograficznych (np. podpis cyfrowy) w celu ochrony identyfikacji i płatności, podczas gdy informacje transakcja ma miejsce.

Systemy te często wykorzystują uwierzytelnianie dwukierunkowe między RFID / skaner Chip i RFID / Chip przed wykonaniem transakcji. These methods and cryptographic algorithms are accepted and proven to work within the traditional payment markets.

Jak wspomniano w dokumencie, niektóre rozwiązania statycznego przechowywania cyfrowo podpisane lub zaszyfrowane dane, które są podawane do RFID / czytelnika Chip, gdy zapytał, ale dane te nigdy się nie zmienia od jednej transakcji do innego. Może to umożliwić złośliwemu indywidualnych do wychwytywania i ponownie wprowadzić dane do czytnika na późniejszym etapie. Alternatywę dla składowania statycznego cyfrowo podpisane lub zaszyfrowane dane są negocjacje wymiany kluczy w momencie transakcji, w których karta / wartość informacji jest szyfrowana, a następnie przekazane. W przypadku tej metody przekazywane dane
zmiany na każdej transakcji, a zatem nawet jeśli szkodliwe poszczególnych było uchwycić zaszyfrowanych danych transakcji od jednej transakcji, nie będą akceptowane przez czytnik, jeśli ponownie wprowadzane na późniejszym etapie.

Chociaż jest to miejsce obecnie, starszych RFID / Chip często korzystają z rozwiązań technologii, które nie są odpowiednie dla transakcji finansowych i dlatego może być zagrożona w sposób łatwy i w niektórych przypadkach bez wiedzy posiadacza karty, akceptanta lub nabywcy.

Uważam to za ciekawe, jak niektóre z tych mniej bezpieczne rozwiązanie, które zostały zatwierdzone do użytku przez nabywanie banków i systemów kart na całym świecie (jakby powiedział) w ostatnich latach, gdy zaobserwowano, że te rozwiązania są wykorzystywane techniki i metody wdrażania które mogą być zagrożone. Tych technologii i technik nigdy nie będzie zatwierdzone w Point of Sale (POS) lub tradycyjnych usług bankowych.

Można jedynie przypuszczać, że potrzebujesz, aby produkt na rynek szybko na koszt właściwego badania, zrozumienia oraz z należytym uwzględnieniem przemysłu doświadczenia udało się ponownie.

more... Zostaw komentarz : nabywca , algorytm , uwierzytelnianie , bank , bankowość , dwukierunkowy , kart , systemy kartowe , Chip , chip rozwiązań , algorytmów kryptograficznych , danych , DES , cyfrowy , podpisy cyfrowe , kurz , EMV , finansowych transakcji , identyfikacji , javascript , Merchant , płatności , Pin , prywatności , przetwarzania , Reader , Relay , RFID , chip RFID , RFID , RSA , RSA laboratoria , skryptów , bezpieczeństwa , ochrony prywatności , Shiraz , Skimmer , cedzidła , SMS , norm , wsparcia , technika , technologia , transakcji , typ , Luki więcej ...

ISO 14443 contactless card

by admin on Mar.24, 2008, under RFID

An international standard for proximity or contactless smart card communication

ISO 14443 contactless card

ISO 14443 is an international standard which describes how contactless cards and terminals should work to ensure industry-wide compatibility, for example in identity, security, payment, mass-transit and access control applications.

ISO standards are developed by the ISO, the International Organization for Standardization. Technical committees comprising experts from the industrial, technical and business sectors develop the standards to increase levels of quality, reliability and interoperability on a global scale.

Gemplus has always had a strong involvement in ISO definition of the chip card standards, and has been represented in the development of this international standard. The ISO 14443 is divided into 4 separate parts outlining physical characteristics, radio frequency power and signal interface, initialization and anti-collision and transmission protocol.

Gemplus has developed a wide range of contactless payment solutions based on the ISO 14443 international standard. The speed and convenience of contactless technology has created a significant demand for this sort of solution in environments such as fast food restaurants, gas stations, public transport services, banks and many others.

Leave a Comment : access , bank , Card , Chip , chip card , contactless card , contactless cards , DES , development , Dust , environment , frequency , identity , interface , ISO 14443 , iso standards , payment , payment solutions , proximity , public transport services , Radio , radio frequency power , Restaurant , security , Shiraz , smart card , standards , Technical , technology , transmission more...

Technobile: Chip and pin may be a wonderful concept, but donâ€™t write off humans yet – theyâ€™re more reliable

by admin on Mar.24, 2008, under Banking and EFTPoS

Guardian Technology Pages
28 September 2006
Guardian

“Your card has been declined.”
"Co? No way, there's plenty of money in that account!”
“I'm sorry, madam, but it's refusing the transaction.”
“It's your card reader, that card worked fine in Boots five minutes ago.”
“The card has been declined. Do you have another one?”
The casual eavesdropper might infer that I – the protesting woman in that dialogue – am financially irresponsible, that my credit card is maxed out or my debit card has reached its overdraft limit. In fact, it's far more likely that the reader on the chip and pin machine is throwing a strop. There is a machine at WH Smith in North End Road, Fulham, that hates my debit card and never accepts it. I've given up trying there. But it's not the only one.
Self-service machines have sprung up everywhere, sprouting card readers and keypads. But watch closely and you will find that more often than not, there is an angry person muttering and swearing at the machine while a queue forms. Watch a little longer and you'll see that queue evaporate – and reform at the counter in front of a human being.
This happened to me and my partner in France recently when we pulled into a petrol station in Epernay. In our desperation, we pulled up at an empty pump, wondering vaguely why it had no queue while others did.
Dlaczego? Because before it would dispense petrol, it wanted a credit card and pin. We fed it mine and I keyed in the number, only for it to be spat out with terrifying admonitions in French about the card being refused. I wiped the strip and tried again. Same reaction, causing a moment's panic: we'd spent a bit on that card – did my bank think it was stolen? Was it blocked?
So we tried my partner's card. Same thing. And then the penny dropped that the pumps with the queues were the old-fashioned ones where you fill the car up and then pay at the till. Clearly the locals knew all about these pumps.
Mind you, it was a miracle we got to France at all. When we arrived at the Eurotunnel terminus we joined a queue of cars for the automatic check-in. I am not the most patient of queuers and within a short time I was railing about how slowly it was moving. A man in a bright yellow jacket was buzzing about from car to car. Finally we got to the head of the queue and fed in the card that was used to book the shuttle online.
It didn't want to know. It spat the card out. We tried again and got as far as tapping in our reservation number. It spat it out again. The chap in the high-visibility jacket buzzed over to us and rolled his eyes, saying: “It's been playing up all day.” He went into the booth with the card – and then we heard him saying over his radio that the whole system had gone down in protest.
As an idea, the technology is great. In practice, we have a long way to go before we can dispense with human beings who can override systems when good card readers go bad. Kate Bevan

Leave a Comment : account , bank , Card , Chip , Credit , Debit , debit card , DES , eavesdropper , Guardian , ISP , money , online , Pin , Radio , Reader , Self-service , Shiraz , technology , transaction more...

Visa Competes with Payment Systems

by admin on Mar.24, 2008, under Banking and EFTPoS

27 September 2006
Kommersant International

The New System will be Offered to 20 Banks<br>Yesterday, at a press conference dedicated to the five-millionth visa card issued by Sberbank, Visa International representative Oliver Hughes announced that a project introducing a system of card-to-card money transfers in Russia has launched its third stage. The project, called Visa Money Transfer (VMT), is now being tested in six Russian banks. Also yesterday, Rosbank announced its intention to participate in the trial. Twenty credit organizations have expressed interest in joining the program, of which ten will be included in the project within the next year. The trial phase of the program will last another six months, after which the VMT system is expected to be unveiled in its full form. The VMT system allows any Visa cardholder to electronically transfer or receive funds to or from another Visa cardholder via an ATM transaction. To make the transaction, all that is needed is the other cardholder's card number. Though the company “at this point is not positioning the new service as an alternative to the system of traditional money transfers,” VMT promises to be competition for that system. The only restriction is that the laws of the Russian Federation permit such transfers to be made in Russia only in rubles. Market analysts believe that the success of the system will depend on Visa's commission policies. Bank commissions for transfers stand at around 1%, and if Visa's commission is more than 0.5%, it is predicted that banks will find it hard to do business within the project. According to some sources, the commission earned by the bank whose client sends the transfer will be 1% of the transfer sum. The bank whose client receives the money will make $0.48 on each transaction. The commission charged by the payment system will be $0.05 + $1. Many Russian banks have expressed interest in the project, but most for now are observing the program's development from the sidelines, preferring to judge for themselves its power to attract customers. http://www.kommersant.com/photo/75/DAILY/2006/180/KMO_032838_00111_1h_t75.jpg

http://www.kommersant.com/photo/512/DAILY/2006/180/KNN_001535_00046_1m.jpg

http://www.kommersant.com/photo/512/DAILY/2006/180/KMO_073625_00010_1m.jpg

http://www.kommersant.com/photo/512/DAILY/2006/180/KMO_069500_00019_1m.jpg

Leave a Comment : bank , Card , Credit , development , Electronic , money , payment , RSA , Shiraz , transaction , VISA more...

New e-Commerce and Payment Technologies Company

by admin on Mar.24, 2008, under Banking and EFTPoS

Recently I came across a new e-Commerce company called EFT Networks, which seems to have an exciting future in the Global Payments Market.

It looks like they have a good mix of consulting and solution design.

www.eftnetworks.com

Usługi

Electronic Payment

Designed to enable both credit card and direct debit, EFT Networks electronic payment solutions work effectively across multiple sales channelsâ€”including Web, Contact Call Centre, IVR and EFTPOS. Manage your payment processing system in-house or outsource, depending on your business needs.

Global Payments

International commerce requires fully integrated global payment and risk management solutions. Requirements span the gamut of payment acceptance considerations from accepting local payment types, pricing in local currencies and dynamically updating prices with changes in exchange rates (dynamic currency conversion), authorising and settling in multiple currencies, to managing fraud and compliance issues such as tax and export regulations. EFT Networks offers a single interface to the global payment network to handle all of these considerations as your business grows.

ICE – Reporting & Management

The EFT Networks Enterprise Biznes Center gives you a single, easy-to-use interface for managing and configuring payment processing services.

ICE caters for each area of the payment transaction cycle from authentication, authorisation, settlement, dispute resolution and reconciliation â€“ enabling our clients to reduce transaction costs, eliminate fraud, minimise risk, maximise cash flow and increase profitability.

Integrations

EFT Networks provides flexible and secure payment and risk management integrations in to host and legacy systems as well as industry-leading software.

Using industry standards and protocols, our solutions can be customised to suit your exact business requirements

Produktów

ICE (Intelligent Communications Exchange)

At the core is our Intelligent Communications Exchange (ICE) which enables all known transaction enablers from EFTPOS to eCommerce to be routed directly to a clientâ€™s bank without intervention for real time acceptance and authentication.

The EFT Networks ICE operates under a philosophy of total System and Physical redundancy delivering the highest uptime rates possible, whilst the transaction network is protected using Solid State and Application Firewalls on all points of ingress and egress.

Every transaction processed through EFT Networks is encrypted using 128 bit Secure Socket Layer (SSL) encryption and submitted for authorisation through EFT Networks â€œSecure Virtual Private Networkâ€ (SVPN).

Our commitment to security is also reflected in our swift compliance with Card Schemes security initiatives such as VerifiedByVisa and MasterCard SecureCode.

EFT Networks comprehensive suit of online reporting tools combined with daily transaction reports will ensure that our clients always have access to up-to-date management information allowing Business Managers to make quick and well-informed business decisions. The decision making process is simplified even further with the power of daily reports that are customised to be imported into most existing legacy systems.

Leave a Comment : access , authentication , Authorisation , bank , Card , card schemes , Commerce , Communications , Credit , Debit , DES , Dust , EFT , EFTPoS , Electronic , encryption , Enterprise , Ingres , integration , interface , ISP , JAVA , javascript , network , online , payment , payment solutions , processing , reporting , script , security , settlement , Shiraz , standards , SWIFT , transaction , type , VISA , web more...

VISA Credit or Debit – The Big Question

by admin on Oct.06, 2007, under Banking and EFTPoS

I have been astounded by the take-up by card holders and the push from the major banks in Australia, for customer to embrace the VISA Debit card instead of the traditional Credit Card.

This, although advantageous to the banks, provides a much higher risk to the card holder, especially if the card is used online or in a location where the card could be skimmed.

The problem and the advantage of the VISA Debit card is that it allows access to your savings account funds via a VISA transaction.

This sounds great in theory, as there is no need to transfer money from your savings account to periodically pay off the credit card.

The problem exists where the VISA debit card is skimmed or stolen and money is withdrawn from the card. These funds are taken directly from the card holder savings account and not credit, therefore this increases the risk to the card holder not being able to pay bills/mortgage/loans/etc.

In the traditional credit world, if the credit card was skimmed or stolen, the dept remains the responsibility and risk of the bank, until the fraudulent transaction is investigated.

With the VISA Debit Card this risk is placed upon the card holder, who is often convinced to get one of these cards through good television marketing, when opening a new account or establishing an off-set loan, with no idea of the associated risks.

I donâ€™t like the increased risks associated with these cards not being explained adequately to the card holders so the card holder can make an educated decision as to where he/she uses the card (internet, phone, periodic utility payments, ISP charges, etc.) p>

This risk assumes that the card holder does not rely on credit only to live and does not have any savings to withdraw, but the banks may not give you a debit card anyway if this is the case.

Leave a Comment : access , account , Australia , bank , Card , Credit , Debit , debit card , DES , Internet , ISP , money , online , payment , phone , Shiraz , transaction , utility , VISA more...

Hi! Witamy na Madrock!
Dzięki za spadnie o! Zapraszamy do przyłączenia się do dyskusji poprzez pozostawienie komentarzy i pobyt aktualizacja subskrybując do kanału RSS . See ya wokół!
Kategorii
Ostatnie posty
- Dobre jedzenie, świetne towarzystwo, dobre czerwone i otwartego ognia
  Po prostu spędzać czas z Kerry przed ogniem z dobrą butelkę czerwonego (Flying Fish z WA) i wspaniałe jedzenie sera.
  więcej ...
- Edynburg Wielka Challenge Shiraz 2010
  Oraz Kerry i miałem już doczekać wyjścia do "Wielkiej Shiraz Challenge" przez cały rok. To jeden z tych wydarzeń, które to musi, jeśli chcesz żyć w czerwieni i Adelaide. Po prostu nie mogą poruszać się z domu to 8-) Jest to również jedna z tych imprez, na których można wpadać na ludzi, którzy się [...]
  więcej ...
- IP TV Linki pokrewne
  Ostatnio byłem szczypanie naszych ADSL 2 + Internet (zmiany tłumienie linii, itp.) i dały pewne przyspieszenie prędkości synchronizacji. Aby to sprawdzić Mam był trudny do treningu, jeśli istnieje wystarczająca prędkość do utrzymania IP TV. Mimo, że istnieje ogromne uzależnienie od upstream "wąskich gardeł" i międzynarodowych opóźnienia link, mogę tylko [...]
  więcej ...

Najnowsze komentarze
Tłumacz
Przeglądarki górę
- - IE 6
- - Firefox 3
- - IE 8
- - Opera 9
- - IE 7
Top OS
- - WinXP
- - Linux i686
- - MacOSX
- - WinVista
- - Win98
Goście online
- 10 użytkownik (ów) online
- powered by Wassup

Tag: bank

Usługi

Electronic Payment

Global Payments

ICE – Reporting & Management

Integrations

Produktów

ICE (Intelligent Communications Exchange)

Hi! Witamy na Madrock!

Kategorii

Blogroll

Najnowsze komentarze

Tłumacz

Przeglądarki górę

Top OS

Goście online