Madrock

ฉันคิดว่าเราเอาต้องตรวจสอบในยุคอิเล็กทรอนิกส์

Apparently ไม่ตรวจสอบ'out link นี้ Engadget

USAA ของฝาก @ app Mobile ทำให้เงินฝากตรวจสอบแก้ว shot ไป

นี้ Great ฉันต้องการหนึ่งของการ์ดเหล่านี้และรายการ ATMâ €™ s.

http://www.sophos.com/blogs/gc/g/2009/03/18/details-diebold-atm-trojan-horse-case/

http://www.theregister.co.uk/2009/03/17/trojan_targets_diebold_atms/

จากนี้ Podcast http://www.grc.com/sn/sn-200.htm Security

Hi,

เมื่อเร็ว ๆ นี้ผม questing ถูกถามใน DUKPT อื่นที่เกี่ยวกับการโพสต์ ให้ฉันมีจำนวนมากเนื้อหาในหัวข้อเรื่องฉันคิดว่าฉันจะนี้สร้าง Link

ฉันจะกลับมาที่เวทีบางและขยายนี้เมื่อฉันได้รับเวลา

การเล่าเรื่องรายการ :

แผนภาพอธิบาย terminal mobile / ATM อธิบายการใช้ AS2805 ('2805') พิมพ์ข้อความและ DUKPT 3DES และ auth dual SSL ทิศทางจาก terminal เพื่อสลับ aquirer รายการ ()

คำอธิบายที่ดีของ DUKPT สามารถดูได้ที่ วิกิพีเดีย

แผนภาพของการไหล

กระแสรายการ DUKPT -- terminal ไปยังธนาคาร

บันทึกมา :

• terminal หรือ ATM แรกเข้ารหัสผู้ใช้ป้อน pin (อาจเป็น DUKPT เอกลักษณ์สำคัญหรือคงขึ้นอยู่กับการออกแบบและธนาคารที่เกี่ยวข้อง) ก่อนที่จะผสมผสานลงในข้อความ 2805 รายการ AS
• ข้อความที่ถูกเข้ารหัสแล้วอีกครั้งโดยใช้คีย์ DUKPT ที่ได้รับการผ่านขั้นตอนการเข้าสู่ระบบการค้าภายใน aquirer Host Security Module (HSM) เช่นผู้ใช้ป้อน pin ถูกเข้ารหัสแยกและห่อหุ้มภายใน DUKPT 2805 เข้ารหัสข้อความเพื่อให้การเข้ารหัสข้อความเต็ม
• ในแผนภาพกำลังตรวจสอบ SSL สองครั้งยังใช้แยกระหว่าง terminal / ATM และโครงสร้างพื้นฐาน aquirers นี้ช่วยให้การทำธุรกรรมรวมทั้งขาไปสำรวจภายนอก Wired / GPRS / LAN ภายใน 2 ชั้นอิสระหลักของการเข้ารหัสด้วย ³ ปกป้อง PIN
• เมื่อรายการเข้าสู่สิ่งแวดล้อม aquirer ชั้น encapsulation ข้อความโดย SSL เป็น removed. นี้ออกจาก DUKPTâ €™ ed 2805 ข้อความที่ยัง encapsulates เข้ารหัสแยก PIN
• เข้ารหัสข้อความนี้ถูกส่งไปยังเครื่องยนต์สลับ aquirer ผ่าน HSM aquirer ของการถอดรหัสของข้อความ 2805 ไม่รวมผู้ใช้ป้อน pin
• นี้เมื่อแลกเปลี่ยนข้อมูลที่จำเป็นสำหรับ aquirerâ €™ s ค้ารายงาน (ตัดหมายเลขบัตรจำนวนรายการประเภทรายการอื่น ๆ ) และข้อมูลการทุจริตจะถูกรวบรวม
• สลับ aquirer จากนั้นผ่านการ PIN เข้ารหัสเพื่อ HSM aquirer ขอให้ PIN จะถอดรหัสโดยใช้การเข้ารหัสของ PIN aquirer และแปลเป็นธนาคารถัดไป (ธนาคาร 1) PIN Encryption Key (แปล Pin เท่านั้นเกิดขึ้นภายใน HSM aquirer) นี้แล้ว ส่งกลับไปที่ aquirer เครื่องยนต์ Switch เป็นธนาคาร 1 เข้ารหัส PIN
• เครื่องมือเปลี่ยน aquirer แล้วส่งถอดรหัส 2805 ข้อความด้วยการเข้ารหัสใหม่ PIN กลับ HSM aquirer จะเข้ารหัสกับธนาคาร 1 MAC สำคัญ
• ธนาคารผลลัพธ์ 1 ข้อความเข้ารหัสคีย์จะถูกส่งไปแล้วธนาคาร 1 สำหรับการประมวลผลและ / หรือผ่านไปยัง บริษัท ผู้ออกบัตร (โดยใช้กระบวนการเช่นเดียวกับที่อธิบายข้างต้น)
• เมื่อผลที่ได้รับคืนจากธนาคารผู้ออกจะถูกเข้ารหัสกับธนาคาร 1 สำคัญ MAC (pin จะไม่แสดงในข้อความผลลัพธ์)
• นี้จะถอดรหัสแล้วโดย HSM aquirer ให้ผลเวรรายการเก็บไว้ในระบบการรายงาน aquirer ค้าและรายการชะตากรรมอีกครั้งเข้ารหัสด้วยคีย์ DUKPT aquirer ต้นฉบับ (ควรจะแตกต่างกันต่อ terminal / ค้าเป็นต้น) และผลที่ส่งกลับไปที่ terminal ผ่านเดิมจัดตั้งสถานีเชื่อมต่อแบบเข้ารหัส SSL

aquirer อาจยุติการเชื่อมต่อ SSL บนอุปกรณ์ฮาร์ดแวร์เช่น CISCO Content Service Switch (CSS), หรือเทียบเท่าแทนการออกแบบอธิบายหนังสือรับรองในแผนภาพที่สิ้นสุด SSL session บน server / gateway (อาจรวมถึง) หรือ ที่เปลี่ยนธุรกรรม aquirer

เมื่อ PIN ถูกบล็อคได้รับจากศูนย์การ aquirer ที่เข้ารหัส PIN แปลจาก terminal กุญแจของท้องถิ่น Master Key (LMK) โดย Host Security Modules (HSM)

เมื่อข้อความถูกส่งไปที่ลิงก์แลกเปลี่ยนธนาคารต้นน้ำให้ผู้ออกหรือประตู HSM aquirer แปลบล็อก PIN เข้ารหัสจาก LMK ไป Zone Master Key (ZMK) ของการเชื่อมโยงแลกเปลี่ยน aquirer บล็อค PIN ถูกเข้ารหัสตลอดการใช้ DEA3 (3DES) เมื่ออยู่นอกอาคารหรือ ATM

HSM - 8000 User - V2.2 Guide

EFT อุปกรณ์และระบบต่างกันขึ้นอยู่กับ บริษัท ผู้ผลิตฮาร์ดแวร์ประเทศและธนาคาร aggregator / การชำระเงิน
ด้านล่างเป็นรายการของสิ่งที่คุณอาจต้องการพิจารณา รายการนี้จะปิดด้านบนของหัวของฉันจึงอาจไม่สมบูรณ์

ดูสินค้าและความสัมพันธ์เราจะเริ่มต้นที่ดี

สิ่งที่ต้องพิจารณา :

• บัตรวิธี skimming
• บางอุปกรณ์ EFT POS จำกัด การเชื่อมต่อของพายกวาดฝ้า
• ระดับการทบทวนการทุจริตที่เกี่ยวข้อง
• อุปกรณ์ตรวจสอบและวิธีการ EFT
• ตัว terminal Review (ร้านค้าและลูกค้า)
• คู่มือการประมวลผล (ภายในและภายนอก)
• สินค้าอีคอมเมิร์ซ
• PC ซอฟต์แวร์ตาม
• บริการ Dedicated server (Nobil ฯลฯ )
• Web เครื่องยนต์ตาม (วัตถุ Custom, Web ป๊อปอัพ, etc)
• อนุมัติ / วิธีการระบุ (ร้านค้าและลูกค้า)
• จี้ session TCPIP ปลอมแปลง session /
• การหักบัญชีธนาคารเป็นบัตรเครดิต
• Swift (วิธีการและการควบคุม)
• การโอนทางโทรเลข (วิธีการและการควบคุม)
• ความสัมพันธ์รวบรวมเงิน (เช่นเงินเทคคู่มือการตรวจสอบสแกน ฯลฯ )
• Internet สิ่งอำนวยความสะดวกธนาคาร (โจมตีการรุก / การลงทะเบียนใบรับรองการจัดการ / ISP SLA ของ ฯลฯ )
• การดำเนิน Smart Card และ / หรืออุปกรณ์การรับรู้ทางเลือกลูกค้า
• Outsourcing และความเสี่ยงที่เกี่ยวข้อง / ข้อตกลงระดับบริการ
• การชำระเงิน
• กวาดล้างการชำระเงิน
• สลับการชำระเงิน
• รายงาน (แยกลูกค้าของร้านค้า / รวบรวมพันธมิตร / local / international)
• ตรวจสอบการทุจริตและรายงาน
• บุคคลที่ 3 ความเสี่ยงซื้อ
• ID เดียวค้าธุรกิจจำนวนมาก
• ไม่มีรูที่จะช่วยให้ซักรีดถ้ารวบรวมเงินไม่เหมาะสมในสถานที่ควบคุมผู้ค้า
• ใช้การเข้ารหัส
• Internet / เชื่อถือคู่ / ระหว่างธนาคาร / เอ็กซ์ทราเน็ต
• ภาคเอกชนและ / หรือบัตรประชาชน
• ใช้ใบรับรองโสด
• Client ใบรับรองด้าน
• โอนเงินการให้คำแนะนำและการควบคุม
• recovery disaster EFT และวิธีการกลับล้มคู่มือ (เกี่ยวข้องความปลอดภัยและความเสี่ยงการประนีประนอม)
• ความสัมพันธ์กับพันธมิตร Trusted หนี้สินของ SLA และความเสี่ยง
• EFT ระเบียบ / ข้อกำหนดทางกฎหมาย (ระหว่างธนาคารและรัฐบาล)
• การคืนอำนาจ / (นโยบาย, วิธีการควบคุมเป็นต้น)
• CVV, CVV - 2 / CVC - 2 การประมวลผลและการจัดการ (http://www.atlanticpayment.com/CVV.htm)
• กลไกการตรวจสอบการทุจริต (เครือข่ายประสาท, ระหว่างธนาคาร / เช็คลูกค้าแผนก, etc)
• แผนบัตรสนับสนุน (AMEX / Visa / Mastercard / Discover / etc)
• Review EFT จำกัด ชั้น (ร้านค้ากิจการและ SME)
• ตรวจสอบความสามารถในการระงับการชำระค้าถึงสถานะของการทุจริตได้ถูกกำหนด
• ตรวจสอบรายละเอียดการระบุลูกค้า เช่น (ซึ่งแตกต่างกันไปทั่วโลกขึ้นอยู่กับระเบียบ local / กฎหมายข้อมูลส่วนบุคคล)
• ตรวจสอบเวลาจริงและวิธีการประมวลผลและการควบคุม batched (หมายเลขลำดับการเข้าถึงข้อมูลดิบ, ฯลฯ )
• การตรวจสอบที่มีและไม่มีวันหมดอายุ (ยกเว้นการควบคุมและนโยบาย)
• ยกเว้น Review / รายงานการทุจริต
• เก็บเงินและตรวจสอบนโยบายและวิธีการส่ง
• Review Pre - auth เสร็จสมบูรณ์และการควบคุม
• Token การชำระเงินตาม (eCash, etc)
• ประนีประนอม Merchant รายงานวิธีการและการควบคุม (กระดาษ, Internet, email, PDF, โทรสาร ฯลฯ ) และการรักษาความปลอดภัยที่เกี่ยวข้อง
• เวลารวมนโยบายการตั้งถิ่นฐาน Real วิธีการและควบคุม (IT และจำนวนเงิน)
• การ์ดและวิธีการออกนโยบาย (รหัสลูกค้าเช็ค, etc)
• โครงสร้างพื้นฐาน Banking (ทางเข้า egress) ควบคุมและรักษาความปลอดภัย (พันธมิตรเว็บสวิตช์การชำระเงินสาธารณูปโภค outsourced ติดตาม / รายงาน . )
• การใช้เทคโนโลยีอินเทอร์เน็ตสำหรับการโอนระหว่างธนาคารและอุปกรณ์จากระยะไกล
• ความปลอดภัยทางกายภาพและการควบคุมของอุปกรณ์, ATM, s, encryptors line เป็นต้น

ผมขอเวลาแล้วสิ่งที่จัดเรียงของสิ่งที่อาจได้รับการพิจารณาเมื่อดูที่ Internet Banking

ด้านล่างนี้เป็นสิ่งที่อาจจะถือเป็น มันเป็นเพียงการถ่ายโอนข้อมูลสมองและเช่นนั้นอาจไม่สมบูรณ์

ไม่ประมาทค่ามาตรฐานของโครงสร้างพื้นฐานการตั้งค่าเว็บไซต์ของคุณฐานข้อมูลการกำหนดค่าเครื่องยนต์สถาปัตยกรรม / เวทีสิ่งแวดล้อมและการพัฒนา / สิ่งแวดล้อม QA

คิดบาง :

• จำนวนมากไม่ล็อคบัญชีหลังจาก X failed การเข้าสู่ระบบนี้จะทำตามปกติเพื่อบริการลูกค้าดี แต่ใบระบบเสี่ยง

-- และทุกสิ่งอื่น ๆ ที่คาดหวังสำหรับช่วงการเข้าสู่ระบบจากระยะไกล (บังคับเปลี่ยนรหัสผ่าน, aging, etc))
-- เครื่องมือเช่น Brutus อาจจะใช้กำลังดุร้ายตัดสิทธิ์รอบ

• จำนวนมากให้หมายเลขลำดับ incremented session จะช่วยให้ผู้ใช้สิทธิ์เพื่อดู session ลูกค้าอื่นๆ

-- เหล่านี้อาจด้านเซิร์ฟเวอร์ด้านลูกค้าคุกกี้ตามเป็นต้น
-- รับคนเพื่อตรวจสอบวิธีการพัฒนาและรหัสที่ใช้
-- ฐานข้อมูลสตริงแบบสอบถามสามารถวางในช่องรายการทดสอบให้ทิ้งตารางเบราว์เซอร์
-- ตรวจสอบทุกหน้าบริการมีความปลอดภัยและมีธงในการตรวจสอบผู้ใช้

• ข้อมูลลูกค้าอาจไม่สามารถแยกนี้จะต้องตรวจสอบ
• ข้อมูลลูกค้าไม่ควรอยู่บน Web Server

• ฐานข้อมูลการตรวจสอบข้อมูลระบบไม่ควรอยู่ในเว็บเซิร์ฟเวอร์
• ฐานข้อมูลควรจะอยู่ในภาคเอกชนเครือข่ายกึ่งส่วนตัว /

-- ส่วนที่แตกต่างกันกับระบบธนาคารหลัก

• เว็บเซิร์ฟเวอร์จะ dual homed หรือเทียบเท่า (บางเทคนิค VLAN ดี)

-- แยกภาครัฐและเอกชนการ์ดเครือข่ายติดตาม backup / บริหาร
-- โครงสร้างการตั้งค่าอย่างชัดเจนปฏิเสธขาเข้า / ขาออก ports, IP เอกชนและตรวจสอบหลีกหนีจากเครือข่าย

• ทุกจุดแยกข้อมูลให้เป็นระเบียบในสถานที่ที่ตระหนักว่าการจราจรจุดที่

• ข้อมูลทั้งหมดของลูกค้าที่เป็นไปได้ควรจะมาจากฐานข้อมูลกลับปลอดภัย - end

-- นี้อาจแสดงละครสิ่งแวดล้อม คือไม่มีระบบธนาคารหลัก
-- นี้จะช่วยให้การทำธุรกรรมจะปรากฏเวลาจริงให้กับลูกค้า
-- รายการจำนวนมากอาจ batched ในความเป็นจริง (ภายในหรือภายนอกที่ธนาคาร)

• มั่นใจหลักเกณฑ์ที่เหมาะสมได้รับการตั้งค่าในไฟร์วอลล์

-- ควรมีขาเข้าและขาออกกฎในไฟร์วอลล์และเราเตอร์กรอง

• ไม่อนุญาตให้มีโครงสร้างพื้นฐานในส่วนหน้าใด ๆ เพื่อให้การบริหารการเชื่อมต่อระยะไกล telnet (ฯลฯ )

-- ใช้ serial console port เพื่อเชื่อมต่อกับเซิร์ฟเวอร์หรือ end - back server terminal

• ดูแยกเวที / เนื้อหาลูกค้าออนไลน์จากระบบธนาคารหลัก

• ให้แน่ใจว่าการแยก / QA / สิ่งแวดล้อมระบบการผลิตและกระบวนการที่เหมาะสมในสถานที่

• ไม่ได้ใช้บริการโดยระบบมีการใช้งาน

-- เหล่านี้ควรจะปิดการใช้งาน

• Port scan ของโครงสร้างพื้นฐานที่สนับสนุน (เราเตอร์สวิทช์) และ server (s)

-- สืบหาสาเหตุของการเปิดพอร์ตทั้งหมด

• ไม่ใช้ประตูหลักสำหรับการเข้าถึงพันธมิตรที่เชื่อถือได้ (ล้าง / RAS / ฯลฯ )
• ทำสิ่งที่ IIS ตรวจสอบมาตรฐานและตรวจสอบ NT (สคริปต์ตัวอย่าง, การจัดการการเปลี่ยนแปลงวิธีการ patching ฯลฯ )
• ปฏิเสธตรวจสอบการบริการการระมัดระวังได้ถูกนำเข้าบัญชีของโครงสร้างพื้นฐานและอุปกรณ์เซิร์ฟเวอร์
• ตรวจสอบความเพียงพอของการขยายการใช้

-- มองหาการตรวจสอบเวลาจริงและแจ้ง
-- ดูความรับผิดชอบ matrix
-- มองหาเจ้าของปัญหา

• พิจารณาผู้ให้บริการต้นน้ำ (s) จุดอ่อน (ปฏิเสธบริการปลอมแปลง IP, DNS hacking, etc)
• พิจารณาวิศวกรรมทางสังคมของลูกค้าการบริหารระบบบัญชีคู่ / โครงสร้างพื้นฐาน

-- การ Helpdesk และนโยบายและ / หรือเทคโนโลยีอื่น (Caller ID, IP Gateway, etc)

• ใช้รหัสผ่านแบบไดนามิกที่เป็นไปได้ (SecureID, TACACS ฯลฯ )
• ใช้การเข้ารหัส tunneling ที่ต้องการ (IPSec, Firewall 1, etc)
• พิจารณาดูที่วิธีการตรวจสอบลูกค้าอื่น ๆ เพื่อเพิ่มการมีอยู่

-- ใบรับรองดิจิตอลที่อยู่ IP ล็อคบัญชีฯลฯ
-- พิจารณาการใช้ CVV หรือ CVN สำหรับธนาคารที่ออกบัตร

• พิจารณาว่ารหัสผ่านที่ได้รับการกระจายการเปลี่ยนแปลง / สำหรับลูกค้า

email ข้อความ -- Plain, โทรศัพท์ฯลฯ
รหัสผ่านสามารถ -- จะมีการเปลี่ยนแปลงออนไลน์

• ใช้การตรวจสอบเพิ่มเติมระหว่างส่วนของบริการที่เป็นสิทธิ์ครั้งเดียว
• พิจารณาว่าลูกค้ามีสิทธิ์ในการรับรองความถูกต้องครั้ง

-- ดู SWIFT, RTGS, โอนเงินระหว่างธนาคารเข้าถึงบัตรเครดิตฯลฯ
-- หากโจมตีไม่ได้ในสิ่งที่สามารถทำอย่างไร

• เทคนิคการใช้เพื่อให้มั่นใจว่ารายละเอียดของลูกค้าไม่ได้ถูกเก็บไว้ที่ ISP หรือลูกค้าระบบ

-- ธงเหล่านี้ที่สามารถตั้งได้ภายในหน้า
-- ปกติ SSL ใช้แคช แต่บาง proxy ผู้ขายได้รับการเล่นกับเทคนิคการทำ
-- Caching หน้า SSL ในระบบลูกค้าสามารถเปิดในเบราว์เซอร์บาง
-- ธนาคารอาจใช้ Java (หรือคล้ายกัน) แอพเพล็ตสำหรับการโต้ตอบของลูกค้าทั้งหมดแคช จำกัด ทุกประเด็น

• กระดาษและตรวจสอบตามสายในข้อรับผิดสามารถมีที่อยู่บริเวณผลกระทบทั้งหมด
• ลูกค้ามั่นใจในกระบวนการรับผิดสมัครธนาคารจะลดลง

-- ฉันได้เห็นข้อความเช่น"ใช้ระบบนี้ความเสี่ยงของคุณเองความรับผิดชอบต่อความรับผิดหรือเรียกร้องจะไม่ ... ... "
-- ลูกค้าไม่มากเน้น แต่สิ่งที่ฝ่ายกฎหมายของพวกเขาแนะนำ

ทั้งหมดข้างต้นได้ผลการรักษาความปลอดภัยและ / หรือการดำเนินงานของระบบธนาคารออนไลน์

สิ่งอื่น ๆ เพื่อพิจารณา :

• การพัฒนาภายนอกและการสนับสนุนของโปรแกรม
• เจ้าของและการจัดการของฮาร์ดแวร์ประยุกต์ /
• จุดพิมพ์เนื้อหาใหม่ (ภายใน / เอกชน / เครือข่ายที่เชื่อถือได้หรือ Internet)
• โครงสร้างของ end. คือหน้าเอกสาร Security Architecture ควรอยู่ในสถานที่และการจัดการอย่างเหมาะสม
• ทดสอบ AP จำกัด มีผลเมื่อมีการเปลี่ยนแปลงสภาพแวดล้อมหรือไม่ เช่นตัว AP เป็นกระบวนการการจัดการการเปลี่ยนแปลง
• เข้าถึงฐานข้อมูล มัน buffered หรือมันอยู่ในระบบธนาคารหลัก
• สิ่งอำนวยความสะดวกมีไว้? หักบัญชีธนาคาร + บัตรเครดิต SWIFT + + ... ... พิจารณาสถานการณ์ต่างๆสำหรับการโจมตีของคุณขึ้นอยู่กับคุณลักษณะ
• สิ่งบริการอื่น ๆ ร่วมกันภายในกลุ่มเครือข่ายที่ให้บริการ Internet Banking ทำงาน นี้สามารถนำไปใช้เพื่อการประนีประนอมเว็บไซต์ Internet Banking เช่น ต่างสนับสนุนธุรกิจ / พัฒนาองค์กรด้วยกลยุทธ์การรักษาความปลอดภัยที่แตกต่างรูป /
• พิจารณาการบริการสนับสนุนทั้งหมดภายในภายนอกคุณ AP ดูภายใน DNS ภายนอก / โอกาสพิษ, relay mail ฯลฯ อะไร IPS ของพวกเขาใช้ ISP โอกาสเข้าถึงระบบหรือสนับสนุนการบริการที่อาจมีผลต่อ Internet Banking ท่านใดที่มี
• ขึ้นอยู่กับขนาดของธนาคารในหลายองค์กรไม่ได้ใช้กลุ่มสนับสนุนเหมือนกันสำหรับโครงสร้างพื้นฐานและการใช้ ดังนั้นการเชื่อมต่อภายนอกโครงสร้างพื้นฐานอาจให้การสนับสนุนองค์กรภายนอกในการจัดการโครงสร้างพื้นฐาน
• มองธุรกิจและวิธีการตรวจสอบผู้ใช้และเส้นทาง (certs ด้านลูกค้าปลอดภัย ID, SMART Card, etc) พิจารณาตรวจสอบปัจจัยสองและวิธีการระบุผู้ใช้ที่ทันสมัย เช่น เป็นอาหารที่คุณชื่นชอบนอกจากปกติชื่อผู้ใช้และรหัสผ่านอะไร เจ้าหน้าที่บริหารระบบจะใช้รหัสผ่านแบบไดนามิก (secureID, etc)?
• ดูว่าโปรแกรม Internet Banking ส่งอีเมลไปยังผู้ใช้ซึ่งอาจมีข้อมูลที่น่าสนใจ
• ใช้ดีกว่าโปรแกรมสามารถทั่วไปจะได้รับหลังจากการเข้าระบบ เช่นได้รับบัญชีที่ถูกต้องในระบบ ฉันได้พบว่ากลุ่มตัวอย่างบาง / หน้าจอการบริหารได้รับการ จำกัด ให้ผู้ใช้สิทธิ์เท่านั้น
• พิจารณาวิศวกรรมสังคมโต๊ะช่วยเหลือในการมีบัญชี password reset

เมื่อพิจารณาความปลอดภัย Mobile Banking และความเสี่ยงที่วิธีการประเมินผลขึ้นอย่างมากในการแก้ปัญหาการสร้างหรือจัดให้
โดยทั่วไปวิธีนี้ใช้มาตรฐานชั้นสนับสนุนและรอบเทคโนโลยีและเทคนิคที่ใช้

นี่เป็นสิ่งที่ต้องพิจารณา

การประเมินความปลอดภัยโดยทั่วไปเน้นที่สองสิ่งหลัก

1 / ความไวของข้อมูล
สิ่งที่จะถูกส่ง เช่น Pin, หมายเลขบัตรเครดิตยอดเงินในบัญชีที่อยู่บ้านเลขที่บัญชีธนาคารเป็นต้น
ข้อมูลอาจไม่สำคัญกับธนาคาร แต่อาจจะพิจารณาลูกค้าเป็นสำคัญ
ฯลฯ ... ... ...

2 / โอกาสในการเข้าถึงข้อมูล
สิ่งที่สื่อจะถูกใช้อย่างไร
มีความสะดวกในการตัด?
สิ่งที่เข้ารหัสจะถูกใช้อย่างไร
ทุกเส้นทางรักษาความปลอดภัยข้อมูลลูกค้า (และจบกลับ)?
มีบุคคลที่ 3 ที่เกี่ยวข้องกับการเปลี่ยนของธุรกรรมหรือไม่
ฯลฯ ... ... ...

สิ่งที่ต้องพิจารณา :

• Pin รีเซ็ตส่งผ่าน SMS ให้ลูกค้าไม่ควรใช้เป็นวิธีการเฉพาะในการเข้าถึงบัญชี ลูกค้าเฉพาะเพิ่มเติม (คงอาจ) ส่งคำวลี / ควรใช้นอกจาก pin สร้างแบบไดนามิก SMS สามารถ sniffed (ขึ้นอยู่กับโหมดและสถานที่)
• WAP หากใช้อุปกรณ์ทั้งหมดสามารถเข้ารหัสได้? หากอุปกรณ์ไม่สามารถเข้ารหัสเราจะปฏิเสธการเข้าถึงอุปกรณ์เหล่านี้ หากลูกค้าด้าน JAVA หรืออุปกรณ์อัจฉริยะ (ชนะ CE, etc), ให้นี้ไม่สามารถทำลายโดย Trojan และเทคนิคอื่น ๆ ที่สำคัญเข้า
• มีองค์กรพิจารณาใบรับรองด้านลูกค้าเพื่อตรวจสอบอุปกรณ์ก่อนการทำรายการเป็นที่ยอมรับได้หรือไม่ พิจารณาหลายอุปกรณ์และวิธีการระบุผู้ใช้ (ขึ้นอยู่กับวิธีมาก)
• ที่สุด POS terminals มือถือเข้ารหัสลูกค้าป้อนหมายเลข Pin แต่ไม่ทุกเข้ารหัสในรายการ ถ้ากลางส่งเป็นอันตรายเราควรพิจารณาถ้าหากการเข้ารหัสสามารถแตกและหากข้อมูล unencrypted มีความไว พิจารณา encapsulation ใช้การเข้ารหัสข้อมูลเพิ่มเติมคือทั้งหมดของการเข้ารหัสข้อความ (SSL, IPSec) หรือใช้ terminal ที่ใช้มาไม่ซ้ำที่สำคัญต่อรายการ (DUKPT)
• งานธนาคารหลายแห่งได้รับผลกระทบจาก hacks ทั่วไปเช่นจี้ session, SQL injection, non คีย์ session สุ่ม (ฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์) เป็นต้น ... เหล่านี้ hacks ทั่วไปควรพิจารณาใน Secure SDLC และกระบวนการ QA เมื่อคุณตระหนักถึง เทคโนโลยีที่ใช้และ / หรือการใช้งาน
• อุปกรณ์มีระบบ PBX สามารถและสายภาพการกระจายการเชื่อมต่อเพื่อเก็บรายการ อุปกรณ์ไร้สายกำลังถูกเชื่อมต่อกับระบบเหล่านี้ โจมตีนั่งในรถในที่จอดรถด้านนอก นี้มักจะทำในตลาดซุปเปอร์
• Wireless gateways รายการถ้าไม่เข้ารหัสจะเก็บได้อย่างง่ายดายโดยคนในช่วงสาย 802.11 และอื่น ๆ สาย / สื่ออินฟาเรดมีการใช้ (ประเมินเทคโนโลยีและสื่อที่ใช้)
• มีองค์กรพิจารณาคีย์แบบไดนามิกสำหรับผู้ใช้โทรศัพท์มือถือได้อย่างไร มีโซลูชั่นชนิดในปัจจุบันมีบาง SecureID ต้นทุนต่ำมาก แต่ลูกค้าต้องมีอุปกรณ์เหล่านี้ในขณะที่พวกเขาต้องการทำธุรกรรม

ด้านล่างเป็นบทความฉันพบเมื่อเร็ว ๆ นี้ หนึ่งในรายละเอียดมากที่สุดของ PIN Verification Value (PVV) hacking นี้

ฉันคิดว่าฉันจะทำซ้ำมันนี่เพื่อใช้อ้างอิงในท้องถิ่นของฉัน

เป็นความคิดเห็นได้ทำเกี่ยวกับไวยากรณ์ใช้ในข้อความเดิมที่ฉันมีการแก้ไขบางส่วนของข้อผิดพลาดที่เห็นได้ชัดขณะที่รักษาบริบทของวัสดุเดิม

biggold1/fastget2you/tutorial.php http://69.46.26.132/ ~

--- ---- Original Text

คำขึ้นต้น
คุณเคยสงสัยว่าอะไรจะเกิดขึ้นถ้าคุณสูญเสียเดบิตหรือบัตรเครดิตของคุณและคนที่เห็นว่า บุคคลนี้จะสามารถถอนเงินสดจากตู้เอทีเอ็มเดา, ใด, PIN ของคุณ นอกจากนี้ถ้าคุณมีผู้พบบัตรของคนที่คุณจะพยายามเดา PIN และนำเงินโอกาสที่จะได้รับง่ายบาง แน่นอนคำตอบสำหรับคำถามทั้งสองควรจะ"no" งานนี้ไม่ได้จัดการกับคำถามที่สองเป็นจริยธรรมเป็นเรื่องส่วนตัวของ พร้อมกันนี้ผมพยายามที่จะตอบคำถามแรก

ข้อมูลที่ใช้สำหรับงานนี้เป็นสาธารณะและสามารถพบอิสระในอินเทอร์เน็ต ที่เหลือก็เป็นเรื่องของคณิตศาสตร์และการเขียนโปรแกรมทำให้เราสามารถเรียนรู้สิ่งและมีสนุก ฉันเปิดเผยความลับไม่ นอกจากเป้าหมาย (และข้อสรุปสุดท้าย) ของงานนี้คือการแสดงให้เห็นว่าขั้นตอนวิธี PIN ยังแข็งแรงพอที่จะให้ความปลอดภัยเพียงพอ เรารู้เทคโนโลยีไม่ได้เป็นปมด้อย

นี้การวิเคราะห์งานหนึ่งที่พบมากที่สุด algorithms PIN, VISA PVV, ใช้บัตรเอทีเอ็มมาก (เครดิตและบัตรเดบิต) และพยายามหาวิธีที่จะต้านทาน PIN คาดเดาการโจมตี โดย"เดา"ผมไม่ได้หมายถึงการเลือก PIN สุ่มและพยายามใน ATM เป็นที่รู้จักกันดีโดยทั่วไปเราจะได้รับการทดลองสามติดต่อกันเพื่อป้อน PIN ขวาถ้าเราไม่เก็บบัตร ATM เป็น VISA PIN สี่หลักยาวก็ง่าย deduce ว่าโอกาสสำหรับการสุ่ม PIN เดาเป็น 3 / 10000 = 0.0003 ดูเหมือนว่าต่ำพอที่จะปลอดภัย; หมายความว่าคุณจะต้องเสียบัตรกว่า 3,000 ครั้ง (หรือสูญเสีย กว่า 3,000 ใบในเวลาเดียวกัน :) จนกว่าจะมีโอกาสที่เหมาะสมของการสูญเสียเงิน

สิ่งที่ผมหมายโดย"เดา"ถูกทำลาย algorithm PIN เพื่อให้รับบัตรที่คุณสามารถทราบได้ทันทีที่เกี่ยวข้อง PIN ดังนั้นการศึกษานี้เอกสารที่เป็นไปได้วิเคราะห์ขั้นตอนวิธีและเสนอวิธีการโจมตี สุดท้ายเราให้เครื่องมือที่ดำเนินการโจมตีและผลปัจจุบันเกี่ยวกับโอกาสประมาณเพื่อทำลายระบบ ทราบว่าตราบเท่าที่การรักษาความปลอดภัยธนาคารอื่น ๆ ขั้นตอนวิธีที่เกี่ยวข้อง (PIN รูปแบบอื่น ๆ เช่น IBM PIN หรือลายเซ็นตรวจสอบบัตรเช่น CVV หรือ CVC) คล้ายกับ VISA PIN, การวิเคราะห์เดียวกันสามารถทำได้เกือบผลผลิตผลและข้อสรุปเดียวกัน

PVV algorithm VISA

หนึ่งที่พบมากที่สุด algorithms PIN เป็น PIN VISA Verification Value (PVV) ลูกค้าจะได้รับ PIN และบัตรแถบแม่เหล็ก เข้ารหัสในแถบแม่เหล็กเป็นตัวเลขสี่หลักที่เรียกว่า PVV หมายเลขนี้เป็นลายเซ็นเข้ารหัสลับของ PIN และข้อมูลอื่น ๆ ที่เกี่ยวข้องกับบัตร เมื่อผู้ใช้ป้อนอ่านตน PIN ATM แถบแม่เหล็กเข้ารหัสและส่งข้อมูลนี้ไปยังคอมพิวเตอร์ส่วนกลาง มีชุดทดลอง PVV คำนวณโดยใช้ป้อน PIN ของลูกค้าและข้อมูลบัตรที่มีวิธีการเข้ารหัส การทดลองใช้ PVV เปรียบเทียบกับ PVV เก็บไว้ในบัตรได้หากตรงกับคอมพิวเตอร์กลับกลางที่อนุมัติ ATM เพื่อทำรายการ ดูรายละเอียดเพิ่มเติม

รายละเอียดของขั้นตอนวิธี PVV สามารถพบได้ในสองเชื่อมโยงเอกสารในหน้าก่อน ในการสรุปซึ่งประกอบด้วยในการเข้ารหัสของ byte 8 (64 bit) สตริงของข้อมูลที่เรียกว่าแปรรูป Security Parameter (TSP) โดยมีขั้นตอนวิธี DES (DEA) ในโหมด Electronic Code Book (ECB) โดยใช้คีย์ลับ 64 bit PVV มาจากผลของการเข้ารหัสซึ่งเป็น 8 string byte สี่หลักของ PVV (จากซ้ายไปขวา) ตรงกับสี่หลักทศนิยม (จากซ้ายไปขวา) ของผลผลิตจาก DES เมื่อพิจารณาเป็นอักขระเลขฐานสิบหก 16 (16 x 4 bit = 64 bit) สตริง ถ้าไม่มีตัวเลขสี่หลักทศนิยมระหว่าง 16 ตัวอักษรฐานสิบหกแล้ว PVV เสร็จสมบูรณ์ที่มี (จากซ้ายไปขวา) ตัวอักษรและทศนิยมไม่ decimalizing พวกเขาโดยใช้ A -> 0 แปลง, B -> 1, C -> 2, D --> 3, E -> 4, F -> 5 นี่คือตัวอย่าง

ออกจาก DES : 0FAB9CDEFFE7DCBA

PVV : 0975

กลยุทธ์ในการหลีกเลี่ยง decimalization โดยข้ามตัวจนสี่หลักทศนิยมพบ (ซึ่งเกิดขึ้นเป็นเกือบทุกครั้งที่เราจะดูด้านล่าง) จะฉลาดมากเพราะหลีกเลี่ยงอคติที่สำคัญในการกระจายของตัวเลขที่ได้รับการพิสูจน์แล้วว่าเสียชีวิต สำหรับระบบอื่น ๆ แม้ว่าผลกระทบต่อระบบนี้จะต่ำกว่ามาก ดูยังเป็นปัญหาที่ไม่ใช้เพื่อ VISA PVV

TSP เห็นเป็นอักขระเลขฐานสิบหก 16 (64 bit) เชือกเกิดขึ้น (จากซ้ายไปขวา) ร่วมกับ 11 หลักขวาสุดของ PAN (หมายเลขบัตร) ยกเว้นหลักสุดท้าย (ตรวจสอบหลัก), หนึ่งหลัก 1-6 ซึ่งเลือกการเข้ารหัสลับคีย์และสุดท้ายทั้งสี่หลักของ PIN นี่คือตัวอย่าง

PAN : 1234 5678 9012 3445
เลือก Key : 1
PIN : 2468

TSP : 5678901234412468

แน่นอนปัญหาการทำลาย VISA PIN ประกอบในการหากุญแจเข้ารหัสลับสำหรับ DES วิธีการที่ทำค้นหากำลังดุร้ายพื้นที่สำคัญ โปรดทราบว่านี้ไม่เพียงวิธีการเดียวหนึ่งได้พยายามหาจุดอ่อนใน DEA, พยายามมาก แต่มาตรฐาน แต่ก็ยังใช้งานกว้าง (ได้ตอนนี้แทนที่ด้วย AES และ RSA แม้ว่า) นี้แสดงให้เห็นเป็นที่แข็งแกร่งพอเพื่อให้กำลังดุร้ายเป็นเพียงวิธีการทำงานได้ (มีบางโจมตีดี แต่ไม่ปฏิบัติในกรณีของเราเพื่อสรุปดูบันทึก LASEC และรายละเอียดสกปรกดู Biham และ Shamir 1990, Biham และ Shamir 1991 Matsui 1993, Biham และ 1994 Biryukov และ Heys 2001)

เลือกคีย์หลักได้มากจะนำไป cover เป็นไปได้ของการประนีประนอมสำคัญ ในกรณีที่พวกเขาก็ต้องออกบัตรใหม่โดยใช้ตัวเลือกอื่นที่สำคัญ การ์ดเก่าสามารถทดแทนกับคนใหม่หรือ ATM โปร่งใสสามารถเขียนใหม่ PVV (ตรงกับคีย์ใหม่และการรักษา PIN เดียวกัน) ครั้งต่อไปที่ลูกค้าใช้บัตรของตน การสั่นของการรักษาความปลอดภัยผู้ใช้ควรต้องเปลี่ยน PINs ได้ แต่มันจะน่าอายสำหรับธนาคารเพื่ออธิบายเหตุผลเพื่อให้มีโอกาสมากที่พวกเขาจะไม่ทำคำขอดังกล่าว

เตรียมโจมตี

กำลังโจมตีเดียรัจฉานประกอบด้วย TSP ในการเข้ารหัสที่มีชื่อเสียง PVV ใช้คีย์การเข้ารหัสที่เป็นไปได้และเปรียบเทียบกันได้ PVV ด้วยกัน PVV เมื่อพบการแข่งขันเรามีกุญแจผู้สมัคร แต่กี่คีย์เราต้องพยายาม? ที่เรากล่าวข้างต้นสำคัญเป็น 64 บิตยาวนี้จะหมายถึงเราต้องลอง 2 ^ 64 ปุ่ม แต่นี้ไม่เป็นความจริง จริงเพียง 56 บิตมีประสิทธิภาพในการคีย์ DES เพราะ bit (น้อยมาก) ออกจากกันได้ octet reserved ประวัติศาสตร์เป็นคนอื่นสำหรับการตรวจสอบ; ในทางปฏิบัติที่ 8 บิต (หนึ่งสำหรับแต่ละ 8 octets) จะถูกละเว้น

ดังนั้นพื้นที่ DES สำคัญประกอบด้วย 2 ^ 56 ปุ่ม ถ้าเราลองคีย์เหล่านี้เราจะพบหนึ่งเดียวตรงซึ่งสอดคล้องกับธนาคารที่สำคัญความลับ? ไม่แน่นอน เราจะได้รับคีย์ที่ตรงกับหลาย เนื่องจาก PVV เป็นเพียงส่วนเล็ก ๆ (1 / 4) ของ output DES นอกจาก PVV เป็น degenerated เพราะบางตัวเลข (ที่ระหว่าง 0 และ 5 หลังจากที่ผ่านมาเห็นได้จากซ้ายไปขวาหลักระหว่าง 6 และ 9) อาจมาจากหลักสิบหรือฐานสิบหก decimalized จากตัวเลขการส่งออก DES ดังนั้นคีย์จำนวนมากจะผลิตออก DES ซึ่งผลผลิตที่จับคู่กัน PVV

แล้วสิ่งที่เราสามารถทำเพื่อหากุญแจจริงในหมู่ผู้ปุ่มบวกอื่น ๆ เท็จ? เพียงแค่เรามีการเข้ารหัสที่สองที่แตกต่างกัน TSP ยังกับรู้จัก PVV แต่ใช้เฉพาะปุ่มที่ให้ผู้สมัครจับคู่บวกกับคู่ TSP - PVV แรก แต่ไม่มีการรับประกันเราจะไม่ได้รับบวกเท็จอีกมากมายพร้อมกับกุญแจจริงไม่ ถ้าเราจะต้องมีคู่ TSP - PVV สามซ้ำและอื่นๆ

ก่อนที่เราจะเริ่มต้นการโจมตีของเราเราต้องรู้ว่าหลายคู่ TSP - PVV เราจะต้อง เพื่อที่เราจะต้องคำนวณความน่าจะเป็นในการออก DES สุ่มจับคู่ผล PVV เพียงแค่โอกาส มีหลายวิธีในการคำนวณจำนวนนี้และที่นี่ฉันจะใช้วิธีง่ายเข้าใจง่าย แต่ที่ต้องใช้พื้นหลังในวิชาคณิตศาสตร์ของความน่าจะเป็นบางส่วน

น่าจะสามารถเสมอเห็นเป็นอัตราส่วนของกรณีที่กรณีดีที่สุด ในปัญหาของเราจำนวนกรณีที่เป็นไปได้จะได้รับจากการเปลี่ยนแปลงขององค์ประกอบ 16 (0 ถึงตัวเลขฐานสิบหก F) ในกลุ่ม 16 คน (16 หลักเลขฐานสิบหกของผลลัพธ์ DES) นี้จะได้รับโดย 16 ^ 16 ~ 1.8 * 10 ^ 19 ซึ่งแน่นอนเกิดขึ้นพร้อมกับ 2 ^ 64 (ตัวเลขที่แตกต่างกันของ 64 บิต) ชุดของตัวเลขนี้สามารถแบ่งออกเป็นห้าประเภท

ผู้ที่มีอย่างน้อยสี่หลักทศนิยม (0-9) ใน 16 หลักเลขฐานสิบหก (0 ถึง F) ของผลลัพธ์ DES

ผู้ว่าเพียงสามหลักทศนิยม

ผู้ว่าตัวเลขเพียงสองหลักทศนิยม

ผู้ว่าทศนิยมหลักเดียว

ที่มีหลักทศนิยมไม่ (ทั้งหมดระหว่าง A และ F)

Let 's คำนวณจำนวนตัวเลขลดลงในแต่ละหมวดหมู่ ถ้าเราฉลาก 16 หลักเลขฐานสิบหกของผลลัพธ์ DES เป็นไป X16 X1 แล้วเราสามารถฉลากสี่หลักทศนิยมของตัวเลขที่ใดประเภทแรกเป็น Xi, XJ, Xk และ XL จำนวนชุดค่าผสมต่างๆกับโปรไฟล์นี้จะได้รับจากผลิตภัณฑ์ที่ 6 i - 1 * 10 * 6j - i - 1 * 10 * 6k - j - 1 * 10 * 6 lk - 1 * 10 * 1616 l - ที่ 6' s มาจากจำนวนของความเป็นไปได้ในการที่ F เลขที่ 10 ที่มาจากความเป็นไปได้สำหรับ 0-9 หลักและ 16 มาจากความเป็นไปได้สำหรับ 0 ถึง F หลัก ขณะนี้ตัวเลขทั้งหมดในหมวดแรกจะได้รับเพียงโดยสรุปของผลิตภัณฑ์นี้มากกว่า i, j, k, l 1-16 แต่ i <j k <<l. หากคุณทำงานคณิตศาสตร์บางคุณจะเห็นนี้เท่ากับสินค้าจาก 104 / 6 ที่มีผลบวกมากกว่า i 4-16 of (i - 1) * (i - 2) * (i - 3) 6i - 4 * 16 16 - i ~ 1.8 * 1019

Analogously จำนวนคดีในประเภทที่สองจะได้รับจากผลรวมกว่า i, j, k 1-16 กับ i <j k <ของผลิตภัณฑ์ 6i - 1 * 10 * 6j - i - 1 * 10 * 6k - j -1 * 10 * 616 k - ซึ่งคุณสามารถทำงานออกเป็น 16! / (3! * (16-13)!) * 103 * 6 13 = 16 * 15 * 14 / (3 * 2) * 103 * 613 = 56 * 104 * 613 ~ 7.3 * 1015 ในทำนองเดียวกันสำหรับประเภทที่สามที่เราได้ผลรวมกว่า i, j 1-16 กับ i <j 6 i - 1 * 10 * 6j - i - 1 * 10 * 616 j - ซึ่งเท่ากับ 16! / (* 2! (16-14)!) * 102 * 614 = 2 * 103 * 615 ~ 9.4 * 1014 อีกประเภทที่สี่ที่เราได้ผลรวมกว่า i 1-16 ของ 6i - 1 * 10 * 616 - i = 160 * 615 ~ 7.5 * 1013 และสุดท้ายจำนวนคดีในประเภทที่ห้าจะได้รับจากการเปลี่ยนแปลงขององค์ประกอบหก (A ถึงหลัก F) ในกลุ่ม 16, ที่, 616 ~ 2.8 * 1012

ฉันหวังว่าคุณตามการคำนวณได้ถึงจุดนี้ส่วนที่ยากจะทำ ขณะนี้เป็นหลักฐานว่าทุกอย่างถูกต้องคุณสามารถรวมจำนวนรายใน 5 ประเภทและเห็นมันเท่ากับจำนวนรวมของรายได้เราคำนวณก่อน จะดำเนินการโดยใช้ตัวเลข 64 บิตหรือการล้อม (สำหรับลอย) หรือล้น (สำหรับจำนวนเต็ม) ข้อผิดพลาดจะไม่ยอมให้คุณได้รับผลแน่นอน

ถึงตอนนี้เราได้คำนวณจำนวนของรายได้ในแต่ละหมวดหมู่ห้า แต่เรามีความสนใจในการได้รับจำนวนกรณีดีแทน มันง่ายในการได้รับมาหลังจากเดิมที่เป็นเพียงการแก้ไขรวมทั้งสี่หลักทศนิยม (หรือตัวเลขฐานสิบหกต้องถ้าไม่มีหลักสิบสี่) ของ PVV แทนให้พวกเขาฟรี In practice this means turning the 10′s in the formula above into 1′s and the required amount of 6′s into 1′s if there are no four decimal digits. That is, we have to divide the first result by 104, the second one by 103 * 6, the third one by 102 * 62 , the fourth one by 10 * 63 and the fifth one by 64 . Then the number of favorable cases in the five categories are approximately 1.8 * 1015, 1.2 * 1012, 2.6 * 1011 , 3.5 * 1010, 2.2 * 109 respectively.

Now we are able to obtain what is the probability for a DES output to match a PVV by chance. We just have to add the five numbers of favorable cases and divide it by the total number of possible cases. Doing this we obtain that the probability is very approximately 0.0001 or one out of ten thousand. Is it strange this well rounded result? Not at all, just have a look at the numbers we calculated above. The first category dominates by several orders of magnitude the number of favorable and possible cases. This is rather intuitive as it seems clear that it is very unlikely not having four decimal digits (10 chances out of 16 per digit) among 16 hexadecimal digits. We saw previously that the relationship between the number of possible and favorable cases in the first category was a division by 10^4, that's where our result p = 0.0001 comes from.

Our aim for all these calculations was to find out how many TSP-PVV pairs we need to carry a successful brute force attack. Now we are able to calculate the expected number of false positives in a first search: it will be the number of trials times the probability for a single random false positive, ie t * p where t = 2^56, the size of the key space. This amounts to approximately 7.2 * 10^12, a rather big number. The expected number of false positives in the second search (restricted to the positive keys found in the first search) will be (t * p) * p, for a third search will be ((t * p) * p) * p and so on. Thus for n searches the expected number of false positives will be t * p^n.

We can obtain the number of searches required to expect just one false positive by expressing the equation t * p^n = 1 and solving for n. So n equals to the logarithm in base p of 1/t, which by properties of logarithms it yields n = log(1/t)/log(p) ~ 4.2. Since we cannot do a fractional search it is convenient to round up this number. Therefore what is the expected number of false positives if we perform five searches? It is t * p^5 ~ 0.0007 or approximately 1 out of 1400. Thus using five TSP-PVV pairs is safe to obtain the true secret key with no false positives.

The attack

Once we know we need five TSP-PVV pairs, how do we get them? Of course we need at least one card with known PIN, and due to the nature of the PVV algorithm, that's the only thing we need. With other PIN systems, such as IBM, we would need five cards, however this is not necessary with VISA PVV algorithm. We just have to read the magnetic stripe and then change the PIN four times but reading the card after each change.

It is necessary to read the magnetic stripe of the card to get the PVV and the encrypting key selector. You can buy a commercial magnetic stripe reader or make one yourself following the instructions you can find in the previous page and links therein. Once you have a reader see this description of standard magnetic tracks to find out how to get the PVV from the data read. In that document the PVV field in tracks 1 and 2 is said to be five character long, but actually the true PVV consists of the last four digits. The first of the five digits is the key selector. I have only seen cards with a value of 1 in this digit, which is consistent with the standard and with the secret key never being compromised (and therefore they did not need to move to another key changing the selector).

I did a simple C program, getpvvkey.c, to perform the attack. It consists of a loop to try all possible keys to encrypt the first TSP, if the derived PVV matches the true PVV a new TSP is tried, and so on until there is a mismatch, in which case the key is discarded and a new one is tried, or the five derived PVVs match the corresponding true PVVs, in which case we can assume we got the bank secret key, however the loop goes on until it exhausts the key space. This is done to assure we find the true key because there is a chance (although very low) the first key found is a false positive.

It is expected the program would take a very long time to finish and to minimize the risks of a power cut, computer hang out, etc. it does checkpoints into the file getpvvkey.dat from time to time (the exact time depends on the speed of the computer, it's around one hour for the fastest computers now in use). For the same reason if a positive key is found it is written on the file getpvvkey.key. The program only displays one message at the beginning, the starting position taken from the checkpoint file if any, after that nothing more is displayed.

The DES algorithm is a key point in the program, it is therefore very important to optimize its speed. I tested several implementations: libdes, SSLeay, openssl, cryptlib, nss, libgcrypt, catacomb, libtomcrypt, cryptopp, ufc-crypt. The DES functions of the first four are based on the same code by Eric Young and is the one which performed best (includes optimized C and x86 assembler code). Thus I chose libdes which was the original implementation and condensed all relevant code in the files encrypt.c (C version) and x86encrypt.s (x86 assembler version). The code is slightly modified to achieve some enhancements in a brute force attack: the initial permutation is a fixed common steep in each TSP encryption and therefore can be made just one time at the beginning. Another improvement is that I wrote a completely new setkey function (I called it nextkey) which is optimum for a brute force loop.

To get the program working you just have to type in the corresponding place five TSPs and their PVVs and then compile it. I have tested it only in UNIX platforms, using the makefile Makegetpvvkey to compile (use the command “make -f Makegetpvvkey”). It may compile on other systems but you may need to fix some things. Be sure that the definition of the type long64 corresponds to a 64 bit integer. In principle there is no dependence on the endianness of the processor. I have successfully compiled and run it on Pentium-Linux, Alpha-Tru64, Mips-Irix and Sparc-Solaris. If you do not have and do not want to install Linux (you don't know what you are missing ;-) you still have the choice to run Linux on CD and use my program, see my page running Linux without installing it.

Once you have found the secret bank key if you want to find the PIN of an arbitrary card you just have to write a similar program (sorry I have not written it, I'm too lazy :) that would try all 10^4 PINs by generating the corresponding TSP, encrypting it with the (no longer) secret key, deriving the PVV and comparing it with the PVV in the magnetic stripe of the card. You will get one match for the true PIN. Only one match? Remember what we saw above, we have a chance of 0.0001 that a random encryption matches the PVV. We are trying 10000 PINs (and therefore TSPs) thus we expect 10000 * 0.0001 = 1 false positive on average.

This is a very interesting result, it means that, on average, each card has two valid PINs: the customer PIN and the expected false positive. I call it “false” but note that as long as it generates the true PVV it is a PIN as valid as the customer's one. Furthermore, there is no way to know which is which, even for the ATM; only customer knows. Even if the false positive were not valid as PIN, you still have three trials at the ATM anyway, enough on average. Therefore the probability we calculated at the beginning of this document about random guessing of the PIN has to be corrected. Actually it is twice that value, ie, it is 0.0006 or one out of more than 1600, still safely low.

Results

It is important to optimize the compilation of the program and to run it in the fastest possible processor due to the long expected run time. I found that the compiler optimization flag -O gets the better performance, thought some improvement is achieved adding the -fomit-frame-pointer flag on Pentium-Linux, the -spike flag on Alpha-Tru64, the -IPA flag on Mips-Irix and the -fast flag on Sparc-Solaris. Special flags (-DDES_PTR -DDES_RISC1 -DDES_RISC2 -DDES_UNROLL -DASM) for the DES code have generally benefits as well. All these flags have already been tested and I chose the best combination for each processor (see makefile) but you can try to fine tune other flags.

According to my tests the best performance is achieved with the AMD Athlon 1600 MHz processor, exceeding 3.4 million keys per second. Interestingly it gets better results than Intel Pentium IV 1800 MHz and 2000 MHz (see figures below, click on them to enlarge). I believe this is due to some I/O saturation, surely cache or memory access, that the AMD processor (which has half the cache of the Pentium) or the motherboard in which it is running, manages to avoid. In the first figure below you can see that the DES breaking speed of all processors has more or less a linear relationship with the processor speed, except for the two Intel Pentium I mentioned before. This is logical, it means that for a double processor speed you'll get double breaking speed, but watch out for saturation effects, in this case it is better the AMD Athlon 1600 MHz, which will be even cheaper than the Intel Pentium 1800 MHz or 2000 MHz.

In the second figure we can see in more detail what we would call intrinsic DES break power of the processor. I get this value simply dividing the break speed by the processor speed, that is, we get the number of DES keys tried per second and per MHz. This is a measure of the performance of the processor type independently of its speed. The results show that the best processor for this task is the AMD Athlon, then comes the Alpha and very close after it is the Intel Pentium (except for the higher speed ones which perform very poor due to the saturation effect). Next is the Mips processor and in the last place is the Sparc. Some Alpha and Mips processors are located at bottom of scale because they are early releases not including enhancements of late versions. Note that I included the performance of x86 processors for C and assembler code as there is a big difference. It seems that gcc is not a good generator of optimized machine code, but of course we don't know whether a manual optimization of assembler code for the other processors (Alpha, Mips, Sparc) would boost their results compared to the native C compilers (I did not use gcc for these other platforms) as it happens with the x86 processor.

Update

Here is an article where these techniques may have been used.

http://redtape.msnbc.com/2008/08/could-a-hacker.html

I have been recently working inside one of the larger Banks in Australia.
Through this work I have been looking at the controls and mechanisms surrounding the processing of credit and debit cards around the Asia Pacific.

I get perform many security architecture and payment systems assessments.
Over the years I have always considered the protection of the card data as one of the key considerations.

Until yesterday I had never seen an CVV or PVV decryption tools. I think some scripted use of these tools could be very interesting.
The site hziggurat29.com

Many of the other tools on this site are also very unique and worth a look.
Big thanks to ziggurat29 for providing such awesome tools.

As many of these sites are of this nature are difficult to find and often seem to vanish over the years, I have chosen to replicate the the text from this page and provide local copies on the files.
It is worth periodically visiting the ziggurat29 site every now and again to see if any additional tools have been posted.

One of the more extraordinary files is the Atalla Hardware Security Module (HSM)  and BogoAtalla for Linksys emulation (simulation) tools. So I wonder if Eracom and Thales are shaking in their boots. Some how I don't think so. ;-)

——– ziggurat29 Text ———

These are all Windows command-line utilities (except where noted); execute with the -help option
to determine usage.

DUKPT Decrypt (<- the actual file to download)

This is a utility that will decrypt Encrypted PIN Blocks that have been produced via the DUKPT triple-DES method.  I used this for testing the output of some PIN Pad software I had created, but is also handy for other debugging purposes.

VISA PVV Calculator (<- the actual
file to download)

This is a utility that will compute and verify PIN Verification Values that have been produced using the VISA PVV technique.  It has a bunch of auxiliary functions, such as verifying and fixing a PAN (Luhn computations), creating and encrypting PIN blocks, decrypting and extracting PINs from encrypted PIN blocks, etc.

VISA CVV Calculator (<- the actual file to download)

This is a utility that will compute Card Verification Values that have been produced using the VISA CVV technique.  MasterCard CVC uses the CVV algorithm, so it will work for that as well.  It will compute CVV, CVV2, CVV3, iCVV, CAVV, since these are just variations on service code and the
format of the expiration date.  Verification is simply comparing the computed value with what you have received, so there is no explicit verification function.

Atalla AKB Calculator (<- the actual file to download)

This is a utility that will both generate and decrypt Atalla AKB cryptograms.  You will need the plaintext MFK to perform these operations.  When decrypting, the MAC will also be checked and the results shown.

BogoAtalla (<- the actual file to
download)

This is an Atalla emulator (or simulator).  This software emulation (simulation) of the well-known Atalla Hardware Security Module (HSM) that is used by banks and processors for cryptographic operations, such as verifying/translating PIN blocks, authorising transactions by verifying
CVV/CSC numbers, and performing key exchange procedures, was produced for testing purposes.  This implementation is not of the complete HP Atalla command set, but rather the just
portions that I myself needed.  That being said, it is complete enough if you are performing acquiring and/or issuing processing functions, and are using more modern schemes such as Visa PVV and DUKPT, and need to do generation, verification, and translation.

This runs as a listening socket server and handles the native Atalla command set.  I have taken some liberties with the error return values and have not striven for high-fidelity there (ie, you may get a different error response from native hardware), but definitely should get identical positive
responses.  Some features implemented here would normally require purchasing premium commands, but all commands here implemented are available.  Examples are generating PVV values and encrypting/decrypting plaintext PIN values.

BogoAtalla for Linksys (<- the actual file to download)

This is the Atalla emulator ported to Linux and build for installation on an OpenWRT system.  Makes for a really cheap ($60 USD) development/test device.

Local Files

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc

Acquiring Institution
The Financial Institution which holds the Merchant Account partaking in a financial transaction, typically the first bank involved in the processing of a payment.

Applet
A small computer program which facilitates the performance of particular tasks.

Bandwidth
The capacity of a server to carry or process information. The higher the bandwidth the faster graphics-laden web pages will download.

เบราว์เซอร์
Short for Web browser, a software application used to locate and display Web pages. The two most popular browsers are Netscape Navigator and Microsoft Internet Explorer. Both of these are graphical browsers, which means that they can display graphics as well as text. In addition, most modern browsers can present multimedia information, including sound and video, though they require plug-ins for some formats.

Caching
The automatic copying and storage of frequently used information onto a computer system – Typically caching is seen whilst surfing the internet (graphics, etc.) and used by Internet Services Providers (ISP’s) to reduce the amount of data requested from the user onto the internet.

Issuer
The Financial Institution which issued the cardholder's account and card.

Cardholder
The individual participating in the financial transaction whose card is being credited or debited.

Card Verification Data
The additional information printed on the card to be processed. This is used to verify if the card was present when the transaction was initiated.  This is the additional digits imprinted on the card usually on the reverse side for VISA & Mastercard and on the front for AMEX.

หนังสือรับรอง
An x.509 certificate used to authenticate entities such as Merchants and Payment Gateways. Certificates can be used to identify and/or encrypt sensitive data such as card numbers and personal cardholder information.

CGI
Common Gateway Interface: A protocol that allows a Web page to run a program on a Web server. Forms, counters, and guest books are common examples of CGI programs.

Any piece of software can be a CGI program if it handles input and output according to the CGI standard. Usually a CGI program is a small program that takes data from a web server and does something with it, like putting the content of a form into an e-mail message, or turning the data into a database query. CGI “scripts” are just scripts which use CGI. CGI is often confused with Perl, which is a programming language, while CGI is an interface to the server from a particular program.

Client
A computer or software that requests a service of another computer system or process (a “server”). For example, a workstation requesting the contents of a file from a file server is a client of the file server. A web browser is commonly referred to as a client.

Clients and Servers
In general, all of the machines on the Internet can be categorised as two types: servers and clients. Those machines that provide services (like Web servers or FTP servers) to other machines are servers. And the machines that are used to connect to those services are clients.

When you connect to Yahoo at www.google.com to read a page, Google is providing a machine (probably a cluster of very large machines), for use on the Internet, to service your request. Google is providing a server. Your machine, on the other hand, is probably providing no services to anyone else on the Internet. Therefore, it is a user machine, also known as a client. It is possible and common for a machine to be both a server and a client !

คุกกี้
A file sent by some web servers to your computer's hard drive to enable you to quickly and easily return to particular sites. Cookies give rise to privacy concerns as they are often used to store information used for marketing purposes.

The main purpose of cookies is to identify users and possibly prepare customised Web pages for them. When you enter a Web site using cookies, you may be asked to fill out a form providing such information as your name and interests. This information is packaged into a cookie and sent to your Web browser which stores it for later use. The next time you go to the same Web site, your browser will send the cookie to the Web server. The server can use this information to present you with custom Web pages. So, for example, instead of seeing just a generic welcome page you might see a welcome page with your name on it.

CRN
The Customer Receipt Number (CRN) is used to assist the card holder, the payment gateway and the transaction acquirer to confirm the transaction has been processed and to track the transaction throughout the end-to-end transaction process. This is often used when making enquiries about a transaction or for transaction tracking.

Cybersquatting
Bad faith, abusive domain name registration. Cybersquatters register company and product names as domain names with a view to selling them at inflated prices to the “rightful†owners.

/CVC
The additional information printed on the card to be processed. This is used to verify if the card was present when the transaction was initiated.  This is the additional digits imprinted on the card usually on the reverse side for VISA & Mastercard and on the front for AMEX.

ฐานข้อมูล
A collection of data: part numbers, product codes, customer information, etc. It usually refers to data organised and stored on a computer that can be searched and retrieved by a computer program.

Deep link
A hypertext link directly to a web page, often bypassing home pages or other identifying pages.

Digital Certificate
A pop up window that allows you to identify the level of encryption used to secure a particular web site.

Digital Signature
A complex numeric “signature” designed to be used, in conjunction with special software, to authenticate the sender of a message and guarantee that the contents of the message have not been altered during transmission to the recipient. The EU has adopted legislation which makes electronic signatures legally valid. The Electronic Transaction Bill (Cth) 1999 has the same effect in Australia.

Domain Name
The plain English name given to a host destination on the Internet, for example, www.madrock.net. The suffix, dot.com is known as the generic top level domain, the prefix madrock. The domain name forms part of the Internet Address or URL.

A name that identifies one or more IP addresses. For example, the domain name microsoft.com represents about a dozen IP addresses. Domain names are used in URLs to identify particular Web pages. For example, in the URL http://www.madrock.net, the domain name is madrock.net.

Download
To transfer information from one computer to your computer.

Dynamic web page
A web document that is created from a database in real-time or “on the fly” at the same time it is being viewed, providing a continuous flow of new information and giving visitors a new experience each time they visit the web site.

Dynamic web sites offer the user the ability to interact with the web site. This interaction can take place in the form of a search for products, a questionnaire that automatically posts results or online polls. Basically, dynamic web pages and content are generated from the input of the user.

ประชาคมยุโรป
Electronic Commerce.

Often referred to as simply e-commerce, business that is conducted over the Internet using any of the applications that rely on the Internet, such as e-mail, instant messaging, shopping carts, Web services, and FTP, among others. Electronic commerce can be between two businesses transmitting funds, goods, services and/or data or between a business and a customer.

ECI
The Electronic Commerce Indicator (ECI), is used to determine the source of the original transaction request. This is a program that the banks have developed and have mandated it’s use.

Electronic Data Interchange (EDI)
Systems set up by businesses, which facilitate the electronic exchange of information.

Encryption
The process of scrambling data to prevent it being viewed by unauthorized persons.

วันหมดอายุ
The date printed on the card indicating when the card will expire. Not to be confused with the card issue date found on some cards.

Firewall
An electronic security barrier and/or traffic filter.

Forms
Forms are web pages comprised of text and “fields” for a user to fill in with information. They are an excellent way of collecting and processing information from people visiting a web site, as well as allowing them to interact with web pages. Forms are written in HTML and processed by CGI programs.

กรอบ
A means of dividing a web screen into a number of compartments. Frames may give rise to legal disputes if web sites created by third parties are framed as your own.

FTP servers
One of the oldest of the Internet services, File Transfer Protocol makes it possible to move one or more files securely between computers while providing file security and organisation as well as transfer control.

Fulfilment
1 Process of supplying goods after an order has been received.
2 Process of reacting to a customer's request, covering everything that has to happen from the time the customer places an order until they are completely satisfied.

เจ้าบ้าน
Any computer on a network that provides services or information to other computers on the network. A host is also called a server.

บูรณาการ
The software and/or business processes which combine the Merchant's (website, back office, etc.) order processing system with the EFT Network Electronic Payment System.

IP address
Every computer connected to the Internet is assigned a unique number known as an Internet Protocol (IP) address. Since these numbers are usually assigned in country-based blocks, an IP address can often be used to identify the country from which a computer is connecting to the Internet.

Gateway
A system allowing incompatible computer networks to send and receive information.

HTML (Hypertext Markup Language)
Language used to translate text documents into a form which can be sent over the web.

เชื่อมโยงหลายมิติ
A highlighted phrase in a document which permits linking to another document or part of a document.

Internet Content Host (ICH)
Those who host or propose to host content on the Internet. Anybody who is responsible for a web site, news group or bulletin board that contains articles, graphics or other internet content provided by others. The host may/may not also produce their own content and/or provide access to the Internet through a carriage service, ie they may also be an ISP.

Internet Service Provider (ISP)
A company that provides an Internet connection through some kind of Internet carriage service, for example Sprint, Chello Broadband, Telstra Bigpond, Adam Internet, Internode. ISP's may/may not also be ICHs.

Mail servers
Almost as ubiquitous and crucial as Web servers, mail servers move and store mail over corporate networks (via LANs and WANs) and across the Internet.

Merchant account
This is an account set up with a bank to process credit card orders from customers.

ผู้ประกอบการค้า
The entity receiving payments for goods and/or services.

Merchant Account
The merchant's account into which transactions are credited or debited.

Merchant Server
The software installed on the Merchant's web sites or back office system to enable real-time or batched processing of financial transactions.

Merchant Server Administrator
The individual(s) responsible for the maintenance of the Merchant Server, including issuing and importing merchant certificates.

MTL
Merchant Transaction Layer (MTL)

PAN
Primary Account Number (PAN) is the number printed on the customers card to reference the cardholder's financial account. This is typically the card number.

Payment Gateway
The Payment Gateway provides a central point of contact/transaction switching with the banking network for the Merchant Server software or devices. The EFT Networks Payment gateway provides advanced integrated reporting, merchant integration services (Mainframe, Mini, Windows, UNIX, OS400, Desktop/Server, EFT PoS Terminals. Loyalty systems, etc.) and Merchant/Bank customised solutions not offered by regional or global banking institutions.

An online system for real-time charging of credit cards when a customer places an order. Normally requires a merchant account.

A common question from merchants is “Do we have to change banks to use payment gateways?”

The answer is NO!  – All you need to do is open a merchant facility with one of the supported banks, EFT Networks can ensure you open the correct one for your transaction needs. The merchant facility is then linked to a nominated bank account for example: Bank of New Zealand, ANZ, St George Bank, NAB, Commonwealth, Westpac, Bank of America, Bank of Scotland, Barclay's, Bank of Queensland, etc. The money is then transferred at the end of each day from your merchant account to your nominated account.

“Pretty Good Privacy”
A type of encryption program used to scramble data.

Portal
A site that gathers together many sites under a common branding, for example, Yahoo and Excite.

Private key
The password which permits information to be decoded in a public key encryption system.

Public key
The password which is used to send a secure message in a public key encryption system.

Secure Certificate
A document that is used to certify that a user or organisation is who they say they are. They contain information about who it belongs to, who it was issued by, expiry date and information that can be used to check out the contents of the certificate. It is as an important part of the SSL system for establishing secure connections.

Server
A computer that provides a service to other computers (known as clients) on a network.

รถเข็น
A shopping cart is a piece of software that acts as an online store's catalogue and ordering process. Typically, a shopping cart is the interface between a company's Web site and its deeper infrastructure, allowing consumers to select merchandise; review what they have selected; make necessary modifications or additions; and purchase the merchandise.

Shopping carts can be sold as independent pieces of software so companies can integrate them into their own unique online solution, or they can be offered as a feature from a service that will create and host a company's e-commerce site.

Spam
The use of email or newsgroups to send unsolicited information.

SSL
Short for Secure Sockets Layer, a protocol developed by Netscape for transmitting private documents via the Internet. SSL works by using a private key to encrypt data that's transferred over the SSL connection. Both Netscape Navigator and Internet Explorer support SSL, and many Web sites use the protocol to obtain confidential user information, such as credit card numbers. By convention, URLs that require an SSL connection start with https: instead of http:.

Letting your customers know that you have SSL protection gives your site credibility and may encourage customers to deal with you in confidence.

A security protocol used to protect information – typically used between the cardholder's web browser and the merchant's webserver and throughout the transaction processing process. 128bit SSL is typical used as a minimum level within the Payment & Financial industries.

A Secure Server uses an SSL certificate. It is generally a piece of web space that can only be dealt with by using SSL ensuring that data transferred between the web space and the browser is encrypted.

Static web page
In web site terms, static means web pages that are not interactive. Because the web site visitor does not have any control over the information provided, the pages and information do not change with each visit. There is not a two-way communication between the user (client) and the web site (server) in a static page.

Uniform Resource Locator (URL)
An Internet address.

หน้าเว็บ
A specific group of related files on the web, which is usually viewed as a single document.

Web servers
At its core, a Web server serves static content to a Web browser by loading a file from a hard disk and serving it across the network to a user's Web browser. This entire exchange is mediated by the browser and server talking to each other using HTTP.

เว็บไซต์
A collection of web pages stored on a file server.

Guardian Technology Pages
28 กันยายน 2006
ผู้ปกครอง

“Your card has been declined.”
“What? No way, there's plenty of money in that account!”
“I'm sorry, madam, but it's refusing the transaction.”
“It's your card reader, that card worked fine in Boots five minutes ago.”
“The card has been declined. Do you have another one?”
The casual eavesdropper might infer that I – the protesting woman in that dialogue – am financially irresponsible, that my credit card is maxed out or my debit card has reached its overdraft limit. In fact, it's far more likely that the reader on the chip and pin machine is throwing a strop. There is a machine at WH Smith in North End Road, Fulham, that hates my debit card and never accepts it. I've given up trying there. But it's not the only one.
Self-service machines have sprung up everywhere, sprouting card readers and keypads. But watch closely and you will find that more often than not, there is an angry person muttering and swearing at the machine while a queue forms. Watch a little longer and you'll see that queue evaporate – and reform at the counter in front of a human being.
This happened to me and my partner in France recently when we pulled into a petrol station in Epernay. In our desperation, we pulled up at an empty pump, wondering vaguely why it had no queue while others did.
ทำไม? Because before it would dispense petrol, it wanted a credit card and pin. We fed it mine and I keyed in the number, only for it to be spat out with terrifying admonitions in French about the card being refused. I wiped the strip and tried again. Same reaction, causing a moment's panic: we'd spent a bit on that card – did my bank think it was stolen? Was it blocked?
So we tried my partner's card. สิ่งเดียวกัน And then the penny dropped that the pumps with the queues were the old-fashioned ones where you fill the car up and then pay at the till. Clearly the locals knew all about these pumps.
Mind you, it was a miracle we got to France at all. When we arrived at the Eurotunnel terminus we joined a queue of cars for the automatic check-in. I am not the most patient of queuers and within a short time I was railing about how slowly it was moving. A man in a bright yellow jacket was buzzing about from car to car. Finally we got to the head of the queue and fed in the card that was used to book the shuttle online.
It didn't want to know. It spat the card out. We tried again and got as far as tapping in our reservation number. It spat it out again. The chap in the high-visibility jacket buzzed over to us and rolled his eyes, saying: “It's been playing up all day.” He went into the booth with the card – and then we heard him saying over his radio that the whole system had gone down in protest.
As an idea, the technology is great. In practice, we have a long way to go before we can dispense with human beings who can override systems when good card readers go bad. Kate Bevan

© Copyright 2006. ผู้ปกครอง สงวนลิขสิทธิ์

27 September 2006
Kommersant International

The New System will be Offered to 20 Banks<br>Yesterday, at a press conference dedicated to the five-millionth visa card issued by Sberbank, Visa International representative Oliver Hughes announced that a project introducing a system of card-to-card money transfers in Russia has launched its third stage. The project, called Visa Money Transfer (VMT), is now being tested in six Russian banks. Also yesterday, Rosbank announced its intention to participate in the trial. Twenty credit organizations have expressed interest in joining the program, of which ten will be included in the project within the next year. The trial phase of the program will last another six months, after which the VMT system is expected to be unveiled in its full form. The VMT system allows any Visa cardholder to electronically transfer or receive funds to or from another Visa cardholder via an ATM transaction. To make the transaction, all that is needed is the other cardholder's card number. Though the company “at this point is not positioning the new service as an alternative to the system of traditional money transfers,” VMT promises to be competition for that system. The only restriction is that the laws of the Russian Federation permit such transfers to be made in Russia only in rubles. Market analysts believe that the success of the system will depend on Visa's commission policies. Bank commissions for transfers stand at around 1%, and if Visa's commission is more than 0.5%, it is predicted that banks will find it hard to do business within the project. According to some sources, the commission earned by the bank whose client sends the transfer will be 1% of the transfer sum. The bank whose client receives the money will make $0.48 on each transaction. The commission charged by the payment system will be $0.05 + $1. Many Russian banks have expressed interest in the project, but most for now are observing the program's development from the sidelines, preferring to judge for themselves its power to attract customers. http://www.kommersant.com/photo/75/DAILY/2006/180/KMO_032838_00111_1h_t75.jpg

http://www.kommersant.com/photo/512/DAILY/2006/180/KNN_001535_00046_1m.jpg

http://www.kommersant.com/photo/512/DAILY/2006/180/KMO_073625_00010_1m.jpg

http://www.kommersant.com/photo/512/DAILY/2006/180/KMO_069500_00019_1m.jpg

© 2006 ZAO Kommersant Publishing House. สงวนลิขสิทธิ์ ЗРО ÐšÐ¾Ð¼Ð¼ÐµÑ€Ñ Ð°Ð½Ñ‚ÑŠ. Ð˜Ð·Ð´Ð°Ñ‚ÐµÐ»ÑŒÑ ÐºÐ¸Ð¹ Дом. Ð'Ñ Ðµ права защищены.

Recently I came across a new e-Commerce company called EFT Networks, which seems to have an exciting future in the Global Payments Market.

It looks like they have a good mix of consulting and solution design.

www.eftnetworks.com

Services

Electronic Payment

Designed to enable both credit card and direct debit, EFT Networks electronic payment solutions work effectively across multiple sales channels—including Web, Contact Call Centre, IVR and EFTPOS. Manage your payment processing system in-house or outsource, depending on your business needs.

Global Payments

International commerce requires fully integrated global payment and risk management solutions. Requirements span the gamut of payment acceptance considerations from accepting local payment types, pricing in local currencies and dynamically updating prices with changes in exchange rates (dynamic currency conversion), authorising and settling in multiple currencies, to managing fraud and compliance issues such as tax and export regulations. EFT Networks offers a single interface to the global payment network to handle all of these considerations as your business grows.

ICE – Reporting & Management

The EFT เครือข่าย บริษัท Business Center gives you a single, easy-to-use interface for managing and configuring payment processing services.

ICE caters for each area of the payment transaction cycle from authentication, authorisation, settlement, dispute resolution and reconciliation – enabling our clients to reduce transaction costs, eliminate fraud, minimise risk, maximise cash flow and increase profitability.

Integrations

EFT Networks provides flexible and secure payment and risk management integrations in to host and legacy systems as well as industry-leading software.

Using industry standards and protocols, our solutions can be customised to suit your exact business requirements

ผลิตภัณฑ์

ICE (Intelligent Communications Exchange)

At the core is our Intelligent Communications Exchange (ICE) which enables all known transaction enablers from EFTPOS to eCommerce to be routed directly to a client’s bank without intervention for real time acceptance and authentication.

The EFT Networks ICE operates under a philosophy of total System and Physical redundancy delivering the highest uptime rates possible, whilst the transaction network is protected using Solid State and Application Firewalls on all points of ingress and egress.

Every transaction processed through EFT Networks is encrypted using 128 bit Secure Socket Layer (SSL) encryption and submitted for authorisation through EFT Networks “Secure Virtual Private Network†(SVPN).

Our commitment to security is also reflected in our swift compliance with Card Schemes security initiatives such as VerifiedByVisa and MasterCard SecureCode.

EFT Networks comprehensive suit of online reporting tools combined with daily transaction reports will ensure that our clients always have access to up-to-date management information allowing Business Managers to make quick and well-informed business decisions. The decision making process is simplified even further with the power of daily reports that are customised to be imported into most existing legacy systems.

I have been astounded by the take-up by card holders and the push from the major banks in Australia, for customer to embrace the VISA Debit card instead of the traditional Credit Card.

This, although advantageous to the banks, provides a much higher risk to the card holder, especially if the card is used online or in a location where the card could be skimmed.

The problem and the advantage of the VISA Debit card is that it allows access to your savings account funds via a VISA transaction.

This sounds great in theory, as there is no need to transfer money from your savings account to periodically pay off the credit card.

The problem exists where the VISA debit card is skimmed or stolen and money is withdrawn from the card. These funds are taken directly from the card holder savings account and not credit, therefore this increases the risk to the card holder not being able to pay bills/mortgage/loans/etc.

In the traditional credit world, if the credit card was skimmed or stolen, the dept remains the responsibility and risk of the bank, until the fraudulent transaction is investigated.

With the VISA Debit Card this risk is placed upon the card holder, who is often convinced to get one of these cards through good television marketing, when opening a new account or establishing an off-set loan, with no idea of the associated risks.

I don’t like the increased risks associated with these cards not being explained adequately to the card holders so the card holder can make an educated decision as to where he/she uses the card (internet, phone, periodic utility payments, ISP charges, etc.) p>

This risk assumes that the card holder does not rely on credit only to live and does not have any savings to withdraw, but the banks may not give you a debit card anyway if this is the case.