В материале "Drive-By 'War Cloning' Attack Hacks Electronic Passports, Driver's Licenses (http://www.darkreading.com/security/privacy/showArticle.jhtm... рассматривается возможность проведения атаки, позволяющей злоумышленникам удаленно считывать данные с RFID (http://ru.wikipedia.org/wiki/RFID) чипов электронных паспортов и удостоверений. После считывания данных, злоумышленник может имитировать отправку перехваченной информации для идентификации вместо владельца перехваченных данных. Клонирование меток EPC Gen 2 RFID возможно из-за недостаточной проработки механизмов аутентификации и шифрования.
6 февраля на конференции SchmooCon будет продемонстрировано считывание RFID меток на расстоянии около 6 метров, используя стандартный RFID сканнер, купленный на аукционе eBay за $250. Проехав на машине по улицам Сан-Франциско, экспериментаторам удалось собрать приличную коллекцию данных, собранных с RFID чипов удостоверений прохожих. RFID работает в широковещательном р...URL: http://www.darkreading.com/security/privacy/showArticle.jhtm...
Новость: http://www.opennet.me/opennews/art.shtml?num=20110
А вы думали туда цифроподписыватель встроили? Такая же фигня с кредитными карточками - хозяин понятия не имеет, что, кому и когда она сообщает - ни кнопок, ни индикаторов. Как же всё по-идиотски, не професссионально делаются все эти вещи...
кредитки хоть работают контактым образом. Суешь в любую дырку только на свой риск. А тут - 6м и возможность увеличить расстояние за счет более направленных антенн.
>кредитки хоть работают контактым образом. Суешь в любую дырку только на свой
>риск. А тут - 6м и возможность увеличить расстояние за счет
>более направленных антенн.то-то кардеры контактно так всех разувают,ага.На самом деле там все очень тупо и незащищенно сделано, так что вы пролетаете.
А как выглядела бы профессионально сделанная кредитка?
> А как выглядела бы профессионально сделанная кредитка?Как минимум, с индикаторной панелью, на которой высвечивается, что сейчас хотят сделать, и кнопкой подтверждения операции.
На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
ту которую запросили, а сам списывает сколько надо себе на счёт.
>На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
>ту которую запросили, а сам списывает сколько надо себе на счёт.Банковский сервер формирует чек, подписывает и отправляет карточке на подпись. У карточки есть сертификат банка, она верифицирует чек, показывает его на дисплее карточки (написано кому, сколько и за что платишь) и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.). Владелец даёт добро, карточка подписывает чек и отсылает его банкомату. Далее всё понятно. Карточка может запоминать подписанные чеки, связь с сервером банка может дополнительно шифроваться, подпись может быть "слепой", карточка может быть защищена от ЭМИ и проникающего излучения и т.п. улучшения. Все математические и алгоритмические решения давно уже есть. Вопрос в том, когда разработку таких государствено важных проектов будут отдавать профессиональным инженерам, а не слабоумным откатоплательщикам. Это произойдёт не раньше, чем российская нефть начнёт продаваться за рубли. Сами догадайтесь почему.
>>На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
>>ту которую запросили, а сам списывает сколько надо себе на счёт.
>
>Банковский сервер формирует чек, подписывает и отправляет карточке на подпись.
> У карточки есть сертификат банка, она верифицирует чек,Но, с начало его просмотрит фейковый ридер,
> показывает его на дисплее карточки (написано кому, сколько и за что платишь)"правильную" сумму
> и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.).
> Владелец даёт добро, карточка подписывает чектолько фейковый
> и отсылает его банкомату.
> Далее всё понятно.Угу
> Все математические и алгоритмические решения давно уже есть.И ещё есть хакерский закон - если можно прочитать, значит можно записать,
если ты не можешь прочитать, значит найдется другой хакер. :)
Вам слова Электронная подпись и Сертификат видимо совсем ни о чем не говорят?
>И ещё есть хакерский закон - если можно прочитать, значит можно записать,
>
>если ты не можешь прочитать, значит найдется другой хакер. :)где это вы закон такой чудной нашли. на cd слабо записать пару байтов?
а вы попробуйте врезаться в сетевой провод идущий от моего компа и почитать инфу летящую на удаленный 22-ой порт ;)
Ыы Вообщето такое возможно :) для примера такое может делать любой роутер - который будет прозрачен для вас :) но можно и просто проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию :)
>Ыы Вообщето такое возможно :) для примера такое может делать любой роутер
>- который будет прозрачен для вас :) но можно и просто
>проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию
>:)Ыы Вообще человек говорил про туннель SSH (порт 22).
>>Ыы Вообщето такое возможно :) для примера такое может делать любой роутер
>>- который будет прозрачен для вас :) но можно и просто
>>проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию
>>:)
>
>Ыы Вообще человек говорил про туннель SSH (порт 22).вообще Man in middle легко пройдёт, если это будет первый вход машины и человек на память не помнит фингерпринт своего сертификата
>>Банковский сервер формирует чек, подписывает и отправляет карточке на подпись.
>> У карточки есть сертификат банка, она верифицирует чек,
>
>Но, с начало его просмотрит фейковый ридер,Пусть смотрит. В чём проблема ?
>> показывает его на дисплее карточки (написано кому, сколько и за что платишь)
>
>"правильную" суммуКонечно правильную. Чек подписан банком, изменение содержания повлечёт за собой изменение значения Hash-функции, что будет обнаружено карточкой при верификации.
>> и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.).
>> Владелец даёт добро, карточка подписывает чек
>
>только фейковыйПодделка обаруживается - смотри выше.
Это элементарно дорого и неудобно. Снабжать каждую карточку устройствами ввода-вывода (ведь банкоматам и прочим чужим девайсам мы тоже не доверямем, ага?), да еще и причем такими откровенно специфическими как считыватели отпечатков. Опять же возникают вопросы по поводу характеристик экрана, на который должна выводится. Насколько долговечной будет такая хрупкая система? Какое ПО будет всем этим хозяйством управлять? Кем оно будет разработано и сертифицировано? Доверяем ли мы ему? И так далее...И вообще прослеживаются аналогии с защитой телевизионных каналов от несанкционированного просмотра. Те же карточки с микропроцессором, ключи, сертификаты. Вот только толку мало - все равно взломанных, склонированных карт полно. А что помешает сделать клон предложенного вами варианта?
если ты кредитку умудрился прое*ть на какое-то время, да еще и этого и не заметить, то ССЗБ. а так один звонок в банк с просьбой заблокировать кридитку и затем прогулка в этот же банк, что бы подписать новый сертификат и получить новую карточку.
Считыватель отпечатков - это уже не обязательно, в принципе достаточно пин-кода, набираемого на самой "карте". Вся эта система значительно проще самого простого сотового телефона. Стоить будет не более нескольких сот рублей.>Вот только толку мало - все равно взломанных, склонированных карт полно.
Это потому, что 1) чип, защищающий шифрованные данные, находится у _зрителя_, который _не заинтересован_ в сохранении тайны шифрования; 2) достаточно взломать _один_ из всех существующих чипов, чтобы вся система шифрования накрылась медным тазом. И даже несмотря на это, покажите мне, например, пиратский "Триколор". В случае же с кредитками все наоборот - владелец кредитки прямо заинтересован в ее безопасности; кроме того, "взломав" одну кредитку, хакеры получат доступ только к счету ее владельца, а не всех клиентов банка.
>Это элементарно дорого и неудобно. Снабжать каждую карточку устройствами ввода-вывода (ведь банкоматамПлатформа для этого уже лет десять выпускается. Выглядит как обычная карточка. Внутри процессор, память и ПО на микро-Java. Оно выполняет цифровую подпись. Добавьте пару кнопок, ЖК-дисплей на несколько строчек и напишите нужный код и в готово. Стоимость - около $50 баксов при небольших партиях. При массовом распространении её банки будут выдавать бесплатно ил под залог, как карточки в метро.
>Кем оно будет разработано и сертифицировано? Доверяем ли мы ему? И
>так далее...Это намного лучше чем то, что есть сейчас, когда достаточно узнать реквизиты карточки или один раз прокатать своим считывателем в магазине/ресторане у вас на глазах.
>И вообще прослеживаются аналогии с защитой телевизионных каналов от несанкционированного просмотра. Те
>же карточки с микропроцессором, ключи, сертификаты. Вот только толку мало -
>все равно взломанных, склонированных карт полно. А что помешает сделать клон
>предложенного вами варианта?Потому что эту ТВ-защиту, как и автосигнализации, делают дебилы-инженеры и хитропопые маркетологи. Разве мы видим легкие перехваты SSH-сессий ? Нет. Так какого члена подобные алгоритмы не применяются там? Правильно - тогда себестоимость устройств будет выше, а прибыль ниже, потому что сейчас они копеечную г. продукцию продают по цене "абсолютно защищённых от взлома систем". Про ТВ вообще ещё смешнее: там защита это проблема ТВ-компании и зритель платить большие деньги за решение чужих проблем не захочет.
>А как выглядела бы профессионально сделанная кредитка?* Блокиратор считывания - маленькая пимпочка.
* Фильтр отпечатка пальца - специально сформированная плёнка в прозрачной защитной плёнке - т.е. для идентификации необходимо считать отпечаток с пальца через фильтр, который кодируется в банке - на выходе рисунок вашего пальца с наложенной маской.
(Фейковый считыватель может считать только маску и маску с пальцем,
для полного хака ещё нужен просто палец).* Запретить использовать для отпечатков "Большой", "Указательный" и "Средний" пальцы!
* Алюминевый чехол, сдвигается при считываний - как у флоппика.
Только все эти методы абсолютно не работают, если гопник приставил пистолет (даже газовый) к затылку, или данные карточки были украдены каким-то сотрудником в банке. Ломают не системы безопасности, ломают ЛЮДЕЙ.
Вы сказали бред - здесь обсуждались способы информационного взлома, а не физического - и информационная безопасность, а не физическая
Бред. "Пальчики" подделываются на ура. Это раз. Система становит дорогой и хрупкой. Это два.Ну и самый интересный вопрос - какую еще информацию вы готовы предоставить вашему банку - отпечатки ваших пальцев, сетчатку глаза, код днк, ваше текущее местоположение, график встреч? Ведь вся эта информация позволит очень надежно защитить ваши средства.
>Ну и самый интересный вопрос - какую еще информацию вы готовы предоставить
>вашему банку - отпечатки ваших пальцев, сетчатку глаза, код днк, ваше
>текущее местоположение, график встреч? Ведь вся эта информация позволит очень надежно
>защитить ваши средства.Я готов дать любые идентифицирующие меня признаки, если это повысит сохранность моих денег и ответственность банка.
>А как выглядела бы профессионально сделанная кредитка?Явно не куском пластика с магнитной полосой которую скопировать раз плюнуть.И что характерно, пинкод требуется не везде - при оплате кредиткой через интернет ли или просто в магазине - никакого пинкода и если не повезет то и подтверждений тоже.Сейчас банки ученые жизнью - подобные транзакции любят подтверждать позвонив владельцу по контактному телефону.Но это определенно добавляет геморроя.
Вы абсолютно правы, но забываете о том кто вас будет кидать при любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный доступ и к вашим счетам и к вашей персональной информации...
>Вы абсолютно правы, но забываете о том кто вас будет кидать при
>любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный
>доступ и к вашим счетам и к вашей персональной информации...Он и сейчас всё знает обо мне. А вот цифровую подпись мою в отличии от обычной подписи чернилами, он замучается подделывать.
>Вы абсолютно правы, но забываете о том кто вас будет кидать при
>любой степени защиты ваших данных. Это банк.Хорошие банки дорожат репутацией и не кидают.Иначе от них клиенты сбегут (и как раз по причине наличия интересной информации они обычно конкретно &%#нуты на секурити, запрещая сотрудникам все и вся, вплоть до мобильных телефонов на рабочем месте).Другое дело что ситуация в экономике может кинуть всех.Скажем если вы держите деньги в рублях и щелкаете клювом - вы пролетаете что с банками, что храня деньги под подушкой совершенно однохренственно.
Хм, это из той же серии?
http://www.carhelp.info/index.php?pid=3
когда мне выдадут мой биометрический загранпаспорт, первое что я сделаю - между паспортом и кожухом проложу листок тонкой фальги :)
а еще можно проводок на тело..., и цепь привязать..., чтобы по земле волочилась )))
Ребята, какая вам хрен разница, кто у вас с кредитки что украл? Это же кредитная карточка, все что с нее украли вам возмещать не нужно - это проблема банка :-)Или господа хорошие путают кредитную карточку с дебитной? Так не стоит вообще дебитной пользоваться, в крайнем случае - secure credit делаете и все.
>Ребята, какая вам хрен разница, кто у вас с кредитки что украл?
>Это же кредитная карточка, все что с нее украли вам возмещать
>не нужно - это проблема банка :-)
>
>Или господа хорошие путают кредитную карточку с дебитной? Так не стоит вообще
>дебитной пользоваться, в крайнем случае - secure credit делаете и все.
>Вообще деньги надо хранить не в банке, а у себя, и не в бесполезных бумажках, а в твердой валюте - например, в золоте, но лучше - в оружейном плутонии :)
>Ребята, какая вам хрен разница, кто у вас с кредитки что украл?
>Это же кредитная карточка, все что с нее украли вам возмещать
>не нужно - это проблема банка :-)Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости".
> Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости".Ну, значит нужно сделать так, как в Америке - все уже давно придумано и проверено на практике. А с карточками на кнопках и сенсорами отпечатка пальцев ходить - бред сивой кобылы в вакууме.
RFID вообще-то не прензаначен для хранения важных данных. Для обеспечения конфиденциальности существуют контактные смарт-карты с пользовательскими паролями (PIN) и сертификатами.