https://www.opennet.ru/openforum/vsluhforumID3/48930.html В материале "Drive-By 'War Cloning' Attack Hacks Electronic Passports, Driver's Licenses (http://www.darkreading.com/security/privacy/showArticle.jhtml?articleID=213000321)" рассматривается возможность проведения атаки, позволяющей злоумышленникам удаленно считывать данные с RFID (http://ru.wikipedia.org/wiki/RFID) чипов электронных паспортов и удостоверений. После считывания данных, злоумышленник может имитировать отправку перехваченной информации для идентификации вместо владельца перехваченных данных. Клонирование меток EPC Gen 2 RFID возможно из-за недостаточной проработки механизмов аутентификации и шифрования.<br><br><br>6 февраля на конференции SchmooCon будет продемонстрировано считывание RFID меток на расстоянии около 6 метров, используя стандартный RFID сканнер, купленный на аукционе eBay за $250. Проехав на машине по улицам Сан-Франциско, экспериментаторам удалось собрать приличную коллекцию данных, собранных с RFID чипов удостоверений прохожих. RFID работает в широковещательном р...<br><br>URL: http://www.dar https://www.opennet.ru/openforum/vsluhforumID3/48930.html#36 Fri, 06 Feb 2009 20:43:41 GMT &gt; Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости". <br><br>Ну, значит нужно сделать так, как в Америке - все уже давно придумано и проверено на практике. А с карточками на кнопках и сенсорами отпечатка пальцев ходить - бред сивой кобылы в вакууме.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/48930.html#35 Thu, 05 Feb 2009 14:45:23 GMT &gt;Вы абсолютно правы, но забываете о том кто вас будет кидать при <br>&gt;любой степени защиты ваших данных. Это банк.<br><br>Хорошие банки дорожат репутацией и не кидают.Иначе от них клиенты сбегут (и как раз по причине наличия интересной информации они обычно конкретно &%#нуты на секурити, запрещая сотрудникам все и вся, вплоть до мобильных телефонов на рабочем месте).Другое дело что ситуация в экономике может кинуть всех.Скажем если вы держите деньги в рублях и щелкаете клювом - вы пролетаете что с банками, что храня деньги под подушкой совершенно однохренственно.<br> https://www.opennet.ru/openforum/vsluhforumID3/48930.html#34 Thu, 05 Feb 2009 14:12:32 GMT &gt;&gt;Ыы Вообщето такое возможно :) для примера такое может делать любой роутер <br>&gt;&gt;- который будет прозрачен для вас :) но можно и просто <br>&gt;&gt;проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию <br>&gt;&gt;:) <br>&gt;<br>&gt;Ыы Вообще человек говорил про туннель SSH (порт 22). <br><br>вообще Man in middle легко пройдёт, если это будет первый вход машины и человек на память не помнит фингерпринт своего сертификата<br> https://www.opennet.ru/openforum/vsluhforumID3/48930.html#33 Thu, 05 Feb 2009 13:28:37 GMT &gt;Вы абсолютно правы, но забываете о том кто вас будет кидать при <br>&gt;любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный <br>&gt;доступ и к вашим счетам и к вашей персональной информации... <br><br>Он и сейчас всё знает обо мне. А вот цифровую подпись мою в отличии от обычной подписи чернилами, он замучается подделывать.<br> https://www.opennet.ru/openforum/vsluhforumID3/48930.html#32 Thu, 05 Feb 2009 13:08:44 GMT Вы абсолютно правы, но забываете о том кто вас будет кидать при любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный доступ и к вашим счетам и к вашей персональной информации...<br> https://www.opennet.ru/openforum/vsluhforumID3/48930.html#31 Thu, 05 Feb 2009 09:18:18 GMT RFID вообще-то не прензаначен для хранения важных данных. Для обеспечения конфиденциальности существуют контактные смарт-карты с пользовательскими паролями (PIN) и сертификатами.<br> https://www.opennet.ru/openforum/vsluhforumID3/48930.html#30 Thu, 05 Feb 2009 09:15:32 GMT &gt;Ребята, какая вам хрен разница, кто у вас с кредитки что украл? <br>&gt;Это же кредитная карточка, все что с нее украли вам возмещать <br>&gt;не нужно - это проблема банка :-) <br><br>Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости".<br> https://www.opennet.ru/openforum/vsluhforumID3/48930.html#29 Thu, 05 Feb 2009 09:02:46 GMT &gt;Ыы Вообщето такое возможно :) для примера такое может делать любой роутер <br>&gt;- который будет прозрачен для вас :) но можно и просто <br>&gt;проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию <br>&gt;:) <br><br>Ыы Вообще человек говорил про туннель SSH (порт 22).<br><br> https://www.opennet.ru/openforum/vsluhforumID3/48930.html#28 Thu, 05 Feb 2009 09:00:32 GMT &gt;&gt;Банковский сервер формирует чек, подписывает и отправляет карточке на подпись. <br>&gt;&gt; У карточки есть сертификат банка, она верифицирует чек, <br>&gt;<br>&gt;Но, с начало его просмотрит фейковый ридер, <br><br>Пусть смотрит. В чём проблема ?<br><br>&gt;&gt; показывает его на дисплее карточки (написано кому, сколько и за что платишь) <br>&gt;<br>&gt;"правильную" сумму<br><br>Конечно правильную. Чек подписан банком, изменение содержания повлечёт за собой изменение значения Hash-функции, что будет обнаружено карточкой при верификации.<br> <br>&gt;&gt; и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.). <br>&gt;&gt; Владелец даёт добро, карточка подписывает чек <br>&gt;<br>&gt;только фейковый<br><br>Подделка обаруживается - смотри выше.<br>