Tankolas atveres!

[pyxys1]

Szia ghid,

Monday, August 25, 2003, 10:56:12 PM, you wrote:


p>> úgy gondoltam, hogy ha a banknál van az ofszet, akkor amikor odamész
p>> az atmhez, akkor ezt kell csak egyezetetniük.

g> Tf hogy csak ezt... de miert az atm-ben, miert nem a bankban?

g>>> Ha a beutendo kod barmi lehet, a kartyan levo adatok mindig
g>>> ugyanazok akkor mi a jo franchoz ellenorzod....????
p>> mivel a kártyán nem változik semmi, nyilván ahhoz.

g> Na akkor tenyleg csak logikailag....
g> Van egy kartyam, a magnescsikon sok-sok szam... van hozza pin is,
g> mondjuk 1234.
g> Van egy program aminek megadom a sok-sok szamot. beadok neki egy
g> felteteles pin-t... 5678... kikopi, hogy nem jo... addig probalkozom,
g> mig egyszer csak az 1234-re azt mondja, jo.... Hurra....
g> Igy mukodik szerinted?
g> Ha pedig betelefonalok a bankba es megvaltoztatom a pin-t, mondjuk
g> 5678-ra, a bankban ezt jol le is adminisztraljak valahogy...
g> Aztan megint eloveszem a kartyat, meg a programot...
g> Dehat nalam semmi sem valtozott.... ugyanaz a sok-sok szam... a
g> program ugyanaz... akkor pedig most is az 1234-re fog Ok-t mondani,
g> nem? Honnan tudna, hogy a bank adatbazisaban mit irtak at?

szerintem itt van a kutya elásva, mert ha tudjuk a decimalizáló táblát
és tudjuk az "igazi" pinkódot (ami nem változik meg azzal, hogy
betelefonálsz), akkor abbol megmondható az ofszet, és már mehetsz is az
autómatához. ugye, mint írtam a biztosági eszközök: des kulcs,
decimalizáló tábla, "pin", helyesebben ofszet kód.
a des kulcs nem kell, mert a számlaszámra senki nem kiváncsi, meg
különben is rajta van a bizonylaton. a decimalizáló tábla már izgi,
mert annak segítségével lehet az atmpinhez hozzáférni az eredeti
pinből.

Account Number 4556 2385 7753 2239
Encrypted Accno 3F7C 2201 00CA 8AB3
Shortened Enc Accno 3F7C
0123456789ABCDEF
0123456789012345
Decimalised PIN 3572
Public Offset 4344
Final PIN 7816
Figure 4: IBM 3624-Oset PIN Generation Method
(bocs, de a pdf-ből így jön át).

g> Egy jo resze biztos. A pin kod elso generalasa pl lehet hogy igy
g> van, en nem tudom, en arra emlekszem, hogy generalnak a
g> szamlaszambol, egyeb adatokbol es a pin kodbol egy szamot, es annak
g> egy kivalasztott resze a PVV, vagy pin offset....

na ezzel még nem találkoztam. mi az a PVV?

g> Vagyis nem a pin-t generaljak, hanem egy veletlen szambol(elso pin),
g> vagy megadott szambol (modositott pin) generaljak a pin offsetet, vagy
g> pvv-t...

hú, ezt nem értem, fejtsd ki lécci!

p>> atm lekéri a banktól az ofszetet az elküldi.

g> Hmmmm... ezt miert gondolod? miert nem forditva? Az atm kuldi el a
g> beutott pinbol, meg a kartya adataibol generalt uzenetet, amit a
g> bank ellenoriz az ott letarolttal....

az adatmozgás iránya mindegy, de a feldolgozás helye és számításigénye
miatt gondolom jobb, ha a kp csak válaszolgat az atm-eknek és nem
bibelődik. az atmnek meg van ideje, neki abban az időben csak ezt az
egy kérést kell kiszolgálnia. a kphez meg gondolom csőstúl jönnek a
kérések. de szerintem ez a része mindegy, csak praktikusabbnak tűnik.

g> Amit Te leirtal eljarasi metodust, az a lenyeget tekintve itt
g> kulonbozik.
g> Ugyanannyiba telik az atm-nek elkuldeni a bankba, mint forditva....

így igaz, de ez min változtat?

p>> eszedbe jut, hogy szeretnél pin kódot változtatni. felhívod a bankot
p>> és bemondod. jól átírják az ofszetet és elküldik neked postán.

g> Szerintem nem kuldik ki... de ez nem lenyeges...

igen, mindegy, valahogy megtudod.

g> Kozben eloastam a netrol egy egyszerusitett leirast:

...

g> On receipt at the host, the comms level encryption is deciphered The
g> CVV is calculated and compared to the value on the magstripe The PIN
g> under the Terminal key is deciphered The PIN offset or PVV is
g> calculated The PIN offset or PVV is compared to the database of
g> PVV's

g> 4. The transaction is approved, cash is dispensed

g> Az altalam mondottak az utolso elotti sorban vannak. Az atm
g> adataibol a bankban kalkulaljak a pvv-t (offset), es
g> osszehasonlitjak az _ott_ tarolttal....

akkor viszont a kártyán minden olyan adatnak rajta kell lenni amiből
ofszetet lehet számolni.

g> Nyilvan, ha rossz szamokat utottel be, akkor a pvv nem fog
g> stimmelni. A harmadik rossz kiserletnel kartya tiltva...

ha atm-nél próbálod. de ha van algoritmusod, akkor otthon is
próbálhatod, akármennyiszer, nem?
egyébként az egész dolog lényege abban van, hogy a decimlizáló táblát
ha kitalálod, akkro a kártyaszám generálás utánni össze dolog
megismerhető.

a decimalizáló tábla megfejtése nehéznek tűnik, mert 16 szám alatt
másik 16, akármilyen sorrendbe, akármilyen összetételben szerepelhet,
a leírásban pont ezt a táblát fejtik vissza 15 lépésben. és ez a
lényege az egész bulinak.

neked elküldtem ezt a pdf-et? ha nem, kéred?
valakiknek elküldtem, de azóta csend van...vagy nem nézték meg, vagy
már nem érdekelte őket.

(egyébbként, mikor foglalkoztam ezzel, találtam olyan listákat, ahol
az első oszlopban a kártyaszámok, a másodikban meg a hozzá tartozó
pinkódok szerepeltek. hosszú-hosszú lista volt. egy orosz oldalról:-))





-- 

Best regards,
 pyxys1                            mailto:pyxys1 at westel900.net