Tankolas atveres!

Acs Gabor agabor at electrodesign.hu
Wed Aug 27 00:00:00 CEST 2003 

Bevallom, a technikai dolgokat nem volt türelmem végig követni, csak egy kérdés:
Ha nyitnék egy rakás bankszámlát, rendelnék egy csomó kártyát, akkor tudnék jó
sok számlaszámot, kártyaszámot, és PIN-t. Ebbol visszafejtheto lenne az
algoritmusa az adott banknak, vagy a kódolótáblája?

Gábor

----- Original Message -----
From: "HWSW Famulus" <hwsw at famulus.hu>
To: <elektro at tesla.hu>
Sent: Tuesday, August 26, 2003 11:32 PM
Subject: Re: Re[18]: Tankolas atveres!


> RedpaySecurityBulletinPINAttacksOnEFTNetworks.pdf
>
> ezt sikerült megtalálnod? sajna a link már nincs meg.
> kiváncsi vagyok, hoy ha elolvasd, mi a véleményed
>  pyxys1                            mailto:pyxys1 at westel900.net

Nos atolvastam....ket fo dologrol szol:

Az egyiket kitargyaltuk, miszerint belso ember
vagy a bankhalozatba kello joggal bejuto hacker
a cel hw baszogatasaval PIN-hez tud jutni
Nem altalanos, a bank kára...lezarva

A masik, hogy vannak agyas palik akik a sajat kartyajukat
masoljak es vesznek fel penzt, majd ismerve a banki szabalyzatot
a "kárt" jova iratjak a bankkal maguknak

Ennek lenyege, hogy a masolt es ismert PIN-u (mivel maga masolta)
kartyaval foldrajzilag tavoli helyeken "azonos" idoben csinalnak tobb
tranzakciot
Aztan felteszik a kezuket, hogy nem ok voltak a bank meg szepen teriti a
kart

UGYES azt kell mondjam :-)

A pdf lenyegeben arrol szol, hogy ilyenek vannak es
hogy, hogyan lehet ezek ellen banki oldalon vedekezni.

nos a diakat is megneztem, az derul ki belole ami pdf-bol
ill. meg az, hogy ha elfogom az ATM-BANK kommunnikaciot
es vannak csak a bankbol!! megismerheto kiindulo adataim akkor
a PIN visszafejtheto...

Tehat meg mindig ott tartunk, hogy vagy a bankba kell bent lenni, vagy
ismerni kell a PIN-t
Sehol nem irja, hogy "bankon kivul" a cel hw nelkul a PIN-t kilehet
szamolni!

Nem is lehet csak a kartya birtokban!!!!
Ebben mostmar teljesen biztos vagyok.

KJ

Hoppa latom mi az az offset...
A bankban generalt eredeti PIN-t
kivonjak a tulaj altal valasztott PIN-bol es
a kivonas eredmenyere MODULO_10 szamitasa
(userPIN-bankiPIN) mod 10
A modulo miatt ugye nem lehet visszafele sehogyse
szamolni a bankiPIN-t  az offsetbol es userPIN-bol :-))
tarolni viszont eleg a -9 es +9 kozotti rovid eredmenyt
Ugyes...sok szamla eseten helytakarekos
es biztonsagos is egyben, tetszik.

More information about the Elektro mailing list