The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Демонстрация удаленного считывания данных с идентификационны..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Демонстрация удаленного считывания данных с идентификационны..."  
Сообщение от opennews (ok) on 04-Фев-09, 13:44 
В материале "Drive-By 'War Cloning' Attack Hacks Electronic Passports, Driver's Licenses  (http://www.darkreading.com/security/privacy/showArticle.jhtm...)" рассматривается возможность проведения атаки, позволяющей злоумышленникам удаленно считывать данные с RFID (http://ru.wikipedia.org/wiki/RFID) чипов электронных паспортов и удостоверений. После считывания данных, злоумышленник может имитировать отправку перехваченной информации для идентификации вместо владельца перехваченных данных. Клонирование меток EPC Gen 2 RFID возможно из-за недостаточной проработки механизмов аутентификации и шифрования.


6 февраля на конференции SchmooCon будет продемонстрировано считывание RFID меток на расстоянии около 6 метров, используя стандартный RFID сканнер, купленный на аукционе eBay за $250. Проехав на машине по улицам Сан-Франциско, экспериментаторам удалось собрать приличную коллекцию данных, собранных с RFID чипов удостоверений прохожих. RFID работает в широковещательном р...

URL: http://www.darkreading.com/security/privacy/showArticle.jhtm...
Новость: http://www.opennet.dev/opennews/art.shtml?num=20110

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Демонстрация удаленного считывания данных с идентификационны..."  
Сообщение от belkin (ok) on 04-Фев-09, 13:44 
А вы думали туда цифроподписыватель встроили? Такая же фигня с кредитными карточками - хозяин понятия не имеет, что, кому и когда она сообщает - ни кнопок, ни индикаторов. Как же всё по-идиотски, не професссионально делаются все эти вещи...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от fyjybv on 04-Фев-09, 13:46 
кредитки хоть работают контактым образом. Суешь в любую дырку только на свой риск. А тут - 6м и возможность увеличить расстояние за счет более направленных антенн.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от Driver (??) on 04-Фев-09, 15:58 
>кредитки хоть работают контактым образом. Суешь в любую дырку только на свой
>риск. А тут - 6м и возможность увеличить расстояние за счет
>более направленных антенн.

то-то кардеры контактно так всех разувают,ага.На самом деле там все очень тупо и незащищенно сделано, так что вы пролетаете.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от Аноним (??) on 04-Фев-09, 13:52 
А как выглядела бы профессионально сделанная кредитка?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от Дмитрий Ю. Карпов on 04-Фев-09, 16:20 
> А как выглядела бы профессионально сделанная кредитка?

Как минимум, с индикаторной панелью, на которой высвечивается, что сейчас хотят сделать, и кнопкой подтверждения операции.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от pavlinux (ok) on 04-Фев-09, 17:39 
На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
ту которую запросили, а сам списывает сколько надо себе на счёт.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от belkin (ok) on 04-Фев-09, 18:14 
>На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
>ту которую запросили, а сам списывает сколько надо себе на счёт.

Банковский сервер формирует чек, подписывает и отправляет карточке на подпись. У карточки есть сертификат банка, она верифицирует чек, показывает его на дисплее карточки (написано кому, сколько и за что платишь) и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.). Владелец даёт добро, карточка подписывает чек и отсылает его банкомату. Далее всё понятно. Карточка может запоминать подписанные чеки, связь с сервером банка может дополнительно шифроваться, подпись может быть "слепой", карточка может быть защищена от ЭМИ и проникающего излучения и т.п. улучшения. Все математические и алгоритмические решения давно уже есть. Вопрос в том, когда разработку таких государствено важных проектов будут отдавать профессиональным инженерам, а не слабоумным откатоплательщикам. Это произойдёт не раньше, чем российская нефть начнёт продаваться за рубли. Сами догадайтесь почему.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от pavlinux (ok) on 04-Фев-09, 18:54 
>>На банкомат вешается фейковый считыватель, выдаёт вам инфу о снятии наличных,
>>ту которую запросили, а сам списывает сколько надо себе на счёт.
>
>Банковский сервер формирует чек, подписывает и отправляет карточке на подпись.
> У карточки есть сертификат банка, она верифицирует чек,

Но, с начало его просмотрит фейковый ридер,
> показывает его на дисплее карточки (написано кому, сколько и за что платишь)

"правильную" сумму
> и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.).
> Владелец даёт добро, карточка подписывает чек

только фейковый
> и отсылает его банкомату.
> Далее всё понятно.

Угу
> Все математические и алгоритмические решения давно уже есть.

И ещё есть хакерский закон - если можно прочитать, значит можно записать,
если ты не можешь прочитать, значит найдется другой хакер. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от Konstantin (??) on 04-Фев-09, 22:03 
Вам слова Электронная подпись и Сертификат видимо совсем ни о чем не говорят?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от fa email(??) on 04-Фев-09, 23:40 

>И ещё есть хакерский закон - если можно прочитать, значит можно записать,
>
>если ты не можешь прочитать, значит найдется другой хакер. :)

где это вы закон такой чудной нашли. на cd слабо записать пару байтов?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от none (??) on 05-Фев-09, 07:55 
а вы попробуйте врезаться в сетевой провод идущий от моего компа и почитать инфу летящую на удаленный 22-ой порт ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от Tester email(??) on 05-Фев-09, 11:11 
Ыы Вообщето такое возможно :) для примера такое может делать любой роутер - который будет прозрачен для вас :) но можно и просто проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от belkin (ok) on 05-Фев-09, 12:02 
>Ыы Вообщето такое возможно :) для примера такое может делать любой роутер
>- который будет прозрачен для вас :) но можно и просто
>проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию
>:)

Ыы Вообще человек говорил про туннель SSH (порт 22).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от ва on 05-Фев-09, 17:12 
>>Ыы Вообщето такое возможно :) для примера такое может делать любой роутер
>>- который будет прозрачен для вас :) но можно и просто
>>проводочками (як в шпионских фильмах) к девайсу который выполнит данную функцию
>>:)
>
>Ыы Вообще человек говорил про туннель SSH (порт 22).

вообще Man in middle легко пройдёт, если это будет первый вход машины и человек на память не помнит фингерпринт своего сертификата

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от belkin (ok) on 05-Фев-09, 12:00 
>>Банковский сервер формирует чек, подписывает и отправляет карточке на подпись.
>> У карточки есть сертификат банка, она верифицирует чек,
>
>Но, с начало его просмотрит фейковый ридер,

Пусть смотрит. В чём проблема ?

>> показывает его на дисплее карточки (написано кому, сколько и за что платишь)
>
>"правильную" сумму

Конечно правильную. Чек подписан банком, изменение содержания повлечёт за собой изменение значения Hash-функции, что будет обнаружено карточкой при верификации.

>> и ждёт подтверждения от владельца (кнопкой, отпечатком и т.п.).
>> Владелец даёт добро, карточка подписывает чек
>
>только фейковый

Подделка обаруживается - смотри выше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от borman (??) on 05-Фев-09, 02:27 
Это элементарно дорого и неудобно. Снабжать каждую карточку устройствами ввода-вывода (ведь банкоматам и прочим чужим девайсам мы тоже не доверямем, ага?), да еще и причем такими откровенно специфическими как считыватели отпечатков. Опять же возникают вопросы по поводу характеристик экрана, на который должна выводится. Насколько долговечной будет такая хрупкая система? Какое ПО будет всем этим хозяйством управлять? Кем оно будет разработано и сертифицировано? Доверяем ли мы ему? И так далее...

И вообще прослеживаются аналогии с защитой телевизионных каналов от несанкционированного просмотра. Те же карточки с микропроцессором, ключи, сертификаты. Вот только толку мало - все равно взломанных, склонированных карт полно. А что помешает сделать клон предложенного вами варианта?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от none (??) on 05-Фев-09, 08:01 
если ты кредитку умудрился прое*ть на какое-то время, да еще и этого и не заметить, то ССЗБ. а так один звонок в банк с просьбой заблокировать кридитку и затем прогулка в этот же банк, что бы подписать новый сертификат и получить новую карточку.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от Аноним (??) on 05-Фев-09, 10:35 
Считыватель отпечатков - это уже не обязательно, в принципе достаточно пин-кода, набираемого на самой "карте". Вся эта система значительно проще самого простого сотового телефона. Стоить будет не более нескольких сот рублей.

>Вот только толку мало - все равно взломанных, склонированных карт полно.

Это потому, что 1) чип, защищающий шифрованные данные, находится у _зрителя_, который _не заинтересован_ в сохранении тайны шифрования; 2) достаточно взломать _один_ из всех существующих чипов, чтобы вся система шифрования накрылась медным тазом. И даже несмотря на это, покажите мне, например, пиратский "Триколор". В случае же с кредитками все наоборот - владелец кредитки прямо заинтересован в ее безопасности; кроме того, "взломав" одну кредитку, хакеры получат доступ только к счету ее владельца, а не всех клиентов банка.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от belkin (ok) on 05-Фев-09, 11:46 
>Это элементарно дорого и неудобно. Снабжать каждую карточку устройствами ввода-вывода (ведь банкоматам

Платформа для этого уже лет десять выпускается. Выглядит как обычная карточка. Внутри процессор, память и ПО на микро-Java. Оно выполняет цифровую подпись. Добавьте пару кнопок, ЖК-дисплей на несколько строчек и напишите нужный код и в готово. Стоимость - около $50 баксов при небольших партиях. При массовом распространении её банки будут выдавать бесплатно ил под залог, как карточки в метро.

>Кем оно будет разработано и сертифицировано? Доверяем ли мы ему? И
>так далее...

Это намного лучше чем то, что есть сейчас, когда достаточно узнать реквизиты карточки или один раз прокатать своим считывателем в магазине/ресторане у вас на глазах.

>И вообще прослеживаются аналогии с защитой телевизионных каналов от несанкционированного просмотра. Те
>же карточки с микропроцессором, ключи, сертификаты. Вот только толку мало -
>все равно взломанных, склонированных карт полно. А что помешает сделать клон
>предложенного вами варианта?

Потому что эту ТВ-защиту, как и автосигнализации, делают дебилы-инженеры и хитропопые маркетологи. Разве мы видим легкие перехваты SSH-сессий ? Нет. Так какого члена подобные алгоритмы не применяются там? Правильно - тогда себестоимость устройств будет выше, а прибыль ниже, потому что сейчас они копеечную г. продукцию продают по цене "абсолютно защищённых от взлома систем". Про ТВ вообще ещё смешнее: там защита это проблема ТВ-компании и зритель платить большие деньги за решение чужих проблем не захочет.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от pavlinux (ok) on 04-Фев-09, 17:34 
>А как выглядела бы профессионально сделанная кредитка?

* Блокиратор считывания - маленькая пимпочка.
* Фильтр отпечатка пальца - специально сформированная плёнка в прозрачной защитной плёнке - т.е. для идентификации необходимо считать отпечаток с пальца через фильтр, который кодируется в банке - на выходе рисунок вашего пальца с наложенной маской.
(Фейковый считыватель может считать только маску и маску с пальцем,
для полного хака ещё нужен просто палец).

* Запретить использовать для отпечатков "Большой", "Указательный" и "Средний" пальцы!
* Алюминевый чехол, сдвигается при считываний - как у флоппика.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от aplsms (??) on 04-Фев-09, 19:27 
Только все эти методы абсолютно не работают, если гопник приставил пистолет (даже газовый) к затылку, или данные карточки были украдены каким-то сотрудником в банке.  Ломают не системы безопасности, ломают ЛЮДЕЙ.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от Аноним (??) on 04-Фев-09, 20:46 
Вы сказали бред - здесь обсуждались способы информационного взлома, а не физического - и информационная безопасность, а не физическая
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от borman (??) on 05-Фев-09, 02:33 
Бред. "Пальчики" подделываются на ура. Это раз. Система становит дорогой и хрупкой. Это два.

Ну и самый интересный вопрос - какую еще информацию вы готовы предоставить вашему банку - отпечатки ваших пальцев, сетчатку глаза, код днк, ваше текущее местоположение, график встреч? Ведь вся эта информация позволит очень надежно защитить ваши средства.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от belkin (ok) on 05-Фев-09, 11:48 
>Ну и самый интересный вопрос - какую еще информацию вы готовы предоставить
>вашему банку - отпечатки ваших пальцев, сетчатку глаза, код днк, ваше
>текущее местоположение, график встреч? Ведь вся эта информация позволит очень надежно
>защитить ваши средства.

Я готов дать любые идентифицирующие меня признаки, если это повысит сохранность моих денег и ответственность банка.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от User294 (??) on 04-Фев-09, 21:46 
>А как выглядела бы профессионально сделанная кредитка?

Явно не куском пластика с магнитной полосой которую скопировать раз плюнуть.И что характерно, пинкод требуется не везде - при оплате кредиткой через интернет ли или просто в магазине - никакого пинкода и если не повезет то и подтверждений тоже.Сейчас банки ученые жизнью - подобные транзакции любят подтверждать позвонив владельцу по контактному телефону.Но это определенно добавляет геморроя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Демонстрация удаленного считывания данных с идентификационны..."  
Сообщение от 1234 on 05-Фев-09, 16:08 
Вы абсолютно правы, но забываете о том кто вас будет кидать при любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный доступ и к вашим счетам и к вашей персональной информации...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Демонстрация удаленного считывания данных с идентификационны..."  
Сообщение от belkin (ok) on 05-Фев-09, 16:28 
>Вы абсолютно правы, но забываете о том кто вас будет кидать при
>любой степени защиты ваших данных. Это банк. Он будет иметь неограниченный
>доступ и к вашим счетам и к вашей персональной информации...

Он и сейчас всё знает обо мне. А вот цифровую подпись мою в отличии от обычной подписи чернилами, он замучается подделывать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Демонстрация удаленного считывания данных с идентификационны..."  
Сообщение от User294 (??) on 05-Фев-09, 17:45 
>Вы абсолютно правы, но забываете о том кто вас будет кидать при
>любой степени защиты ваших данных. Это банк.

Хорошие банки дорожат репутацией и не кидают.Иначе от них клиенты сбегут (и как раз по причине наличия интересной информации они обычно конкретно &%#нуты на секурити, запрещая сотрудникам все и вся, вплоть до мобильных телефонов на рабочем месте).Другое дело что ситуация в экономике может кинуть всех.Скажем если вы держите деньги в рублях и щелкаете клювом - вы пролетаете что с банками, что храня деньги под подушкой совершенно однохренственно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Демонстрация удаленного считывания данных с идентификационны..."  
Сообщение от blackpepper on 04-Фев-09, 13:51 
Хм, это из той же серии?
http://www.carhelp.info/index.php?pid=3
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Демонстрация удаленного считывания данных с идентификационны..."  
Сообщение от Alen (??) on 04-Фев-09, 21:21 
когда мне выдадут мой биометрический загранпаспорт, первое что я сделаю - между паспортом и кожухом проложу листок тонкой фальги :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Демонстрация удаленного считывания данных с идентификационны..."  
Сообщение от Hamelion (ok) on 05-Фев-09, 04:52 
а еще можно проводок на тело..., и цепь привязать..., чтобы по земле волочилась )))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от mac19856 on 05-Фев-09, 07:16 
Ребята, какая вам хрен разница, кто у вас с кредитки что украл? Это же кредитная карточка, все что с нее украли вам возмещать не нужно - это проблема банка :-)

Или господа хорошие путают кредитную карточку с дебитной? Так не стоит вообще дебитной пользоваться, в крайнем случае - secure credit делаете и все.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от Аноним (??) on 05-Фев-09, 10:37 
>Ребята, какая вам хрен разница, кто у вас с кредитки что украл?
>Это же кредитная карточка, все что с нее украли вам возмещать
>не нужно - это проблема банка :-)
>
>Или господа хорошие путают кредитную карточку с дебитной? Так не стоит вообще
>дебитной пользоваться, в крайнем случае - secure credit делаете и все.
>

Вообще деньги надо хранить не в банке, а у себя, и не в бесполезных бумажках, а в твердой валюте - например, в золоте, но лучше - в оружейном плутонии :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от belkin (ok) on 05-Фев-09, 12:15 
>Ребята, какая вам хрен разница, кто у вас с кредитки что украл?
>Это же кредитная карточка, все что с нее украли вам возмещать
>не нужно - это проблема банка :-)

Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Демонстрация удаленного считывания данных с идентификационны"  
Сообщение от Аноним (??) on 06-Фев-09, 23:43 
> Это в Америке так. У нас сначала будешь доказывать, что это не ты деньги снял, будешь платить $15-$50 за внесение карточки в стоп-лист и прочие "радости".

Ну, значит нужно сделать так, как в Америке - все уже давно придумано и проверено на практике. А с карточками на кнопках и сенсорами отпечатка пальцев ходить - бред сивой кобылы в вакууме.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Демонстрация удаленного считывания данных с идентификационны..."  
Сообщение от smartcard on 05-Фев-09, 12:18 
RFID вообще-то не прензаначен для хранения важных данных. Для обеспечения конфиденциальности существуют контактные смарт-карты с пользовательскими паролями (PIN) и сертификатами.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру