לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


11/2006

כמה קל לגלות קוד אישי של כרטיס אשראי?


כנראה שדי קל. במאמר מעניין של עומר ברקמן ואודליה משה אוסטרובסקי* (שלא התעמקתי מספיק כדי להבין את כולו) "The Unbearable Lightness of PIN Cracking", הם מסבירים כיצד ניתן לחלץ קודים אישיים (PIN) מתוך Encrypted PIN Blocks (זה הנתון המוצפן שמועבר על ידי הכספומט לבנק לצורך אימות הקוד האישי בעת משיכת כסף) על ידי ניצול פונקציות מובנות ב-financial PIN processing API. המתקפות דורשות גישה ל-HSM או לרכיב שיש לו גישה (לוגית) ל-HSM, כך שבהחלט נדרש פה סיוע מבפנים. אך מאחר ו(כמו שהכותבים מציינים) מנפיקי כרטיסי אשראי (בנקים או חברות אשראי) עובדים גם מול גופים חיצוניים (בנקים וזכיינים אחרים), הרי שאין לכך משמעות רבה, כיוון שיש צורך בגישה לאחד הרכיבים בדרך. בשום שלב לא מפוענחים מפתחות ההצפנה המשמשים בתהליך וזה בהחלט מאמר יפה.

 

נתון נוסף שכדאי לדעת הוא שהחולשות הללו נכונות לכל מערך ATM בעולם ולכל HSM וכדי לפתור את הבעיה צריך לבצע שינוי תשתיתי ביקום (מה שכנראה לא יקרה בזמן הקרוב).

 

המאמר מדגיש בצורה יפה את עקרון החוליה החלשה בשרשרת.

 

ברוס שנייר (המקור לידיעה) טוען כי פנה למחברים והם אמרו לו שהעבירו את הנתון לחברות האשראי הגדולות ולבנקים, אך לא קיבלו התייחסות.

נכתב על ידי , 18/11/2006 17:57   בקטגוריות אבטחת אפליקציה, כרטיסים חכמים, הצפנות ושמונצס, שווה קריאה  
הצג תגובות    הוסף תגובה   1 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט



כינוי: 

גיל: 39




60,958
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2014 © נענע 10 בע"מ