Торговые центры, ККМ и прием карт МПС, что происходит -
1. Трек 2 читается на "чужом" оборудовании :-)
2. В открытом виде (текстовый файл) ложится в папку "IN" :-)
3. Забирается сервером автообмена, коим конвертируется, криптуется (далеко не
всегда) и отправляется во фронтальную систему ПЦ
4. Ответ выкладывается тем же сервером автообмена (папка "OUT")
5. Варианты, но как правило, подтверждение от кассы, что ответ на запрос получен.
Это трёх шаговый протокол, Паша лично для тебя :-) Используется ВСЕМИ банками (кроме нас
есно) региона.
Дамп стоит 5-8 $$$
Вопрос, как долго система простоит :-)
P.S. Форматы, протоколы и т.д. есно не выкладываю, но никто SA, например, не скрывал в паутине найти раз плюнуть :-)
Паш, а в чём непонятки?
Треки в открытой сети? чем грозит?
Конкретизируй вопрос, да и попробуй ответить на другой - почему при использовании трёх шагового протокола, ТЦ поголовно не принимают Цироз :-)
А собственно, Вы что сказать-то хотели? Что недавно открыли для себя как оно работает? ;-) И откуда дровишки на тему "У ВСЕХ БАНКОВ"? У Вас в каждом банке агент? :-)
JFYI: оно никогда не "криптуется", потому что в русском
языке нет такого слова. У нормальных людей оно все-таки "шифруется" :-) А если кто в открытом виде гоняет, то он сам себе злой буратино.
p.s. Дабы совсем жути нагнать, могу сказать, что есть совсем безбашенные, которые банкоматы через интернет подключают, и даже VPN при этом не делают
;-)
Как страшно жить! (с)
Ну, вот чем СК отличается, так это "корпоративные" понты ;-)
Зачем нужны агенты:
1. Отсутствие на ККМ внешнего устройства однозначно говорит о том, что трафик ( аналога в русском не знаю :-) ) в сети не криптуется.
2. "Шифрация" у "нормальных" людей - блеф.
P.S. Предлагаю "фуфло" в теме не прогонять, коль скоро Вы считаете себя специалистом, и по поводу банкоматов не флеймить.
Фёдор, Влад в теме защиты информации и информационных систем знает больше тебя на порядок - тем более за спиной сильная школа ЦБ, не спорь попусту- будешь выглядеть бледно. Хочется думать, что сбер круче всех - кто мешает, можно даже прилюдно. Только тогда уж говорил бы "Мы крутые", а не "Мы
крутые, а все остальные - говно"
Я не с кем яйцами мериться не собирался, есть проблема, не решаемая к сожалению - дампы клиентских карт, не только СК, фактически в открытом доступе.
И мне, извини, пофиг какая школа за спиной человека, прогоняющего фуфло.
Федор, ты конечно специалист по картам уважаемый, но по жизни судя по всему (извини) дятел.
В отличии от тебя я не буду распространяться на подобные темы в публичном форуме. Хочешь решить проблему - решай ее внутри банковского сообщества - есть рабочая группа по картам, все друг друга знают
- вэлкам.
А твои эскапады попахивают скорее саморекламой.
Олег, ну что тебе сказать, вежливый ты очень и русский язык знаешь, но как горло драть какие Вы крутые всё "могите" это да, а как в Ваше дерьмо Вас носом, ссать начинаешь, к чему бы это?
Вопрос то покруче печати номера карты на чеке в магазине.
Конкретнее, Вы
обеспечиваете безопасность проведения транзакций в ТЦ, мой ответ - нет.
P.S. Про группу при ЦБ не нужно больше, не смешно.
Хорош упражняться в остроумии - если тебе действительно интересно как У НАС обеспечена безопасность - звони - покажем и расскажем - (в твоих терминах - обоССЫШься от удивления).
Если тебе нужно довести мысль до остальных - то вэлкам или на визовский семинар по безопасности в Октябрьской или
на рабочую группу ( как бы тебе смешно не было) - по крайней мере через общую рассылку.
Еще добавлю - есть более легкий способ сделать дамп в твоей точке (догадаешься в какой?) - когда они проводят операцию на кассе а потом лезут с картой под прилавок к терминалу - они могут снять трек один
в один без каких-либо перехватов файлов.
Ты странный человек, Федор ...зачем придумывать технические ухищрения, когда полосу можно снять под прилавком в магазине, где стоит мега-терминал с мастер-ключами используя 20 -доллоровый тайваньский дампер (дать ссылку?)
Ну, вот чем СК отличается, так это "корпоративные" понты
Пока что наблюдаются корявые понты от СБ :-)
Цитата: От пользователя: fb_sterh
криптуется.
Цитата: От пользователя: fb_sterh
Шифрация
Цитата: От пользователя: fb_sterh
Пока нам "криптографию" читали, Вашему спецу видно "шифрологию" давали.
Цитата: От пользователя: fb_sterh
Нет внешнего
устройства - нет криптации
Давно в ru.crypt мужики не ржали, надо этот цитатник туда закинуть ;-)
Такого ламерства и безграмотности я уже давненько не слышал. Сразу видно, что криптографию вы проходили. Мимо :-)
Теперь по делу.
Цитата: От пользователя: fb_sterh
Предлагаю "фуфло" в теме не прогонять, коль скоро Вы считаете себя специалистом, и по поводу банкоматов не флеймить.
В свою очередь, если Вы такой крутой спец, то извольте объяснить, что в моем сообщении "фуфло".
Насчет
банкоматов - если Вы не в курсе, что кое-кто делает такое включение, то и не надо выступать. И поузнавайте на досуге у умных людей значение глагола "флеймить", дабы употреблять его в тему, а не для красоты.
Цитата: От пользователя: fb_sterh
дампы клиентских
карт, не только СК, фактически в открытом доступе.
Ну Вы же утверждаете, что у вас все круто ;-)
Цитата: От пользователя: fb_sterh
"Шифрация" у "нормальных" людей - блеф.
Ну и кто после этого фуфло гонит? Если Вы лично не знаете,
как закрыть канал, не надо свои комплексы на других свешивать. Не скажу, что решение тривиально, но вполне осуществимо.
Цитата: От пользователя: Брус Вылез
если тебе действительно интересно как У НАС обеспечена безопасность - звони - покажем и расскажем
Ага, а он завтра в форуме во всех подробностях опубликует.
p.s. Раз г-н fb_sterh считает этичным обсуждать в публичном форуме проблемы с защитой (каковые, по его мнению, имеют место быть у большинства банков), может быть он соизволит последовать собственному совету и скажет
что-нибудь по делу? Например, как это у него организовано. Или сказать нечего?
Ну "шифратор" круто, круто, сразу чувствуется ЦБ'шная закалка.
Банкоматы, терминалы, ККМ - один фиг, всё бронебойно :-)
А чего, особо скрывать, то SC 5000 (ридер,ключи и криптация в данном устройстве "ссылку бросить ?" :-) )
Вы канал ККМ - сервер ( Супермаг УКМ )
закрываете ? нетривиально но реально :-) наверно распальцовкой :-)
P.S. Дык принимаете Цирроз на ККМ? Или это тоже тайна :-)
Ну "шифратор" круто, круто, сразу чувствуется ЦБ'шная закалка.
Не поверите, но правильному использованию технической терминологии (хоть в IT, хоть в металлургии, хоть в криптографии) меня научили задолго до ЦБ. Так что в этом
контексте ЦБ совсем не причем. Этой "школе" за другое спасибо ;-)
Цитата: От пользователя: fb_sterh
Банкоматы, терминалы, ККМ - один фиг, всё бронебойно :-)
Смайлик поставлен совершенно справедливо. Ибо как раз "не один фиг", а разница в физической
защищенности существенная, и модели угроз разные, и наборы мер защиты, как следствие, отличаются...
Цитата: От пользователя: fb_sterh
А чего, особо скрывать, то SC 5000
Ссылочку можете не искать, про девайс в курсе. И про наличие сертификата EMV Level
1, и про отсутствие сертификата FIPS-140, который в обсуждаемом аспекте приоритетнее...
Мне все-таки интересно, какую же цель Вы преследовали, опубликовав сей "ужастик" про опасность утечки данных с карт в торговле? По Вашим словам (в коих я сильно сомневаюсь), у всех банков (кроме
вашего, естессно) в этом плане дела обстоят плохо. И Вы в общедоступном форуме рассказываете где и что плохо? Не боитесь, что у соответствующих служб могут возникнуть к Вам неудобные для Вас вопросы?
Хм, написать чтоли, какие "косяки" иногда откалывают инкассаторы (тоже ведь "банковская
технология"!), в том числе и вашего банка. Широкой общественности будет очень интересно и "полезно" :-)
А если наоборот "все хорошо", и Ваша публикация не наносит ущерб безопасности "всех банков", то зачем поднимать панику и нервировать клиентов?
Так что выбирайте между
неэтичностью и очернительством, великодушный Вы наш...
Да проблема в том и состоит, что невозможно это :-(
Нельзя в сети ТСП гонять дампы в открытом виде, об этом и речь, экономия подобная боком выходит и клиенту в первую очередь.
По поводу Цирроза :-( ситуация показательная, не принимается он ни в одном решении, почему???
1. Пин
вводить придется вводить на клавиатуре ККМ, кассиру со слов клиента :-)
2. Пин-блок :-)
_____________________________________________
Копирование дампа тайваньским устройством гораздо дешевле.
_____________________________________________
??? Указанная дыра в
технологии трёхшагового протокола не только "дешевле", но и безопаснее с точки
зрения сбора информации.
______________________________________________
....сертификата FIPS-140..
______________________________________________
SC 5000, не является криптомодулем,
причем сдесь федеральный сдандарт США для этих устройств????
если есть беспокойство за дампы карт, то большинство банков итак достаточно реально представляет все возможные угрозы и предпринимает адекватные меры по снижению рисков - в большинстве случаев эти меры хоть и не дают 100%-ой защиты, т.к. такую защиту
обеспечивает только прокатка карты на специальном устройстве, которое будет на ККМ передавать трэк уже в шифрованном виде - следовательно возрастают затраты на аппаратную часть и возникают вопросы стыковки (справедливости ради надо заметить что с развитием чиповых карт стратегически всё к этому и
движется, но в настоящее время ИМХО затраты не соответствуют рискам), но обеспечивают вкупе с организационными мерами достаточную степень защиты
если это PR эквайринга Сбербанка и гордость за внедряемую технологию, то прашу раскрыть тему глубже - в часности каким ридером читается
полоса? если полоса читается ридером ККМ, то как решается вопрос защиты участка ридер-ККМ от перхвата трэка?
в целом присоединяюсь к мнению что эти вопросы во избежания излишнего возбужжения умов юнных хакеров лучше обсуждать в профессиональной среде и наиболее подходящее местои время
это упомянутая конференция - надеюсь что в её рамках можно будет квалифицировано и адекватно всё обсудить
Нельзя в сети ТСП гонять дампы в открытом виде, об этом и речь
Кто бы спорил. Но почему Вы упорно не желаете признать, что закрыть этот участок можно? Если ККМ "савсэм тупой", то некриптографическими методами.
Цитата: От пользователя: fb_sterh
SC 5000, не является криптомодулем, причем сдесь федеральный сдандарт США для этих устройств?
Упомянутый FIPS это стандарт не на криптомодули, а на сопростивляемость устройства попыткам извлечь из него конф. информацию. Есть
tamper proof, есть tamper resistant.
Если уж мы говорим, что у нас "враждебное окружение", и админ торговой точки собирает дампы, то он не поленится извлеч ключики из девайса, который "не сопротивляется". И далее - по алгоритму.
ИМХО, решение обсуждаемой проблемы может идти двумя
путями:
1) Ставить FIPS140-compliant девайсы на каждую кассу
2) Предотвращать попытки сбора данных о клиентских картах путем выстраивания системы орг. мероприятий, начиная от подбора персонала, системы наблюдения и т.п.
С учетом того, что п2 все равно делать надо, то п1
желателен, но не пожарно необходим.
Раз уж мы упираемся в человеческий фактор, то стоит помнить еще и о сотрудниках банков, которые к этой инфе доступ имеют. Можно поставить самую навороченную криптоклавиатуру с самоликвидатором при попытке вскрытия, но дамп легко сольет сотрудник банка.
Что до Вашего любимого "цирроза", так у него изначально предназначение такое, не можен он без ПИНа ;-) /* если только за дело не берутся зубры типа epv */
1) если вы специалист по безопасности в области пластиковых карт, то вас должны были пригласить
2) если вы не являетесь специалистом в данной области, то собственно делать вам на данном
мероприятии нечего
3) если вы счиатаете себя специалистом по безопасности в области пластиковых карт, но приглашения на конферецию не получили, то скорее всего сотрудники московского представительства Визы не разделяют ващу точку зрения
Всё гораздо проще, чем вы предполагаете: вопросами безопасности я занимался в утб, сейчас там уже не работаю. На новом же месте подобными вопросами не занимаюсь, поэтому о предстоящем мероприятия информации у меня нет. Однако, этой темой
интересуюсь, посему и спросил :-)
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
