Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.

| rubrika: Co se děje | 30. 4. 2010 | 7 komentářů
Držitelé čipových karet očekávají, že jejich platební karta je zabezpečena tak, že téměř znemožňuje zneužití při ztrátě. I u tohoto typu karet ovšem existuje bezpečnostní chyba. Tuzemské banky se jí už zabývají.

3. 5. 2010 8:22 | Honza

"Jde o chybu v nedostatečném zakódování potvrzení o správném či nesprávném PIN , které po zadání klientem posílá karta zpět na terminál u obchodníka při placení."
Před pár lety jsem pracoval jako programátor s čipovými kartami, ale nejse zase nějaký super odborník. Žil jsem až doteď v přesvědčení, že to celé funguje tak, že bankomat vygeneruje nějaká náhodná data, karta mu dá autoritou podepsaný veřejný klíč (certifikát) a ta náhodná data podepíše soukromým klíčem nebo něco dešifruje, to je jedno. Tohle by bylo tak neprůstřelné, jak je neprůstřelný slabší z trojice RSA, náhodný generátor, autorita. Ono je to nějak jinak? Ža by karta poslala jen ANO - NE? :-) Je tu nějaký odborník, který by mě a ostatním čtenářům to lidsky vysvětlil? (V článku je to vzaté až moc hopem.)
Reagovat | Citovat

Nahlásit nevhodný příspěvek

0
Líbí
Nelíbí

3. 5. 2010 10:45 | Dotaz

Není náhodou pořád největší slabina současných tzv. "čipových" karet v tom, že na sobě mají pořád i ten starý dobrý a lehce zkopírovatelný magnetický proužek? Takže vlastně stejnou slabinu zabezpečení, jako původní karty s magnetickým proužkem?
Reagovat | Citovat

Nahlásit nevhodný příspěvek

0
Líbí
Nelíbí

3. 5. 2010 12:39 | Lagarto

souhlasim. Problem je i v nastaveni zabezpeceni u obchodnika. Minuly tyden jsem platil u benzinky Shell, kde maji 3 terminaly (na jejich Smart, na CCS, atd.) a vsechny umi cist cipy. Ale moji Visa kartu s cipem pani sice do ctecky dala, ale PIN to po me nechtelo. Musel jsem jen podepsat uctenku. Pry proc by to nastavovali, ze podpis je ok a vzdy to stacilo. Navim, ale na vzor podpisu na karte se ani nepodivala. Ja si vzal kartu zpet drive nez ji vyjela uctenka! Snad jen dobre, ze tam byly vsude kamery (nad terminalem, u vchodu i u stojanu na SPZ auta) a tedy by se dohledal pripadny pachatel....
Reagovat | Citovat

Nahlásit nevhodný příspěvek

0
Líbí
Nelíbí

Zobrazit komentovanou zprávu (Dotaz 03. 05. 2010 10:45)

3. 5. 2010 13:03 | Dotaz

Kamery někdy moc nepomohou. Jeden známý platil kdysi něco na čerpačce kartou a asi ji tam zapomněl. Hned jak to zjistil, tak ji zablokoval. Když se tam vrátil, tak o ní nikdo nevěděl. Ale mezi tou ztrátou a zablokováním s ní někdo stihl jednou zaplatit na jiné benzínové pumpě stejné značky. Kamery tam sice byly, ale kamerové záznamy prý mezitím byly přepsány. Takže kdoví - možná tu ztracenou kartu použil někdo z obsluhy ČS?
Reagovat | Citovat

Nahlásit nevhodný příspěvek

0
Líbí
Nelíbí

Zobrazit komentovanou zprávu (Lagarto 03. 05. 2010 12:39)

4. 5. 2010 10:52 | Pro Honzu a ostatní

Na bankomatech nebo terminálech, které podporují jen online PIN, tento problém zneužitelný není. Tam probíhá kontrola online PIN, tj. bez účasti karty. Protože je ale většina karet nastavena tak, aby podporovala offline platby a tedy i offline PIN, může dojít na běžných platebních terminálech ke zneužití ukradené a doposud nezablokované karty popsaným způsobem. Karta obsahuje jakýsi prioritní seznam podporovaných verifikací držitele podle představ banky (offline PIN, online PIN, podpis, žádná kontrola). Bohužel neexistuje žádný mechanismus, kde by se karta s terminálem domluvily, jakou verifikaci budou dělat. Terminál si prostě z daného seznamu podle stanovené priority a svých možností vybere metodu a tu provede. Verifikace offline PIN vypadá tak, že držitel zadá PIN do terminálu a ten posílá kartě příkaz VERIFY obsahující mírně přeformátovanou hodnotu PIN. Poznamenám jen, že existuje verze bez šifrování i s šifrováním RSA (to ovšem proti tomuto útoku nijak nepomáhá). Karta za normálních okolností ověří hodnotu PIN z příkazu VERIFY a zcela nezabezpečeně odpoví OK nebo CHYBA. Útočníci ale vstoupili do komunikace mezi kartou a terminálem a zadrželi příkaz VERIFY posílaný terminálem na kartu. Terminálu navíc odpověděli OK. Terminál si myslí, že je vše v pořádku (domnívá se, že odpověd OK je z karty), karta také žije v představě, že k žádnému problému nedošlo (ona neví, jakou metodu terminál použil - např. při kontrole podpisu žádný příkaz VERIFY neobdrží, není to tedy chyba). Tento stav by ale bylo možné detekovat z nesouladu informací ve dvou datových objektech. Jeden z nich je CVR (Card Verification Results), kde je vidět, že karta žádnou kontrolu PIN neprovedla. Druhý je CVM Results (Cardholder Verification Method Results) terminálu, kde je info o použité metodě a výsledku verifikace držitele (v tomto případě úspěšné provedení kontroly offline PIN). CVM Results nemůže útočník měnit (jde z terminálu rovnou do banky), CVR je sice přenášeno z karty do terminálu a pak do banky, hodnota je ovšem chráněna kryptogramem generovaným kartou (zabezpečení dat transakce unikátním 3DES klíčem). Bohužel, přenos CVM Results z terminálů do banky není povinný (zatím), banky tedy nemají vždy dostatek spolehlivých informací, podle kterých situaci vyhodnotit.
Reagovat | Citovat

Nahlásit nevhodný příspěvek

0
Líbí
Nelíbí

Zobrazit komentovanou zprávu (Honza 03. 05. 2010 08:22)

4. 5. 2010 14:03 | Adam

popsaný problém není vůbec teoretický a osobně nevěřím tomu, že by se neobjevili v praxi případy, kdy ke zneužití došlo. je to triviální a navíc nastavení PIN offline oproti PIN online je u terminálů mnohem častější (je to rychlejší pro obsluhu), nebo aspoň do určité hodnoty transakce.
Reagovat | Citovat

Nahlásit nevhodný příspěvek

0
Líbí
Nelíbí

30. 4. 2011 22:03 | Kattie

Náhodou, někde na tomto webu http://www.kreditka.cz/html.cz/slovnicek/cipova-karta.html tvrdí, že čipové karty jsou posun o kolik let dopředu, že dříve bylo možné platební karty zneužít mnohem, ale mnohem rychleji a "lépe" :)
Reagovat | Citovat

Nahlásit nevhodný příspěvek

0
Líbí
Nelíbí

Přidat nový příspěvek

Diskuze na webu www.penize.cz se vždy věnují pouze tématu, k němuž se vztahují. Rozhodně nesuplují funkci Poradny. Máte-li proto jakýkoliv dotaz, obraťte se prosím přímo na naše odborníky, kteří vám rádi pomohou. Na dotazy vložené do Poradny standardně odpovídáme do čtyř pracovních dnů, obvykle se ale dočkáte reakce mnohem dříve. Pokud dotaz vložíte do diskuze, s velkou pravděpodobností na něj nikdo nezareaguje. Děkujeme za pochopení.

Přihlásit odběr komentářů

Odebírat příspěvky mohou pouze zaregistrovaní a přihlášení uživatelé!

Přihlásit se

Ušetřete s Peníze.cz

Naši čtenáři s námi ušetřili už  5 705 545 Kč. Podívejte se na poslední poptávky a vyzkoušejte nás také. Vše je zcela zdarma.

Spočítejte si

Rozšířená verze kalkulačky

Další kalkulačky

Přihlášení k newsletteru

Změny, novinky a aktuality ze světa osobních financí přehledně ve vaší schránce – čtěte náš pravidelný newsletter.

Email:
Captcha
Opište kód:

Souboj osobností

Kdo je vám sympatičtější? Hlasujte v našem souboji osobností a zvolte si svého oblíbence (případně menší zlo). Stačí kliknout na fotografii.

Petr Fejk

manažer

Pavel Mertlík

exministr a ekonom

Petr Fejk
ÚSPĚŠNOST
60,00 %

z 5 duelů
×
Pavel Mertlík
ÚSPĚŠNOST
42,86 %

z 7 duelů

Naposledy navštívené

Články

Produkty a instituce

Kalkulačky

Poradna

Finanční subjekty

Nabídky práce

Obchodní rejstřík

Osoby v obchodním rejstříku

Části obce

Městské části

Obce

Okresy

Témata

Spotřební jednotka domácnosti, Sazba P plus, Očekávaná výnosnost, pavel bělobrádek, eet, e-shopy, miloš zeman, vánoce, KB 8,00/04, realizace, expirace, tarify pro mladé, co-brandované karty, alokační poměr, back office, giovanni guidi, pokuta, peter bukov

5B24756, 4AH3531, 5E12272, 5B24756, 8B21777

Přihlášení

Jméno

Nemáte registraci? Zaregistrujte se zde!

Všechny materiály © 2000 - 2016 Peníze.CZ a dodavatelé. Všechna práva vyhrazena.

ISSN 1213-2217. Doslovné ani částečné přebírání materiálů není povoleno bez uvedení zdroje a předchozího písemného svolení.
Peníze.CZ vydává společnost Partners media, s.r.o.
Člen SPIR - Sdružení pro internetovou reklamu. Člen SVIT - Sdružení vydavatelů internetových titulů při UVDT.

Při poskytování služeb nám pomáhají soubory cookie. Používáním našich služeb nám k tomu udělujete souhlas. Další informace.OK