Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Nem szép...

2012.03.30. 14:49 | buherator | 16 komment

 Sok helyen lehetett róla olvasni, úgyhogy én csak egy rövid jegyzetet írok a SZÉP kártya ügyben. Detritus remekül összefoglalta a problémát: 

Az csak az egyik probléma, hogy bár pénzt költesz, nem kérnek PIN kódot; ez bizonyos bankkártyáknál is előfordul, persze ott sem helyes. A nagyobb gáz az, hogy a bizonylatra rányomtatják az egész (!) kártyaszámot lejárati idővel együtt (!) (meg a tulaj nevét, meg a kibocsátó nevét...). A "támadási vektor" tehát az, hogy elmész a plázába, kukázol magadnak egy ilyen blokkot, elböngészel a kedvenc webshopodba, és veszel magadnak valami szépet (már persze amit ezzel lehet venni).

Bár az online tranzakciókhoz a cvv-t is el szokták kérni (ami a kártyára van nyomtatva az aláírás mellé és elvileg sehol nem tárolják (bár láttunk mi már karón szaros palacsintás varjút)), de a BalaBites srácok tesztjei azt mutatják, hogy a cvv sokszor simán "elgépelhető", a tranzakció anélkül is teljesül.

De a legszebb ez az érvelés:

Egy banki szakértő elismerte, hogy az online tranzakcióknál van probléma, de a kockázatelemzés alapján arra számítanak, hogy egymillió tranzakcióra talán száz csalás jut. A bankoknak a veszélyek mellett azt is számításba kellett venniük, hogy PIN-kódot használó infrastruktúra felépítése pedig elég drága, és körülményesebb is a használata, emellett úgy gondolják, a Szép-kártyát jellemzően alacsony keresetűek használják, akik hamar elköltik majd a rajta lévő összeget.  

Címkék: szép kártya

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Meister · https://www.facebook.com/Meister1977 2012.03.30. 14:54:52

OTP-s SZÉP-kártyához nem tartozik CVV kód. Csak a kártyaszám és lejárati idő kell hogy rendelni tudj a netpincérről.
(OTP-s banki oldalra dob, ott írják is, hogy SZÉP esetét üresen kell hagyni a CVV-t.)

Hunger 2012.03.30. 15:09:10

SZÉP kártya feltöltése után indul a verseny a tulajdonos és a támadó között, hogy ki költi el előbb a rajta lévő összeget... Zseniális! :D

Race Condition IRL FTW

_2501 2012.03.30. 15:36:22

Pistike Pro Solutions 3000 Bt. proudly presents: "szépkártya". Ebből mocskos nagy balhé lesz amikor megindul a tömeges lehúzás... Gratz az illetékeseknek akik összehozták... Tervezési fázis kimaradt? Ki volt az aki ezt így jóváhagyta? Ott dolgozik még?

Tényleg ennyire fogyatékosok dolgoznak fent?

synapse · http://www.synsecblog.com 2012.03.30. 16:15:28

Az ilyet tarkolovessel kene buntetni.

kz71 2012.03.30. 16:40:21

tuti sietni kellett, és kimaradt a teszt, remélem...bár, amiket hallani mostanság kártyás projektekről...de fő, hogy az illető projektvezető megbízható, nem gond, ha nem ért hozzá :-(

amúgy az angol bankok is így gondolkodtak, mint a tisztelt nyilatkozó, hogy 90 milla font veszteségre 100 milla kártya jutott, tehát alig 1 font/kártya a bukta, így nem foglalkoztak vele komolyabban...1996-ban...aztán emelkedett a veszteség, 300-ra, és feljebb...money rules some f'head.

kz

@Hunger: a humanoid = birtokos, a tulaj a bank.

nyos 2012.03.30. 23:09:10

Vegyuk azt az esetet, hogy csak online akarom hasznalni (mondjuk netpinceren kajarendelesre), a fizikai eszkozt esetleg meg meg is semmisitem/olvashatatlanna teszem/lelakatolom, ilyesmi.
Ebben az esetben van valami plusz biztonsagi kockazata ennek a szepsegnek egy normal kartyahoz kepest?

domi007 2012.04.01. 23:18:20

@nyos: ha nem lesz belőle bizonylat sehol (nem tudom pl, hogy NetPincér-es rendelésnél nem nyomtatják-e a rá számlára szintén az összes adatot...már azon se csodálkoznék ezek után) akkor szerintem nem

_2501 2012.04.02. 08:58:34

@domi007: kivéve ha a közvetlen netpincértől nyúlják le.

domi007 2012.04.02. 09:05:18

@_2501: De az megeshet más kártyával is, nem? Vagy a szépre más tárolási szabályok vonatkoznak szerveroldalon? (azt kérdezte nyos, hogy van-e plusz kockázat egy normál kártyához képest, ha olvashatatlanná teszi és csak neten használja).

_2501 2012.04.02. 09:32:54

@domi007: persze, más kártyával is megeshet. a para az hogy by design nulla a security. cc-k esetében van ennek egy elég szép szabályozása (pci-dss) hogy mit hogyan tárolhatunk vagy továbbíthatunk. btw a kártyaszámok generálására még lehet érdemes lenne ránézni.

Éjszakai őrség · http://eo.blog.hu 2012.04.04. 22:11:07

@_2501: Majd rájösz magadtól is, ha fizetsz a Netpincérnél.

_2501 2012.04.04. 22:40:31

@Éjszakai őrség: regisztráltam hogy megnézzem. tényleg baromságot mondtam, mind a két szépkártyás fizetésnél átirányít, és nem a netpincér oldalán történik a fizetés.