Торговля ККМ в ТЦ и МПС

Знание рождает страх :-)

Торговые центры, ККМ и прием карт МПС, что происходит -
1. Трек 2 читается на "чужом" оборудовании :-)
2. В открытом виде (текстовый файл) ложится в папку "IN" :-)
3. Забирается сервером автообмена, коим конвертируется, криптуется (далеко не всегда) и отправляется во фронтальную систему ПЦ
4. Ответ выкладывается тем же сервером автообмена (папка "OUT")
5. Варианты, но как правило, подтверждение от кассы, что ответ на запрос получен.
Это трёх шаговый протокол, Паша лично для тебя :-) Используется ВСЕМИ банками (кроме нас есно) региона.

Дамп стоит 5-8 $$$

Вопрос, как долго система простоит :-)

P.S. Форматы, протоколы и т.д. есно не выкладываю, но никто SA, например, не скрывал в паутине найти раз плюнуть :-)
0
epv
Фёдор, ты бы не поленился и провёл ликбез для всех остальных банков региона - глядишь подняли бы безопасность до невиданных высот ;-)
0
fb_sterh
Паш, а в чём непонятки?
Треки в открытой сети? чем грозит?
Конкретизируй вопрос, да и попробуй ответить на другой - почему при использовании трёх шагового протокола, ТЦ поголовно не принимают Цироз :-)
0
Cybervlad
От пользователя fb_sterh

А собственно, Вы что сказать-то хотели? Что недавно открыли для себя как оно работает? ;-) И откуда дровишки на тему "У ВСЕХ БАНКОВ"? У Вас в каждом банке агент? :-)

JFYI: оно никогда не "криптуется", потому что в русском языке нет такого слова. У нормальных людей оно все-таки "шифруется" :-) А если кто в открытом виде гоняет, то он сам себе злой буратино.

p.s. Дабы совсем жути нагнать, могу сказать, что есть совсем безбашенные, которые банкоматы через интернет подключают, и даже VPN при этом не делают ;-)
Как страшно жить! (с)
0
fb_sterh
Ну, вот чем СК отличается, так это "корпоративные" понты ;-)
Зачем нужны агенты:

1. Отсутствие на ККМ внешнего устройства однозначно говорит о том, что трафик ( аналога в русском не знаю :-) ) в сети не криптуется.
2. "Шифрация" у "нормальных" людей - блеф.

P.S. Предлагаю "фуфло" в теме не прогонять, коль скоро Вы считаете себя специалистом, и по поводу банкоматов не флеймить.
0
Брус Вылез
Фёдор, Влад в теме защиты информации и информационных систем знает больше тебя на порядок - тем более за спиной сильная школа ЦБ, не спорь попусту- будешь выглядеть бледно. Хочется думать, что сбер круче всех - кто мешает, можно даже прилюдно. Только тогда уж говорил бы "Мы крутые", а не "Мы крутые, а все остальные - говно"
0
fb_sterh
Олег, а по теме что нибудь :-)

Я не с кем яйцами мериться не собирался, есть проблема, не решаемая к сожалению - дампы клиентских карт, не только СК, фактически в открытом доступе.
И мне, извини, пофиг какая школа за спиной человека, прогоняющего фуфло.
0
Брус Вылез
Федор, ты конечно специалист по картам уважаемый, но по жизни судя по всему (извини) дятел.
В отличии от тебя я не буду распространяться на подобные темы в публичном форуме. Хочешь решить проблему - решай ее внутри банковского сообщества - есть рабочая группа по картам, все друг друга знают - вэлкам.
А твои эскапады попахивают скорее саморекламой.

[Сообщение изменено пользователем 07.03.2005 20:57]
0
fb_sterh
Олег, ну что тебе сказать, вежливый ты очень и русский язык знаешь, но как горло драть какие Вы крутые всё "могите" это да, а как в Ваше дерьмо Вас носом, ссать начинаешь, к чему бы это?

Вопрос то покруче печати номера карты на чеке в магазине.

Конкретнее, Вы обеспечиваете безопасность проведения транзакций в ТЦ, мой ответ - нет.

P.S. Про группу при ЦБ не нужно больше, не смешно.
0
Брус Вылез
Хорош упражняться в остроумии - если тебе действительно интересно как У НАС обеспечена безопасность - звони - покажем и расскажем - (в твоих терминах - обоССЫШься от удивления).
Если тебе нужно довести мысль до остальных - то вэлкам или на визовский семинар по безопасности в Октябрьской или на рабочую группу ( как бы тебе смешно не было) - по крайней мере через общую рассылку.
Еще добавлю - есть более легкий способ сделать дамп в твоей точке (догадаешься в какой?) - когда они проводят операцию на кассе а потом лезут с картой под прилавок к терминалу - они могут снять трек один в один без каких-либо перехватов файлов.

[Сообщение изменено пользователем 07.03.2005 21:33]
0
fb_sterh
В твоей терминологии "обдолбаешься" рассказывать.
Пока нам "криптографию" читали, Вашему спецу видно "шифрологию" давали.

1. Нет внешнего устройства - нет криптации, т.к. негде мастер-ключи хранить и т.п.
2. Используешь ридер кассы - куда уйдет дамп не контролируешь.

Вывод: плечо касса-сервер автообмена дырка в безопасности всей системы.

P. S. Непонятно почему только СК "обиженки" вывела в форум, где Альфа, Уралтрансбанк ......
0
Брус Вылез
Ты странный человек, Федор ...зачем придумывать технические ухищрения, когда полосу можно снять под прилавком в магазине, где стоит мега-терминал с мастер-ключами используя 20 -доллоровый тайваньский дампер (дать ссылку?)
0
fb_sterh
Вот не понимаю, зачем нужно лаятся, что бы по человечески начать разговаривать :-(

Понимаешь, ли Олег, если кассир в "Монетке" со своего насеста с моей карточкой под прилавок полезет... я как минимум спрошу, что происходит

А вот когда на твоих глазах, ничего не "подозревающих"
- "карточку катали один раз...." со сногшибающим результатом
0
Cybervlad
От пользователя fb_sterh
Ну, вот чем СК отличается, так это "корпоративные" понты

Пока что наблюдаются корявые понты от СБ :-)

От пользователя fb_sterh
криптуется.


От пользователя fb_sterh
Шифрация


От пользователя fb_sterh
Пока нам "криптографию" читали, Вашему спецу видно "шифрологию" давали.


От пользователя fb_sterh
Нет внешнего устройства - нет криптации


Давно в ru.crypt мужики не ржали, надо этот цитатник туда закинуть ;-)
Такого ламерства и безграмотности я уже давненько не слышал. Сразу видно, что криптографию вы проходили. Мимо :-)

Теперь по делу.
От пользователя fb_sterh
Предлагаю "фуфло" в теме не прогонять, коль скоро Вы считаете себя специалистом, и по поводу банкоматов не флеймить.

В свою очередь, если Вы такой крутой спец, то извольте объяснить, что в моем сообщении "фуфло".
Насчет банкоматов - если Вы не в курсе, что кое-кто делает такое включение, то и не надо выступать. И поузнавайте на досуге у умных людей значение глагола "флеймить", дабы употреблять его в тему, а не для красоты.


От пользователя fb_sterh
дампы клиентских карт, не только СК, фактически в открытом доступе.

Ну Вы же утверждаете, что у вас все круто ;-)


От пользователя fb_sterh
"Шифрация" у "нормальных" людей - блеф.

Ну и кто после этого фуфло гонит? Если Вы лично не знаете, как закрыть канал, не надо свои комплексы на других свешивать. Не скажу, что решение тривиально, но вполне осуществимо.

От пользователя Брус Вылез
если тебе действительно интересно как У НАС обеспечена безопасность - звони - покажем и расскажем

Ага, а он завтра в форуме во всех подробностях опубликует.

p.s. Раз г-н fb_sterh считает этичным обсуждать в публичном форуме проблемы с защитой (каковые, по его мнению, имеют место быть у большинства банков), может быть он соизволит последовать собственному совету и скажет что-нибудь по делу? Например, как это у него организовано. Или сказать нечего?

[Сообщение изменено пользователем 07.03.2005 23:33]
0
fb_sterh
Ну "шифратор" круто, круто, сразу чувствуется ЦБ'шная закалка.
Банкоматы, терминалы, ККМ - один фиг, всё бронебойно :-)
А чего, особо скрывать, то SC 5000 (ридер,ключи и криптация в данном устройстве "ссылку бросить ?" :-) )

Вы канал ККМ - сервер ( Супермаг УКМ ) закрываете ? нетривиально но реально :-) наверно распальцовкой :-)


P.S. Дык принимаете Цирроз на ККМ? Или это тоже тайна :-)

[Сообщение изменено пользователем 07.03.2005 23:40]
0
Cybervlad
От пользователя fb_sterh
Ну "шифратор" круто, круто, сразу чувствуется ЦБ'шная закалка.

Не поверите, но правильному использованию технической терминологии (хоть в IT, хоть в металлургии, хоть в криптографии) меня научили задолго до ЦБ. Так что в этом контексте ЦБ совсем не причем. Этой "школе" за другое спасибо ;-)

От пользователя fb_sterh
Банкоматы, терминалы, ККМ - один фиг, всё бронебойно :-)

Смайлик поставлен совершенно справедливо. Ибо как раз "не один фиг", а разница в физической защищенности существенная, и модели угроз разные, и наборы мер защиты, как следствие, отличаются...

От пользователя fb_sterh
А чего, особо скрывать, то SC 5000

Ссылочку можете не искать, про девайс в курсе. И про наличие сертификата EMV Level 1, и про отсутствие сертификата FIPS-140, который в обсуждаемом аспекте приоритетнее...

Мне все-таки интересно, какую же цель Вы преследовали, опубликовав сей "ужастик" про опасность утечки данных с карт в торговле? По Вашим словам (в коих я сильно сомневаюсь), у всех банков (кроме вашего, естессно) в этом плане дела обстоят плохо. И Вы в общедоступном форуме рассказываете где и что плохо? Не боитесь, что у соответствующих служб могут возникнуть к Вам неудобные для Вас вопросы?
Хм, написать чтоли, какие "косяки" иногда откалывают инкассаторы (тоже ведь "банковская технология"!), в том числе и вашего банка. Широкой общественности будет очень интересно и "полезно" :-)
А если наоборот "все хорошо", и Ваша публикация не наносит ущерб безопасности "всех банков", то зачем поднимать панику и нервировать клиентов?

Так что выбирайте между неэтичностью и очернительством, великодушный Вы наш...

От пользователя fb_sterh
Дык принимаете Цирроз на ККМ? Или это тоже тайна

Это к дохтурам, а не ко мне ;-)


[Сообщение изменено пользователем 09.03.2005 00:49]
0
Alex_X
От пользователя fb_sterh
P. S. Непонятно почему только СК "обиженки" вывела в форум, где Альфа, Уралтрансбанк ......


У нас практически все закрыто, насколько могли. Копирование дампа тайваньским устройством гораздо дешевле. :-)

C уважением к участникам,

Alexandre.
0
Юноша
От пользователя Брус Вылез
семинар по безопасности в Октябрьской


можно с этого места поподробней?
0
fb_sterh
Да проблема в том и состоит, что невозможно это :-(
Нельзя в сети ТСП гонять дампы в открытом виде, об этом и речь, экономия подобная боком выходит и клиенту в первую очередь.

По поводу Цирроза :-( ситуация показательная, не принимается он ни в одном решении, почему???
1. Пин вводить придется вводить на клавиатуре ККМ, кассиру со слов клиента :-)
2. Пин-блок :-)
_____________________________________________
Копирование дампа тайваньским устройством гораздо дешевле.
_____________________________________________

??? Указанная дыра в технологии трёхшагового протокола не только "дешевле", но и безопаснее с точки
зрения сбора информации.
______________________________________________
....сертификата FIPS-140..
______________________________________________

SC 5000, не является криптомодулем, причем сдесь федеральный сдандарт США для этих устройств????
0
v_p
Уважаемый, по моему, у вас истерика? Вы чего сказать то действительно хотите? Что у вас все хорошо или у других все плохо?
0
epv
непонятны цели топика ....

если есть беспокойство за дампы карт, то большинство банков итак достаточно реально представляет все возможные угрозы и предпринимает адекватные меры по снижению рисков - в большинстве случаев эти меры хоть и не дают 100%-ой защиты, т.к. такую защиту обеспечивает только прокатка карты на специальном устройстве, которое будет на ККМ передавать трэк уже в шифрованном виде - следовательно возрастают затраты на аппаратную часть и возникают вопросы стыковки (справедливости ради надо заметить что с развитием чиповых карт стратегически всё к этому и движется, но в настоящее время ИМХО затраты не соответствуют рискам), но обеспечивают вкупе с организационными мерами достаточную степень защиты

если это PR эквайринга Сбербанка и гордость за внедряемую технологию, то прашу раскрыть тему глубже - в часности каким ридером читается полоса? если полоса читается ридером ККМ, то как решается вопрос защиты участка ридер-ККМ от перхвата трэка?

в целом присоединяюсь к мнению что эти вопросы во избежания излишнего возбужжения умов юнных хакеров лучше обсуждать в профессиональной среде и наиболее подходящее местои время это упомянутая конференция - надеюсь что в её рамках можно будет квалифицировано и адекватно всё обсудить

[Сообщение изменено пользователем 09.03.2005 14:55]
0
epv
От пользователя fb_sterh
По поводу Цирроза ситуация показательная, не принимается он ни в одном решении

у нас принимается (естественно без ввода ПИНа), но мы любим оригинальничать :-)
0
Cybervlad
От пользователя fb_sterh
Нельзя в сети ТСП гонять дампы в открытом виде, об этом и речь

Кто бы спорил. Но почему Вы упорно не желаете признать, что закрыть этот участок можно? Если ККМ "савсэм тупой", то некриптографическими методами.


От пользователя fb_sterh
SC 5000, не является криптомодулем, причем сдесь федеральный сдандарт США для этих устройств?

Упомянутый FIPS это стандарт не на криптомодули, а на сопростивляемость устройства попыткам извлечь из него конф. информацию. Есть tamper proof, есть tamper resistant.
Если уж мы говорим, что у нас "враждебное окружение", и админ торговой точки собирает дампы, то он не поленится извлеч ключики из девайса, который "не сопротивляется". И далее - по алгоритму.
ИМХО, решение обсуждаемой проблемы может идти двумя путями:
1) Ставить FIPS140-compliant девайсы на каждую кассу
2) Предотвращать попытки сбора данных о клиентских картах путем выстраивания системы орг. мероприятий, начиная от подбора персонала, системы наблюдения и т.п.

С учетом того, что п2 все равно делать надо, то п1 желателен, но не пожарно необходим.
Раз уж мы упираемся в человеческий фактор, то стоит помнить еще и о сотрудниках банков, которые к этой инфе доступ имеют. Можно поставить самую навороченную криптоклавиатуру с самоликвидатором при попытке вскрытия, но дамп легко сольет сотрудник банка.

Что до Вашего любимого "цирроза", так у него изначально предназначение такое, не можен он без ПИНа ;-) /* если только за дело не берутся зубры типа epv */

[Сообщение изменено пользователем 09.03.2005 15:15]
0
epv
От пользователя Юноша
можно с этого места поподробней?

1) если вы специалист по безопасности в области пластиковых карт, то вас должны были пригласить
2) если вы не являетесь специалистом в данной области, то собственно делать вам на данном мероприятии нечего
3) если вы счиатаете себя специалистом по безопасности в области пластиковых карт, но приглашения на конферецию не получили, то скорее всего сотрудники московского представительства Визы не разделяют ващу точку зрения

ЗЫ сорри, не удержался :-d всем миру-мир :-)
0
Юноша
Спасибо за недержание, я не обиделся :-)

Всё гораздо проще, чем вы предполагаете: вопросами безопасности я занимался в утб, сейчас там уже не работаю. На новом же месте подобными вопросами не занимаюсь, поэтому о предстоящем мероприятия информации у меня нет. Однако, этой темой интересуюсь, посему и спросил :-)

[Сообщение изменено пользователем 09.03.2005 17:09]
0
Авторизуйтесь, чтобы принять участие в дискуссии.