Tarjetas inteligentes utilizadas para piratear tarjetas inteligentes

En mis tiempos, los piratas informáticos reales, aquellos que construirían cintas de video de 555 chips solo para terminar en la sección de comentarios de La-Tecnologia en sus años crepusculares, robarían transmisiones de televisión por satélite con la ayuda de pequeños microcontroladores integrados en una tarjeta de crédito. Este era el salvaje oeste, cuando un puerto paralelo equivalía a un seis plazas y los jeans Jnco eran un sombrero de diez galones.

Las puertas traseras que hicieron posibles estos piratas de satélites se han cerrado hace mucho tiempo, pero estos dispositivos para robar HBO ahora se han convertido en robar bienes por valor de 600.000 euros utilizando una fuente muy poco probable: terminales con un chip y un pin. Una banda de delincuentes en Bélgica ha roto con éxito un chip y un alfiler, y aunque la explotación ya se ha cerrado, los investigadores detrás de la investigación han publicado su historia de guerra para uno de los hacks más interesantes de los últimos tiempos.

La verificación de chip y pin para transacciones en el punto de venta es un proceso relativamente simple; durante una transacción, el sistema PoS solicita el PIN del usuario y se lo entrega a la tarjeta. Luego, la tarjeta simplemente responde "sí" o "no". En 2010 se descubrió una vulnerabilidad a este sistema, que simplifica el asunto para que cualquiera pueda romper los sistemas de chip y pin. Este sistema usaba una mochila FPGA con hardware modificado; ejecutarlo en una tienda llamaría la atención de muchas personas.

El hardware operativo de 2010

El problema de implementar este sistema en algo fácilmente oculto era simplemente una cuestión de miniaturización. Gracias a la proliferación de tarjetas inteligentes durante los últimos 20 años, se encuentran disponibles pequeños microcontroladores que podrían gestionar este ataque medio contra un sistema de chip y pin. ¿Qué hacer una pandilla de criminales? Simplemente programe una tarjeta inteligente con todas las necesidades inteligentes para realizar el truco, por supuesto.

Para detener esta explotación, un ingeniero de la banda de criminales utilizó FUNcard, una plataforma de desarrollo para tarjetas inteligentes cargada con un microcontrolador Atmel AVR AT90S8515 y EEPROM empaquetado en un pequeño cuadrado dorado. Al quitar el chip de esta tarjeta con chip y reemplazar el chip en una tarjeta de crédito robada, los delincuentes pudieron reproducir la explotación de 2010 en la naturaleza, obteniendo 600.000 € en bienes robados antes de ser capturados.

¿Cómo fueron capturados? El 'comprador' de la banda continuó comprando en el mismo lugar. Un error de principiante, pero una vez que los investigadores de seguridad obtuvieron este hardware ilegal, se sorprendieron de lo que encontraron. El ingeniero responsable de esto no solo logró poner el código necesario para la operación en una tarjeta inteligente gratuita, sino que las almohadillas de contacto doradas de la tarjeta de crédito original se volvieron a conectar al nuevo microcontrolador con una maravillosa proeza de reescritura de soldadura.

Antes de que esta explotación se hiciera pública, los investigadores desarrollaron una contramedida para este ataque, que se instaló rápidamente en terminales PoS. También inventaron algunos adicional contramedidas que pueden utilizarse en el futuro, por si acaso. De todos modos, es sorprendente la ingeniería inversa, la soldadura y la artesanía que se incluyeron en este crimen y, como de costumbre, los comerciantes tuvieron que hacer una gran pérdida para hacer algo al respecto.

  • Grady dice:

    Impresa hako!

  • muscaria dice:

    Absolutamente maravilloso. Habla de habilidad.

  • mecodegoodsomeday dice:

    En Europa, si le roban su tarjeta chip y pin, el titular de la tarjeta, no la compañía de la tarjeta de crédito, es responsable del abuso porque se considera "irreversible". El documento "Chip y alfiler se rompieron" menciona esto y los desafíos de lidiar con eso, pero no creo que se haya abordado. El documento que analiza el fraude 600K no dice quién fue el responsable de este ataque. Parece injusto que los tarjetahabientes lo sean. Sin embargo, los incentivos no son para llevar a cabo la causa justa. Situación interesante ... si alguien sabe más, ¡por favor toque el timbre! Estados Unidos está a punto de usar un chip y un pin ancho, pero no he escuchado cómo esto cambiará la ecuación del fraude crediticio. Es de esperar que se consideren estas lecciones.

    • Greenaum dice:

      Si los bancos están seguros de que su plan es irreversible, ¿por qué tienen tanto miedo de asumir la responsabilidad si sucede? Lo sé, porque son empresas de miles de millones de dólares y se están follando al cliente. Pero vale la pena preguntarlo retóricamente.

      Originalmente garantizaban contra el fraude porque los clientes no confiaban en las tarjetas, lo que garantizaba más adquisiciones. Ahora todos nos quedamos con las tarjetas de forma independiente, no se molestarán.

      • Sylvain dice:

        Precisamente porque creen que es irrompible ...

        Lo que significa que si se realiza una transacción (al menos “comprobada en línea”), el que la creó tiene tanto la tarjeta original como el PIN. Y mantener la tarjeta en su poder y el PIN en secreto es responsabilidad del propietario.

        Luego, si se roba una tarjeta y se toma un pin bajo coacción, es su seguro personal contra robo (suponiendo que se haya suscrito a uno que cubra ese caso) el que entraría y no el banco.

        Y TBH si fuera irrompible, me inclinaría a estar de acuerdo. Pero eso es un gran SI y no estoy seguro de que tengan pruebas suficientes de eso. Y estoy consternado por cómo funcionó este ataque en 2010 ... no vincular la verificación del PIN con el desbloqueo real de la clave criptográfica para que la transacción sea auténtica es imperdonable. Las tarjetas SIM han estado haciendo esto durante 20 años ...

    • salsa de alfies dice:

      En este momento, parece, estamos en medio de la implementación. A menudo tengo que preguntar quién usar, deslizar o insertar, porque si hace algo incorrecto, podría estropear la transacción. Tengo entendido que la culpa de un chip y un pin todavía recae en la tarjeta, pero si una tienda aún acepta un resbalón, ellos son responsables de la responsabilidad. mi entendimiento limitado en este momento dice que yo, como cliente, no seré responsable de transacciones no autorizadas.

    • russdill dice:

      Hay un * gran * video Computerphile que explica todo esto:

      De hecho, es bastante deprimente. Uno de los trucos más fáciles que aún existen es piratear la pantalla que muestra el monto de la transacción. No hay un registro en papel y, por lo tanto, no hay protección contra él más que una picadura. Como dice el video debido a las reglas de responsabilidad, cuando tiene tarjetas con un chip y un pin en su billetera, literalmente se está yendo con miles de dólares en EFECTIVO.

      Creo que la única forma de protegerse contra una multitud de posibles ataques es tener un dispositivo activo. Por supuesto, si ese es tu teléfono que abre aún más vectores de ataque ... entonces ...

      • Nawak dice:

        ¡Gracias! ¡Video muy interesante!
        Lo que encontré interesante fue el fraude de “transición de magnético a chip” del que nunca había oído hablar antes. (Tal vez sea porque soy demasiado joven o porque la tecnología para hacerlo no estaba tan disponible cuando mi país cambió a las tarjetas de crédito con chip en los años 90).
        Otra cosa que encontré asombrosa fue cuánto se puede hacer maltratando a los lectores de tarjetas.
        Estoy seguro de que la estafa que utiliza un dispositivo espía instalado en el lector se puede superar fácilmente con una mejor criptografía, pero
        No estoy seguro de cómo podría evitar el robo cuando el comerciante es deshonesto y tiene un lector con una pantalla falsa que muestra una cantidad menor a la cobrada ...

    • fabricante de acero dice:

      Eso ciertamente no es cierto. El pagador es responsable de las transacciones de pago no autorizadas (siempre que varios base Se han cumplido los requisitos de seguridad y hasta que la tarjeta se anuncie como perdida) solo hasta 150 €. Directiva europea: 2007/64 / EC.

      • makomk dice:

        Uno de los requisitos básicos de seguridad es: “2. A los efectos del apartado 1, letra a), el usuario de un servicio de pago debe, en particular, tan pronto como reciba un pago, tomar todas las medidas razonables para garantizar sus características de seguridad personalizadas. "¿Qué pasa si el banco decide que no guardó su PIN seguro, está configurado para el monto total - y los bancos británicos han argumentado con éxito en la corte que este ataque es tan difícil que si el chip y la tarjeta PIN de alguien se usaron con éxito, Ciertamente fueron descuidados con su PIN y son responsables de todas las transacciones relevantes.

    • Wybren dice:

      En los Países Bajos (Europa), cuando le roban su tarjeta de crédito, las tiendas en línea donde se utiliza la tarjeta no atornillaron a los titulares de la tarjeta.
      Pueden reembolsar el dinero al titular de la tarjeta. Esto se debe a que no tienen la firma de un cliente que demuestre que recibieron felizmente un producto allí.

    • kratz dice:

      No estoy seguro de que exista una regla general en los EE. UU. Porque creo que todo está en los contratos del titular de la tarjeta / comerciante. A mi leal saber y entender, no soy personalmente responsable de ningún fraude que ocurra en mi cuenta, solo necesito asegurarme de informarlo si ocurre. La única vez que me sucedió fue que la compañía de tarjetas me contactó por una transacción sospechosa (casi de inmediato), $ 60 en una tienda de conveniencia en varios estados. También tengo derecho a disputar cualquier acusación.

      Creo que la tienda solo es responsable si violan su acuerdo comercial. Los criterios son diferentes de tienda a tienda, de tarjeta a tarjeta.

      El cambio más importante en los Estados Unidos es con la adopción de tarjetas con chip, los comerciantes que todavía aceptan tarjetas de deslizamiento en tarjetas con chip son responsables del fraude. La compañía de la tarjeta aún acepta la responsabilidad si se usa el chip.

  • Vlad dice:

    ¿No es necesario conectarse al banco para completar la transacción? Por lo general, después de ingresar un PIN, la computadora en el registro está esperando la autorización del banco, pensé que así es como funciona en todas partes.

    • Vlad dice:

      Solo lea el periódico, aparentemente el truco lleva a un banco a creer que la transacción fue debidamente autenticada en el lado de la tarjeta.

    • Calle s dice:

      No, la tarjeta verifica el código pin, así que yendo entre la tarjeta y el terminal, podemos decirle a la tarjeta que usamos una firma y al terminal cuando el código postal era correcto.

      • Greenaum dice:

        Seguramente eso no es tan simple como "La terminal envía el PIN a la tarjeta, la tarjeta dice" sí, está bien ", la compra continúa". ¿Entonces es una tarjeta clonada que acepta algún PIN? Entonces, ¿todo lo que se necesitaba era una tarjeta que envíe un número de tarjeta elegido y un "sí" no discriminatorio?

        • ianstalk dice:

          Es un poco más complejo que eso. Permiten que el chip original presente su propia autenticación, pero luego secuestran la autenticación del PIN para que se pueda aceptar cualquier PIN. Todavía no tengo idea de por qué dejarías una confirmación de PIN a lo único que está en manos del atacante.

          • Greenaum dice:

            Entonces necesita 2 chips, el original más un hombre en el medio? Solo para la soldadura, probablemente valga 600.000 €. ¿El signo de la tarjeta es una respuesta de desafío del banco? ¿Cómo lograron obtener una tarjeta FUN para enviar el token correcto si no usaron el chip original?

            Y sí, el IIRC, tener la autenticación con PIN separada de la de la tarjeta, es innecesariamente estúpido.

          • Dax dice:

            "Todavía no sé por qué dejarías una confirmación de PIN a la única cosa en las manos del atacante".

            Porque no es posible hacer una conexión con el banco todo el tiempo, especialmente si la red no funciona hoy.

          • SavannahLeón dice:

            ¿Red a continuación? Entonces, ¿por qué diablos un comerciante sensato seguiría adelante con esa transacción? Las tarjetas de crédito están cerradas. Robado. Maximizado.

            ¿Recuerda todo ese fracaso con Walmart y los Wellness Fools que estaban de moda cuando cayó la red? Sí, ningún comerciante volverá a hacer algo tan estúpido.

        • Nawak dice:

          ¡Eso es exactamente lo que hizo YesCard! El truco descrito aquí es una evolución del mismo.
          Las YesCards fueron un problema real en los años 2000, pero el agujero se solucionó con una mejor criptografía (creo).
          (No puedo encontrar un artículo de Wikipedia en inglés sobre las yescards, tal vez porque las tarjetas de crédito inteligentes no se usaban en los EE. UU. Y el Reino Unido en ese momento (para evitar pagar una tarifa))

          (Lo siento, presioné "informar" en lugar de responder)

    • cctrading dice:

      Cuando hago una transacción con tarjeta de crédito con chip en los EE. UU., No necesito insertar ningún pin ... solo una firma como cuando se pasa

      • Búfalo dice:

        Por lo tanto, probablemente no sea una tarjeta inteligente, sino una "tarjeta estúpida", un chip se usa solo como una EPROM que almacena información de la tarjeta, así como una pista magnética.
        En Europa, las tarjetas magnéticas se han vuelto raras, la mayoría de los bancos usan chips. Estos también tienen una pista magnética, pero cuando un cajero la desliza, un terminal le pide que “inserte una tarjeta en un lector”, luego lee un chip inteligente y debe ingresar un PIN y verificar una transacción.
        Lo curioso de las tarjetas con firma. Tienen un rastro de papel debajo del rastro magnético, y un banco requiere que ponga su firma allí para que el cajero pueda verificar que su firma sea la misma que la de la tarjeta. Siempre me he reído de eso, ese es un gran agujero de seguridad, si pierde su tarjeta, Finder obtiene su huella digital magnética y su firma, todo lo que necesita para completar la transacción.

        • kratz dice:

          Sigue siendo una tarjeta inteligente. Creo que dependen de una secuencia clave en la que la semilla se guarda en la tarjeta y es conocida por la agencia de tarjetas. Nunca envía el mismo código de confirmación dos veces. Esto evita efectivamente que la tarjeta se pueda copiar fácilmente a partir de información capturada o robada, que era un problema importante con las bandas magnéticas. La parte del PIN evita que cualquier persona use su tarjeta real si la han robado.

    • Moryc dice:

      Además, en la mayoría de las transacciones con tarjeta europeas a menudo se realizan fuera de línea. Terminal almacena y acepta todas las transacciones en la memoria hasta la próxima sesión de Internet. De manera similar, una tarjeta almacena la misma información. Esta "función" se puede utilizar para piratear tarjetas de crédito habilitadas para RFID / NFC leyendo la información de la tarjeta de una víctima desprevenida y enviándola a un dispositivo que interactúa con el terminal. Al escanear varias tarjetas en un lugar público y debido a que cada tarjeta escaneada equivale a una transacción, se pueden obtener muchos bienes de este plan, aunque la mayoría de estas transacciones están limitadas por un pago máximo permitido. Para una protección total, uno puede mantener sus tarjetas en una billetera Faraday o establecer un límite de transacción RFID / NFC para una tarjeta en cero. O puede romper la antena perforando o cortando.

    • kratz dice:

      Creo que el chip todavía está autenticado en el banco (no puedo encontrar una referencia de cómo funciona esto), pero la tarjeta verifica el pin localmente. El pin es solo para usuarios de identificación, y aún necesita que el ladrón robe su tarjeta física. Este ataque no permite crear una copia de una tarjeta.

      La parte aterradora del truco es más que pudieron robar la tarjeta, modificarla y usarla antes de que el titular de la tarjeta notara que faltaba y cancelara la tarjeta.

      • Nuevo dice:

        No necesitaban modificar nada, simplemente lo conectaban a su hardware MitM habitual e insertaban una tarjeta de cable en el lector donde sea que esté el retiro, probablemente una máquina expendedora en la calle. ¿Puede cancelar su tarjeta en 5 minutos o menos? ¿Sabías siquiera que se había ido entonces? No es tan difícil de implementar para ellos.

      • 22 capturas dice:

        Del diario: "La pérdida neta causada por este fraude es inferior a 600.000 €, sustraídos por encima de 7.000 €
        transacciones con 40 tarjetas modificadas. "
        * Por tanto, el importe medio gastado fue de 85,72 €. El número medio de transacciones con tarjetas robadas fue de 175.
        * Estoy especulando aquí, pero creo que estiman apoderarse de la red de estafadores e identificar la vulnerabilidad por encima de 85,72 €.

        Supongo que las tarjetas a menudo se cancelaban a tiempo, pero el conocimiento era más importante que el dinero. Finalmente, la "mujer de 25 años", que fue sorprendida comprando bienes (grandes cantidades de paquetes de cigarrillos y boletos de lotería para vender en un mercado negro), relacionó los eventos espacio-temporales de los teléfonos celulares con los eventos espacio-temporales. de PoS. ¿Por qué esperar tantas transacciones? Puedo imaginar muchas razones posibles: ¿quizás la mayoría de las veces no traía su teléfono celular de acuerdo con las posibles instrucciones del ingeniero detrás de él? tal vez la identificaron con bastante rapidez (supongo que a través de imágenes de CCTV), pero ¿tuvieron que espiarla durante mucho tiempo para revelar su conexión con el resto de la red? ¿Quizás dejaron que el fraude aumentara a esta cantidad para que fuera lo suficientemente grave como para presionar a los cómplices a testificar, etc.

        Algunas lecciones importantes aquí valiosas para las futuras redes del crimen organizado aquí:
        * Asegúrese de que los niveles más bajos no traigan teléfonos, etc., mientras compran cosas
        * ¿Son severas las huellas entre los niveles inferiores y los ingenieros con puntos muertos?
        * Utilice casos de prueba para implementar todo el protocolo EMV (las contramedidas parecen estar orientadas en torno a desviaciones del estándar)

    • nraynaud dice:

      Depende de muchos y otros factores (creo que la tarjeta también puede pedir un teléfono a casa, no solo al POS) y varía de POS a POS, a veces llama a casa y otras no. Al igual que comprar alcohol en los EE. UU., Nunca se sabe si quedará encantado.

  • AstuciaPequeñoLadrón dice:

    Antes de convertirme en cristiano, solía hacer códigos de barras falsos para robar bienes.
    Fotografié un código de barras en un televisor barato y falsifiqué una pegatina similar a la
    una pegatina de un modelo mucho más alto. Entonces solo pegué la pegatina falsa
    el código de barras original en la caja del modelo de alta calidad y lo puse en mi carrito. Lo más grave fue buscar cajera con una jovencita rubia de una agencia trans
    y listo, el televisor hiper-super-3D-LCD era mío por el precio de algunos mínimos
    modelo. No fue una operación de € 6e5, pero ciertamente me ahorró algunos dólares y
    mis amigos.
    A veces echo de menos esos días rebeldes ...

    • Greenaum dice:

      Podría contarte algunas buenas historias de mi amigo que alguna vez fue un poco descarado. El 90% se pone un disfraz y parece que se supone que debes hacer lo que haces.

      O si lo llevas al siguiente nivel, conviértete en Derren Brown. ¿Todos hemos visto su especialidad inicial en la que consigue que un cajero de la pista de carreras le pague por un boleto perdedor? La computadora le dice "no" dos veces, ella todavía lo hace. Siento que el tipo que parece un Lucifer prominente no es solo una coincidencia.

    • Ehrichweiss dice:

      Ese truco tiene casi 30 años. Solía ​​hacerlo en el pasado. El mejor año para hacerlo fue alrededor de Navidad, por lo que todos estaban demasiado ocupados para prestar atención a lo que estás haciendo. Los corredores de escaneo en U serían geniales, pero comenzaron a hacer coincidir los códigos de barras con el peso de la cosa, por lo que tratar con un cajero siempre era más seguro y extraño. Dejé de hacerlo hace años, mucho antes de que los televisores LCD estuvieran disponibles.

      • Greenaum dice:

        ¡Por eso pesan sus compras! Estaba impresionado. Porque es una completa molestia, y provoca casi todas las decenas de errores que verá que el empleado se preocupa por los terminales que persiguen constantemente.

        Obviamente, si fueras a poner algo en tu camiseta, no lo escanearías para empezar, así que no tenía mucho sentido verlos pesar las cosas. Pero eso tiene sentido.

        Prefiero usar un cajero humano de todos modos. Disfruto hablando con la gente. No disfruto luchar con una estúpida máquina paranoica medio rota que me avisa si no empaco mis cosas lo suficientemente rápido. Además de apoyar a las personas, es de esperar que evitar las máquinas pueda alentar a los talleres a funcionar correctamente si finalmente hacen desaparecer a los trabajadores humanos.

        • roble caprichoso dice:

          Yo no. Solía ​​hacerlo, luego nos mudamos a un lugar lleno de anos o anii. Actualmente es autoservicio hasta el final. Quiero que paguen a los cajeros para que sean amables y serviciales, y que los saqueadores no miren los frascos de mi esposa mientras rompen mi comida, pero aparentemente solo pagan para estar sucios y con resaca (algo que yo llamo "Cono de seguridad para la carne"). Encuentro que cuando estoy fuera de la ciudad, la gente tiende a volver a la normalidad y la amistad. Me alegra que tengas algunos buenos, porque me gusta saber con quién estoy negociando y es un poco como "cebolla en un cinturón" 🙂
          En un predecesor similar al código de barras, siempre disfruté de la etiqueta de precio. El único truco fue el color de la pegatina o el logotipo de la tienda, pero desafortunadamente dejaron listas de esas cosas en todas partes debido a contratiempos y mal barrido. Creo que el primer asentimiento que vi al respecto fue la famosa escena en "My Blue Sky", donde Steve Martin va a la ciudad en la sección de carne jajaja.

    • DeepDigger dice:

      > Antes de convertirme en uno (no busques la gloria y no publicites)
      moralmente concienzudo.

      Bueno, me pegaste, todo lo que hice fue unirme un poco al INC y los EE. UU. En los viejos días de BBS. Edición Pre-Caja de Ultima 6 bitches !!! (Lo siento Lord British. Tengo copias físicas ahora junto con Ultima 7, Savage World y Mars Dreams. Incluso pagué por Ultima 8 ugh ..) Colgado en una pila de p / h / v / a / c tableros. Llamé una o dos veces en una línea de conferencia de forma gratuita e incluso proxeneta un marcador RadShack e hizo un intercambio de cristales. "0 ... umm, todavía estoy probando el botón 5, pero no está presionando, ¿podrías ayudarme por favor?"

      Es usted ¿Tienes idea de cuánto cuesta una llamada de larga distancia? Afortunadamente, teníamos tarjetas de presentación.

      ¡Cosa divertida, Y HOY TAMBIÉN SE CONOCE!

      Tenía una serie de códigos de tarjeta MUERTOS 16 en total. Estudié esta lista escrita a mano durante unos 5 minutos porque algo era extraño.
      Hubo una especie de transmisión de números. NO SÉ CÓMO, PERO ENCONTRÉ 4 CÓDIGOS DE NO USO EN VIVO PERO ... F '¡SÍ! Descargue Ultima: underworld y cargue Y-Modem en cualquier sitio web de Syracuse.

      > alguna joven rubia
      > El televisor LCD hiper super 3D me pertenecía por el precio de algunos
      modelo.

      tu polla.

      • AstuciaPequeñoLadrón dice:

        "Eres gordo."
        'Sí, debo confesar. Pero todavía no tenía ninguna razón para no hacerlo en ese momento. De hecho, creo que en una sociedad liberal no hay razón para no comportarse como un tonto egoísta si no existe un peligro inminente de castigo.

      • CLT dice:

        "Eres gordo."
        'Sí, debo admitir. Pero todavía no tenía ninguna razón para no hacerlo en ese momento. De hecho, creo que en una sociedad liberal no hay razón para no comportarse como un pícaro egoísta si no existe un peligro inminente de castigo.

  • Señor esponjoso dice:

    Viejo pedo en comentarios aquí. Todavía tengo el cable de mi computadora cortado al ancho de una ranura para tarjetas postales con almohadillas de contacto grabadas y un cable grande con un enchufe paralelo en alguna parte. Sky TV y Europorn son los objetivos jóvenes, Sky porque impresionó a las personas que lo visitaron y europorn porque no se podía comprar legalmente una tarjeta de acceso a la cámara porque era más descortés de lo que permitía el Reino Unido, por lo que era un objetivo sumamente encomiable romper.
    Sky duplicó su capacidad de cifrado en una carrera de armas alrededor de la tarjeta número 0a y la detuvo con las huellas dactilares de la habitación, aunque los titulares de la tarjeta de visita continuaron y usaron SEMS para elegir la clave para obtener mucho dinero, y europorn pasó a la codificación secam que nuestros sky boxes no eran capaces de . Hoy en día, Sky Italian es bastante fácil de hacer lo mismo porque la última vez que lo vi fue entregado sekam que no tiene la protección de NDS, pero en realidad, no veo suficiente Mindrot TV como para preocuparme por romperlo ahora y arreglos de CAM. Es una molestia en la televisión que uso exclusivamente para llevar comida saciada por la casa, por lo que los canales claros y sin cifrar en una red gratuita son suficientes para mí.

    A menudo he pensado en vano en conseguir un terminal de tarjetas y jugar, pero me pagan por lo que ahora sé, y no tengo ningún motivo financiero para hacerlo y ponerlo en peligro. Sin embargo, siempre es interesante leer una autopsia posterior al ataque.

    • makomk dice:

      Aparentemente, la principal compañía de cable británica (Virgin / NTL) continuó usando un cifrado antiguo roto que podría haber sido copiado por uno de estos Funkards mucho más allá del punto en que todos cambiaron a algo mejor: cambié alrededor de 2010-ish. Cuando esos criminales los usaron para romper un chip y un alfiler, quedaron completamente obsoletos. La emulación de tarjetas Sky necesitaba más potencia de la que estos eran capaces y la mayoría de los grandes proveedores de tarjetas de presentación querían bloquear su firmware para que solo funcionara con sus tarjetas.

      (Si mal no recuerdo, las tarjetas Sky más nuevas usaban un RSA de 512 bits, y presumiblemente hubo algunas contramedidas ordenadas basadas en el hecho de que la tarjeta genuina necesitaba un tiempo diferente para realizar la operación RSA que el emulador, que a su vez se contrarrestaron .). procesar exactamente cuántos ciclos tomó el hardware real para un par particular de operadores y copiar eso también.

      • Greenaum dice:

        Es una tarea para algunos desarrolladores jubilados de Atari 2600, sin contar el ciclo, es posible que ni siquiera aparezca una pantalla en la pantalla. Esos lotes eran expertos. También saca mucho de muy poco.

  • Ren dice:

    ¿Cómo sé si mi tarjeta de crédito (con los contactos dorados) también es RFID / NFC? Mi banco no dice ...

    • Greenaum dice:

      ¿Cómo sé si mi cena contiene alimentos modificados genéticamente? No, aparentemente no me concierne. El mercado es más importante que el cliente, aparentemente.

      Por suerte venden carteras de Faraday. Sin embargo, todavía no estás hablando de un boicot RFID si no te gusta. Me pregunto si su banco se enojaría si cortara un poco ¿dónde está el lazo de la antena? Supongo que en una tarjeta que tiene NFC y tiene conectores dorados ordinarios, se necesita el mismo chip para ambos, por lo que no puede simplemente presionarlo o la tarjeta es inútil.

      ¿Cortar la antena anularía la RFID? La RF es algo divertido de hacer, con suficiente intensidad de señal, tal vez aún funcione.

      ¿Puede drenar algo útil de las tarjetas bancarias de RF si capta la señal?

      • Vaqueros Curtis dice:

        quizás lo que (la revista) calculó que hicieron: http://www.which.co.uk/news/2015/07/which-reveals-contactless-card-flaw-409322/

    • makomk dice:

      Mantenga una linterna brillante detrás. Si puede ver un lazo oscuro de cable que la linterna no puede penetrar, aquí está la antena RFID.

  • Greenaum dice:

    Para ser honesto con los piratas informáticos, podría ser una buena idea que más organizaciones ofrezcan premios por errores y hacks. Probablemente más barato y más confiable que hacer pruebas de seguridad internas, aunque, por supuesto, también haga eso. También puede involucrar a los cerebros gigantes participando en la piratería para los bancos, en lugar de contra ellos.

    Aunque quizás sea discreto. La mayoría de la gente todavía piensa que la oscuridad es una parte importante de la seguridad, volviendo a “los labios sueltos hunden barcos” y cosas por el estilo. No se dan cuenta de que la gente trabajará en crackear cosas de forma independiente.

    Si fuera yo, podría vender algunas de estas tarjetas a criminales interesados. El problema es que la mayoría de los ladrones y estafadores de tarjetas no tienen tanto dinero para pagar mucho por adelantado. Necesitarías una banda con dinero. A veces, una posición más alta en el mercado de las drogas es una estafa de lado, dar a la gente cheques dudosos para pagar en cuentas bancarias, un cómplice se queda con parte del dinero y todo el asunto no se descubre hasta que es demasiado tarde.

    El problema con los delitos laborales de bajo nivel es si todo debería funcionar con un saldo bancario alrededor de la marca 0. Hay pocos inversores. El crimen de la clase media es mucho más rentable. También es más difícil de atrapar y una probabilidad mucho menor de castigo.

    • Fennec dice:

      No, solo procesalos. - Murrica.

  • alemán dice:

    esta afirmación me confunde ...

    "También han ideado algunas contramedidas más que se pueden utilizar en el futuro, por si acaso".

    ¿Entonces saben que el sistema actual no es seguro y tiene correcciones para exploits que aún no se han encontrado?

    ¿Alguna idea de cómo esa oración puede tener sentido y no asustar al mismo tiempo?

    • DeepDigger dice:

      > "También han ideado algunas contramedidas adicionales que pueden implementarse en el futuro, por si acaso".
      Solo puedo ver la imagen de un guante de látex en un escáner de huellas dactilares.

      Me pillaste el día anterior en vísperas del año electoral.

      http://www.washingtonpost.com/wp-srv/special/capitol-assets/congressional-wealth-risk-matrix/
      http://billmoyers.com/2012/06/13/infographic-whats-the-cost-of-getting-into-congress/
      http://awesome.good.is/transparency/web/1206/what-s-the-cost-of-getting-into-congress/flash.html
      http://blog.constitutioncenter.org/2012/04/infographic-the-jobs-of-the-first-congress-vs-the-112th-congress/

      y finalmente ... Como en Estados Unidos.

      The Occupational Background of the U.S. House of Representatives

      • DeepDigger dice:

        y en caso de indisponibilidad mágica

        https://web.archive.org/web/*/http://i.imgur.com/xdWVes2.gif
        http://i.imgur.com/HPCgc45.gif
        http://zippy.gfycat.com/GraciousApprehensiveBlackcrappie.webm
        http://web.archive.org/web/20141213134127/http://zippy.gfycat.com/GraciousApprehensiveBlackcrappie.webm

        “El poder atrae a los corruptibles. Sospecha de algunos que lo están buscando. "

  • Búfalo dice:

    Ahora que las tarjetas PIN son un problema ... las personas en una caja registradora suelen decir su PIN en voz alta cuando un cajero les pide que lo ingresen. Literalmente piensan "¿por qué me molestas? Empaco mi comida, me meto yo mismo" y luego dicen en voz alta. Siempre pasa. Cuando entro en él, cubro el tablero con una mano, y la gente a mi alrededor generalmente me mira como "qué bicho raro paranoico, ¿por qué no usas un sombrero de hojalata?": D

    • DeepDigger dice:

      "¿Dónde están los laxantes?" "HEY OTRO TWAT CAJERO, UN CLIENTE AQUÍ ESTÁ CONSTIPADO Y BUSCANDO LOS LAXES."
      Una verdadera historia.

      No lo tome a la ligera que hay gente desagradable. Incluso los empleados pueden quedarse boquiabiertos.

      Consejo de supervivencia: "¿Puede ayudarme y darme una respuesta DIRECTA? Indíqueme amablemente la dirección de los productos de higiene".

      > "Qué bicho raro paranoico, ¿por qué no te pones un sombrero de hojalata?"

      * se encoge de hombros * Cuando están rotos y violados económicamente, a quién le importa. Aún has ganado tu integridad. Especialmente si has dado tu sangre y tu vida para llegar a donde estás.

    • Nicky Slenders dice:

      Estarás aún más paranoico después de ver esto:

  • Markus dice:

    En mi opinión, una estafa más aterradora es un terminal falso que cambia la cantidad en la pantalla para que parezca normal, pero envía una cantidad muy alta al banco. Acabo de ver esto ayer aquí: https://youtu.be/Ks0SOn8hjG8

    • CRJEEA dice:

      Me recuerda a las grabadoras digitales que se utilizan en los restaurantes. El camarero toma su tarjeta, la desliza secretamente en un cabezal de grabación en su cinturón para grabar la tira como un sonido. Es la transacción normal y se pone el pin de tinte uv en los botones del terminal.

  • CRJEEA dice:

    Lo que debe suceder es que el número de pin mezcle el chip enviado.
    Se devuelve una señal combinada, que cuando se combina con la señal encriptada del pin revela si el pin estaba bien o no.

    No más hombre en el medio.

    Sé que este truco es antiguo y está razonablemente parcheado, pero sigue siendo una de esas razones por las que no lo pensé. La soldadura de pequeños cables de este tipo siempre es impresionante.
    Todavía usando estúpidamente las mismas tiendas, comprando los mismos productos, uno pensaría que lo sabrían mejor.

    • nsayer dice:

      Eso no ayuda al modo "sin conexión".

      En el modo de Internet, el PIN debe enviarse al banco en lugar de a la tarjeta.

      Como los papeles notas, una solución adecuada para el modo fuera de línea es que el modo de control se incluya en los detalles de la transacción que se firmará con la clave privada de la tarjeta. Si los detalles de la transacción dicen que el modo de control es un PIN y no se ha presentado un PIN a la tarjeta, entonces debe rechazarse.

      • hanelyp dice:

        El modo sin conexión es problemático si la tarjeta está comprometida, el comerciante confía en que la tarjeta funcionará de acuerdo con un protocolo estricto. Un sistema de firma criptográfico adecuado puede al menos proteger contra un sistema POS que recuerda el número de la tarjeta para más tarde y detectar más tarde si la tarjeta se ha visto comprometida. La tarjeta de registro comercial o PIN para más adelante permite el fraude si un sombrero negro accede al sistema comercial.

  • DeepDigger dice:

    Si el banco no usa
    https://la-tecnologia.com/2014/12/19/nist-randomness-beacon/
    con el comerciante.

    F'in enterrar estos.

    “No pago una mierda. Porque no lo compré. "

    1.) No tengo esa RFID o Serie en mi casa o en la basura.
    2.) Lo hago responsable de los daños punitivos por f'in con todos
    3.) No tienes el video de que estoy administrando mi tarjeta.
    4.) Un ejército de abogados no protegerá a su codiciosa organización porque no he recibido una notificación de gastos en mi teléfono celular o VM en el teléfono de mi casa para disputar los cargos.

    y 5.) No tengo el número de teléfono / correo electrónico / dirección de teléfono o no estoy conectado a través de redes sociales con el gitano que recientemente operó ese juego en SUS culos.

    Además, una ley respaldará la APR INVERSA sobre la tasa de interés / costo / saldo que desea cobrarme. BUENO - Mi abogado obtiene el doble de impuestos sobre los costos, por lo que recompenso mi dinero sin dividirme en una acción grupal.

    La carga recae sobre los bancos. Multa.

    (Ex empleado de Freddie Mac y contratista de Bank Of Butterfield).

  • El tercero dice:

    ¿Alguien tiene alguna sugerencia sobre sitios web como la-tecnologia pero más orientados a programas?
    Como el canal de YouTube Computerphile. Estoy interesado en aprender más sobre seguridad / descifrado / procesos del sistema; cualquier sugerencia ayudaría. Gracias

  • Iván dice:

    La tarjeta 7805 en la foto de arriba no llegó allí accidentalmente.

  • Andrés Pullin (@AndrewPullin) dice:

    Oh, recuerdo que el HU Avenger para DirectTV en realidad tenía una pequeña tarjeta SIM o un chip de tarjeta inteligente envuelto en epoxi. Cuando finalmente cerraron ese agujero, rompí el mío para ver cómo funcionaba, e incluso quité el epoxi para revelar ese pequeño.

    ¡Sin embargo, no sé cómo funcionó!

Gloria Vega
Gloria Vega
ENTRADAS RELACIONADAS
Matriz LED compleja PICBASIC
Diseño y construcción, parte 2: multibanda, fase SSB y SDR
Desafío del código de barras - Parte 2
Transforma tu teléfono Android Motorola en una Raspberry Pi
Magnesio: de dónde viene y por qué estamos agotados
John Horton Conway, creador del juego de la vida de Conway, murió
Bicicleta eléctrica con alternador que permite comprender el campo magnético del rotor
Pared de cartón sorprendentemente bien construida
Esta TARDIS es un subwoofer infrasónico
Vulnerabilidad de PGP predicha por un investigador de seguridad
IBM quiere que aprendas tecnología
La alarma de coche hackea 3 millones de vehículos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *