| RSS



Меню

Bookmark and Share


Календарь
«  Апрель 2009  »
Пн Вт Ср Чт Пт Сб Вс
  12345
6789101112
13141516171819
20212223242526
27282930

Статистика
Ваш IP: 216.73.216.11
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио сайта казахстана Tor Обратная сторона сплоиты антенна WPA php libc rand() эксплоит Windows Server 2008 QIP Virtual openvz sysctl kernel Tune proc freeBSD Bluetooth GEO game DirectX emulator Shell Python phpinfo червь Conficker вирус троян лаборатория касперского пиратство Apple iPhone Microsoft twitter социальная сеть анонимность лицензия Open Source уязвимость MySQL база данных Закон Франция Пират Skype мобильный хакер trend micro кибератака Германия робот Персональные данные Ноутбук Интернет китай цензура windows vista Linux патент браузер Firefox Internet Explorer Opera Safari Intel цахал Oracle патч Банкомат IBM США прокси-сервер Dell контроль кибербезопасность приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 взлом Пентагон Украина Facebook Cisco Cloud Windows XP нетбук торрент музыка Биометрический Nokia ФБР IP-адрес sms RSA java Google Captcha Symantec Спам лагерь Антивирус тест Anti-Malware Windows 7 операционная система windows провайдер авторское право rapidshare UNIX свиной грипп ГИБДД шантаж Дети Service Pack копирайт McAfee HTTPS icann студент Норвегия New York Times YouTube Warner Music КНДР Ubuntu ATI AMD касперский Россия РФ сервер хостинг Wi-Fi суд пароль логин блог фишинг одноклассники Медведев контрафакт мошенник sony warner Gps по JavaScript Хакеры Yahoo фас компьютер софт Минкомсвязи праздник Сбой мошенничество Доктор ВЕб Вконтакте ie8 исходный код МВД фильтр порнография свобода слова казахстан сисадмин Autodesk Gmail кредитная карта LiveJournal шифрование банк Нанотехнологии wikipedia выборы DNS Android Simple атака Mac OS X домен ФСБ прокуратура уголовное дело ICQ Sophos ошибка DARPA военные сайт турция конференция спамер Полиция Koobface Великобритания белоруссия Лукашенко Грузия Европа Билл Гейтс Стив Джобс спецслужбы Royal Bank of Scotland смартфон F-Secure Symbian фильм SP1 Новая Зеландия Adobe Австралия госуслуги вымогатель IDC Internet Explorer 9 iPad должник Ирландия поиск шифр МТС Реклама слежка испания Mandriva Zeus личные данные eset защита виртуализация OpenOffice.org информатика Черный список BlackBerry Solaris индия траффик латвия Москва социальные сети flash player paypal BitDefender Winamp email сертификат блокировщик Евросоюз Anonymous платежные терминалы технологии Чипы наркотик Ассанж передача данных Оптоволокно арест Samsung Иск учетная запись iTunes исследование Cert Поломка Санкт-Петербург форум SOPA PIPA событие исправление Megaupload CES разработчики Плагин hotfile отчет Web-камера приложение паспорт технология Инвестиции релиз платформа Valve логотип роскомнадзор платежная система сигнал

Главная » 2009 » Апрель » 22 » Кардеры воруют PIN-коды из аппаратных модулей шифрования
22:10
Кардеры воруют PIN-коды из аппаратных модулей шифрования
Индустрия «кардерства» вышла на новый уровень: официально подтверждены случаи кражи PIN-кодов из «святая святых» любой платежной системы — модулей аппаратного шифрования HSM (Hardware Security Module – защищенный аппаратный модуль шифрования/дешифрования).

Раньше пользователи платежных карт беспокоились насчет фишинга, скиммеров (похищение PIN-кода с помощью установки на банкомат камер и другого нелегального оборудования), скаммеров (мошенничество с использованием предложений обогатиться, вроде писем из Нигерии) и прочих видов обмана. Теперь же проблемы коснулись тех частей банковской системы, на которые простой пользователь повилять не в силах. Некоторое время назад эксперты по банковской безопасности предупреждали производителей, что теоретически существует способ перехвата PIN-кодов через модули HSM, но первый случай фактического использования этой потенциальной уязвимости обнаружен лишь в 2009 г.

Выяснилось, что при наличии сообщника внутри банка преступники могут записывать PIN-коды в зашифрованном и открытом виде, потому что администраторы банков по разным причинам изменяют стандартную конфигурацию HSM-модулей. Обычно это происходит из-за неспособности или нежелания администратора решить проблемы совместимости с унаследованными приложениями или с «непослушными» банкоматами за счет использования стандартных процедур и инструментов – тогда администратор просто отключает некоторые стандартные механизмы, и на каком-то этапе обработки PIN-коды оказываются незашифрованными, причем система контроля просто не замечает этого, так как далее они передаются снова в закодированном виде.

Так или иначе, потенциальное похищение PIN-кодов без участия владельца карты создает серьезную угрозу безопасности и подрывает доверие ко всей банковской системе. По мере того как вводимые коды на разных этапах обработки проходят множество ступеней шифрования и декодирования, у злоумышленников появилась реальная возможность установить на одном из HSM-модулей собственные программы, которые перехватывают PIN-коды в открытом виде, либо в зашифрованном, но доступном для декодирования.

По заявлениям производителей HSM-модулей, их продукция поставляется заказчикам со стандартными настройками, которые не допускают подобных атак. В то же время, установкой и настройкой таких модулей могут заниматься не всегда добропорядочные люди, так что система действительно уязвима. Следует отметить, что полного решения новой проблемы банкам придется как минимум проверить настройки HSM-модулей во всех банкоматах и серверах, а это дорогостоящий процесс. В противном случае скомпрометированную платежную систему придется создавать с нуля, а это тоже обойдется недешево.

Категория: | Просмотров: 1967 | Добавил: aka_kludge | Теги: кардер, Банкомат, HSM | Рейтинг: 0.0/0
Всего комментариев: 0
Главная
...
На службе : дней

16:50
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск

Архив записей


Copyright tHR - TeAM 2026 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика