|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
Tanel
HV Guru
liitunud: 01.10.2001
|
17.07.2012 10:26:45
Saksa turvaeksperdid avastasid VeriFone makseterminalides suure turvaaugu |
|
|
Saksa turvaeksperdid Karsten Nohl ja Thomas Roth avastasid VeriFone makseterminalides suure turvaaugu, mida väidetavalt on väga kerge ära kasutada. Artema Hybrid Terminal tüüpi terminale on Saksamaal ja Austrias kasutusel umbes 300 000. Ekspertide sõnul olla nad VeriFone'i turvaaugust teavitanud juba 6 kuud tagasi, kuid ometi pole midagi veel ettevõetud, sellest ka hiljutine avalikustamine.
Nohl on turvaküsimustes varemgi silmapaistnud, näiteks 2009 aastal teatati GSM A5/1 lahtimurdmisest.
Pildil: Oma väidete tõestuseks pandi makseterminalis käima mäng Pong.
Loe edasi Ars technicast.
| tsitaat: |
Nohl told Ars on Friday, without disclosing specific details, that by exploiting a buffer overflow in the terminal, a “crucial memory region” of the device could then be overwritten with executable code.
The hacks, Nohl and Roth say, could potentially allow an attacker to gain full control of the banking terminal, which would allow a change in transactions in value or for potentially spoofing transactions. They even demoed how to play Pong directly on the card terminal.
“The worst case scenario is somebody breaks into a network of a large retailer chain and then installs this malware on 10,000 payment stations,” Nohl said. “Within a two-month period, it would see a million different cards. Of those million, the malware has copies and PIN numbers and can use [cloned cards] for payment and to get cash from ATMs, and at that point it would be impossible to get them. What are you going to do, replace them all?”
The German public television network ARD ran a prime time story nationwide (German) profiling Nohl and Roth and their work on Thursday evening. In that story, VeriFone only provided a written statement, and in response to questions submitted by Ars on Friday, has only responded in a similar fashion. |
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 468 loe/lisa |
Kasutajad arvavad: |
   |
:: |
12 :: |
7 :: |
359 |
|
| tagasi üles |
|
 |
Betamax
HV Guru
liitunud: 29.05.2003
|
|
17.07.2012 10:45:15
|
|
|
Karm. VeriFone terminalid on ka Eestis laialdaselt kasutusel 
|
|
| Kommentaarid: 733 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
554 |
|
| tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
|
17.07.2012 11:04:40
|
|
|
| Ja kui suur on tõenäosus?
|
|
| Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
17.07.2012 11:08:36
|
|
|
| Max Powers kirjutas: |
| Ja kui suur on tõenäosus? |
Ars Technicast loeme VeriFone vastust:
| tsitaat: |
In a e-mail to Ars, Dani Siemon, a VeriFone spokesperson, said that there have been no such real-world attacks so far. “This is one lab that has reported (unsubstantiated) that they were able to do this,” she wrote. “No credit card users are at risk.”
VeriFone wants more details, is continuing investigation
A statement written by Dave Farco, a company vice president for payment security, said that VeriFone was aware of the vulnerability.
“Despite several requests by us for them to provide information needed to duplicate an attack scenario, the security firm instead chose to publicize its efforts, which has led to dissemination of misleading and speculative information,” he wrote.
“At no point was the security module or encrypted PIN compromised in this reported attack scenario; neither was the integrity of the EMV transaction violated. As the security module is not affected by the attack scenario, it is not possible using an amended application program to modify the security module's PIN processing of a successful card payment transaction.”
He cast further doubt on the immediate claim, saying that the company was working with a German Banking Association (DK)-approved security lab to test Nohl and Roth’s claims.
“Since the first indication, we have been working closely with an approved DK lab to investigate the reported breach scenario but have not been able to replicate the attack scenario,” he continued. “Subsequently, VeriFone retained additional independent expert penetration testing firms with expertise in payment security compliance, to assess the breach scenarios and potential ramifications.”
But the company remains committed, he said, “to fully investigate this situation, communicate with local authorities, and report back to you on our findings.”
UPDATE: Dani Siemon wrote to Ars on Friday evening to say: "To be specific, they are sold in Germany with a handful in Austria. Without a doubt, VeriFone does not sell them in the U.S. We do not have EMV yet and it is a style that would not be effective in the U.S. market." We have changed our subhed accordingly.
UPDATE 2: Karsten Nohl also wrote to Ars on Friday, responding to VeriFone's assessment.
"None of the statements regarding card cloning actually mean that PIN intercept and mag stripe cloning are prevented. All the vendor is saying is that a fraudster needs to be a little smart about how to trick the user into entering the PIN number. Take, for instance, SDA EMV cards—these cards require the PIN number to be send unencrypted through the processor that we hacked. And that's just one of at least four possibilities to steal the PIN.
I disagree that EMV is not affected. Inputs into an EMV transaction can be altered by the terminal. In addition: More than one EMV transaction can be generated while the card is in the device. A hacked payment terminal breaks one of the security assumptions of EMV."
|
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 468 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
359 |
|
| tagasi üles |
|
|
Sold OUT
no credit
liitunud: 30.07.2002
|
|
17.07.2012 11:12:38
|
|
|
Kas paar aastat tagasi ei olnud sarnast uudist, et mingi suure euroopa või ameerika kauplusteketi kassasüsteemi/maksesüsteemi turvaauk lubaks iga ostu pealt mingi summa "kõrvale kanda" ja tänu sellele nähtamatult rikastada selle turvaaugu kasutajat. Kuidagi väga tuttav stsenaarium.
_________________
People have been calling for a month and we've been sold out for a week or so.
 |
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
79 |
|
| tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
|
17.07.2012 11:13:26
|
|
|
Summat pole võimalik kõrvalekanda ilma, et kaupmees või pank märkaks 
|
|
| Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
| tagasi üles |
|
|
ranel
HV Guru
liitunud: 28.02.2005
|
|
17.07.2012 11:18:51
|
|
|
| carlking kirjutas: |
| Kas paar aastat tagasi ei olnud sarnast uudist, et mingi suure euroopa või ameerika kauplusteketi kassasüsteemi/maksesüsteemi turvaauk lubaks iga ostu pealt mingi summa "kõrvale kanda" ja tänu sellele nähtamatult rikastada selle turvaaugu kasutajat. Kuidagi väga tuttav stsenaarium. |
See oli film.
_________________
Mobiilne rehvivahetus Lõuna-Eestis ja rehvide tellimine üle Eesti. www.rsrehvid.ee 55 684 121 |
|
| Kommentaarid: 186 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
165 |
|
| tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
|
17.07.2012 11:19:57
|
|
|
| Office Space?
|
|
| Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
| tagasi üles |
|
|
Sold OUT
no credit
liitunud: 30.07.2002
|
|
17.07.2012 11:25:16
|
|
|
No mina mäletan, et lugesin sarnast uudist siitsamast foorumist või siis minut.ee kaudu
| tsitaat: |
Summat pole võimalik kõrvalekanda ilma, et kaupmees või pank märkaks
|
No miski pin ja kaardiandmete salvestamine ning pärast tee neid kaarte palju tahad ning võta automaadist raha välja kuskil arengumaal
_________________
People have been calling for a month and we've been sold out for a week or so.
|
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
79 |
|
| tagasi üles |
|
|
ranel
HV Guru
liitunud: 28.02.2005
|
|
17.07.2012 11:26:13
|
|
|
Nime ma ei mäleta, aga teema oli selles, et ümardamisega kogunenenud summad kanti omale.
_________________
Mobiilne rehvivahetus Lõuna-Eestis ja rehvide tellimine üle Eesti. www.rsrehvid.ee 55 684 121 |
|
| Kommentaarid: 186 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
165 |
|
| tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
|
17.07.2012 11:27:28
|
|
|
| Max Powers kirjutas: |
| Summat pole võimalik kõrvalekanda ilma, et kaupmees või pank märkaks |
Jah, aga selleks ajaks, kui lõpuks märgatakse, on kusagil Hiina agulis kopeeritud kaartidega hunnik tehinguid tehtud ja kõik ümbruskonna pangaautomaadid kuivaks tõmmatud. Eriti tore, kui asi on organiseeritud kuritegevuse käes - kogu protsess tehakse erinevatel kontinentidel korraga. Ürita siis kedagi vahele võtta või raha tagasi saada.
viimati muutis Betamax 17.07.2012 11:28:25, muudetud 1 kord |
|
| Kommentaarid: 733 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
554 |
|
| tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
|
17.07.2012 11:27:42
|
|
|
| No kopeerimine on teine teema
|
|
| Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
17.07.2012 11:54:28
|
|
|
| carlking kirjutas: |
| Kas paar aastat tagasi ei olnud sarnast uudist, et mingi suure euroopa või ameerika kauplusteketi kassasüsteemi/maksesüsteemi turvaauk lubaks iga ostu pealt mingi summa "kõrvale kanda" ja tänu sellele nähtamatult rikastada selle turvaaugu kasutajat. Kuidagi väga tuttav stsenaarium. |
GSM moodulid krediitkaardilugejas -- häving kuni 100M
|
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
Tomorrow
HV Guru
liitunud: 08.02.2006
|
|
17.07.2012 12:17:14
|
|
|
Hiljutised kaardikeskuse jamad,see ja kes teab mis avastamata turvaaugud veel...
Kasutage sularaha  . Taolisel juhul on ainult üks nõrk lüli ja see olete teie ise
Lisaks läheb kassas sama kiiresti või isegi kiiremini, kui terminaliga.
|
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
82 |
|
| tagasi üles |
|
|
Sold OUT
no credit
liitunud: 30.07.2002
|
|
17.07.2012 12:19:00
|
|
|
| tsitaat: |
Lisaks läheb kassas sama kiiresti või isegi kiiremini, kui terminaliga.
|
Millal sa viimati kaardiga maksid? 
Ära nüüd tule jutuga, et suurkorporatsioonid vaatavad iga su kaardimakset ja jälitusorganid on kohe sul jälil kui maximas saiakese eest kaardiga maksad?
_________________
People have been calling for a month and we've been sold out for a week or so.
|
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
79 |
|
| tagasi üles |
|
|
HA
HV Guru
liitunud: 02.05.2005
|
|
17.07.2012 13:53:46
|
|
|
| kaardiga maksmine on ikka kiirem ja mugavam igatahes kui sulaga (eriti nende sentidega) majandamine
|
|
| Kommentaarid: 143 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
2 :: |
121 |
|
| tagasi üles |
|
|
hallhunt
Piiratud kasutaja
liitunud: 24.11.2007
|
|
17.07.2012 15:14:24
|
|
|
vaidleks vastu et kaardiga kiirem.Olles ise näiteks maximates mitu korda näinud pealt,kui kassaarvuti lihtsalt hangub peale kaartimakset,siis....Kuna vahepeal ka kiirraha saamiseks maximas töötaud,siis on tulnud ette juhuseid kui need kassad lihtsalt jooksevad kokku ja ei aita muud kui masina restart.Masinatel mingi linuxi distro peal,mittegraafiline nö.Masinad suht ka miinimum konfiga...et maximas eelistaks ma ikkagi sulaga maksimist.Ma just suurt põhjust muretsemiseks ei näe,kuna esiteks ei ole otseselt ju öeldud kas ka teistel terminalidel peale Artema Hybrid Terminal esineb neid probleeme ja teiseks ei ole poes töötades kunagi piilunud ka mis terminaliga täpselt tegu on.Inkat ma väänata ei viitsi hetkel.kas on öeldud ka täpsemalt,mida ja kuidas see auk endast kujutab ja kes on teises otsas potentsiaalselt ja kas ka reaalselt on kasutatud seda nn auku.Spekulaaerides võib arvata et teises otsas kauplus oma suurte päradega,aga noh...ja kui nüüd seda asja edasi arendama hakata,siis on ka ju ATM kasutamisne ohtlik,neil ka need skimmerid ju jah ehk kuskil väikses kaupluses pole ma küll kunagi eelistanud kaardiga maksmist,aga suurtes ei näe ma probleemi ja julgeks kaarti terminali pista küll....
_________________
Ära taha olla see,kes sa ei ole.Ole see,kes sa oled ja peagi märkad et olid see,kes tahtsid olla |
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
Sold OUT
no credit
liitunud: 30.07.2002
|
|
17.07.2012 15:17:51
|
|
|
Minul pole siiamaani kordagi mingit tõrget olnud kaardimaksetega ja kaardimakseks kuluv aeg on max 7-8 sekundit olnud. Jääb ära sendimeri taskus ja autos...
aga see on juba sularaha vs kaardimakse teema.
_________________
People have been calling for a month and we've been sold out for a week or so.
|
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
79 |
|
| tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
|
17.07.2012 16:34:04
|
|
|
| hallhunt kirjutas: |
| vaidleks vastu et kaardiga kiirem.Olles ise näiteks maximates mitu korda näinud pealt,kui kassaarvuti lihtsalt hangub peale kaartimakset... |
Miks võrrelda ühe variandi äärmuslikku situatsiooni teise variandi tavasituatsiooniga ja siis veel üritada teha sellest mingeid põhjapanevaid järeldusi? Ma olen ka nii näinud kui ka kogenud, kuidas kassas sularahaga makstes a) ei ole vahetusraha, b) kassiiri arvutusoskus veab alt ja ta kulutab segase pilguga kassat vahtides meeletult aega ja lõpuks üritab ikkagi valesti tagasi anda, c) kassa hangub ja ei tee rahasahtlit lahti  - nende näidetega peaks ju saama sularaha kasutamise täielikult diskrediteerida?
Tegelikult ega siin ühest vastust ei ole, kõige mõistlikum oleks kasutada mõlemat varianti, teineteist toetavalt. Ise üritan kaasas kanda nii mõistlikku hulka sularaha kui ka kaarti (tegelikult suisa mitut kaarti, erinevates kohtades kasutab erinevaid) ning kasutada igakord seda mis situatsiooni parajasti sobib. Ei ole eriliselt ebamugavam ega ei mängi ennast ka mingite lollide põhimõtete või müütide uskumise pärast keerulisemates situatsioonides kotti. Aga meil on vaba maa, igaüks võib praktiseerida täpselt seda, mida ise tahab.. ainult ei ole mõtet pärast teiste kallal vinguda kui enda valikute pärast ennast ebasoodsas situatsioonis leiad.
viimati muutis pppd 17.07.2012 16:44:54, muudetud 1 kord |
|
| Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
| tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
|
17.07.2012 16:44:49
|
|
|
| hallhunt kirjutas: |
| vaidleks vastu et kaardiga kiirem.Olles ise näiteks maximates mitu korda näinud pealt,kui kassaarvuti lihtsalt hangub peale kaartimakset,siis....Kuna vahepeal ka kiirraha saamiseks maximas töötaud,siis on tulnud ette juhuseid kui need kassad lihtsalt jooksevad kokku ja ei aita muud kui masina restart.Masinatel mingi linuxi distro peal,mittegraafiline nö.Masinad suht ka miinimum konfiga...et maximas eelistaks ma ikkagi sulaga maksimist.Ma just suurt põhjust muretsemiseks ei näe,kuna esiteks ei ole otseselt ju öeldud kas ka teistel terminalidel peale Artema Hybrid Terminal esineb neid probleeme ja teiseks ei ole poes töötades kunagi piilunud ka mis terminaliga täpselt tegu on.Inkat ma väänata ei viitsi hetkel.kas on öeldud ka täpsemalt,mida ja kuidas see auk endast kujutab ja kes on teises otsas potentsiaalselt ja kas ka reaalselt on kasutatud seda nn auku.Spekulaaerides võib arvata et teises otsas kauplus oma suurte päradega,aga noh...ja kui nüüd seda asja edasi arendama hakata,siis on ka ju ATM kasutamisne ohtlik,neil ka need skimmerid ju jah ehk kuskil väikses kaupluses pole ma küll kunagi eelistanud kaardiga maksmist,aga suurtes ei näe ma probleemi ja julgeks kaarti terminali pista küll.... |
| ot: |
| Just eile avanes võimalus näha, kuidas Lasnamäel Maxima kassasüsteem kokku jooksis ja pärast restarti Scandiski tegema hakkas. Linuxist polnud seal haisugi. |
|
|
| Kommentaarid: 733 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
554 |
|
| tagasi üles |
|
|
hallhunt
Piiratud kasutaja
liitunud: 24.11.2007
|
|
17.07.2012 19:04:30
|
|
|
siis on lihte järeldus:firma on nüüdseks kobinud akendele üle:)ma olin maximas ka siis kui see alles tekkis,ehk peale t-marketi lõppu
_________________
Ära taha olla see,kes sa ei ole.Ole see,kes sa oled ja peagi märkad et olid see,kes tahtsid olla |
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
17.07.2012 20:35:00
|
|
|
OT: Mõni päev tagasi oli alles uurem kaardimaksete häire Eestis ja kellel "penne taskus polnud, need ei saanud poodidest mitte mingit kaupa osta"... 
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
|
17.07.2012 20:45:01
|
|
|
| tahanteada kirjutas: |
| OT: Mõni päev tagasi oli alles uurem kaardimaksete häire Eestis ja kellel "penne taskus polnud, need ei saanud poodidest mitte mingit kaupa osta"... |
Päris nii ikka ei olnud, et kuskilt ja mitte midagi ei saanud.
|
|
| Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
| tagasi üles |
|
|
time123
HV Guru
liitunud: 11.09.2005
|
|
17.07.2012 20:47:37
|
|
|
| tahanteada kirjutas: |
| OT: Mõni päev tagasi oli alles uurem kaardimaksete häire Eestis ja kellel "penne taskus polnud, need ei saanud poodidest mitte mingit kaupa osta"... |
Mulle meeldib, kui rahakotis üksnes kaart on. Siis saab kerjavatele bomschidele ausalt öelda, et mul pole neile midagi anda, selle asemel et valetada.
|
|
| Kommentaarid: 203 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
178 |
|
| tagasi üles |
|
|
warwas
HV Guru
liitunud: 06.07.2003
|
|
17.07.2012 22:07:40
|
|
|
| hallhunt kirjutas: |
| siis on lihte järeldus:firma on nüüdseks kobinud akendele üle:)ma olin maximas ka siis kui see alles tekkis,ehk peale t-marketi lõppu |
Ei ole seal ei pingviine ega aknaid. Pole kunagi olnud. On hoopis lihtlabane DOS (vist oli 6.22 aga võin ka eksida). Seda nii T Marketi ajal kui ka praegu.
See artikli päises olev pilt oli esialgu üsna ehmatav - näib teine üsna sarnane Eestis laialt levinud Ingenico terminalidega.
Siin on veel natuke selgitustööd tehtud - http://www.csoonline.com/article/710833/artema-hybrid-point-of-sale-devices-can-be-hacked-remotely-researchers-say
Lubavad neljapäeval live show'd teha.
|
|
| Kommentaarid: 247 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
3 :: |
224 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
