PK-huijaus
Ossi Mantylahti
kopioimalla tapahtuvasta huijauksesta. Rikolliset ovat kopioineet
magneettiraitoja ja valmistaneet niiden avulla uusia kortteja. Kun vielä
tunnusluku on saatu selville (ilmeisesti) olan yli kurkkimalla, ei ole
kovin vaikeaa tyhjentää tiliä myöhemmin.
Minua ihmetyttää uutisoinnissa kuitenkin yksi asia: jutuissa väitetään että
sirukortillista pankkikorttia ei pystyisi näin väärentämään. Korjatkaa jos
olen väärässä, mutta eikös se kortissa oleva mikropiiri ole ihan erillään
magneettiraidasta. Eli jos maksan sirullisella pankkikortilla liikkeessä
joka ei ota vastaan sirurahaa, käytetään ihan perinteistä
magneettiraitapohjaista tekniikkaa. Omassa pankkikortissani on sekä
siruraha-toiminne, että magneettiraita. Jos lykkään sen pankkiautomaattiin
(tavalliseen keltaiseen aukkoon), korttini pystytään kopioimaan
magneettiraidan osalta?
Eli puhuvatko pankkimiehet höpöjä väittäessään sirukorttien olevan
turvallisempia kuin magneettiraitaiset kortit? Onko tämä samanlainen
markkinointikikka kuin "automaatti ei koskaan nielaise sirurahakorttia",
jota pankkiirit muistavat aina hokea.
Fab
--
#include <disclaimer.h> /* My opinions are my own */
jte...@students.cc.tut.finland
OM>Minua ihmetyttää uutisoinnissa kuitenkin yksi asia: jutuissa väitetään että
OM>sirukortillista pankkikorttia ei pystyisi näin väärentämään. Korjatkaa jos
...
OM>siruraha-toiminne, että magneettiraita. Jos lykkään sen pankkiautomaattiin
OM>(tavalliseen keltaiseen aukkoon), korttini pystytään kopioimaan
OM>magneettiraidan osalta?
Näin jutusta jotain telkusta, ja asiaa kommentoinut herra totesi
jotenkin tyyliin "ymmärtääkseni sirukorttia ei voi kopioida, mutta en
tästä teknisestä puolesta niin tarkkaan tiedä". Eli ilmeisesti tarkoitti
korttia jossa on vain siru, eikä ollut siitäkään ihan varma. Enkä ole
minäkään. Vastuu olkoon kuulijalla jos luottaa sanomisiini tarkistamatta
lähdettä. ;)
--
/----/ |
/ | All I need is intellectual intercourse
< / |
\/ Osoite vaatinee editointia | Soul to dig a hole much deeper
Markus Valtokari
>Minua ihmetyttää uutisoinnissa kuitenkin yksi asia: jutuissa väitetään että
>sirukortillista pankkikorttia ei pystyisi näin väärentämään. Korjatkaa jos
>olen väärässä, mutta eikös se kortissa oleva mikropiiri ole ihan erillään
>magneettiraidasta. Eli jos maksan sirullisella pankkikortilla liikkeessä
>joka ei ota vastaan sirurahaa, käytetään ihan perinteistä
>magneettiraitapohjaista tekniikkaa. Omassa pankkikortissani on sekä
>siruraha-toiminne, että magneettiraita. Jos lykkään sen pankkiautomaattiin
>(tavalliseen keltaiseen aukkoon), korttini pystytään kopioimaan
>magneettiraidan osalta?
Käsittääkseni sirukorteissa käytetään tavan julkisen avaimen
salaustekniikkaa, joka on mahdollista murtaa jos on tiedot kortin muusta
tekniikasta. Ilmeisesti ne pitävät sisällään jonkinlaisen
suojausjärjestelmän joka lukitsee kortin kömpelön murtoyrityksen sattuessa.
Kyllä, tietääkseni media antaa sirukorteista väärän kuvan jottei huolestunut
kansalainen pistäisi palkkaansa suoraan sukanvarteen.
Otto J. Makela
> Joukkoviestimissä on viime päivinä puhuttu paljon pankkikortteja
> kopioimalla tapahtuvasta huijauksesta. Rikolliset ovat kopioineet
> magneettiraitoja ja valmistaneet niiden avulla uusia kortteja. Kun vielä
> tunnusluku on saatu selville (ilmeisesti) olan yli kurkkimalla, ei ole
> kovin vaikeaa tyhjentää tiliä myöhemmin.
Keskisuomalaisen jutussa aiheesta sanottiin myös että pankkiautomaatin
liikennettä pääkoneensa kanssa oli päästy salakuuntelemaan. Herää
kysymys ovatko kyseiset laitteet yhä niin kivikautisia ettei niissä
ole liikennekryptausta?
Paranoiaa: MIKÄLI Suomen pankkikorttien tunnuslukujen luomiseen käytetyt
kryptoavaimet (tai globaalisti vielä pahempi, VISA-kryptostandardin A- ja B-
masteravaimet) ovat lähteneet pimeiden markkinoiden käyttöön, tiedotetaanko
asiasta lehdissä vai sanotaanko vain että kyse on vain yksittäistapauksista
ja shoulder surfingista? Olisi nimittäin pankkipiireissä varsinainen
maailmanloppu mikäli ihmiset eivät uskaltaisi enää luottaa automaatteihin.
> Minua ihmetyttää uutisoinnissa kuitenkin yksi asia: jutuissa väitetään että
> sirukortillista pankkikorttia ei pystyisi näin väärentämään. Korjatkaa jos
> olen väärässä, mutta eikös se kortissa oleva mikropiiri ole ihan erillään
> magneettiraidasta. Eli jos maksan sirullisella pankkikortilla liikkeessä
> joka ei ota vastaan sirurahaa, käytetään ihan perinteistä
> magneettiraitapohjaista tekniikkaa. Omassa pankkikortissani on sekä
> siruraha-toiminne, että magneettiraita. Jos lykkään sen pankkiautomaattiin
> (tavalliseen keltaiseen aukkoon), korttini pystytään kopioimaan
> magneettiraidan osalta?
>
> Eli puhuvatko pankkimiehet höpöjä väittäessään sirukorttien olevan
> turvallisempia kuin magneettiraitaiset kortit? Onko tämä samanlainen
> markkinointikikka kuin "automaatti ei koskaan nielaise sirurahakorttia",
> jota pankkiirit muistavat aina hokea.
Puhuvat tietenkin höpöjä, ihan sama pisti silmään juttua lukiessa.
Tarkoitus lienee sanoa, että chippiä on huomattavasti vaikeampi kopioida
kuin mankkunauhaa koska siellä on kryptoavaimia joita ei saa ulos.
Automaatin ollessa kyseessä asialla ei ole merkitystä, koska kortin voisi
aina tunkea sinne magneettinauhapuolelle.
--
/* * * Otto J. Makela <ot...@cc.jyu.fi> * * * * * * * * * * * * * * * * */
/* Phone: +358 14 613 847, BBS: +358 14 211 562 (V.32bis/USR-HST,24h/d) */
/* Mail: Cygn.k.7 E 46/FIN-40100 Jyvaskyla/Finland, ICBM: 62:14N 25:44E */
/* * * Computers Rule 01001111 01001011 * * * * * * * * * * * * * * * * */
Vesa Vanhatupa
Otto J. Makela wrote in message ...
>Keskisuomalaisen jutussa aiheesta sanottiin myös että pankkiautomaatin
>liikennettä pääkoneensa kanssa oli päästy salakuuntelemaan. Herää
>kysymys ovatko kyseiset laitteet yhä niin kivikautisia ettei niissä
>ole liikennekryptausta?
Mtv3:n uutisissa taas sanottiin, että tiedot saatiin automaattiin liitetyn
lukulaitteen avulla. Minkähän muunlainen lukulaite se voisi olla kuin linjan
kuunteluun perustuva systeemi?
Jossakin oli joku näppärä henkilö tehnyt oman pankkiautomaatin näköisen
laitteen, jota ihmiset luulivat oikeaksi automaatiksi ja työnsivät korttinsa
ja naputtelivat pin-koodin, jolloin laite tallensi sekä kortin tiedot +
pin-koodin.
- Vesa
Timo Hirvi
>
>Keskisuomalaisen jutussa aiheesta sanottiin myös että pankkiautomaatin
>liikennettä pääkoneensa kanssa oli päästy salakuuntelemaan. Herää
>kysymys ovatko kyseiset laitteet yhä niin kivikautisia ettei niissä
>ole liikennekryptausta?
Muistelen lukeneeni Ilkka Tuomen kirjasta "Ei ainoastaan hakkerin käsikirja"
sellaista, että liikenne on tavallisesti (nosto- ja muut tapahtumat) salattu
DESillä. DES-avaimet vaihdetaan määräajoin, jolloin siirrossa käytetään
RSA-salausta. Kirja on melko vanha (1987), mutta automaatteja on paljon eikä
niihin varmaan jatkuvasti softaa (eikä kovoa) päivitetä, joten kirjan tiedot
saattavat edelleen pitää paikkansa. Kovin vahva DES-salaus tuskin on
kyseessä, että automaatit toimivat tarpeeksi nopeasti -> salauksen
murtaminen on nopeampaa.
Minäkään en ole asiantuntija, mutta tuosta kirjasta voitte lukea tarkemmin.
Kertoohan se, miten automaatit toimivat kymmenisen vuotta sitten.
--
Timo Hirvi
Osmo Ronkanen
Otto J. Makela <ot...@cc.jyu.fi> wrote:
>
>Tarkoitus lienee sanoa, että chippiä on huomattavasti vaikeampi kopioida
>kuin mankkunauhaa koska siellä on kryptoavaimia joita ei saa ulos.
>Automaatin ollessa kyseessä asialla ei ole merkitystä, koska kortin voisi
>aina tunkea sinne magneettinauhapuolelle.
Iltasanomissa oli, että automaattiin olisi laitettu joku magneettinauhan
lukija sisään. Tällaista hyökkäystä vastaanhan sirukortti on
turvallinen, kun vain käyttää sitä, eikä magneettiraitaa.
Mielestäni yksinkertainen suoja olisi kahden tunnusluvun järjestelmä.
Kortilla olisi kaksi tunnuslukua, jotka pitäisi antaa vuorotellen.
Automaatti voisi muistuttaa pitääkö antaa ykkös vai kakkostunnusluku.
Tällöin olanylikurkkija ei voisi varastaa korttia ja nostaa sillä
myöhemmin. Tosin kopiokortin tapauksessa tämäkään ei oikein toimisi.
Osmo
Timo Hirvi
>
>Mielestäni yksinkertainen suoja olisi kahden tunnusluvun järjestelmä.
>Kortilla olisi kaksi tunnuslukua, jotka pitäisi antaa vuorotellen.
Tietoturva ja käyttömukavuushan ovat toisiinsa nähden ristiriitaisia
asioita, ja ideasi on esimerkki käyttömukavuuden laskemisesta. Ajattelepa,
jos yhtäkkiä pitäisi muistaa kaksi kertaa enemmän numerosarjoja kuin
aikaisemmin. Nytkin niitä on jo ihan tarpeeksi.
--
Timo Hirvi
Pekka Makinen
>Mtv3:n uutisissa taas sanottiin, että tiedot saatiin automaattiin liitetyn
>lukulaitteen avulla. Minkähän muunlainen lukulaite se voisi olla kuin linjan
>kuunteluun perustuva systeemi?
Magneettiraidan lukulaite, joka on rakennettu pankkiautomaatin normaalin
korttiaukon eteen?
--
Low life / High tech - http://www.iki.fi/pemakine/
If you want to reply by E-mail, please remove the ".MAPS-ON"
Kari Haakana
>Magneettiraidan lukulaite, joka on rakennettu pankkiautomaatin normaalin
>korttiaukon eteen?
Veikkaan samaa, Ylen TV-uutisissa (?) mainittiin, että automaatissa oli
ollut "jälkiä".
Kysymys kuuluukin: jos kyseessä oli tällainen ulkopuolelle kiinnitettävä
lukija, niin miten sen käyttö estetään "tekemällä muutoksia automaattien
ohjelmiin", kuten Meritan Bo Harald tänään Ylen uutisissa sanoi?
--
Kari Haakana:::::::::::::kari.h...@tietokone.fi
phone: +358 9 120 5723:::fax: +358 9 120 5799
Osmo Ronkanen
Mielestäni tolla saadaan sen verran merkittävä tietosuojan parannus,
että se on ylimääräisen muistamisen veroinen. Tietysti nytkin monet
pitävät tunnuslukua lompakossa. (miten ihmeessä kukaan voikaan olla niin
tyhmä)
Osmo
Virtanen Antti
>Mielestäni tolla saadaan sen verran merkittävä tietosuojan parannus,
>että se on ylimääräisen muistamisen veroinen. Tietysti nytkin monet
>pitävät tunnuslukua lompakossa. (miten ihmeessä kukaan voikaan olla niin
>tyhmä)
Muistaminen ei ole mukavaa. Ihminen taas on mukavuudenhaluinen.
Olen tavannut asioista perillä olevia ihmisiä, joilla esim. on sama
salasana kaikkiin weppipalveluihin, servereihin ja purkkeihin muistamisen
helpottamiseksi. Kyllä minä sitäkin vähän outona pidän..
Antti Virtanen
Osmo Ronkanen
Kari Haakana <Kari.H...@tietokone.fi> wrote:
>Pekka....@iki.MAPS-ON.fi,Usenet3 writes:
>>Magneettiraidan lukulaite, joka on rakennettu pankkiautomaatin normaalin
>>korttiaukon eteen?
>
>Veikkaan samaa, Ylen TV-uutisissa (?) mainittiin, että automaatissa oli
>ollut "jälkiä".
>
>Kysymys kuuluukin: jos kyseessä oli tällainen ulkopuolelle kiinnitettävä
>lukija, niin miten sen käyttö estetään "tekemällä muutoksia automaattien
>ohjelmiin", kuten Meritan Bo Harald tänään Ylen uutisissa sanoi?
Siis ko. kortit jotka oli luettu suljettiin. Tällä estettiin ko korttien
käyttö. Tarkoitettiinko mahdollisesti tätä?
Osmo
Toni.Mi...@spammit.imee.helsinki.fi
: Pekka....@iki.MAPS-ON.fi,Usenet3 writes:
: >Magneettiraidan lukulaite, joka on rakennettu pankkiautomaatin normaalin
: >korttiaukon eteen?
: Veikkaan samaa, Ylen TV-uutisissa (?) mainittiin, että automaatissa oli
: ollut "jälkiä".
: Kysymys kuuluukin: jos kyseessä oli tällainen ulkopuolelle kiinnitettävä
: lukija, niin miten sen käyttö estetään "tekemällä muutoksia automaattien
: ohjelmiin", kuten Meritan Bo Harald tänään Ylen uutisissa sanoi?
Mieleeni tulee, että huijaus olisi voitu tehdä jokseenkin juuri
noin, eli että automaatin korttiaukon "huulille" on lisätty ylimääräinen
lisäosa, joka on lukenut käyttäjien korttien magneettinauhoja muistiinsa.
Huijarit ovat sitten hakeneet lisäosan pois automaatista kun korttien
magneettiraitoja on ollut riittävä määrä ja ovat tämän jälkeen
murtaneet tunnusluvut ja tehtailleet sarjan kopiokortteja joilla
rahat on nostettu.
Minusta esitetty väite että 50 ihmisen olan takaa olisi urkittu
tunnusluku on aika erikoinen, koska noin laajamittainen urkinta
olisi saattanut huijarit alttiiksi tulla tunnistetuiksi.
Joku paremmin automaattikorttien tekniikkaa tunteva voisi kommentoida,
että muistanko väärin, että tunnusluku olisi DES:illä salattuna
kortin magneettiraidalla, jolloin tunnusluvun murtaminen ei
olisi enää mikään ihmeellinen temppu sopivalla järjestelmällä
(kuten täälläkin on kerrottu DES-salauksen purkamiseen erikoistuneista
systeemeistä).
Osmo Ronkanen
Virtanen Antti <v15...@students.cc.tut.fi> wrote:
>
>Olen tavannut asioista perillä olevia ihmisiä, joilla esim. on sama
>salasana kaikkiin weppipalveluihin, servereihin ja purkkeihin muistamisen
>helpottamiseksi. Kyllä minä sitäkin vähän outona pidän..
Jos webbipalvelulla tarkoitat sivuja, jotka vaativat rekisteröinnin,
niin en pidä sitä mitenkään outona. Minö en ikinä musita mitä tollaiseen
rekisteröintiin olen laittanut.
Osmo
Timo Hirvi
>
>Joku paremmin automaattikorttien tekniikkaa tunteva voisi kommentoida,
>että muistanko väärin, että tunnusluku olisi DES:illä salattuna
>kortin magneettiraidalla, jolloin tunnusluvun murtaminen ei
>olisi enää mikään ihmeellinen temppu sopivalla järjestelmällä
>(kuten täälläkin on kerrottu DES-salauksen purkamiseen erikoistuneista
>systeemeistä).
Tarkoitat varmaan nelinumeroista pin-koodia, joka näppäillään automaatilla.
Keskiviikkoisen Iltalehden mukaan pin-koodia ei ole talletettu missään
muodossa kortille, joten sen täytyy olla keskuskoneen tietokannassa.
Kortilla on "mm. kortin oma tunnusluku" (Iltalehti), jolla erotetaan kortti
miljoonista muista. Järjestelmä tarkastaa, kuuluvatko kortin tunnusluku ja
syötetty pin-koodi yhteen.
Eipä tuota magneettinauhalla olevaa tietoa tarvitse edes murtaa sinänsä (eli
ei tarvitse tietää "Tämän kortin tunnusluku on 25892379583275"); riittää
että siitä nauhasta saadaan otettua kopio ja kurkitaan olan yli pin-koodi.
No, minäkään en tiedä enempää kuin sen, mitä olen Teksti-TV:stä, MTV3:n
verkkouutisista ja verkko-Iltalehdestä lukenut.
--
Timo Hirvi
Arto Wikla
>...kiinnnostavampaa olisi tietää, miten pankkiautomaatin
>kortinlukija ylipäätään voisi toimia, jos lukuaukkoon on asennettu
>jotain ylimääräistä?
Sitäpaitsi siihen ei mahdu yhtään mitään: Kun automatti palauttaa
kortin, sitä näkyy reilusti alle puoli senttiä. Rakenna nyt siihen
väliin huomaamaton magneettiraidan lukija!
Kuvittelen itse, että tietoliikennettä on päästy lukemaan -
henkilökunta? - ja sitä nyt salaillaan näillä epäilyttävillä
selityksillä.
Arto
Osmo Ronkanen
<Toni.Mi...@spammit.imee.Helsinki.fi> wrote:
>
> Mieleeni tulee, että huijaus olisi voitu tehdä jokseenkin juuri
>noin, eli että automaatin korttiaukon "huulille" on lisätty ylimääräinen
>lisäosa, joka on lukenut käyttäjien korttien magneettinauhoja muistiinsa.
>Huijarit ovat sitten hakeneet lisäosan pois automaatista kun korttien
>magneettiraitoja on ollut riittävä määrä ja ovat tämän jälkeen
>murtaneet tunnusluvut ja tehtailleet sarjan kopiokortteja joilla
>rahat on nostettu.
Huomaa, ettei tunnuslukia ole kortilla. Tunnusluku on katsottu olan
yli. Tämä operaatio tehtiin syyskuussa yhtenä päivänä. Sitten kortteja
käytettiin runsas viikko myöhemmin.
>Minusta esitetty väite että 50 ihmisen olan takaa olisi urkittu
>tunnusluku on aika erikoinen, koska noin laajamittainen urkinta
>olisi saattanut huijarit alttiiksi tulla tunnistetuiksi.
>
En näe mitään outoa siinä. Ammattilainen osaa hommansa. Ko. paikalla on
usein väärin pysäköityjä autoja. Sinnehän voisi laittaa kameran autoon.
>Joku paremmin automaattikorttien tekniikkaa tunteva voisi kommentoida,
>että muistanko väärin, että tunnusluku olisi DES:illä salattuna
>kortin magneettiraidalla, jolloin tunnusluvun murtaminen ei
>olisi enää mikään ihmeellinen temppu sopivalla järjestelmällä
>(kuten täälläkin on kerrottu DES-salauksen purkamiseen erikoistuneista
>systeemeistä).
STS-pankki käytti joskus aikanaan tollaista systeemiä. Tunnusluku oli
vain kortilla. Nykyään tunnusluku oin ainaki tietokoneella. En uskoisi
että sitä kortille olisi laitettu. Tollainenhan olisi idioottimaista.
Osmo
Otto J. Makela
> Tarkoitat varmaan nelinumeroista pin-koodia, joka näppäillään automaatilla.
> Keskiviikkoisen Iltalehden mukaan pin-koodia ei ole talletettu missään
> muodossa kortille, joten sen täytyy olla keskuskoneen tietokannassa.
Suomessa korteissa käytetty PIN on luku joka saadaan kryptaamalla kortin
sarjanumero tietyillä erittäin hyvin salaisena pidetyillä avaimilla.
PVV on Visa-korteissa käytetty menetelmä jolla kortin numerosta ja
asiakkaan syöttämästä PIN:stä (+muusta kortilta luetusta tiedosta)
pitää oikeilla avaimilla kryptattuna tulla kortille talletettu PVV-koodi.
Suomessa jaetuissa VISA+pankkikorteissa on implementoitu nämä molemmat.
Sami Kuhmonen
>
> On 7 Oct 1998 20:10:25 +0300, ronk...@cc.helsinki.fi (Osmo Ronkanen)
> wrote:
>
> >Mielestäni tolla saadaan sen verran merkittävä tietosuojan parannus,
> >että se on ylimääräisen muistamisen veroinen. Tietysti nytkin monet
> >pitävät tunnuslukua lompakossa. (miten ihmeessä kukaan voikaan olla niin
> >tyhmä)
>
> puolison tunnusluku. Sanoisin, että suhteellisen turvallista.
Tai sitten muokkaa sen tunnusluvun sellaiseen muotoon että itse osaa sen
siitä laskea. Sotkee turhia numeroita sekaan, kääntelee niitä, laskee
summia, erotuksia etc etc. Ei siinä kovin helposti mahdollinen
numeroiden tutkija tajua millä tavalla kukakin on omat numeronsa
sotkenut.
--
Sami Kuhmonen | sa...@iqs.fi | Toisin kuin 90% Suomesta,
iQs Partners Finland | i...@iqs.fi | me palvelemme jopa
http://www.iqs.fi/ | 09-4114 0099 | kesäisin.
Petri Virkkula
Markus> Käsittääkseni sirukorteissa käytetään tavan julkisen avaimen
Markus> salaustekniikkaa, joka on mahdollista murtaa jos on tiedot
Markus> kortin muusta tekniikasta. Ilmeisesti ne pitävät sisällään
Markus> jonkinlaisen suojausjärjestelmän joka lukitsee kortin
Markus> kömpelön murtoyrityksen sattuessa. Kyllä, tietääkseni media
Markus> antaa sirukorteista väärän kuvan jottei huolestunut
Markus> kansalainen pistäisi palkkaansa suoraan sukanvarteen.
Ylläoleva ei tainnut oikein perustua tietoon vaan
huhupuheisiin? Allaoleva teksti sen sijaan perustuu tietoon.
Jos puhutaan pelkistä "sirukorteista" (ei siis korteista
joissa on myös magneetiraita) niin nekin voidaan kahtaa
kahteen kategoriaan: muistikortit joissa on vain muistia ja
toimikortit joissa on pieni tietokone.
Toimikortit sisältävät yhdellä piirillä seuraavat osat: itse
CPU, RAM (työmuisti, yleensä luokkaa 128-256 tavua), ROM
(ohjelmakoodille, yleensä muutaka kilotavu) ja EEPROM
(tallennusmuisti, eri kokoisia, mm. 2.5kB, 8KB, jne.) sekä
lisäksi liitäntärajapinta, josta kortin tietokone saa
halutesssaan mm. kellon (yleensä luokkaa 3.7MHz-5MHz),
jännitteen (5V), ohjelmointijännitteen (usein ei käytetä vaan
käytetään em. normaalia jännitettä) ja sarjaliikenneportti.
Joissain piireissä on myös apu-CPU tai vastaava,
esim. RSA-laskennan nopeuttamiseksi.
Kortin ROM:lla on käyttöjärjestelmä joka hallitsee kaikkia
toimintoja. Käyttöjärjestelmän osana (tai ehkä voisi kuvitella
että sitä hyödyntävänä) on komentotulkki joka lukee
sarjaportista komentoja, suorittaa ne käyttöjärjestelmän
avulla ja palauttaa samaa sarjaporttia kautta komemnon
tuloksen.
EEPROM on sisältää tallennuspaikan tiedoille järjestettynä
tiedostojärjestelmäksi, esim. seuraavan kuvan tapaisella
tavalla:
+----+
| MF |
+-+--+
|
+---+---+-------+
| | |
+----+ +----+ +-+--+
| DF | | DF | | EF |
+-+--+ +----+ +----+
|
+---+---+
| |
+-+--+ +-+--+
| EF | | EF |
+----+ +----+
MF = Master File, juurihakemisto
DF = Directory File, hakemisto
EF = en muista mistä on lyhenne, tiedosto
Hakemistoilla ja tiedoistoilla on 16 bittinen numero joilla
niihin viitataan, eli tiedoston polku voisi olla esim.
0x1234/0x5678/0x9ABC, tosin noita /-merkkejä ei käytetä. On
olemassa myös ns. application identifier, joka taisi olla
selväkielinen merkkijono.
Noilla tiedostoilla ja hakemistoilla on sitten erinäisiä
pääsyvaatimuksia joilla kontrolloidaan kuka saa lukea,
kirjoittaa, poistaa, jne. ko. tiedoston/hakemiston. Esim.
aatimuksena voisi olla että kuka tahansa saa lukea mutta
kirjoittamiseen vaaditaan se että komento oli salattuna
avaimella X tai vaikka se että käyttäjä on todentanut itsensä
PIN-luvulla. Avaimet on myös talletettu tiedostoihin, joidenka
pääsyvaatimukset estävät niiden muuttamisen ja lukemisen.
Yleensä on korteille on toteutettu vähintään DES-algoritmi,
joskus sen lisäksi RSA, mutta algoritmien valinta riippuu
täysin tuosta käyttöjärjestelmästä.
Kortti siis voi vaatia sitä käyttäävän systeemin
tunnistautumaan, itse käyttäjän tunnistamisen, ja korttia
käyttävä järjetelmä voi myös varmentaa kortin
oikeellisuuden. Kortin kopiointi siis vaatii siellä olevien
salausavainten kopiointia mikä taas on estetty
avaintiedostojen pääsyvaatimuksilla. Tietenkin suoraan
EEPROM:iakin voisi yrittää lukea mutta sitä vastaan on myös
suojauksia joita en kaikkia tiedä ja niistäkään jotka tiedän
ei saa puhua.
Mahdollisia heikkoja osia toimikorteissa on ainakin seuraavat:
- jotkut salausalgoritmit ovat alttiita chosen-plaintext ja
known-plaintext hyökkäyksille. Eli pyydetään korttia
autentikoimaan itse valitulla haasteella ja saadusta
vasteesta yritetään päätellä käytetty avain
- heikkojen algoritmien käyttö
- tiedostojen pääsyvaatimukset voivat olla huonosti valitut
tai virheelliset
- käyttöjärjestelmässä voi olla bugi
Muitakin ongelmakohtia varmasti on, mutta eipä tule juuri nyt
suoralta kädeltä mieleen. Noi edellä mainitut
käyttäjärjestelmän bugitkaan eivät yleensä ole käytännössä
ongelmia, koska käyttöjärjestelmä on sen verta pieni, hyvin
testattu, ja usein jopa evaluoitu/katselmoitu riippumattoman
osapuolen toimesta. Inhimillisisä erehdyksiä sen sijaan voisi
tapahtua aivan hyvin esim. noissa pääsyvaatimusten
asettamisessa. Tätäkin vastaan suojaudutaan kyllä samaten
testaamisella, katselmoinneilla ja evaluoinneilla.
Toimikorteissa ei ole siis PC:ssä olevia ongelmia:
käyttöjärjestelmän ohitus buuttaamalla korpulta, levyn
irroitus ja käsittely muussa tietokoneessa, käyttöjärjestelmän
koodin muuttaminen, yms.
Petri
--
PGP public key: http://www.iki.fi/pvirkkul/pgp-key.html
Paul Keinanen
: Suomessa korteissa käytetty PIN on luku joka saadaan kryptaamalla kortin
: sarjanumero tietyillä erittäin hyvin salaisena pidetyillä avaimilla.
: PVV on Visa-korteissa käytetty menetelmä jolla kortin numerosta ja
: asiakkaan syöttämästä PIN:stä (+muusta kortilta luetusta tiedosta)
: pitää oikeilla avaimilla kryptattuna tulla kortille talletettu PVV-koodi.
: Suomessa jaetuissa VISA+pankkikorteissa on implementoitu nämä molemmat.
Missäs tämä tarkistus tehdään, onko se aina pankin keskustietokoneessa
vai onkohan koodin tarkistus mahdollisesti implementoitu itse
automaattiin tai johonkin tietoliikennekeskittimeen. Ilmeisesti jotkut
automaatit ainakin ennen saattoivat toimia rajoitetusti, vaikka yhteys
oman pankkiryhmän keskustietokoneeseen oli hetkeksi menetetty.
Eli jos tuo algoritmi on jossain muualla(kin) kuin
keskustietokoneessa, niin on tietysti aina suuri vaara, että se voi
päätyä väärille teille.
Vaikka siis kortilla olevan koodin perusteella tunnusluvun laskenta
saattaa olla mahdotonta tai laskennallisesti erittäin raskasta, täytyy
korttitietojen+tunnusluvun tarkistuslaskenta olla kevyt operaatio,
jotta se ei kuluttaisi kohtuuttomasti aikaa. Jos siis algoritmi on
väärillä teillä, tuolloinhan ei tarvita kuin kokeilla 10000
tunnusluvulla luetun korttidatan kanssa ennenkuin löydetään oikea
ratkaisu.
Vaikka tässä uutisryhmässä on jatkuvasti puhuttu korttiaukon ympärille
laitetusta lisälukijasta, ei ole täysin poissuljettua, että korttidata
olisi napattu radiohäiriöistä. Jotkut vanhemmat automaattimallit
säteilivät radioaalloilla niin voimakkaasti, että ne häiritsivät
radioliikennettä useamman metrin päähän. Jos vaikka laitteen sisällä
kortilta luettu data kulkee kryptaamattomana esim. RS-232 linjalla,
jolloin kaapelin säteilemän häiriön radiotaajuinen sieppaus voisi
periaatteessa olla mahdollista. Ainakaan vanhemmat pankkiautomaatit
eivät todellakaan olleet mitään Tempest luokan vehkeitä :-).
Ilmeisesti nuo EUn EMC normit ovat saaneet hiukan tuota häiriösäteilyä
kuriin.
Perttu Raivio
Toni>
Toni> Mieleeni tulee, että huijaus olisi voitu tehdä jokseenkin juuri
Toni> noin, eli että automaatin korttiaukon "huulille" on lisätty ylimääräinen
Toni> lisäosa, joka on lukenut käyttäjien korttien magneettinauhoja muistiinsa.
Miten siihen nyt mitään lukijaa sopisi?
Miten luotettavina muuten voidaan pitää näitä etenkin bensa-
asemilla yleisiä systeemeitä, joissa pöydällä olevaan numero-
näppäimistöön naputellaan tunnusluku, kun myyjä on ensin ve-
tänyt kortin kassakoneessa olevan lukijan läpi? Luulisi, ettei
moisen modifiointi tunnusluvut ja magneettiraidan tiedot tal-
teenottavaksi järjestelmäksi vaatisi kummoisiakaan kolvaus-
taitoja.
--
"If You Act Like A Dumbshit, They'll Treat You As An Equal"
- J.R. "Bob" Dobbs
Osmo Ronkanen
>
>Tai sitten muokkaa sen tunnusluvun sellaiseen muotoon että itse osaa sen
>siitä laskea. Sotkee turhia numeroita sekaan, kääntelee niitä, laskee
>summia, erotuksia etc etc. Ei siinä kovin helposti mahdollinen
>numeroiden tutkija tajua millä tavalla kukakin on omat numeronsa
>sotkenut.
Ja on helpompi muistaa itse luku kuin miten purkaa ko. sekoitus.
Lisäksi pitää muistaa että jos toi sekuitus murretaan olet pankin kanssa
huomattavasti heikommassa asemassa kuin jos sitä ei olisi ollut
lompakossa. Luvun muistamista voi helpottaa mieltämällä (siis ei missään
tapauksessa kirjoittamalla ylös) se kahdeksi vuosiluvuksi.
Osmo
Osmo Ronkanen
Sami Laukkanen <m...@iki.fi> wrote:
>On 7 Oct 1998 20:10:25 +0300, ronk...@cc.helsinki.fi (Osmo Ronkanen)
>wrote:
>
>>Mielestäni tolla saadaan sen verran merkittävä tietosuojan parannus,
>>että se on ylimääräisen muistamisen veroinen. Tietysti nytkin monet
>>pitävät tunnuslukua lompakossa. (miten ihmeessä kukaan voikaan olla niin
>>tyhmä)
>
>Voihan sitä tehdä kuten eräs pari. Lompakossa ei ole oma, vaan
>puolison tunnusluku. Sanoisin, että suhteellisen turvallista.
>
Joo, jos he eivät koskaan liiku ulkona yhdessä. Ja jos eivät liiku, niin
miksi he kantavat ko. tunnuslukuja?
Osmo
Osmo Ronkanen
>
>> Tarkoitat varmaan nelinumeroista pin-koodia, joka näppäillään automaatilla.
>> Keskiviikkoisen Iltalehden mukaan pin-koodia ei ole talletettu missään
>> muodossa kortille, joten sen täytyy olla keskuskoneen tietokannassa.
>
>sarjanumero tietyillä erittäin hyvin salaisena pidetyillä avaimilla.
Ei voi olla totta. Kuka aivovammainen tollaisen systeemin on tehnyt. Jos
ko. avaimet vuotavat hujareiden haltuun koko järjestelmä kaatuu. Mikä
on tollaisen systeemin etu talletettuun pin-koodiin verrattuna? Että
tarkastus voidaan tehdä paikallisesti? Hyvästi turvallisuus.
Osmo
Osmo Ronkanen
Martti.Alkio <martti...@poista.tama.vtt.fi.> wrote:
>
>Mistä Merita muuten voi olla varma että mainittua rikosta on edes
>tapahtunut? Onhan se tili voinut tyhjentyä asiakkaan ominkin voimin ja
>kortti on visusti tallessa. Joku porukka on voinut esim. sopia
>laajasta yhteisesiintymisestä: käydään tietyllä automaatilla ja
>aletaan sitten parkua sen jälkeen nostettuja rahoja samanaikaisesti.
>Miten tämä suljetaan tutkinnallisesti pois? Tuli vaan epäluulot
>mieleen, kun tuo katukopiointisysteemi kuullostaa ihan ufolta....
Kyllä tollaisen järjestäminen olisi melko hankalaa, Käyttäjillä ei
luultavimmin ole mitään yhteistä nimittäjää. Lisäksi olis mahdotonta
ettei joku mahdollisesti tahtomattaan paljastaisi asiaa. Kyse sentään
oli kymmenistä tileistä.
Osmo
Jarmo Niemi
>>liikennettä pääkoneensa kanssa oli päästy salakuuntelemaan. Herää
>>kysymys ovatko kyseiset laitteet yhä niin kivikautisia ettei niissä
>>ole liikennekryptausta?
>
>lukulaitteen avulla. Minkähän muunlainen lukulaite se voisi olla kuin linjan
>kuunteluun perustuva systeemi?
Ymmärsin niin, että automaatin korttiaukkoon oli asennettu jonkinlainen
"ylimääräinen" magneettiraidan lukupää. Itselläni kävi vielä
mielessä, että olisiko mahdollista jonkinlaisella induktiivisella
"Tempest" -laitteella tallentaa automaatin sisäistä toimintaa
(jossa esim näppäinpainallukset, magneettiraidan luvut y.m. ovat
kryptaamattomina, toisin kuin linjaliikenteessä) ?
--
Jarmo Niemi, jar...@utu.fi, http://www.utu.fi/~jarnie/
"Rommel, you old fox, I_read_your_book_!"
-Patton
Jan Forsblom
>kilpailun rikkomalla DES-salauksen raa'alla voimalla kolmessa
>päivässä. Lisätietoja <URL:http://www.rsa.com/rsalabs/des2/>
.. laitteella joka oli nimenomaan tehty laskemaan DES salausavainta
ja joka maksoi muistaakseni satoja tuhansia dollareita.
Ei sinäänsä että se DESin turvallisuutta mitenkään parantaisi, mutta
millin investointi moiseen automaattikorttihuijaukseen tuskin
ihan heti tulee kysymykseen.
+ Jan Forsblom <j...@iki.fi> - http://www.iki.fi/jf/
+ GSM/SMS: +358503523288, FAX: +358950735230
+ About to spam? Add "nospam" to my e-mail address!
Jan Forsblom
>kortin, sitä näkyy reilusti alle puoli senttiä. Rakenna nyt siihen
>väliin huomaamaton magneettiraidan lukija!
Köh, mikä estää ettei vaikkapa kahden tai kolmen sentin paksuisessa
lukulaitteessa ole mekanismiä, joka työntää kortin ulospäin niin ettei
se herätä epäilyksiä.
Saastamoinen Vesa
>>Sitäpaitsi siihen ei mahdu yhtään mitään: Kun automatti palauttaa
>>kortin, sitä näkyy reilusti alle puoli senttiä. Rakenna nyt siihen
>>väliin huomaamaton magneettiraidan lukija!
>
>Köh, mikä estää ettei vaikkapa kahden tai kolmen sentin paksuisessa
>lukulaitteessa ole mekanismiä, joka työntää kortin ulospäin niin ettei
>se herätä epäilyksiä.
>
samantyylinen laatikko, kuin koko automaatti. Laatikon sisälle oma
kortinsyöttö moottori joka imaisee/työntää ulos sen asiakkaan kortin.
Vastaava laatikko näppiksen päälle, ja laatikon pintaan samanlainen
näppäimistö kuin automaatissa alunperin on. Näppäin painallukset
välitetään esim. mekaanisilla tapeilla oikealle näppikselle,
painallukset vain kirjataan laatikon omaan logiin. Vastaava logi
korttiboxiin ja näin saadaan kattava rekisteri kortti/tunnusluku pareja.
Idea toimii sen vuoksi, kun noita automaatteja on n+1 erityyppisiä. Mistä
tiedät onko se vino yläreuna korttiaukkojen kera alkuperäinen vai
numerovarkaan asentama lisäke joka vain moottorin avustuksella siirtää
kortin oikeaan automaattiin? Automaatti kun kuitenkin toimii normaalisti.
--
[ Jos haluat tavoittaa minut, yritä tätä: ve...@cc.tutz.fi |poista-z| ]
[ Mutta kun viestisi on todella kiireellinen, |remove-z| ]
[ voit yrittää myös tätä: 050 5431067 Vesa Saastamoinen ]
[______________________________________________________________________]
Jyrki Havia
> Ai jälkiä...kiinnnostavampaa olisi tietää, miten pankkiautomaatin
> kortinlukija ylipäätään voisi toimia, jos lukuaukkoon on asennettu
> jotain ylimääräistä? Eihän ne tavallisesti edes huoli korttia, jos se
> on vähänkin venkura tms. Jotkut automaatit eivät edes imaise korttia,
> jos yrittää esim. työntää väärinpäin.
Koitetaan piirtää:
|
+------+
|
|
+------+
|
|
+--+------+
| |
| |
+--+------+
|
Ylempi kuva siis normaali korttiaukko, kortti syötetään
vasemmalta oikealle. Alemmassa kuvassa mukana on pieni
"kaulus", jossa pikku lukija, patteri ja radiolähetin
tai muistia. Kortin menssä ohi se lukee ja tallentaa/lähettää
tiedot.
> Nyt pitäisi siis uskoa että kadulla olevassa pankkiautomaatissa oli
> lukuaukossa joku (paristokäyttöinen? aurinkokenno?) ylimääräinen
> laite, josta vie johto(??) viereiselle sylttytehtaalle. Siellä apuri
> kurkkii samanaikaisesti tunnuslukuja. Ja kaikki tämä keskellä päivää
> selvin päin.. Ei kai ne vaan yritä peitellä jotain...??
Ja numeroiden kurkinta voidaan kanssa hoitaa pienellä kameralla,
joka kiinnitetään automaatin yläreunaan.
> Mistä Merita muuten voi olla varma että mainittua rikosta on edes
> tapahtunut? Onhan se tili voinut tyhjentyä asiakkaan ominkin voimin ja
> kortti on visusti tallessa.
Tässä ainakin yksi asiakas oli todistetusti ollut lapissa
(ilmeisesti korttinsa kanssa).
> mieleen, kun tuo katukopiointisysteemi kuullostaa ihan ufolta....
Epäluuloinen saa toki olla.
--
Jyrki...@Helsinki.FI, University of Helsinki, Computing Centre
peks...@iki.fi
> Sitäpaitsi siihen ei mahdu yhtään mitään: Kun automatti palauttaa
> kortin, sitä näkyy reilusti alle puoli senttiä. Rakenna nyt siihen
Höh. Eihän tuo vaadi kuin kaksi sopivaa kumirullaa ja pienen moottorin
joka työntää kortin ulospäin. Virran syöttö tosin on hiukan hankalampi
järjestää, mutta pienillä alkaliparistoilla onnistunee suhteellisen
kätevästi.
Toinen vaihtoehto olisi vaikka asettaa isompi "etupaneli" automaatin
peitteeksi, automaatteja on niin monenlaisia että kukaan ei ihmettelisi
konetta jossa näyttö ja näppäimistö ovat "upotettuina".
-- Pekka.S...@iki.fi p. 040-5558866 / fax 02-2433066
-- PL 588 Verkkokalvo Ky
-- 20101 Turku http://www.sci.fi/~kauppa/
-- FINLAND ATK-kaapelit ja tarvikkeet
Osmo Ronkanen
Sami Laukkanen <m...@iki.fi> wrote:
>On 8 Oct 1998 10:08:37 +0300, ronk...@cc.helsinki.fi (Osmo Ronkanen)
>wrote:
>
>>In article <361bf04b...@news.clinet.fi>,
>>Sami Laukkanen <m...@iki.fi> wrote:
>
>>>Voihan sitä tehdä kuten eräs pari. Lompakossa ei ole oma, vaan
>>>puolison tunnusluku. Sanoisin, että suhteellisen turvallista.
>
>>Joo, jos he eivät koskaan liiku ulkona yhdessä.
>
>paikkaan? Se, että kummaltakin varastettaisiin lompakko saman henkilön
>tai ryhmän toimesta on epätodennäköistä. Jos taas kyseessä olisi
>ryöstö niin yhtä helppoa olisi ryöstäjien kysyä tunnuslukua.
Ryöstäjä ei jää liian pitkäsi aikaa kyselemään mitään. Hän ottaa
lompakot ja lähtee.
Osmo
M. Soisalo
> > Sitäpaitsi siihen ei mahdu yhtään mitään: Kun automatti palauttaa
> > kortin, sitä näkyy reilusti alle puoli senttiä. Rakenna nyt siihen
>
> Höh. Eihän tuo vaadi kuin kaksi sopivaa kumirullaa ja pienen moottorin
> joka työntää kortin ulospäin. Virran syöttö tosin on hiukan hankalampi
> järjestää, mutta pienillä alkaliparistoilla onnistunee suhteellisen
> kätevästi.
>
> Toinen vaihtoehto olisi vaikka asettaa isompi "etupaneli" automaatin
> peitteeksi, automaatteja on niin monenlaisia että kukaan ei ihmettelisi
> konetta jossa näyttö ja näppäimistö ovat "upotettuina".
Hauskempi vaihtoehto olisi pystyttää kaupungin keskustaan vaikkapa lauantai
illaksi kotitekoinen automaatti. Askartelee kuoret, hommaa vanhan vihreän
näytön, näppiksen ja tekee softan joka kerää kortit ja tunnusluvut sekä
tulostaa näytölle:
"Tapahtuma keskeytynyt. Kortti taltioitu, ota yhteys tilipankkiisi".
Sitten vain aamuyön tunteina käy keräilemässä kortit talteen. Kaipa sitä
pitää alkaa katsella minne pankkikorttinsa laittaa;)
t:m.
Jan Forsblom
> joka kiinnitetään automaatin yläreunaan.
Niin pientä kameraa ei kyllä vielä ole millä pystyisi tallentamaan
videokuvaa mitä ei huomattaisi.
Tosin viidenkymmenen olan yli kurkkaaminen huomaamatta kuulostaa
vielä uskomattomammalta.
Järkevin selitys lienee että PIN olisi laskettavissa kortin numerosta,
mikä olisi täysin idioottimainen ratkaisu. ja näin ollen siihen on
kohtuullisen vaikea niin ikään uskoa.
Markus Peuhkuri
> Ja numeroiden kurkinta voidaan kanssa hoitaa pienellä kameralla,
> joka kiinnitetään automaatin yläreunaan.
Luultavasti kurkintakeinona on käytetty ihan tavallista
yliolankurkintaa; tuttu henkilö oli asioinut k.o. automaatilla (ja
kortti nyt kuoletettu, totesi sen automaatilla kun piti saada rahaa)
mutta mitään rahoja ei ollut kadonnut. Syynä on joko se, että mukana
oli kavereita sen verran, että näköyhteyttä näppäimistölle ei
varmaankaan ollut kauempaa.
Tai sitten kaverin tilillä oli niin säälittävän vähän rahaa,
että paatuneinkin rikollinen heltyi. :-)
--
Markus Peuhkuri ! internet: Markus....@hut.fi
SG 225A ! http://www.iki.fi/puhuri/
TKK/Teletekniikan lab. ! puh: (09) 451 2467 fax: (09) 460224
PL 3000 02015 TKK ! gsm: 040 5019683
Jari Salokannel
>
> Hauskempi vaihtoehto olisi pystyttää kaupungin keskustaan vaikkapa
> lauantai illaksi kotitekoinen automaatti. Askartelee kuoret, hommaa
> vanhan vihreän näytön, näppiksen ja tekee softan joka kerää kortit ja
> tunnusluvut sekä tulostaa näytölle:
> "Tapahtuma keskeytynyt. Kortti taltioitu, ota yhteys tilipankkiisi".
> Sitten vain aamuyön tunteina käy keräilemässä kortit talteen. Kaipa
> sitä pitää alkaa katsella minne pankkikorttinsa laittaa;)
Odottelinkin jo kuka tämän keksii :-) Esitettiin aikoinaan NYPD Bluessa
ja tarkemmat ohjeet voi katsoa mm.
http://www.stwing.upenn.edu/~sepinwal/summaries/roof.html
--
J.S-el.
Jari Salokannel
>
> Niin pientä kameraa ei kyllä vielä ole millä pystyisi tallentamaan
> videokuvaa mitä ei huomattaisi.
Niinkö? Kamera + kuitu + linssi -tyyppisiä yhdistelmiä käytetään mm.
lääketieteessa. Pystyy sijoittamaan huomaamattomasti.
Edullisempia, mutta silti riittävän pieniä kameroita voi katsella
iltakävellyllä siinä pikku(?)-roban kävelykadulla olevan liikkeen
ikkunassa.
--
J.S-el.
Markus Sadeniemi CSC
vanha, vuodelta 1993, mutta silti ihan lukemisen arvoinen.
Löytyy verkosta monesta paikasta, esimerkiksi
http://www.k.shuttle.de/isil/crypt/txt/wcf.html
Parikymmensivuisen jutun esimerkit ovat nimenomaan
pankkikorttien ja -automaattien alueelta.
Markus Sadeniemi
--
-------------------------------------------------------------------
Markus.S...@funet.fi FUNET/CSC
Finnish University and Research Network Tietotie 6, PO BOX 405
tel +358 9 4572711, fax +358 9 4572302 FIN-02101 Espoo, FINLAND
M. Soisalo
Jari Salokannel wrote:
> Odottelinkin jo kuka tämän keksii :-) Esitettiin aikoinaan NYPD Bluessa
> ja tarkemmat ohjeet voi katsoa mm.
>
> http://www.stwing.upenn.edu/~sepinwal/summaries/roof.html
Äsh... ikävää luulla keksineensä jotain, kun saa heti tietää jonkun
keksineen sen jo aikaisemmin ;-)
t:m.
Robert Wikström
>tunnusluku on aika erikoinen, koska noin laajamittainen urkinta
>olisi saattanut huijarit alttiiksi tulla tunnistetuiksi.
Sopivassa kohdassa tiettyjä automatteja ei pikkuisen videokameran
piilottaminen ole konsti eikä mikään, siihen vain kattoon kiinni
ilmastointilaitteen näköisen ritilällä varustetun boxin sisään ja tekemään
ensimmäisiä suomessa tehtyjä hyvin tuottavia elokuvia.
Magneettiraidan lukulaite onkin sitten jo hankalampi juttu, ainakin minulle.
// Robbe
Robert Wikström
>Tai sitten muokkaa sen tunnusluvun sellaiseen muotoon että itse osaa sen
>siitä laskea. Sotkee turhia numeroita sekaan, kääntelee niitä, laskee
>summia, erotuksia etc etc. Ei siinä kovin helposti mahdollinen
>numeroiden tutkija tajua millä tavalla kukakin on omat numeronsa
>sotkenut.
Kännykän muistissa Josefiina-tädin puhelinnumero ( suuntanumeroineen
amerikkaan ) joka 3 numero aloittaen viimeisestä, eikä kukaan sitä ikinä
siitä saa selville ...
Hups ...
// Robbe
Lauri Aalto
> Järkevin selitys lienee että PIN olisi laskettavissa kortin numerosta,
> mikä olisi täysin idioottimainen ratkaisu. ja näin ollen siihen on
> kohtuullisen vaikea niin ikään uskoa.
Pankkiautomaattien idioottimaisuuksia niiden historian alkuvaiheista asti
voi lukea esimerkiksi Ross Andersonin vanhasta postauksesta
alt.security-ryhmään <URL:http://axion.physics.ubc.ca/atm.html>. Vaikka
moni idioottimaisuus on vuosien saatossa karsittu pois, en kuitenkaan
jaksa uskoa, etteikö niitä vielä olisi yllin kyllin jäljellä
eksploitattavaksi.
Mika Thynell
> Lisäksi pitää muistaa että jos toi sekuitus murretaan olet pankin kanssa
> huomattavasti heikommassa asemassa kuin jos sitä ei olisi ollut
Ja minkähän takia pankkikortin tunnusluku on 4 numeroa? Mutsillani
Sveitsissä on sikäläinenkortti, jossa tunnusluku on kuusi
numeroa. Lisäksi tunnusluvun voi vaihtaa automaatilla (hyvä ja huono
asia - perustelut kotitehtäväksi).
--
MT
Partanen Antti
>Jari Salokannel wrote:
>> http://www.stwing.upenn.edu/~sepinwal/summaries/roof.html
>
>Äsh... ikävää luulla keksineensä jotain, kun saa heti tietää jonkun
>keksineen sen jo aikaisemmin ;-)
Heh, taisi tuo olla joskus takavuosina MikroPiltissäkin. Kyseessä taisi
olla peräti todellisesta tapauksesta kertova juttu, eli samaa on
harrastettu aiemminkin. Jos siis muistan oikein.
--
***** Antti Partanen *** aop(at)cc.tut.fi *****
#NEW!# Interactive signature: choose your own favourite Witty Comment!
Use a 0.5mm black overhead projector pen to mark a box on your monitor:
[ ]Life's a beach and then you dive. [ ]Cogito cogito, ergo cogito sum.
[ ]"640kB ought to be enough for everyone" -Bill Gates
Osmo Ronkanen
>In <361ce308...@news.vtt.fi> Mara@(Martti.Alkio) writes:
>
>>...kiinnnostavampaa olisi tietää, miten pankkiautomaatin
>>kortinlukija ylipäätään voisi toimia, jos lukuaukkoon on asennettu
>>jotain ylimääräistä?
>
>kortin, sitä näkyy reilusti alle puoli senttiä. Rakenna nyt siihen
Kävin vilkaisemassa ko. automaattia. Korttireijän ympärillä näytti
olevan jämät jostain tarrasta aivan kuin siitä olisi repäisty irti
jotain tarralla kiinnitettyä. Ko. automaatti on erilainen kuin
normaalisti käytetyt.
Osmo
Osmo Ronkanen
M. Soisalo <mika.s...@relatech.fi.nO_SpAm> wrote:
>
>Hauskempi vaihtoehto olisi pystyttää kaupungin keskustaan vaikkapa lauantai
>illaksi kotitekoinen automaatti. Askartelee kuoret, hommaa vanhan vihreän
>näytön, näppiksen ja tekee softan joka kerää kortit ja tunnusluvut sekä
>tulostaa näytölle:
>"Tapahtuma keskeytynyt. Kortti taltioitu, ota yhteys tilipankkiisi".
Miksei samantien kirjoita tunnustusta ruutuun. Arvaapa kuinka kauan
kestää että jou soittaa kännykällään pankkiin.
Missään tapauksessa korttia ei tollaisessa tilanteessa ottaa, vaan
se pitää nimenomaan kopioida, ja pitää visusti olla kehoittamatta
asiakkaita ottamaan yhteyttä pankkiinsa.
Osmo
Jyrki Havia
> > Ja numeroiden kurkinta voidaan kanssa hoitaa pienellä kameralla,
> > joka kiinnitetään automaatin yläreunaan.
> Niin pientä kameraa ei kyllä vielä ole millä pystyisi tallentamaan
> videokuvaa mitä ei huomattaisi.
On. Radiolähettävä videokamera saadaan paidan nappiin.
Kantamasta en tiedä mitään, tuskin kovin paljoa.
(Tässä nyt sitä kai ei ollut käytetty, mutta on siis mahdollista).
Mika Petteri Nieminen
Sarjassamme amatoorisalapoliisileikkeja.
Hesarissa tai Keskisuomalaisessa luki, etta "crakkeroidun"
automaatin kohdalla ei ollut kameraa. Samassa yhteydessa
valiteltiin, etta rahojen nostoistakaan ei ole kameroiden
ottamaa kuvaa koska rahat nostettiin kamerattomien automaattien
kautta.
Usein kamerat on automaattien kohdalle sijoitettu, niin ettei
niita valttamatta edes huomaa. Olisko todella mahdollista tutkia
tarkkaan useita kymmenia (satoja?) automaatteja ja niiden
ymparistoa, jotta loytyy kamerattomat automaatit? Varmaan mahdollista
tutkia, mutta vielapa ilman epailyksien herattamista.
Tasta amatoorit vetaa johtopaatoksen etta pankkien ja Automaatti Oy
henkilokunta tietaa missa ei ole kameroita. En syyta ketaan,
jotta ei tule syytetta herjannasta.
TV: Mika
Johannes Hyvärinen
<mika.s...@relatech.fi.nO_SpAm> wrote:
>Hauskempi vaihtoehto olisi pystyttää kaupungin keskustaan vaikkapa lauantai
>illaksi kotitekoinen automaatti. Askartelee kuoret, hommaa vanhan vihreän
>näytön, näppiksen ja tekee softan joka kerää kortit ja tunnusluvut sekä
>tulostaa näytölle:
>"Tapahtuma keskeytynyt. Kortti taltioitu, ota yhteys tilipankkiisi".
>Sitten vain aamuyön tunteina käy keräilemässä kortit talteen. Kaipa sitä
>pitää alkaa katsella minne pankkikorttinsa laittaa;)
Mutta jos ei niele niitä kortteja vaan lukee magneettiraidan tiedot
talteen ja sylkäisee kortin ulos. Asiakas menee seuraavalle
automaatille joka toimii ja unohtaa koko asian. Sitten voi puoli
vuotta myöhemmin tehdä korteista kopiot eikä mistään selviä miten
korttien tiedot on kerätty..
Tommi Elo
>Huomaa, ettei tunnuslukia ole kortilla. Tunnusluku on katsottu olan
>yli. Tämä operaatio tehtiin syyskuussa yhtenä päivänä. Sitten kortteja
>käytettiin runsas viikko myöhemmin.
Tuota on aika vaikea uskoa. Ihmiset ovat melko tumpeloita
tietoturva-asioissa, mutta olan yli kurkkimisen tavallinen suomalainen
käsittää melkoisen helposti. En usko, että 50 tunnuslukua on noin vain
urkittu olan yli.
>En näe mitään outoa siinä. Ammattilainen osaa hommansa. Ko. paikalla on
>usein väärin pysäköityjä autoja. Sinnehän voisi laittaa kameran autoon.
Ei tuosta silti välttämättä ollenkaan näe mitä nappeja henkilö painaa. Eri
asia on jos kamera olisi peukalonpään kokoinen ja automaatin sisäpuolella
jotenkin...
Tommi Elo
>Suomessa korteissa käytetty PIN on luku joka saadaan kryptaamalla kortin
>sarjanumero tietyillä erittäin hyvin salaisena pidetyillä avaimilla.
Entä jos algoritmi on tunnettu? Onko se? Jos algortimi on tunnettu ja
kortilla oleva kryptattu data tunnetaan, on mahdollista murtaa tuo master
avain. Lisäksi jos kortilla oleva data kryptattu data on valittu
huolimattomasti, kuten pelkäksi tunnusluvuksi tai muuksi tunnetuksi
tiedoksi, ollaan ihan varmasti ongelmissa.
Kuka tietäisi lisää?
>PVV on Visa-korteissa käytetty menetelmä jolla kortin numerosta ja
>asiakkaan syöttämästä PIN:stä (+muusta kortilta luetusta tiedosta)
>pitää oikeilla avaimilla kryptattuna tulla kortille talletettu PVV-koodi.
Jos tämä oli tarkka kuvaus niin sitten ei ole vaikeaa selvittää PIN-koodia
ja/tai master avaimia :)
Tommi
Kari Haakana
>Tosin viidenkymmenen olan yli kurkkaaminen huomaamatta kuulostaa
>vielä uskomattomammalta.
Eikös se Aleksin automaatti ole niitä Osuuspankin käyttämiä Olivetteja?
Niissähän on sellaiset neliömetrin kokoiset kalvonäppäimet, jotka on
olkapääsurffailijoiden vaikeuksien vähentämiseksi sijoitettu vielä pystyyn.
PINin näkee toiselta puolelta katuakin...
Kari
--
Kari Haakana:::::::::::::kari.h...@tietokone.fi
phone: +358 9 120 5723:::fax: +358 9 120 5799
Tommi Elo
>Järkevin selitys lienee että PIN olisi laskettavissa kortin numerosta,
>mikä olisi täysin idioottimainen ratkaisu. ja näin ollen siihen on
>kohtuullisen vaikea niin ikään uskoa.
Idioottimaista se toki olisi, mutta onko se silti mahdotonta.
Pankkikortteja on ollut aika pitkään 80-luvun alusta saakka. Organisaatiot,
jotka niitä kehittelevät ovat syntyneet pankkimaailmassa, jossa security by
obscurity on sääntö ei poikkeus. 80-luvun alussa siviiliorganisaatioiden
tietämys tietoturvasta oli käsitääkseni vielä melko olematonta. Lisäksi
pankit luottavat kovin mieluusit lakeihin ja yhteiskunnan tukeen teknisten
ratkaisujen asemasta. Katsokaa nyt vaikka Internetin yli käytettävien
webbipankkien teknistä tietoturvaa.
Niin, minä en sitten väitä, että se tunnusluku on kaivettavissa sieltä
kortilta :)
Tommi
Tommi Elo
>Nyt pitäisi siis uskoa että kadulla olevassa pankkiautomaatissa oli
>lukuaukossa joku (paristokäyttöinen? aurinkokenno?) ylimääräinen
>laite, josta vie johto(??) viereiselle sylttytehtaalle. Siellä apuri
>kurkkii samanaikaisesti tunnuslukuja. Ja kaikki tämä keskellä päivää
>selvin päin.. Ei kai ne vaan yritä peitellä jotain...??
Kuten esimerkiksi tietoliikenteen murtamista ?
Osmo Ronkanen
Mika Petteri Nieminen <mp...@jytko.jyu.fi> wrote:
>Moi,
>
>Sarjassamme amatoorisalapoliisileikkeja.
>
>Hesarissa tai Keskisuomalaisessa luki, etta "crakkeroidun"
>automaatin kohdalla ei ollut kameraa. Samassa yhteydessa
>valiteltiin, etta rahojen nostoistakaan ei ole kameroiden
>ottamaa kuvaa koska rahat nostettiin kamerattomien automaattien
>kautta.
>
>Usein kamerat on automaattien kohdalle sijoitettu, niin ettei
>niita valttamatta edes huomaa. Olisko todella mahdollista tutkia
>tarkkaan useita kymmenia (satoja?) automaatteja ja niiden
>ymparistoa, jotta loytyy kamerattomat automaatit? Varmaan mahdollista
>tutkia, mutta vielapa ilman epailyksien herattamista.
Ei noita kameroita sen kummemmin ole piilotettu. Pelkkä vilkaisu
riittää, enkä näe miten tollainen herättäisi epäilyksiä. Ei niitä
nauhoja mitenkään verrata sen saamiseksi selville onko joku käynyt
kurkkimassa useammalla automaatilla.
Osmo
Petri Aukia
<mthy...@vipunen.hut.fi> wrote:
> Ja minkähän takia pankkikortin tunnusluku on 4 numeroa? Mutsillani
> Sveitsissä on sikäläinenkortti, jossa tunnusluku on kuusi
> numeroa.
Käsittääkseni kuusinumeroiset tunnusluvut eivät ole yhteensopivia
kaikkien laitteiden kanssa. Velipoika (myös Sveitsistä) taisi mainita
vaihtaneensa pankin suosituksesta oman pankkikorttinsa
tunnusluvun ennen ulkomaille lähtöä, noin kaiken varalta.
Valitettavasti muutama kuukausi sitten amerikkalaiset luottokortinlukijat
systemaattisesti hylkäsivät sveitsiläisen kortin, jonka voimassaoloaika
ulottui pitkälle 2000-luvulle!
Peba
--
<pe...@iki.fi> +1 (732) 578 1657 Still looking for the Babel Fish
Osmo Ronkanen
>
>Valitettavasti muutama kuukausi sitten amerikkalaiset luottokortinlukijat
>systemaattisesti hylkäsivät sveitsiläisen kortin, jonka voimassaoloaika
>ulottui pitkälle 2000-luvulle!
Eikö tollaisessa tapauksessa ostokset pitäisi voida maksaa käsihöylällä?
Jokainenhan näkee ettei kortti ole vanhentunut. Sensijaan
automaattikäyttö on eri asia.
Osmo
Sami Laine
> Jari Salokannel <jari.sa...@NOSPAM.promicro.fi>:
> > Odottelinkin jo kuka tämän keksii :-) Esitettiin aikoinaan NYPD Bluessa
> > ja tarkemmat ohjeet voi katsoa mm.
>
> Vastaava juttu esitettiin myös Jan-Göran Stenhagenin kirjassa Datadyrkarna
> joskus 1980-luvun puolivälin paikkeilla. (Hyvä kirja, muuta. Opetelkaa
> ruotsia ja lukekaa. :)
Melko yllätyksettömästi eivät tunteneet ko. opusta paikallisessa
kirjalainaamossa. Eipä sattuisi kellään olemaan isbn-numeroa?
--
Sami Laine
Osa mielipiteistä voi olla omiani.
Pasi Partanen
>En näe mitään outoa siinä. Ammattilainen osaa hommansa. Ko. paikalla on
>usein väärin pysäköityjä autoja. Sinnehän voisi laittaa kameran autoon.
Siinäkin on mielenkiintoinen ero miten kukakin syöttää tunnusluvun
automaattiin. Osa seisonee niin että asian näkee hyvin sivusta ja
näpyttää yhdellä sormella mahdollisimman selvästi ja hitaasti tunnusluvun.
Itse pc-aikakauteen tottuneena ja kymmensormijärjestelmän hallitsevana
olen todennut aika hyväksi sen että seison automaatissa kiinni ja
yritän blokata mahdollisimman hyvin näkyvyyden automaatille ja näppäilen
vain oikealle kädellä yhdistelmäni kolmea sormea käyttäen alle/noin
sekunnissa. Tietty jos sen saisi jostain kuvakulmasta nauhoitettua
ja katsoisi hidastettuna niin kyllähän tuon saisi kai selville, mutta
livenä tuskin kukaan pystyy seuraamaan mikä oli oikea yhdistelmä.
SUURIN TURVA syntynee sillä että tekee kaikki maksut pankkikortilla
ja jos tarvitsee käteistä nostaa sitä etukäteen pankkisalista
virka-aikaan niin ei tarvitse koskaan käydä "pimeällä pankkiautomaatilla
ryöstettävänä". Ja laskutkin voi maksaa turvassa kotoa tietokoneyhteydellä.
Tietysti tämä ratkaisumalli ei käy läheskään kaikille erinäisistä syistä.
--
-=- E-Mail paj...@sicom.fi Homepage http://www.sicom.fi/~pajupa -=-
Petri Aukia
> Jokainenhan näkee ettei kortti ole vanhentunut. Sensijaan
> automaattikäyttö on eri asia.
Ongelmia olivat aiheuttaneet kai lähinnä automaatilla toimivat puhelimet
ja bensa-automaatit.
Osmo Ronkanen
Tommi Elo <te...@online.tietokone.fi> wrote:
>ot...@cc.jyu.fi,Usenet3 writes:
>>Suomessa korteissa käytetty PIN on luku joka saadaan kryptaamalla kortin
>>sarjanumero tietyillä erittäin hyvin salaisena pidetyillä avaimilla.
>
>Entä jos algoritmi on tunnettu? Onko se?
Ei kai nyt pankit ole lähteneet millekään salaisten algoritmien tielle
> Jos algortimi on tunnettu ja
>kortilla oleva kryptattu data tunnetaan, on mahdollista murtaa tuo master
>avain. Lisäksi jos kortilla oleva data kryptattu data on valittu
>huolimattomasti, kuten pelkäksi tunnusluvuksi tai muuksi tunnetuksi
>tiedoksi, ollaan ihan varmasti ongelmissa.
>
Mielenkiintoista oli se, että joissain pankeissa (USA:ssa ja
Britaniassa) printattiin kuittiin täydellinen korttinumero. Tällöin kun
katsoi olan yli tunnusnumeron ja sitten kaivoi kuitin roskiksesta, voi
väärentää kortin ja putsata tilin.
Yleensäkin ärsyttää toi miten joillakin on se idea, kun tietokoneilla
saa helposti tulostettua kaikkea, niin se pitää tehdä. Kun lainaat
kirjastosta kirjan, printataan usein kuitti, jossa on kirjan nimi,
lainaan koko nimi (kappas kun ei sotua ja lainausautomaatin
pin-koodia), kellonaika ja kortin numero. Minä en ainakaan pidä siitä,
että tollaisia tietoturvapommeja printataan tosta vain ilman eri
kyselyä. Toisaalta jos menee kysymään mitä on lainassa, ei saa tietoa
ulos ilman henkkaria. (lainaaminen kylläkin onnistuu ilman henkkaria)
Osmo
Osmo Ronkanen
Kari Haakana <Kari.H...@tietokone.fi> wrote:
>
>Eikös se Aleksin automaatti ole niitä Osuuspankin käyttämiä Olivetteja?
>Niissähän on sellaiset neliömetrin kokoiset kalvonäppäimet, jotka on
>olkapääsurffailijoiden vaikeuksien vähentämiseksi sijoitettu vielä pystyyn.
>PINin näkee toiselta puolelta katuakin...
ROTFL.
Ei se kylläkään noita ole. Uusimpien tietojen mukaan olisi käytetty
jotain lisänäppistä tohon tunnuslukujen urkintaan.
Osmo
Vesa Vanhatupa
Osmo Ronkanen wrote in message <6vq6ji$5...@kruuna.Helsinki.FI>...
>In article <msg15211.thr-...@online.tietokone.fi>,
>Tommi Elo <te...@online.tietokone.fi> wrote:
>>ot...@cc.jyu.fi,Usenet3 writes:
>>>Suomessa korteissa käytetty PIN on luku joka saadaan kryptaamalla kortin
>>>sarjanumero tietyillä erittäin hyvin salaisena pidetyillä avaimilla.
>>
>>Entä jos algoritmi on tunnettu? Onko se?
>
>Ei kai nyt pankit ole lähteneet millekään salaisten algoritmien tielle
Ei ne algoritmit kyllä mitään ihan julkisiakaan ole. Taitavat olla aika
hyvin salassa.
>Mielenkiintoista oli se, että joissain pankeissa (USA:ssa ja
>Britaniassa) printattiin kuittiin täydellinen korttinumero. Tällöin kun
>katsoi olan yli tunnusnumeron ja sitten kaivoi kuitin roskiksesta, voi
>väärentää kortin ja putsata tilin.
Höh. Ei pelkkä kortin numero riitä vielä mihinkään. Lisäksi tarvitaan paljon
muuta tietoa, että kortti voidaan edes yrittää kloonata.
Pelkällä kortin numerolla ei edes vielä voi ostaa internetistä mitään.
Lisäksi tarvitaan ainakin kortin voimassaolo.
>Osmo
Vesa
Osmo Ronkanen
Vesa Vanhatupa <vv7...@cs.tut.fi> wrote:
>
>Osmo Ronkanen wrote in message <6vq6ji$5...@kruuna.Helsinki.FI>...
>>In article <msg15211.thr-...@online.tietokone.fi>,
>>Tommi Elo <te...@online.tietokone.fi> wrote:
>>>ot...@cc.jyu.fi,Usenet3 writes:
>>>>Suomessa korteissa käytetty PIN on luku joka saadaan kryptaamalla kortin
>>>>sarjanumero tietyillä erittäin hyvin salaisena pidetyillä avaimilla.
>>>
>>>Entä jos algoritmi on tunnettu? Onko se?
>>
>>Ei kai nyt pankit ole lähteneet millekään salaisten algoritmien tielle
>
>Ei ne algoritmit kyllä mitään ihan julkisiakaan ole. Taitavat olla aika
>hyvin salassa.
Toi on aika paha turvallisuusongelma.
>
>>Mielenkiintoista oli se, että joissain pankeissa (USA:ssa ja
>>Britaniassa) printattiin kuittiin täydellinen korttinumero. Tällöin kun
>>katsoi olan yli tunnusnumeron ja sitten kaivoi kuitin roskiksesta, voi
>>väärentää kortin ja putsata tilin.
>
>Höh. Ei pelkkä kortin numero riitä vielä mihinkään. Lisäksi tarvitaan paljon
>muuta tietoa, että kortti voidaan edes yrittää kloonata.
Kyllä noissa systeemeissä riitti. Sitä muuta tietoa on pantu sinne
siksi, kun on opittu kantapään kautta.
>Pelkällä kortin numerolla ei edes vielä voi ostaa internetistä mitään.
>Lisäksi tarvitaan ainakin kortin voimassaolo.
>
Kyse oli pankkikorteista.
Osmo
peks...@iki.fi
> Magneettiraidan lukulaite onkin sitten jo hankalampi juttu, ainakin minulle.
Yksinkertaista analogista tekniikkaa. Itseasiassahan magneettiraidan
sisällöstä ei tarvitse saada mitään selville, sen kun kopioidaan
magneettisuus riittävällä resoluutiolla.
-- Pekka.S...@iki.fi p. 040-5558866 / fax 02-2433066
-- PL 588 Verkkokalvo Ky
-- 20101 Turku http://www.sci.fi/~kauppa/
-- FINLAND ATK-kaapelit ja tarvikkeet
Mats Kommonen
: Usein kamerat on automaattien kohdalle sijoitettu, niin ettei
: niita valttamatta edes huomaa. Olisko todella mahdollista tutkia
: tarkkaan useita kymmenia (satoja?) automaatteja ja niiden
: ymparistoa, jotta loytyy kamerattomat automaatit? Varmaan mahdollista
: tutkia, mutta vielapa ilman epailyksien herattamista.
Miksi ihmeessä tutkia satoja automaatteja, kun niitä löytyy hiukan
pienemmälläkin otannalla?
: Tasta amatoorit vetaa johtopaatoksen etta pankkien ja Automaatti Oy
: henkilokunta tietaa missa ei ole kameroita.
Amatöörit ovat oikeutettuja kaikenlaisiin johtopäätöksiin. Sen sijaan, jos
otetaan järki käteen; eivät ne pankkien ja automatian ihmisetkään kaikkea
tiedä. Turvajärjestelmien hienouksista ja yksityiskohdista ei yleensä
briiffata hirveän tarkkaan työntekijöitä, joiden ei nimenomaisesti
tarvitse niitä tietää. Eli siis konttorihenkilöstö tietää aika paljon oman
konttorinsa turvajärjestelmistä, mutta ei tiedä kaikista ko. pankin
paikoista kaikkea. Automaattien hoitajat ovat sen verran pieni
ammattikunta, että heille voidaan ehkä kertoa hiukan tarkemmin, koska
heihin voi luottaa: kyseisten turvajärjestelyjen kiertäminen kun johtaa
automaattisesti epäilyksen renkaan kiristymiseen. En tiedä millaiset
ihmiset automaatteja nykyään hoitavat, mutta silloin kun minä olin siellä
töissä, olisi ollut idioottimaista edes ajatella 'omien järjestelmien'
peukalointia tai ryöväämistä. "Parempi" idea olisi ollut lähteä ulkomaille
ja ryöstää joku täysin tuntematon pankki.
Ei voisi juuri tulla mieleen typerämpää tapaa tehdä rötöstä, kuin tehdä se
niin että vain automaattia ylläpitävä henkilö voi sen tehdä, so. laittaa
ylimääräistä elektroniikkaa automaatin sisäpuolelle tms. Joka ikinen
käynti automaatin sisäpuolella on jossain lokissa, huoltoihmisten käynnit
tiedetään minuutilleen ja nimeltä jne.
Jos pankin tai automatian ihminen haluaa laitonta rahaa, olisi ehkä
helpompaa siepata se raha suoraan automaatin kasetista ja juosta niin
lujaa kuin ehtii, kuin ottaa sitä näin ja odotella kotona milloin poliisit
tulevat, kun 'se mikroskooppinen jälki' löytyi sittenkin sieltä
automaatista.
: En syyta ketaan,
: jotta ei tule syytetta herjannasta.
Nimeltä ei kannata syyttää, mutta toki nyysseissä saa olettaa ääneen, että
joku tiettyyn ryhmään kuuluva saattaa olla rikoksen takana (puheenvuoron
ja herjauksen hiuksenhieno ero). Nyrkkisääntö on, että kavalluksissa ja
raharyöstöissä on hyvin usein joku 'sisäpiiriin' kuuluva mukana. Tässä
tapauksessa en pidä sitä kovin todennäköisenä, koska en usko kenenkään
pankkiautomaattijärjestelmiin koulutetun voivan olla niin tyhmä, että
lähtisi todella toteuttamaan jotain tuollaista. (satun tietämään yhtä sun
toista noista järjestelmistä, mutta ei siitä tässä sen enempää) Voihan
sitä tietty joku niin tyhmä ollakin, mutta en oikein jaksa uskoa; kiinni
siitä jää aivan varmasti, eikä uuden henkilöllisyyden hankkiminen uudessa
maassa ole kovin halpaa eikä hauskaa. Parinsadan tuhannen takia? Haloo!
Jos jokin tietty 'ammattiryhmä' ansaitsee erityishuomion, veikkaisin
tämänkertaisten rötöstelijöiden (tai ainakin 'projektin' teknisen
asiantuntijan) majailevan jossain JMT:llä tai SMT:llä, miettien
soluboksissaan josko tällaisesta joutuu ihan oikeasti vankilaan kun jää
kiinni.
MK
Perttu Raivio
Tommi>
Tommi> Niin, minä en sitten väitä, että se tunnusluku on kaivettavissa sieltä
Tommi> kortilta :)
Käsittääkseni tunnuslukua ei sinänsä saa kortilta, mutta mag-
neettiraidan tietojen avulla voidaan tarkistaa, onko syötetty
tunnusluku oikea. Eikä 10 000 tunnusluvun brute force -kokei-
leminen ole mikään euroopantemppu.
--
Maassamme on pantava alulle laajamittainen liike kaniininkasvatuksen
aloittamiseksi. Jos kasvatamme kaniineja runsaasti, voimme valmistaa
lapsillemme turkkeja, turkislakkeja ja kenkiä.
-- Kim Il Sung
Osmo Ronkanen
Perttu Raivio <rai...@iki.fi> wrote:
>>>>> Ac dixit "Tommi" == Tommi Elo:
>Tommi>
>Tommi> Niin, minä en sitten väitä, että se tunnusluku on kaivettavissa sieltä
>Tommi> kortilta :)
>
> Käsittääkseni tunnuslukua ei sinänsä saa kortilta, mutta mag-
> neettiraidan tietojen avulla voidaan tarkistaa, onko syötetty
> tunnusluku oikea. Eikä 10 000 tunnusluvun brute force -kokei-
> leminen ole mikään euroopantemppu.
Mutta kun et tiedä sitä avainta millä raidan tieto salataan, jotta
tunnusluku saadaan selville. Eli sinulla on muutamia kortteja, esim.
omasi, jonka tunnusluvun tiedät ja sinun pitää thdöä brute force
salausavaille. Vaihtoehtoja on hieman enemmän kuin 10000.
Osmo
Juha Taneli Autero
> Pelkällä kortin numerolla ei edes vielä voi ostaa internetistä mitään.
> Lisäksi tarvitaan ainakin kortin voimassaolo.
Joka myös tulostuu kyseiseen kuittiin. Ainakin kaikissa kuiteissa,
joita minä olen saanut pankkikorttimaksuista on tuo tieto ollut.
--
............................................................................
: Juha Autero () http://www.hut.fi/~jautero/ :
: juha....@hut.fi () Helsinki University of Technology :
:.....................................::...................................:
Vesa Vanhatupa
Juha Taneli Autero wrote in message ...
>"Vesa Vanhatupa" <vv7...@cs.tut.fi> writes:
>
>> Pelkällä kortin numerolla ei edes vielä voi ostaa internetistä mitään.
>> Lisäksi tarvitaan ainakin kortin voimassaolo.
>
>Joka myös tulostuu kyseiseen kuittiin. Ainakin kaikissa kuiteissa,
>joita minä olen saanut pankkikorttimaksuista on tuo tieto ollut.
No kyllä se on tänä päivänä aika harvinaista, mutta tiedän kyllä itsekin
pari paikkaa, joissa pankkikorttikuittiin tulee edelleen nuo molemmat
tiedot.
Mm. Tampereen lentoasemalla parkkimaksukuitissa nuo tiedot olivat pitkään
näkyvissä ja kenen tahansa ohikulkijan kopioitavissa ja kauan kesti,
ennekuin siitä nousi haloo.
-Vesa
Sam Laur
>Mutta kun et tiedä sitä avainta millä raidan tieto salataan, jotta
>tunnusluku saadaan selville. Eli sinulla on muutamia kortteja, esim.
>omasi, jonka tunnusluvun tiedät ja sinun pitää thdöä brute force
>salausavaille. Vaihtoehtoja on hieman enemmän kuin 10000.
Valitettavasti vaan (kts. ISO/IEC 7813:1995) tuo pankkikorttien yleensä
käyttämä Type 2 - raita ei ole kryptattu millään tavalla, eli sieltä saa
kyllä kortin numeron, maakoodin, expiration daten jne. ihan kiltisti ulos.
Esim. VISA-kortissa data on seuraavaa (esim.)
B4000001234562D82091015432112345678FL
B = Start Sentinel, D = Separator, F = End Sentinel (noin ne on koodattu
kortilla).
4000001234562 = kortin numero, tässä vielä vanhaa 13-numeroista mallia.
8209 = expiration date
101 = service code
5 = PIN Verification Key Indicator
4321 = PIN Verification Value
12345678 = "varalla", yleensä ei käytössä
L = Longitudinal Redundancy Check Digit eli joku tarkistussumma.
Raidalla on max. 40 merkkiä.
Nuo löytyy suhteellisen helpolla, sen sijaan algoritmi, jolla tarkistetaan PIN
noiden PVKI ja PVV arvojen avulla, onkin hankalampi juttu, en ole ainakaan itse
missään tähänkään mennessä sitä nähnyt. Mutta tietysti se on jossain saata-
villa, varmasti suht simppeli algoritmi, mutta tyypillinen pankkien "security
by obscurity" on taas vauhdissa...
--
/* Sam Laur sl...@utu.fi */
/* Carpe noctem! Carpe tenebras! */
Vesa Vanhatupa
Sam Laur wrote in message <6vusks$e9i$1...@news.utu.fi>...
>Nuo löytyy suhteellisen helpolla, sen sijaan algoritmi, jolla tarkistetaan
PIN
>noiden PVKI ja PVV arvojen avulla, onkin hankalampi juttu, en ole ainakaan
itse
>missään tähänkään mennessä sitä nähnyt. Mutta tietysti se on jossain saata-
>villa, varmasti suht simppeli algoritmi, mutta tyypillinen pankkien
"security
>by obscurity" on taas vauhdissa...
Tietääksen uusissa korteissa ei enää käytetä tuota PVV:tä. Se löytyy vain
vanhoista Visoista ja Master cardeista.
-Vesa
Vesa Vanhatupa
>käyttämä Type 2 - raita ei ole kryptattu millään tavalla, eli sieltä saa
>kyllä kortin numeron, maakoodin, expiration daten jne. ihan kiltisti ulos.
Joo, mutta se on tarkoituskin. Ne tiedot on siellä juuri sitä varten, että
kuka tahansa ne voi lukea.
Mitä järkeä tuota tietoa olisi kryptata, kun se tieto löytyy painettuna
kortin päältä.
PVV tietoa ei uralta 2 enää löydy.
-Vesa
Laura Ahonen
> Yleensäkin ärsyttää toi miten joillakin on se idea, kun tietokoneilla
> saa helposti tulostettua kaikkea, niin se pitää tehdä. Kun lainaat
> kirjastosta kirjan, printataan usein kuitti, jossa on kirjan nimi,
> lainaan koko nimi (kappas kun ei sotua ja lainausautomaatin
> pin-koodia), kellonaika ja kortin numero. Minä en ainakaan pidä siitä,
> että tollaisia tietoturvapommeja printataan tosta vain ilman eri
> kyselyä.
Minulta on useinkin kysytty, että haluanko eräpäiväkuitin. Kerran
itseasiassa jäin ilman kyseistä kuittia Rikhardinkadun kirjastossa. Ja
sattuipa olemaan molemmat eräpäiväkuittitulostimet (sellaisten pienten,
joissa on vain eräpäivä) rikki. Täytyi mennä sitten tietokoneelta
katsomaan, että milloins se eräpäivä oikein on.
> Toisaalta jos menee kysymään mitä on lainassa, ei saa tietoa
> ulos ilman henkkaria. (lainaaminen kylläkin onnistuu ilman henkkaria)
Niinpä.
Laura Ahonen
lah...@mail.student.oulu.fi
Osmo Ronkanen
>Osmo Ronkanen <ronk...@cc.helsinki.fi> wrote:
>>Mutta kun et tiedä sitä avainta millä raidan tieto salataan, jotta
>>tunnusluku saadaan selville. Eli sinulla on muutamia kortteja, esim.
>>omasi, jonka tunnusluvun tiedät ja sinun pitää thdöä brute force
>>salausavaille. Vaihtoehtoja on hieman enemmän kuin 10000.
>
>käyttämä Type 2 - raita ei ole kryptattu millään tavalla, eli sieltä saa
>kyllä kortin numeron, maakoodin, expiration daten jne. ihan kiltisti ulos.
>B4000001234562D82091015432112345678FL
Mutta kryptausta käytetään tunnusluvun tarkastuksessa.
>
>B = Start Sentinel, D = Separator, F = End Sentinel (noin ne on koodattu
>kortilla).
>4000001234562 = kortin numero, tässä vielä vanhaa 13-numeroista mallia.
>8209 = expiration date
>101 = service code
>5 = PIN Verification Key Indicator
>4321 = PIN Verification Value
>12345678 = "varalla", yleensä ei käytössä
>L = Longitudinal Redundancy Check Digit eli joku tarkistussumma.
>Raidalla on max. 40 merkkiä.
>
>Nuo löytyy suhteellisen helpolla, sen sijaan algoritmi, jolla tarkistetaan PIN
>noiden PVKI ja PVV arvojen avulla, onkin hankalampi juttu, en ole ainakaan itse
>missään tähänkään mennessä sitä nähnyt. Mutta tietysti se on jossain saata-
>villa, varmasti suht simppeli algoritmi, mutta tyypillinen pankkien "security
>by obscurity" on taas vauhdissa...
Siis algoritmin ei pitäisi olla salainen (toivottavasti ei ole), mutta
sen käyttämän avaimen tulee olla.
Osmo
Perttu Raivio
Osmo>
Osmo> Siis algoritmin ei pitäisi olla salainen (toivottavasti ei ole), mutta
Osmo> sen käyttämän avaimen tulee olla.
Siis ei kai sen algoritmin salaisuus sinänsä mikään turvalli-
suusriski ole, ellei sen toiminta nimenomaan perustu tähän
salaisuuteen? Toinen asia sitten on se, ettei salainen algo-
ritmi tule julkiseen asiantuntijatarkasteluun.
--
The essence of Christianity is told to us in the Garden of Eden story. The
fruit that was forbidden was on the tree of knowledge. The subtext is, All
the suffering you have is because you wanted to find out what was going on.
You could still be in the Garden of Eden if you had just kept your fucking
mouth shut and hadn't asked any questions.
-- Frank Zappa
Mikail Ruutu
: j...@iki.fi,Usenet3 writes:
: >Järkevin selitys lienee että PIN olisi laskettavissa kortin numerosta,
:
: >mikä olisi täysin idioottimainen ratkaisu. ja näin ollen siihen on
: >kohtuullisen vaikea niin ikään uskoa.
Jos nostat rahaa ulkomailla automaatista, tapahtuu tunnusluvun
verifiointi samantien. Kyllä sen siis luulisi olevan laskettavissa
kortin sisältämistä tiedoista. Siihen itse rahan saamiseenhan kuluu
paljon enemmän aikaa (katetiedustelu kotimaahan?).
Mikail
--
* Mikail...@utu.fi | http://www.utu.fi/~mikruutu/ *
'Any inaccuracies in this index may be explained by the fact that it has
been sorted with the help of a computer.' (Knuth: The Art of Comp.Progr.)
Timo Hirvi
>
>Jos nostat rahaa ulkomailla automaatista, tapahtuu tunnusluvun
>verifiointi samantien. Kyllä sen siis luulisi olevan laskettavissa
>kortin sisältämistä tiedoista. Siihen itse rahan saamiseenhan kuluu
>paljon enemmän aikaa (katetiedustelu kotimaahan?).
Jos nostat rahaa kotimaassa, eräät automaatit eivät älähdä väärästä
tunnusluvusta heti sen syöttämisen jälkeen, vaan vasta, kun olet painellut
esim. "<OTTO>500<OK>". Vaikuttaisi siltä, että samalla kertaa automaatista
lähtee pääkoneelle sekä tunnusluku että haluttu toimenpide. Tuo ulkomainen
automaatti kuulostaa tällaiselta. Tietysti voit kumota väitteeni, jos olet
kokeillut syöttää ulkomailla väärän tunnusluvun.
Näin ollen tunnuslukua ei välttämättä verifioida heti sen syöttämisen
jälkeen, sillä ennen toimintoa (saldokysely, nosto tai pikatiliote) ei edes
tapahdu mitään, missä käyttäjän tunnistusta tarvittaisiin. Valikon
tulostamisessa kortin väärinkäyttäjälle ei ole mitään haitallista, vai mitä?
--
Timo Hirvi
Osmo Ronkanen
Zorlim (Sami Lehtinen) <zorlim...@clinet.fi> wrote:
>
>Joskus ihan huvikseni olen katellut kuinka helppoa esim asematunnelissa on
>bongata kortinnumeroita, siinä on neljä automaattia vierekkäin. Samalla kun
>nostan itse esim omalla kortillani kaverin kanssa, voin minä tai kaverini
>kytätä viereistä automaattia. Kun siinä mummo nostaa, ja ei ota kuittia. Kaveri
>katsoo saldon, jos se näyttää riittävältä, niin sitten voidaan poistua paikalta
>taklaten mummo, vieden juurinostetut rahat, kortti, käsilaukku, sekä tietenkin
>tunnusluku joka tuli urkittua siinä samalla. Sitten vaan juokseen riittävän
>kauas "turvalliselle" automaatille, ja nostaa tililtä sen 20 tonnia minkä saa
>yhtenä päivänä kortilla nostettua.
Ja aamulla poliisi korjaa sinut talteen. Arvaapa missä teit virheen.
Osmo
Tommi Elo
> Käsittääkseni tunnuslukua ei sinänsä saa kortilta, mutta mag-
> neettiraidan tietojen avulla voidaan tarkistaa, onko syötetty
> tunnusluku oikea. Eikä 10 000 tunnusluvun brute force -kokei-
> leminen ole mikään euroopantemppu.
Tämä tarkoittaa kaikille asiantuntijoilla samaa kuin, että "luku on siellä
kortilla". Korkeintaan
joku pankki voisi väittää toista ja selvitä siitä...
Tommi
Tommi Elo
>Mutta kun et tiedä sitä avainta millä raidan tieto salataan, jotta
>tunnusluku saadaan selville. Eli sinulla on muutamia kortteja, esim.
>omasi, jonka tunnusluvun tiedät ja sinun pitää thdöä brute force
>salausavaille. Vaihtoehtoja on hieman enemmän kuin 10000.
No siis jos tiedät mitä tietoja sille kortille on salattu tuolla avaimella,
ja
tiedät myös ko. kortin (vaikka omasi) tunnusluvun, voit brute-forcettaa
tuon "salaisen" avaimen itsellesi.
Tommi
Osmo Ronkanen
>On Fri, 9 Oct 1998 10:03:01 +0200, Tommi Elo (te...@online.tietokone.fi) wrote:
>: j...@iki.fi,Usenet3 writes:
>: >Järkevin selitys lienee että PIN olisi laskettavissa kortin numerosta,
>:
>: >mikä olisi täysin idioottimainen ratkaisu. ja näin ollen siihen on
>: >kohtuullisen vaikea niin ikään uskoa.
>
>verifiointi samantien. Kyllä sen siis luulisi olevan laskettavissa
>kortin sisältämistä tiedoista. Siihen itse rahan saamiseenhan kuluu
>paljon enemmän aikaa (katetiedustelu kotimaahan?).
>
automaatit antavat toiminnan jatkua väärästä tunnusluvusta huolimatta
ja vasta lopuksi herjaavat virheestä.
Osmo
Osmo Ronkanen
Perttu Raivio <rai...@iki.fi> wrote:
>>>>> Ac dixit "Osmo" == Osmo Ronkanen:
>Osmo>
>Osmo> Siis algoritmin ei pitäisi olla salainen (toivottavasti ei ole), mutta
>Osmo> sen käyttämän avaimen tulee olla.
>
> Siis ei kai sen algoritmin salaisuus sinänsä mikään turvalli-
> suusriski ole, ellei sen toiminta nimenomaan perustu tähän
> salaisuuteen? Toinen asia sitten on se, ettei salainen algo-
> ritmi tule julkiseen asiantuntijatarkasteluun.
>
Aivan, miten voit olla vakuuttunut että pankin mahdollisesti itse
kehittämä salainen algoritmi on turvallinen.
Osmo
Osmo Ronkanen
Laura Ahonen <lah...@mail.student.oulu.fi> wrote:
>
>Minulta on useinkin kysytty, että haluanko eräpäiväkuitin.
Viimeaikoina toi klyasely on vähentynyt ja kuitti printataan ennenkuin
ehtii kieltää. Miksi kuittiin ei esim. voisi printata nimikirjaimia
nimen sijaan ja miksi pitää numero olla kokonaisuudessaan.
> Kerran
>itseasiassa jäin ilman kyseistä kuittia Rikhardinkadun kirjastossa. Ja
>sattuipa olemaan molemmat eräpäiväkuittitulostimet (sellaisten pienten,
>joissa on vain eräpäivä) rikki. Täytyi mennä sitten tietokoneelta
>katsomaan, että milloins se eräpäivä oikein on.
>
Se on neljä viikkoa lainapäivästä kirjoilla. Itse panen noi
samantien taskumuistioon. Mukava piirre oli kun keväällä kirjasto
vaihtoi tietojärjestelmiä ja vaihdon ajaksi sai pitkiä laina-aikoja.
Uudistetytyu järjestelmä vain ei tiennyt pätkääkään nopista pitkistä
ajoista ja koneet herjasivat sakkoja komeasti. Tossa oli kuitity
hyväksi, vaikka kyllä se kai muutenkin olisi uskottu.
Osmo
Jyrki Havia
> No siis jos tiedät mitä tietoja sille kortille on salattu tuolla avaimella,
> ja
> tiedät myös ko. kortin (vaikka omasi) tunnusluvun, voit brute-forcettaa
> tuon "salaisen" avaimen itsellesi.
Edellyttäen, että se käytetty salausalgoritmi on sellainen,
että homma onnistuu. Kaikissa ei onnistu.
--
Jyrki...@Helsinki.FI, University of Helsinki, Computing Centre
Kotikone
Samoin ulkomailla tehdystä VISA-nostosta tulee tarkastuspyyntö Suomeen asti
...
Antti-Juhani Kaijanaho
> Toisaalta jos menee kysymään mitä on lainassa, ei saa tietoa
> ulos ilman henkkaria.
Toisaalta esmes Tampereen ja Jyväskylän yliopistokirjastossa
(molemmissa VTLS) lainaustiedot ovat aika pirullisen salasanan takana:
Jyväskylässä PPKKVVNN
PPKKVV on syntymäaika
NN on nimikirjaimet
Tampereella hetu
Jyväskyläsä siis tarvitsee tietää vain lainaajatunnus, jos tuntee
ihmisen. Eikä salasanaa voi edes vaihtaa.
Antti-Juhani
--
Antti-Juhani Kaijanaho A7 <ga...@iki.fi> ** <URL:http://www.iki.fi/gaia/> **
118. Editing is a rewording activity.
(Epigrams on Programming, Alan J. Perlis)
Perttu Raivio
Osmo>
Siinä, että nosti omallaan, eikä vain ollut nostavinaan. Minä
olen usein vain nostavinani, jotta ihmiset kuvittelisivat,
että tililläni olisi mukamas rahaa...
--
"Give Me Slack, Or Give Me Food (Or Kill Me)"
- J.R. "Bob" Dobbs
Osmo Ronkanen
Antti-Juhani Kaijanaho <ga...@iki.fi> wrote:
>ronk...@cc.helsinki.fi (Osmo Ronkanen) writes:
>
>> Toisaalta jos menee kysymään mitä on lainassa, ei saa tietoa
>> ulos ilman henkkaria.
>
>Toisaalta esmes Tampereen ja Jyväskylän yliopistokirjastossa
>(molemmissa VTLS) lainaustiedot ovat aika pirullisen salasanan takana:
>
>Jyväskylässä PPKKVVNN
> PPKKVV on syntymäaika
> NN on nimikirjaimet
>
>Tampereella hetu
Aivan käsittämätöntä. Mielestäni henkilötunnuksen (tietämisen) käyttäminen
jonain henkilötodistuksena tms. pitäisi kieltää lailla.
Osmo
Osmo Ronkanen
Perttu Raivio <rai...@iki.fi> wrote:
>>>>> Ac dixit "Osmo" == Osmo Ronkanen:
>Osmo>
>Osmo> Ja aamulla poliisi korjaa sinut talteen. Arvaapa missä teit virheen.
>
> Siinä, että nosti omallaan, eikä vain ollut nostavinaan. Minä
> olen usein vain nostavinani, jotta ihmiset kuvittelisivat,
> että tililläni olisi mukamas rahaa...
Et voi olla tosissasi.
Osmo
Jaakko Atkins
>Jos nostat rahaa kotimaassa, eräät automaatit eivät älähdä väärästä
>tunnusluvusta heti sen syöttämisen jälkeen, vaan vasta, kun olet painellut
>esim. "<OTTO>500<OK>". Vaikuttaisi siltä, että samalla kertaa automaatista
>lähtee pääkoneelle sekä tunnusluku että haluttu toimenpide. Tuo ulkomainen
>automaatti kuulostaa tällaiselta. Tietysti voit kumota väitteeni, jos olet
>kokeillut syöttää ulkomailla väärän tunnusluvun.
>
Kävipä tossa eilen illalla pieni inhimillinenmoka. Näpyttelin
SOLO-maksuautomaatille väärän tunnusluvun. Kone herjasi siitä ja
tarjosi kortin takaisin...
En tiedä mitä olisi tapahtunut, jos kortin olisi tunkenut takaisin
koneeseen ja näpytellyt yhä uudelleen väärää tunnuslukua. Seuraavaksi
näpyttelin tietenkin oikean
-------
HUOM!
Poista .sika nauta. e-mail osoitteestani!!!
Timo Hirvi
>On 13 Oct 1998 14:29:59 GMT, tmh...@iki.fi (Timo Hirvi) wrote:
>
>>Jos nostat rahaa kotimaassa, eräät automaatit eivät älähdä väärästä
>
>SOLO-maksuautomaatille väärän tunnusluvun. Kone herjasi siitä ja
>tarjosi kortin takaisin...
Maksuautomaatista ei voi nostaa rahaa. Toisaalta en ihmettele, miksi
maksuautomaatti tarkastaa tunnusluvun heti, koska väärästä tunnusluvusta
olisi todella hauska saada tietää, kun on naputellut koko laskun
koneeseen.
Kuinkahan moni rikollinen muuten maksaisi toisen pankkikortilla omia
laskujaan tai siirtäisi rahaa tililleen? Se ei varmaan kannattaisi :)
Kertokaapa, jos tiedätte varmuudella: eikös ulkomaiselle tilille
maksettaessa pidä asioida pankissa kassatädin kanssa?
--
Timo Hirvi
Niilo Siljamo
> Aivan käsittämätöntä. Mielestäni henkilötunnuksen (tietämisen) käyttäminen
> jonain henkilötodistuksena tms. pitäisi kieltää lailla.
Ja sitten kun on saatu ihmiset ymmärtämään, että henkilötunnus ei ole
mikään salasana tai todistus henkilöllisyydestä, voitaisiin
henkilötunnus ottaa järkevään käyttöön erottamaan saman nimiset
ihmiset toisistaan. Tällä taataan se, että päästään eroon monista
sekaannuksista, kun ei enää yritetä arpoa oikeaa henkilöä nimen
perusteella.
Henkilötunnus on suomalaisen yksikäsitteinen numeerinen nimi ja siksi
sen käyttökiellosta rekistereissä on vain haittaa. Jos nimi on
harvinainen, eri rekistereiden tietojen yhdistely onnistuu pelkän
nimen avulla, eikä henkilötunnuksen käytön kieltämisestä ole mitään
suojaa. Jos taas nimi on yleinen, rekistereiden yhdistely johtaa
väistämättä tietojen sekaantumiseen toisten saman nimisten kanssa.
Tietojen yhdistelyn kiellon pitäisi riittää, koska tietoja voidaan
toki yhdistellä pelkän nimen ja vaikkapa osoitteenkin avulla. Virheitä
vain tulee enemmän kuin henkilötunnusta käytettäessä.
Vastaukset on sitten ohjattu sfnet.keskustelu.kuluttajaan.
--
Niilo....@Helsinki.FI + http://www.iki.fi/siljamo/
Department of Meteorology + sil...@iki.fi
University of Helsinki +
Finland +
Osmo Ronkanen
Timo Hirvi <tmh...@iki.fi> wrote:
>Jaakko Atkins <jaakko.at...@nauta.neopac.metsaserla.fi> kirjoitti:
>>Kävipä tossa eilen illalla pieni inhimillinenmoka. Näpyttelin
>>SOLO-maksuautomaatille väärän tunnusluvun. Kone herjasi siitä ja
>>tarjosi kortin takaisin...
>
>Maksuautomaatista ei voi nostaa rahaa. Toisaalta en ihmettele, miksi
>maksuautomaatti tarkastaa tunnusluvun heti, koska väärästä tunnusluvusta
>olisi todella hauska saada tietää, kun on naputellut koko laskun
>koneeseen.
>
Lisäksi Solot eivät ole yhteiskäytössä, joten tarkastaminen on pankin
sisäinen asia.
Osmo
Osmo Ronkanen
Niilo Siljamo <Niilo....@Helsinki.FI> wrote:
>
>Henkilötunnus on suomalaisen yksikäsitteinen numeerinen nimi ja siksi
>sen käyttökiellosta rekistereissä on vain haittaa. Jos nimi on
>harvinainen, eri rekistereiden tietojen yhdistely onnistuu pelkän
>nimen avulla, eikä henkilötunnuksen käytön kieltämisestä ole mitään
>suojaa. Jos taas nimi on yleinen, rekistereiden yhdistely johtaa
>väistämättä tietojen sekaantumiseen toisten saman nimisten kanssa.
Ideahan käsittääkseni on juuri estää erilainen yhdistely. Suomessa on
mielestäni hyvin tajuttu massaluovutuksen merkitys. Siis se, että tieto on
julkinen ei vielä tarkota että se pitäisi olla helposti saatavilla.
Esim. verotiedot ovat julkisia (tietyssä määrin) mutta niitä ei tosta
vain anneta massaluovutuksena, esim. magneettinauhalla tai
www-palvelimen kautta, vaan pitää mennä verovirastoon kysymään.
>Tietojen yhdistelyn kiellon pitäisi riittää, koska tietoja voidaan
>toki yhdistellä pelkän nimen ja vaikkapa osoitteenkin avulla. Virheitä
>vain tulee enemmän kuin henkilötunnusta käytettäessä.
Ei pelkkä kielto mielestäni ole tarpeeksi.
Osmo
Jaakko Atkins
wrote:
Meinasin vaan, että tunnusluvun voisi urkkia selville yön pimeinä
tunteina ihan vapaasti. Tunnusluvun selvittyä ottaa sitten pari
askelta Otto-pisteelle ja tyhjentää kortin takana oleva tili. Aikaahan
tohon menee kyllä pirusti.
Samoin bensa-automaatit ilmeisesti palauttavat kortin väärien
tunnuslukujen jälkeen. Ei kyllä ole empiiristä tietoa tuosta.
Juha Veijalainen
jaakko.at...@nauta.neopac.metsaserla.fi says...
> Meinasin vaan, että tunnusluvun voisi urkkia selville yön pimeinä
> tunteina ihan vapaasti. Tunnusluvun selvittyä ottaa sitten pari
> askelta Otto-pisteelle ja tyhjentää kortin takana oleva tili. Aikaahan
> tohon menee kyllä pirusti.
>
> Samoin bensa-automaatit ilmeisesti palauttavat kortin väärien
> tunnuslukujen jälkeen. Ei kyllä ole empiiristä tietoa tuosta.
Sirukortit eivät edes mene automaatin sisälle ja ne saa aina, vaikka
kesken tapahtuman, vetämällä pois.
Asiasta mitään tietämättä kuvittelisin, että ko. korteissa olisi jokin
järjestelmä vääriä tunnuslukuja vastaan. Muutenhan riittäsi, että
tökkisi kortin automaattiin vain muutamia tuhansia kertoja ;-)
--
Juha Veijalainen, Helsinki, Finland
http://www.iki.fi/juhave/
** Mielipiteet omiani ** Opinions personal, facts suspect **
Tommi Elo
Miten sitten esimerkiksi huolto-asemien automaatit toimivat? Kaikilta, kun
ei tiettävästi ole jatkuvaa yhteyttä ulospäin?