Pankkikortin tunnusluku on kortilla
Petteri Jarvinen
harhaanjohtavaa tietoa väittäessään, ettei pankkikortin tunnuslukua ole
tallennettu itse korttiin. Luku on kortilla, vaikka tavan sen lukemiseen
tietääkin Suomessa virallisesti vain muutama ihminen.
Virolaisten (?) pankkikorttihuijauksen myötä on käynyt hyvin
todennäköiseksi, että tieto on nyt levinnyt sisäpiirin ulkopuolelle. Voiko
pankki jatkossa olla korvaamatta niitä nostoja, jotka pankkikortilla sen
varastamisen jälkeen on tehty, vaikka tunnuslukua ei olisi säilytetty
lompakossa? Kuka enää uskaltaa säilyttää pankkikorttia lompakossa, jos sen
tunnusluku on selvitettävissä korttia lukemalla?
Petteri
Tuomas Eerola
Petteri Jarvinen <petteri...@pjoy.fi> wrote:
>On ilmennyt, että pankit ovat antaneet asiakkailleen vähintäänkin
>harhaanjohtavaa tietoa väittäessään, ettei pankkikortin tunnuslukua ole
>tallennettu itse korttiin. Luku on kortilla, vaikka tavan sen lukemiseen
>tietääkin Suomessa virallisesti vain muutama ihminen.
Sen rajallisen tietämyksen valossa mitä minulla niin tunnuslukua ei
todellakaan ole tallennettu kortille, aivan kuten vaikkapa Unix-
tietokonejärjestelmissäkään salasanaa ei ole sellaisenaan tallennettu
yhtään mihinkään eikä salasanaa tiettävästi pystytä tallennetun tiedon
perusteella selvittämään.
Joku näppärä henkilö magneettikortinlukijan kanssa voi erittäin
helposti lukea mitä kortille on tallennettu, pankkiautomaateissa
ei ole mitään erikoislaitteistoa lukemassa mitään salaisella
menetelmällä magneettiraidalle vinottain tallennettua tunnuslukua.
Tuomas
Timppa
<petteri...@pjoy.fi> wrote:
>On ilmennyt, että pankit ovat antaneet asiakkailleen vähintäänkin
>harhaanjohtavaa tietoa väittäessään, ettei pankkikortin tunnuslukua ole
>tallennettu itse korttiin. Luku on kortilla, vaikka tavan sen lukemiseen
>tietääkin Suomessa virallisesti vain muutama ihminen.
Missähän tämä on ilmennyt? Asiaa on epäilty aiemminkin, mutta pankit
ovat kivenkovaan väittäneet, että tunnuslukutieto ei ole kortilla.
Siihen on ollut uskominen, koska kukaan ei ole voinut todistaa
muutakaan... Onko nyt ilmennyt jotain uutta/todisteita?
Timppa
Timo Raita
> >tallennettu itse korttiin. Luku on kortilla, vaikka tavan sen lukemiseen
> Missähän tämä on ilmennyt? Asiaa on epäilty aiemminkin, mutta pankit
> ovat kivenkovaan väittäneet, että tunnuslukutieto ei ole kortilla.
Miksi sen pitäisi olla kortilla? Kun automaatti joutuu joka tapauksessa
ottamaan yhteyden johonkin pankin palvelin- tms. koneeseen
selvittääkseen, onko tilillä saldoa, miksei tunnuslukutietoakin voitaisi
hakea sieltä?
Toisaalta se, että tunnusluku on "sidottu" korttiin eikä sitä pysty
muuttamaan, voisi antaa olettaa muuta. Tunnusluku ei varmaankaan ole
kortilla "selväkielisenä" tavallisella magneettinauhalukijalla
luettavissa, mutta voisiko tässä olla sitten jokin vastaava turva-aukko
kuin niissä paljonpuhutuissa mokialaisten kännyköiden
yleisavainkoodeissa, joita laskettiin IMEIstä...?
Niilo Paasivirta
>Missähän tämä on ilmennyt? Asiaa on epäilty aiemminkin, mutta pankit
>ovat kivenkovaan väittäneet, että tunnuslukutieto ei ole kortilla.
>muutakaan... Onko nyt ilmennyt jotain uutta/todisteita?
No maalaisjärjelläkin tuon selvittää: pakkohan sen on olla. Eihän niitä
tunnuslukutiedostoja kai voida niille kaikille automaateille erikseen
lähettää. Todisteen saa kun hakee uuden automaattikortin ja ryntää
heti jollekin automaatille: tunnusluku toimii saman tien.
Tuoko muka salaisuus? Pah.
Luultavasti tunnusluku on kuitenkin kortilla kryptattuna; samalla
periaatteella kuin esimerkiksi salasanat. Jos tietää kryptausmenetelmän,
nelinumeroisen tunnusluvun selvittäminen on naurettavan helppoa - sen kun
vaan kryptaa luvut 0000-9999 ja vertaa tulosta kortilla olevaan kryptattuun
dataan. Hm... liekö edes mitään järkeä kryptata koko lukua. Yhtä hyvin se
voi olla vaikka ihan suoraan talletettuna ilman turhaa hienostelua!
--
<a href="http://www.jyu.fi/%7Enp/index.html"> Niilo Paasivirta </a>
Timo Raita
> >ovat kivenkovaan väittäneet, että tunnuslukutieto ei ole kortilla.
>
> No maalaisjärjelläkin tuon selvittää: pakkohan sen on olla.
No kaupunkilaisjärjelläkin tuon selvittää, että sen ei ole pakko olla.
>Eihän niitä tunnuslukutiedostoja kai voida niille kaikille automaateille
>erikseen lähettää.
Onkos tilin saldonkin sitten oltava kortilla? Kyllä ne tunnusluvut
voidaan lähetellä automaateille siinä missä tilitiedotkin, joskaan niitä
tuskin erikseen varastoidaan jokaisen automaatin muistiin.
>Todisteen saa kun hakee uuden automaattikortin ja ryntää
> heti jollekin automaatille: tunnusluku toimii saman tien.
Oletko koskaan tullut ajatelleeksi, että automaatti voisi hakea
tunnusluvun tietoliikenneyhteyden yli joltakin pankin palvelimelta?
Ainoa epäilyksiä herättävä yksityiskohta on se, että tunnuslukua ei voi
vaihtaa. Jos tunnusluvut tosiaankin ovat palvelimen tietokannassa
eivätkä korteilla, ei kai luulisi olevan mahdotonta toteuttaa esim.
laskunmaksuautomaatteihin toiminto, jolla tunnusluvun voisi vaihtaa.
Markus Kokko
Petteri Jarvinen kirjoitti viestissä <748ndg$e...@idefix.eunet.fi>...
>Voiko
>pankki jatkossa olla korvaamatta niitä nostoja, jotka pankkikortilla sen
>varastamisen jälkeen on tehty, vaikka tunnuslukua ei olisi säilytetty
>lompakossa? Kuka enää uskaltaa säilyttää pankkikorttia lompakossa, jos sen
>tunnusluku on selvitettävissä korttia lukemalla?
>
>Petteri
En tiedä paljoakaan pankkikorttien ja -automaattikorttien teknisistä
sovellutuksista erilaisine koodaustapoineen, mutta otan kantaa kysyjän
kysymykseen pankin vastuusta tilanteessa, jossa pankki- tai automaattikortin
tunnusluku on saatavissa itse pankkikortista ja tämän tunnusluvun avulla
tehdään luvattomia nostoja automaatilla.
Pankkikortin ja pankkiautomaattikortin haltijalta edellytetään
huolellisuutta kortin käsittelyssä. Tähän huolellisuuteen kuuluu muun
muassa, että kortista huolehditaan niinkuin arvoesineestä ja sitä
säilytetään turvallisessa paikassa, eikä korttia luovuteta sivullisille.
Kortin tunnusluku puolestaan pitää säilyttää erillään kortista. Näin toimien
kortinhaltija on lähtökohtaisesti täyttänyt huolellisuusvelvoitteensa kortin
käytön suhteen. Vastuunjako kortin katoamistapauksissa on seuraava: vastuu
siirtyy pankille siitä hetkestä alkaen kun kortinhaltija tekee katoamisesta
ilmoituksen pankille, ellei kortinhaltijan huolimattomuus ole ollut lievää
suurempaa. (lievää suurempana huolimattomuutena on
kuluttajavalituslautakunnan mukaan pidetty mm. kortin jättämistä lukittuun
autoon)
Lähtökohtaisesti kysytty tapaus ratkeaa siten, että vastuu on
kortinhaltijalla siihen asti kun hän ilmoittaa kortin katoamisesta pankille,
vaikka tunnusluku olisi luettavissa kortista. Kortinhaltijalta ei poistu
vastuu sillä perusteella, että kortista voisi saada selville tunnusluvun,
koska kortinhaltija on joka tapauksessa velvollinen kortin huolelliseen
säilyttämiseen, olipa tunnusluku luettavissa kortista tai ei.
Katoamistapauksista on pidettävä erillään tapaukset, joissa kortinhaltijalta
puuttuu huolimattomuus kortin säilyttämisessä. Tällöin kortinhaltija ei
vastaa mistään kortin oikeudettomasta käytöstä, vaan vastuu on kokonaan
pankin. Kyseeseen tulevat mm. ryöstö, kortin varastaminen esim. lukitusta
asuinhuoneistosta.
t:MK
Santtu Ahonen
> On 4 Dec 1998, Niilo Paasivirta wrote:
> > >ovat kivenkovaan väittäneet, että tunnuslukutieto ei ole kortilla.
> >
> > No maalaisjärjelläkin tuon selvittää: pakkohan sen on olla.
>
> No kaupunkilaisjärjelläkin tuon selvittää, että sen ei ole pakko olla.
>
> tunnusluvun tietoliikenneyhteyden yli joltakin pankin palvelimelta?
Kyllä siellä raidalla on se pin-numeron tieto mutta kryptattuna.
Tarkkaanottaen tunnuslukutieto ei siis ole kortilla, vain ns.
"sormenjälki" ko. luvusta. Kryptausalgoritmiä tai avaintenkäsit-
telyrutiinia en tunne mutta eiköhän siitäkin voi arvailla paljon.
Viksummat jatkakoon.
On olemassa ns. kylmiä automaateja joista ei ole online yhteyttä
muuhun maailmaan, yleisimmin ulkomailla kuin kotimaassa. Näistä ei
saa saldoa vaikka haluaisi.
Tämä keskustelu tai koko threadi ei taida liittyä lakiin. Follarit
ohjattu kuluttajaan ja turvallisuuteen.
Regards, Stu
-----------------------------------------------------------------------
Santtu Ahonen WB#StuBit Icebreakers DoD#2041 MMAF MC BajaHill
s...@nospam.compart.fi http://www.compart.fi/stu/ HD 1200 Panhead
Opinions presented here are not necessarily the opinions of my employer
K Johanna Viitanen
> Ainoa epäilyksiä herättävä yksityiskohta on se, että tunnuslukua ei
> voi vaihtaa. Jos tunnusluvut tosiaankin ovat palvelimen tietokannassa
> eivätkä korteilla, ei kai luulisi olevan mahdotonta toteuttaa esim.
> laskunmaksuautomaatteihin toiminto, jolla tunnusluvun voisi vaihtaa.
Irlannissa tämä onnistuu ainakin Allied Irish Bankin korteilla.
Pankeissa (ei kadulla) sijaitsevilla automaateilla on mahdollista
vaihtaa itse tunnuslukua vaikka useita kertoja päivässä.
Johanna
Mika Iisakkila
> Ainoa epäilyksiä herättävä yksityiskohta on se, että tunnuslukua ei voi
> vaihtaa. Jos tunnusluvut tosiaankin ovat palvelimen tietokannassa
> eivätkä korteilla, ei kai luulisi olevan mahdotonta toteuttaa esim.
> laskunmaksuautomaatteihin toiminto, jolla tunnusluvun voisi vaihtaa.
Voipi olla ennemminkin design feature - jos ihmiset pystyisivät
vaihtamaan tunnuslukunsa, se olisi joka toisella kortilla 1111.
Aiheen problematiikka ei minua hirveästi sinänsä kiinnosta, mutta sen
kerran kun onnistuin hukkaamaan pankkikorttini ja menin hakemaan
automaattikorttia, jotta saisin jostain ostettua ruokaa, se itse
kortti ei käynyt mielestäni missään laitteessa, jossa siihen olisi
kirjoitettu tunnuslukuani missään muodossa. Täti otti kaapista
korkkaamattoman kortin, naputteli koneellaan hetken ja siinä se.
Eli tieto kortin kuulumisesta johonkin tiliin (ja tunnuslukuun) lienee
tämän perusteella jossain muualla kuin sillä kortilla.
--
http://www.hut.fi/u/iisakkil/ - remove the "no spam" -stuff from
mail address when replying
Joachim Paganus
>Oletko koskaan tullut ajatelleeksi, ett=E4 automaatti voisi hakea=20
>tunnusluvun tietoliikenneyhteyden yli joltakin pankin palvelimelta?
Vaan kun se automaatti osaa tunnistaa oikean ja v{{r{n tunnusluvun vaikka
se kivenkovaa v{itt{{ ett{ yhteytt{ pankkiin ei saada, niin todenn{k|ist{
on ett{ se tunnusluku on sill{ kortilla jossain muodossa.
--
Joachim Paganus Clinet Ltd, Tekniikantie 12, 02150 Espoo, FINLAND
je...@clinet.fi Phone: +358-9-43542277, Fax: +358-9-4555276
OH2KXH Mobile: +358-40-5538516
Osmo Ronkanen
>On Fri, 4 Dec 1998 15:18:03 +0200, "Petteri Jarvinen"
><petteri...@pjoy.fi> wrote:
>
>>On ilmennyt, että pankit ovat antaneet asiakkailleen vähintäänkin
>>harhaanjohtavaa tietoa väittäessään, ettei pankkikortin tunnuslukua ole
>
Siis tunnusluku saadaan salakirjoittamalla kortilla oleva informatatio
"erittän salaisella" avaimella. Jos toi avain joutuu sivullisten käsiin
koko pankin korttijärjestelmä luhistuu. Kohdistuiko mainittu huijaus eri
pankkien asiakkaisiin? Siinä tapauksessa ton avaimen pääsy vääriin
käsiin tuntuisi epätodennäköiseltä.
Homman olisi voinut laittaa turvalliseksi niin yksinkertaisella
systeemillä että tulos vielä xorrattaisiin pankin tietokoneella olevalla
korttikohtaisella satunnaisluvulla. Itseasassa vastaavia systeemejä on
joisain maissa käytössä mutta tällöin ideana on lähinnä ollut
mahdollistaa tunnusluvun vaihtaminen.
Mielestäni pitäisi mennä amerikkalaiseen käytäntöön, että asiakas on
aina oikeassa kiistäessään noston ellei pankki pysty osoittamaan toisin.
Osmo
Timo Viljanen
Petteri Jarvinen wrote:
> Virolaisten (?) pankkikorttihuijauksen myötä on käynyt hyvin
> todennäköiseksi, että tieto on nyt levinnyt sisäpiirin ulkopuolelle.
Viimeksi kuulin, että numero oli saatu näppäimistön painallusääniä
taltioimalla.
Timo
Tero Kivinen
> On ilmennyt, että pankit ovat antaneet asiakkailleen vähintäänkin
> harhaanjohtavaa tietoa väittäessään, ettei pankkikortin tunnuslukua ole
> tallennettu itse korttiin. Luku on kortilla, vaikka tavan sen lukemiseen
> tietääkin Suomessa virallisesti vain muutama ihminen.
Menetelmän tietää varmaan useampikin, salauksessa käytetyn avaimen
luultavasti vain nuo muutamat henkilöt.
Tämä hieman vanha artikkeli pankkiautomaateista kertoo asiasta (ja
asian vierestä) aika paljon:
http://axion.physics.ubc.ca/atm.html
Artikkelissa on hyvin paljon kauhutarinoita siitä mitä pankit yms ovat
tietojaan suojanneet ja monet noista menetelmistä eivät todellakaan
ole olleet turvallisia. Artikkelin kirjoittaja on ymmärtääkseni
suhteellisen arvostettu henkilö ja hänen pitäisi tietää miten asiat
toimivat... Kannattaa kuitenkin huomata että itse artikkeli on aika
vanha (8. joulukuu 1992), joten osa tiedoista on varmaan jo muuttunut.
Sen sijaan hänen kuvauksensa siitä miten pin-koodit yleensä
talletetaan pankkikorteille pitää luultavasti edelleen paikkansa
(ymmärtääkseni tuo menetelmä on joku kansainvälinen standardi).
Account numberin tilalla käytetään luultavasti kyllä
pankkiautomaattikorttien kyseessä ollessa pankkiautomaattikortin
numeroa. Itse tunnuslukuhan tulee yleensä valmiiksi printattuna kortin
mukana samalla kun kortti annetaan asiakkaalle.
----------------------------------------------------------------------
...
PINs are calculated as follows. Take the last five significant
digits of the account number, and prefix them by eleven
digits of validation data. These are often the first eleven digits
of the account number; they could also be a function of the
card issue date. In any case, the resulting sixteen digit value
is input to an encryption algorithm (which for IBM and
VISA systems is DES, the US Data Encryption Standard
algorithm), and encrypted using a sixteen digit key called
the PIN key. The first four digits of the result are
decimalised, and the result is called the `Natural PIN'.
Many banks just issued the natural PIN to their customers.
However, some of them decided that they wished to let their
customers choose their own PINs, or to change a PIN if it
became known to somebody else. There is therefore a four
digit number, called the offset, which is added to the natural
PIN to give the PIN which the cusomer must enter at the
ATM keyboard.
So here is how it works:
Account number: 4506602100091715
Last 5 digits: 91715
Validation data: 88070123456
Data input to DES algorithm: 8807012345691715
PIN key input to DES algorithm: FEFEFEFEFEFEFEFE
Output of DES algorithm: A2CE126C69AEC82D
First four digits decimalised (Natural PIN): 0224
A=(1)0 2=2 C=(1)2 E=(1)4
Offset: 6565
Customer PIN: 6789
The DES algorithm can be thought of as a black box which is
initialised by a 56-bit key and then acts on 64-bit blocks of
data. It has the property that, given the key, working out the
ciphertext from the plaintext, or vice versa, is easy; but given
only a plaintext and ciphertext, the corresponding key (if
any) is rather hard to find. In fact, finding a key usually
means trying about 255 possible values; it is straightforward
to calculate that, even given a parallel machine with 64,000
processors, each of which could try one key per microsecond,
the search would take about a week. The computational
resources needed are thus (currently) beyond the
purchasing power of most individuals.
One might have thought that using a strong encryption
algorithm would be enough to make systems secure. This is
emphatically not so; one UK bank decided to just encrypt the
PIN and write it to the card. Thieves found out that by
taking their own card, or at least a card whose PIN they
knew, and changing the account number on the strip to an
account number gleaned from a discarded receipt, they
could use their own PIN to raid the other account.
Designing cryptographic protocols which work is in fact a
hard problem, and the subject of much current research.
Most `amateur' designs turn out to contain serious flaws,
and so systems such as IBM's became very widely used. This
led in turn to a new problem: when a bank uses a published
system, its security then depends totally on keeping its PIN
key secret, and how can one keep secret a number that has
to be entered into thousands of ATMs over a period of many
years?
----------------------------------------------------------------------
Kannattaa muuten huomata että tuo PIN Key jolla tuo data cryptataan
murtuu esim EFF:n des crackerillä
(http://www.eff.org/pub/Privacy/Crypto_misc/DESCracker/) noin kolmessa
ja puolessa päivässä ja siihen tarvitaan viisi korttia, joiden
tunnusluvut ja korttinumerot tiedetään. Tuosta algoritmistä myös
selviää miksi pin-koodeissa numerot 0-5 ovat yleisempiä kuin 6-9.
Kyseinen PIN key on muuten kohtuullisen arvokas ja pankit luultavasti
maksaisivat aika paljon siitä ettei ko avain eksy hesarin etusivulle
(== tuo olisi luultavasti huomattavasti tuotoisampaa kuin leikkiä
joillakin kopioiduilla korteilla, mikäli ko avain saadaan murrettua).
--
kiv...@iki.fi Work : +358-9-4354 3218
SSH Communications Security http://www.ssh.fi/
SSH IPSEC Toolkit http://www.ssh.fi/ipsec/
Osmo Ronkanen
Markus Kokko <markus...@kolumbus.fi> wrote:
>Kortinhaltijalta ei poistu
>vastuu sillä perusteella, että kortista voisi saada selville tunnusluvun,
>koska kortinhaltija on joka tapauksessa velvollinen kortin huolelliseen
>säilyttämiseen, olipa tunnusluku luettavissa kortista tai ei.
Mutta pitäisi poistua. Pankki on vasuussa siitä että vain tunnusluvin
tietävä pääsee käyttämään korttia. Ei vastuuta voi yksinkertaisesti
siirtää asiakkaalle pelkästään sillä että hänen olisi tullut olla
huolellinen.
Pitää muistaa lisäksi että kortti voidaan myös kopioida, Sitä ei tarvitse
varastaa. Tällöin henkillä ei ole mitään syytä ilmoittaa pankille.
Osmo
Kari Korpi
[...]
>kortti ei käynyt mielestäni missään laitteessa, jossa siihen olisi
>kirjoitettu tunnuslukuani missään muodossa. Täti otti kaapista
>korkkaamattoman kortin, naputteli koneellaan hetken ja siinä se.
>Eli tieto kortin kuulumisesta johonkin tiliin (ja tunnuslukuun) lienee
>tämän perusteella jossain muualla kuin sillä kortilla.
Ja uusi kortti totteli vanhaa PIN-koodia?
Minulle on joka kerta tuputettu uuden kortin mukanan uusi koodi...
karikorpi
Osmo Ronkanen
Joachim Paganus <je...@katiska.clinet.fi> wrote:
>In <Pine.OSF.3.91.981204...@nic.funet.fi> Timo Raita <ra...@nic.funet.fi> writes:
>>Oletko koskaan tullut ajatelleeksi, ett=E4 automaatti voisi hakea=20
>>tunnusluvun tietoliikenneyhteyden yli joltakin pankin palvelimelta?
>
>Vaan kun se automaatti osaa tunnistaa oikean ja v{{r{n tunnusluvun vaikka
>se kivenkovaa v{itt{{ ett{ yhteytt{ pankkiin ei saada, niin todenn{k|ist{
>on ett{ se tunnusluku on sill{ kortilla jossain muodossa.
>
Ei se automaatti tarkastusta tee. Itseasiassa nykyäänhän automaatit
hyväksyvät vääränkin tunusluvun ja vasta kun toiminto lähetetään
pankille, lähetetään tunnulukukin tarkastusta varten.
Osmo
Sami Sundell
Osmo Ronkanen <ronk...@cc.helsinki.fi> wrote:
>Mutta pitäisi poistua. Pankki on vasuussa siitä että vain tunnusluvin
>tietävä pääsee käyttämään korttia. Ei vastuuta voi yksinkertaisesti
>siirtää asiakkaalle pelkästään sillä että hänen olisi tullut olla
>huolellinen.
Vaihteeksi samaakin mieltä 8) Eli jos nyt sattuu olemaan niin,
että tunnusluku on saatavissa kortilta, ei pankki voi piiloutua
tuon "säilytettävä huolellisesti" -höpötyksen taakse. Saman
tienhän voi jättää koko tunnusluvun pois - eihän väärinkäytöksiä
tapahdu, jos asiakas on huolellinen.
Eli jos nyt käytetään sitä niin suosittua maalaisjärkeä, niin
tunnusluvusta huolehtimisen pitäisi olla asiakkaan niskoilla,
itse kortin turvallisuudesta taas on vastuussa pankki.
Sami Sundell
Timo Viljanen <vilj...@iki.fi> wrote:
>Viimeksi kuulin, että numero oli saatu näppäimistön painallusääniä
>taltioimalla.
Mihin niitä numeroita paineltiin, puhelimeen? Nojuu, en ole
juurikaan noita ääniä mittaillut, mutta ainakin minun käyttämäni
automaatit päästelevät monotonisesti yhtä taajuutta riippumatta
siitä, mitä numeroa painaa.
Marko Mäkelä
Santtu> Kyllä siellä raidalla on se pin-numeron tieto mutta
Santtu> kryptattuna. Tarkkaanottaen tunnuslukutieto ei siis ole
Santtu> kortilla, vain ns. "sormenjälki"
Santtu> ko. luvusta.
Aivan, mutta koska mahdollisia tunnuslukuja on vain 10000 erilaista,
tunnusluku on erittäin nopeasti selvitettävissä. Tarvitaan vain
laite, joka pyytää korttia ja tunnuslukua. Laitetta muunnellaan ja se
liitetään tietokoneeseen, joka kokeilee tunnuslukuja, kunnes tärppää.
Kyseisen laitteenhan saa varastamalla pankkiautomaatin; eiköhän niitä
olekin varastettu vuosien mittaan. Sama tekniikka on käytössä monissa
Euroopan maissa, joten sen hyödyntämismahdollisuudet ovat varmasti
kansainvälisen rikollisuuden tiedossa.
Santtu> On olemassa ns. kylmiä automaateja joista ei ole online
Santtu> yhteyttä muuhun maailmaan, yleisimmin ulkomailla kuin
Santtu> kotimaassa. Näistä ei saa saldoa vaikka haluaisi.
Näin on. Esimerkiksi Saksassa Sparkasse-pankin automaatit olivat
ainakin vielä 3 vuotta sitten yhteydessä pankin tietojärjestelmään
käsittääkseni vain saman kaupungin sisällä. Muiden pankkien
automaateista tai saman pankin automaateista eri kaupungissa rahaa ei
joko saanut tai siitä meni maksu.
Suomessa huoltoasemien automaatit eivät ilmeisesti ole suorassa
yhteydessä pankkien järjestelmiin.
Marko
J.P
Marko Mäkelä wrote in message <7lr9uek...@siphon.hut.fi>...
>>>>>> "Santtu" == Santtu Ahonen <
>Santtu> On olemassa ns. kylmiä automaateja joista ei ole online
>Santtu> yhteyttä muuhun maailmaan, yleisimmin ulkomailla kuin
>Santtu> kotimaassa. Näistä ei saa saldoa vaikka haluaisi.
>
>Näin on. Esimerkiksi Saksassa Sparkasse-pankin automaatit olivat
>ainakin vielä 3 vuotta sitten yhteydessä pankin tietojärjestelmään
>käsittääkseni vain saman kaupungin sisällä. Muiden pankkien
>automaateista tai saman pankin automaateista eri kaupungissa rahaa ei
>joko saanut tai siitä meni maksu.
>
>Suomessa huoltoasemien automaatit eivät ilmeisesti ole suorassa
>yhteydessä pankkien järjestelmiin.
>
> Marko
Niin eikös monet maksupäätteet ole "offline" -tilassa ja päivittivät
tietonsa silloin tällöin(en tosin tiedä aivan tämän päivän tilannetta koska
kehitys taitaa kulkea siihensuuntaan että ovat "online"mutta aivan jokin
aika sitten ainakaan kaikki eivät vielä olleet)
Eli kyllä ne sen tunnusluvun oikeellisuuden osaavat selvittää ilman
"onlinea" joten kyllä sen luvun tavallaan (huom. tavallaan) itse kortilta on
löydyttävä
Tämä tuntuu olevan semmoinen asia jota ei moni usko - no en toisaalta
ihmettele kyllähän se tuntuu aika uskomattomalta mutta näin valitettavasti
asia näiden päättelyjen perusteella on
Pekka Siltala
>Tämä tuntuu olevan semmoinen asia jota ei moni usko - no en toisaalta
>ihmettele kyllähän se tuntuu aika uskomattomalta mutta näin
valitettavasti
>asia näiden päättelyjen perusteella on
Eihän moni uskoisi, jos kertoisi helpoimman tavan kopioida
magneettinauha olevan silitysrauta ;)
Pekka Siltala
Timo Hirvi
>
>Eihän moni uskoisi, jos kertoisi helpoimman tavan kopioida
>magneettinauha olevan silitysrauta ;)
En uskokaan, että se on helpoin (lasken helppouteen myös sen, että homma
todella toimii). Mahdollinen tapa se kyllä on, mutta uskon 8-raitanauhurin
olevan helpomman.
--
Timo Hirvi
Mika Iisakkila
> Ja uusi kortti totteli vanhaa PIN-koodia?
> Minulle on joka kerta tuputettu uuden kortin mukanan uusi koodi...
Hömjaa... no uusi pankkikortti toimi joka tapauksessa sillä vanhalla
PIN:illä, mutta suoraan sanoen en muista oliko sillä automaattikortilla
sama PIN - taisin käyttää sitä noin kaksi kertaa.
Mikko
>>erikseen lähettää.
>
>Onkos tilin saldonkin sitten oltava kortilla? Kyllä ne tunnusluvut
>voidaan lähetellä automaateille siinä missä tilitiedotkin, joskaan niitä
>tuskin erikseen varastoidaan jokaisen automaatin muistiin.
Tuli vain mieleeni eräs pointti tähän keskusteluun, että yllättävän
nopeasti se luku sitten haetaan, esim bensa-asemilla, jos kortilla maksaa.
Jos taas maksat esim. kaupassa, ja summa on yli 1000mk, niin sen varmistus
kestää _kauan_ (ainakin siinä, missä minä olen töissä). Meillä se
järjestelmä ottaa yhteyden pankkiin, ja varmistaa, että tilillä on rahaa,
jos pankkikortilla maksaa.
Pointti oli siis siinä, että yllättävän nopeasti se sen pin koodin hakisi,
jos se sen hakee, kun kerta saldon hakeminen kestää kauan.
Mikko
Osmo Ronkanen
>>>Eihän niitä tunnuslukutiedostoja kai voida niille kaikille automaateille
>>>erikseen lähettää.
>>
>>Onkos tilin saldonkin sitten oltava kortilla? Kyllä ne tunnusluvut
>>voidaan lähetellä automaateille siinä missä tilitiedotkin, joskaan niitä
>>tuskin erikseen varastoidaan jokaisen automaatin muistiin.
>
Ei automaatille lähetetä tunnuslukuja, vaan automaatti lähettää
käyttäjän naputetteleman tunnusluvun eteenpäin ja keskuskone tekee
tarkastuksen.
Osmo
Osmo Ronkanen
>
>Niin eikös monet maksupäätteet ole "offline" -tilassa ja päivittivät
>tietonsa silloin tällöin(en tosin tiedä aivan tämän päivän tilannetta koska
>kehitys taitaa kulkea siihensuuntaan että ovat "online"mutta aivan jokin
>aika sitten ainakaan kaikki eivät vielä olleet)
>Eli kyllä ne sen tunnusluvun oikeellisuuden osaavat selvittää ilman
>"onlinea" joten kyllä sen luvun tavallaan (huom. tavallaan) itse kortilta on
>löydyttävä
Tämä on niin uskomaton väite, etten usko sitä ilman todisteita.
Tarkastaako automaatti todellakin väärän tunnusluvun heti?
>Tämä tuntuu olevan semmoinen asia jota ei moni usko - no en toisaalta
>ihmettele kyllähän se tuntuu aika uskomattomalta mutta näin valitettavasti
>asia näiden päättelyjen perusteella on
>
>
Osmo
Kari Korpi
>>Eli kyllä ne sen tunnusluvun oikeellisuuden osaavat selvittää ilman
>>"onlinea" joten kyllä sen luvun tavallaan (huom. tavallaan) itse kortilta
on
>>löydyttävä
>
>Tämä on niin uskomaton väite, etten usko sitä ilman todisteita.
>Tarkastaako automaatti todellakin väärän tunnusluvun heti?
Vielä vuosi sitten oli tuossa lähipitäjässä automaatti joka lykkäsi kortin
heti ulos jos antoi väärän koodin, nykyisin sekin odottelee mitä käyttäjä
haluaa ja vasta sen jälkeen ilmoittaa väärästä koodista.
Mutta siihen mistä se sen koodin tarkisti/tarkistaa... ?
karikorpi
Pekka Siltala
>Vielä vuosi sitten oli tuossa lähipitäjässä automaatti joka lykkäsi
kortin
>heti ulos jos antoi väärän koodin, nykyisin sekin odottelee mitä
käyttäjä
>haluaa ja vasta sen jälkeen ilmoittaa väärästä koodista.
>
>Mutta siihen mistä se sen koodin tarkisti/tarkistaa... ?
>
Saldokyselyyn ainakin vaaditaan maalaisjärjellä yhteys serveriin.
Kylmien 'automaattien' on siis voitava tarkistaa kortin koodi joko
jonkinlaisena tarkistussummana, tai luku todennäköisesti on itse
kortilla. Eihän nelinumeroinen lukusarja tarjoa kovinkaan paljoa
vaihtoehtoja .. eli jos luvun muodostamiseen käytetään esmes sääntöä :
a) sama numero ei toistu, b) kaikki numerot ovat parittomia on
mahdollisuuksia 5040 tai 625. Tarkistussumman käyttäminen noin pienellä
lukualueella on erittäin epäkäytännöllistä.
Pekka Siltala
Pekka Siltala
>Hauskaa tässä koko arvailussa PIN-koodin sijainnista on se, että ne
jotka
>sen tietävät, ovat todennäköisesti allekirjoittaneet jonkun paperin
(esim.
>työsopimuksen), jossa he lupaavat olla kertomatta tällaisia asioita.
>Sopimuksen rikkomisesta voisi vaikkapa joutua vaikeuksiin.
Mutta tiedon hankkiminen ja -julkaisu on artiklassa 19. turvattu. Enkä
ainakaan minä ole mitään pankkikorporaatioiden kanssa sopinut. Eipä siis
muuta kuin otetaan selvää ja läväytetään nettiin.
Quartex
Kari Korpi
Pekka Siltala kirjoitti viestissä <74e141$2pv$1...@tron.sci.fi>...
>>Mutta siihen mistä se sen koodin tarkisti/tarkistaa... ?
>
>Saldokyselyyn ainakin vaaditaan maalaisjärjellä yhteys serveriin.
Näin varmastikin on.
>Kylmien 'automaattien' on siis voitava tarkistaa kortin koodi joko
>jonkinlaisena tarkistussummana, tai luku todennäköisesti on itse
>kortilla. Eihän nelinumeroinen lukusarja tarjoa kovinkaan paljoa
>vaihtoehtoja .. eli jos luvun muodostamiseen käytetään esmes sääntöä :
>a) sama numero ei toistu, b) kaikki numerot ovat parittomia on
>mahdollisuuksia 5040 tai 625. Tarkistussumman käyttäminen noin pienellä
>lukualueella on erittäin epäkäytännöllistä.
Hmmm.. onkos täällä kortin päällä olevalla lukusarjalla mitään tekemistä sen
kanssa joka löytyy magneettiraidoilta...
Eli lähinnä.. minkä verran sieltä raidoilta tietoa löytyy?
karikorpi
Kari Korpi
>Mutta tiedon hankkiminen ja -julkaisu on artiklassa 19. turvattu. Enkä
>ainakaan minä ole mitään pankkikorporaatioiden kanssa sopinut. Eipä siis
>muuta kuin otetaan selvää ja läväytetään nettiin.
Ja varsinkin jos joku "idiootti :)" on sen luvun korttiin piilottanut...
eipä paljon olisi "tietoturvaa" mietiskellyt..
Pitänee hankkia lukulaite jotta voi tutkiskella tilannetta... ;-)
karikorpi
Timo Hirvi
>
>Mutta siihen mistä se sen koodin tarkisti/tarkistaa... ?
Hauskaa tässä koko arvailussa PIN-koodin sijainnista on se, että ne jotka
sen tietävät, ovat todennäköisesti allekirjoittaneet jonkun paperin (esim.
työsopimuksen), jossa he lupaavat olla kertomatta tällaisia asioita.
Sopimuksen rikkomisesta voisi vaikkapa joutua vaikeuksiin.
"Security through obscurity" on aika suosittua pankkimaailmassa (ehkäpä
muuallakin) ja sitä pidetään yllä. Voi voi.
--
Timo Hirvi
Osmo Ronkanen
>
>Vielä vuosi sitten oli tuossa lähipitäjässä automaatti joka lykkäsi kortin
>heti ulos jos antoi väärän koodin, nykyisin sekin odottelee mitä käyttäjä
>haluaa ja vasta sen jälkeen ilmoittaa väärästä koodista.
>
>
Pankin koneelta.
Osmo
vha...@cc.helsinki.fi
hmm.. yhdistelmäkortilla on vain yksi tunnusluku, ja sillä saa
esimerkiksi Ranskan Käpykylän Visa-automaagista rahaa melan heilauksessa.
Enpä varsin usko, että se käy sitä ainakaan Osuuspankista kysymässä.
Pitäisin jossain aikaisemmassa viestissä ollutta DES-juttua ihan
uskottavana.
VesA
Make
> kerran kun onnistuin hukkaamaan pankkikorttini ja menin hakemaan
> automaattikorttia, jotta saisin jostain ostettua ruokaa, se itse
> kortti ei käynyt mielestäni missään laitteessa, jossa siihen olisi
> kirjoitettu tunnuslukuani missään muodossa. Täti otti kaapista
> korkkaamattoman kortin, naputteli koneellaan hetken ja siinä se.
> Eli tieto kortin kuulumisesta johonkin tiliin (ja tunnuslukuun) lienee
> tämän perusteella jossain muualla kuin sillä kortilla.
muuten oliko sama pinni vai uusi
taitaa olla automaattikortit ja pankkikorttit hieman erilaisia
itse siirrätytin pankkikortin(maksukortti) veloittamaan toista tiliä
ja muistan jostain lukeneeni että pin olisi koodattu kortin numerosarjaan
entäs kun maksaa huoltiksella eli pinnin on PAKKO olla kortilla
Timo Raita
> On olemassa ns. kylmiä automaateja joista ei ole online yhteyttä
> muuhun maailmaan, yleisimmin ulkomailla kuin kotimaassa. Näistä ei
> saa saldoa vaikka haluaisi.
Mistäs automaatti sitten tietää, onko tilillä saldoa sen edestä, mitä
asiakas haluaa nostaa?
Timo Raita
> kirjoitettu tunnuslukuani missään muodossa. Täti otti kaapista
> korkkaamattoman kortin, naputteli koneellaan hetken ja siinä se.
> Eli tieto kortin kuulumisesta johonkin tiliin (ja tunnuslukuun) lienee
> tämän perusteella jossain muualla kuin sillä kortilla.
Tieto kortin kuulumisesta johonkin tiliin toki onkin muualla, mutta
tunnusluku voi hyvinkin olla esiohjelmoituna kortille siinä missä kortin
numerokin.
Osmo Ronkanen
>In article <74eigk$c...@kruuna.helsinki.fi>,
>Osmo Ronkanen <ronk...@cc.helsinki.fi> wrote:
>>In article <74dvfr$162$1...@tron.sci.fi>, Kari Korpi <kari...@labra.com> wrote:
>>>
>>>Vielä vuosi sitten oli tuossa lähipitäjässä automaatti joka lykkäsi kortin
>>>heti ulos jos antoi väärän koodin, nykyisin sekin odottelee mitä käyttäjä
>>>haluaa ja vasta sen jälkeen ilmoittaa väärästä koodista.
>>>
>>>Mutta siihen mistä se sen koodin tarkisti/tarkistaa... ?
>>>
>>
>>Pankin koneelta.
>
>hmm.. yhdistelmäkortilla on vain yksi tunnusluku, ja sillä saa
>esimerkiksi Ranskan Käpykylän Visa-automaagista rahaa melan heilauksessa.
>
>Enpä varsin usko, että se käy sitä ainakaan Osuuspankista kysymässä.
>
Luottokorteissa on joku oma systeeminsä. Siinä mielessä tollainen
yhdistelmäkortti oin aina turvattomampi.
Osmo
Osmo Ronkanen
Timo Kokkonen <tj...@iki.fi> wrote:
>
>Kylla mina sain sen kasityksen myos, etta tunnusluvusta on
>jonkinlainen 'fingerprint' tuossa kortin magneettiraidassa. Silla
>Kanadassa olen ihan itse vaihtanutkin pankkikorttin tunnuslukua
>(PIN-number).
Tämä vaihtaminen saadaan aikaan yksinkertaisesti että magneettiraidasta
salakirjoituksella saatu tunnusluku lasketaa yhteen (ylivuoto unohtaen)
nelinumeroisen kortille tai tietokoneelle tallennetun luvun kanssa. Ko.
luku, vaikka se olisi kortilla ei helpota krakkaamista. Jos se on
koneella, on krakkaaminen entistä vaikeampaa.
> Kun aikoinaan hain ensimmaisen pankkikortin siella (Bank
>of Montrealin:sta), niin minulle neuvottiin etta voin vaihtaa
>tunnusluvun mieleisekseni pankki tiskilla olleella laitteella (pieni
>'kannettavan nakoinen' laite josta ei nayttanyt kuin sahkojohto
>lahtevan). Siihen tungettiin vain kortti ja se kysyi ensin vanhan PIN
>koodin ja sitten kahteen kertaan uuden PIN-koodin. Taman jalkeen laite
>'raksutti' hetken jonka jalkeen sylkaisi kortin ulos, ja tunnusluku
>oli vaihdettu.
Mutta tarkastiko se, että antamasi vanha PIN koodi oli oikea? Tietysti
voi olla että aikaisemmin on systeemit olleet huonommat. Japanissa
joskus oli kortteja, joiden magneettiraidan pysty lukemaan kaatamalla
päälle rautajaukoa ja kopauttamalla.
Osmo
Osmo Ronkanen
>
>muuten oliko sama pinni vai uusi
>taitaa olla automaattikortit ja pankkikorttit hieman erilaisia
>itse siirrätytin pankkikortin(maksukortti) veloittamaan toista tiliä
>ja muistan jostain lukeneeni että pin olisi koodattu kortin numerosarjaan
>entäs kun maksaa huoltiksella eli pinnin on PAKKO olla kortilla
>
Usko jo, ei se siellä kortilla ole. Voi olla, että tollaisella
huoltoasemalla on joku paikalinen trakastusmoduuli, joka on rakennettu
siten, että sen sisuksiin ei helposti pääse käsiksi, mutta ei ko
tunnuslukua mitenkään yksinkertaisesti lasketa.
Osmo
Janne Turunen TKKK
:
: Ei se automaatti tarkastusta tee. Itseasiassa nykyäänhän automaatit
: hyväksyvät vääränkin tunusluvun ja vasta kun toiminto lähetetään
: pankille, lähetetään tunnulukukin tarkastusta varten.
Joo, niin tekevät Automatian koneet. Mutta ulkomaiset visa-maatit tuskin
sitä tekevät, vai ovatko kansainväliset yhteydet niin hyvät, että esim.
Amsterdamissa tai Pariisissa PIN tarkistetaan suomalaisista kannoista?
Ainakin molemmissa paikoissa olen automaatista saanut rahaa alle 15 sekunnissa
siitä, kun kortin koneeseen olen työntänyt.
+janne
Lasse Holmström
>>>>
>>>Pankin koneelta.
>>
>>hmm.. yhdistelmäkortilla on vain yksi tunnusluku, ja sillä saa
>>esimerkiksi Ranskan Käpykylän Visa-automaagista rahaa melan heilauksessa.
>>
>>Enpä varsin usko, että se käy sitä ainakaan Osuuspankista kysymässä.
>>
>
> Luottokorteissa on joku oma systeeminsä. Siinä mielessä tollainen
> yhdistelmäkortti oin aina turvattomampi.
>
> Osmo
Minulla taas kun ei ole yhdistelmäkorttia vaan pelkkä automaattikortti,
jolla siis ei voi ostaa mitään eikä varsinkaan luotolla. Se kuitenkin
antaa nostaa rahaa ulkomailla automaateista. Esimerkiksi muutama viikko
sitten se toimi Les Saintesilla, jossa monikaan ei tuntunut kuulleen
Euroopasta jossain monen tuhannen kilometrin päässä. Automaatti ei
varmasti ottanut yhteyttä Suomeen Meritaan.
En ole kokeillut, mutta luulisin, että ko. kortilla olisi mahdollista
tehdä tilinylitys nostamalla "kylmältä" automaatilta enemmän kuin
tilillä on rahaa.
Lasse
Juhana Siren
> Ei se automaatti tarkastusta tee. Itseasiassa nykyäänhän automaatit
> hyväksyvät vääränkin tunusluvun ja vasta kun toiminto lähetetään
> pankille, lähetetään tunnulukukin tarkastusta varten.
Totta. Nopeuttaa toimintaa. Aiemmin automaatti otti ensin yhteyden
tarkistaakseen tunnusluvun ja päästi vasta sitten muihin toimintoihin,
mistä aiheutui toisinaan pitkäkin viive.
> Osmo
--
Juhana Siren, System Administrator/Extrabit Oy | Personal: Juhana...@oulu.fi
*Any opinions above are mine, not Extrabit's.* | Work: Juhana...@extrabit.fi
-------------------------------------------------------------------------------
Marko Mäkelä
Timo> Mistäs automaatti sitten tietää, onko tilillä saldoa sen edestä,
Timo> mitä asiakas haluaa nostaa?
Etkö muista uutista jostain 1990-luvun alusta tai 1980-luvun lopusta,
kun joku vähävarainen pankkiautomaattikortin omistaja oli huomannut,
että jokin automaatti antoi nostaa tililtä enemmän rahaa kuin saldo
antoi myöten? Hän oli sitten tehnyt useamman noston ja ylittänyt
tilinsä melkoisesti. Eiköhän siellä pankin hinnastossa ole
tilinylitysmaksu juuri tämänkaltaisia tapauksia varten.
Minä en ainakaan uskalla käyttää pankkiautomaattikorttiani missään
epämääräisissä paikoissa (mikä tahansa kortinlukijahan voi lukea sen
magneettiraidat, ja tietojen perusteella voidaan tehdä täydellinen
kopio kortista), ja ilmoittaisin heti pankille, jos kortti häviää,
vaikka en säilytäkään tunnuslukua missään muualla kuin päässäni ja
suojaan toisella kädellä, kun naputtelen tunnuslukua. Älykorttiin
perustuva tekniikka olisi tervetullutta, niitä kortteja kun on
huomattavan hankalaa ellei mahdotonta kopioida.
Marko
Timo Raita
> suojaan toisella kädellä, kun naputtelen tunnuslukua. Älykorttiin
> perustuva tekniikka olisi tervetullutta, niitä kortteja kun on
> huomattavan hankalaa ellei mahdotonta kopioida.
Onhan SIMmikin onnistuttu kopioimaan. Tästä oli joskus juttua
sfnet.viestinta.matkapuhelimissa...
Osmo Ronkanen
Janne Turunen TKKK <jtur...@news.abo.fi> wrote:
>Osmo Ronkanen (ronk...@cc.helsinki.fi) wrote:
>:
>: Ei se automaatti tarkastusta tee. Itseasiassa nykyäänhän automaatit
>: hyväksyvät vääränkin tunusluvun ja vasta kun toiminto lähetetään
>: pankille, lähetetään tunnulukukin tarkastusta varten.
>
>sitä tekevät, vai ovatko kansainväliset yhteydet niin hyvät, että esim.
>Amsterdamissa tai Pariisissa PIN tarkistetaan suomalaisista kannoista?
VISA:lla onkin joku eri systeemi. En tarkalleen tiedä sitä, muttaei
sekään mikään ihan triviaali ole.
Osmo
Osmo Ronkanen
>
>Minulla taas kun ei ole yhdistelmäkorttia vaan pelkkä automaattikortti,
>jolla siis ei voi ostaa mitään eikä varsinkaan luotolla. Se kuitenkin
>antaa nostaa rahaa ulkomailla automaateista. Esimerkiksi muutama viikko
>sitten se toimi Les Saintesilla, jossa monikaan ei tuntunut kuulleen
>Euroopasta jossain monen tuhannen kilometrin päässä. Automaatti ei
>varmasti ottanut yhteyttä Suomeen Meritaan.
Ja millä se sitten tarkasti saldon ja velotti tiliä? Voiko Meritan
pankkiautomaattikorttia muka käyttää tosta vain ulkomailla?
Osmo
Lasse Härkönen
> Viimeksi kuulin, että numero oli saatu näppäimistön painallusääniä
> taltioimalla.
Eikös se luku päätelty käden liikkeistä?
--
----------------
Lasse Härkönen lasse.h...@sci.fi
Sitä Sun Tätä - Vaikka mitä
osoitteessa:
http://www.surf.to/sst/
Mikko Koskenniemi
Muistaakseni tämä piti tehdä ennen PIN:n asettamista, esim. kännykaupassa.
Eli jos PIN aktivoidaan, ei kloonaus enää onnistu.... Ainakaan yhtä helposti.
Juhana Siren
> entäs kun maksaa huoltiksella eli pinnin on PAKKO olla kortilla
Miten niin? Kyllä kait huoltiksenkin systeemeistä voi olla yhteys jonnekin?
Lasse Holmström
>>Minulla taas kun ei ole yhdistelmäkorttia vaan pelkkä automaattikortti,
>>jolla siis ei voi ostaa mitään eikä varsinkaan luotolla. Se kuitenkin
>>antaa nostaa rahaa ulkomailla automaateista. Esimerkiksi muutama viikko
>>sitten se toimi Les Saintesilla, jossa monikaan ei tuntunut kuulleen
>>Euroopasta jossain monen tuhannen kilometrin päässä. Automaatti ei
>>varmasti ottanut yhteyttä Suomeen Meritaan.
>
> Ja millä se sitten tarkasti saldon ja velotti tiliä? Voiko Meritan
Ei se tarkistanut saldoa. Eikä tunnuslukua kotisuomesta. Sitähän tässä
on jo pitkään yritetty jankata. Tiliä velotataan joskus muutamia päiviä
myöhemmin.
> pankkiautomaattikorttia muka käyttää tosta vain ulkomailla?
Ei sitä ihan normaalia automaattikorttia, mutta pientä (20 mk/vuosi)
lisämaksua vastaan saa sellaisen kortin jota voi käyttää myös monissa
ulkomaisissa pankkiautomaateissa. Luottokortti se ei siis ole. Kortissa
vielä lukee selväkielisenä: "Electronic use only".
Lasse
Petri Virkkula
Timo> On 7 Dec 1998, Marko Mäkelä wrote:
>> suojaan toisella kädellä, kun naputtelen tunnuslukua. Älykorttiin
>> perustuva tekniikka olisi tervetullutta, niitä kortteja kun on
>> huomattavan hankalaa ellei mahdotonta kopioida.
Timo> Onhan SIMmikin onnistuttu kopioimaan. Tästä oli joskus
Timo> juttua sfnet.viestinta.matkapuhelimissa...
Tarkoittanet <URL:http://www.scard.org/press/19980413-01/>:ssa
mainittua SIM:in "kloonausta"? Ainakaan kyseisessä tapauksessa
ongelma oli huonossa COMP128 algoritmissa (mikä on
toteutettu SIM:iin). Algoritmin huonouden takia kortilla oleva
salainen avain pystyttiin selvittämään pelkästään sillä että
toistuvasti pyydettiin korttia identifioimaan itsensä.
Kyseessä olleessa tapauksessa ei siis pystytty tekemään
tarkkaa kopiota kortin sisällöstä, ainoastaan pystyttiin
luomaan SIM joka sisälsi kortilla olleen salaisen avaimen,
mikä käytännössä merkitsee tosin että sen avulla voitiin
kortin sisältämä identiteetti kopioimaan.
Käyttäjän kannalta tosin aivan sama kuinka sen identiteetin
pystyi kopioimaan, mutta ei tuo minusta osoittanut sitä että
älykortit olisivat yleensäottaen turvattomia.
Petri
--
PGP public key: http://www.iki.fi/pvirkkul/pgp-key.html
Juhani Rantanen
>: Onhan SIMmikin onnistuttu kopioimaan. Tästä oli joskus juttua
>: sfnet.viestinta.matkapuhelimissa...
>
>Muistaakseni tämä piti tehdä ennen PIN:n asettamista, esim. kännykaupassa.
>Eli jos PIN aktivoidaan, ei kloonaus enää onnistu.... Ainakaan yhtä helposti.
Täytyy tietää PIN. Itse olin tosi järkyttynyt, kun joku edes mainitsi
mahdollisuuden kääntää PIN-koodin kysely pois päältä. Ei kai sitä
kukaan tee? SIM-korttiani ei ainakaan pääse käyttämään tietämättä
PIN-koodia, eikä toista SIMiä asettamaan puhelimeeni tietämättä
puhelimen turvakoodia.
--
Juhani Rantanen
Lähderanta 20 G 55 Espoo http://www.sgic.fi/~misty/
-- Only idiots quote signatures.
Timo J Rinne
> Tieto kortin kuulumisesta johonkin tiliin toki onkin muualla, mutta
> tunnusluku voi hyvinkin olla esiohjelmoituna kortille siinä missä kortin
> numerokin.
Ja on myös.
//Rinne
Pekka Siltala
> Käyttäjän kannalta tosin aivan sama kuinka sen identiteetin
> pystyi kopioimaan, mutta ei tuo minusta osoittanut sitä että
> älykortit olisivat yleensäottaen turvattomia.
Tästä joudutaan spekulaation tielle. On otettava huomioon, että
simm-lukituksiinkin käytetty 56 bitin DES on murrettu aikapäivää, ihan
brute-force tekniikalla. Siemensin piireillä kasattuja puhelinkortteihin
pystyi lataamaan 1000 mk:n saldon triggaamalla niihin pulssin skoopilla,
arvaa miksi avant yleistyi niin vauhdilla puhelinkioskeissa ? Enpä usko,
että nk. 'sirukorttien' ensimmäinen sukupolvi on olemassa ainakaan
kolmea vuotta kauempaa, ennenkuin se muuttuu turvattomaksi. Ennemmin tai
myöhemmin joku meistä, joilla on moinen kiinni logiikkaanalysaattorissa
tutkii senkin salat digitaaliskoopin kera, ja onnistuu luomaan
feikkivarmenteen - ja näinollen lataamaan kortille muutaman satatonnia
kahisevaa.
Pekka Siltala
Ari Husa
> mahdollisuuden kääntää PIN-koodin kysely pois päältä. Ei kai sitä
> kukaan tee?
Siitä on potentiaalisesti erittäin suurta haittaa kun joku rähmäkäpälä
pääsee syöttämään väärän tunnusluvun tarpeeksi monta kertaa. Sitten
etsitäänkin PUKkia mokoman pässin takia.
Jos puhelin varastetaan, niin liittymän voi helposti sulkea. Laitteen
IMEI on myös ilmoitettu operaattorille. Tilapäistä luvatonta käyttöä
vaikkapa silloin jos unohdan puhelimeni hetkeksi jonnekin en osaa
kovin suurena riskinä pitää.
En ole koskaan käyttänyt PIN-koodia puhelimissani, se on kerta
kaikkiaan liian hankalaa. Useimmat varmaan vielä käyttävät samaa
tunnuslukua kuin pankkikortissaan, jolloin senkin urkkiminen
näppäilyjä seuraamalla on oma riskinsä.
Pankkikortit yms. ovat sitten toinen juttu.
Luru
Juhani Rantanen
>> Täytyy tietää PIN. Itse olin tosi järkyttynyt, kun joku edes mainitsi
>> mahdollisuuden kääntää PIN-koodin kysely pois päältä. Ei kai sitä
>> kukaan tee?
>
>Ihmettelen suuresti miksi ihmiset käyttävät PIN-koodia puhelimissaan.
>Siitä on potentiaalisesti erittäin suurta haittaa kun joku rähmäkäpälä
>pääsee syöttämään väärän tunnusluvun tarpeeksi monta kertaa. Sitten
>etsitäänkin PUKkia mokoman pässin takia.
Annatko sinä puhelimiasi kaikenlaisille rähmäkäpälille? Minä en.
>Jos puhelin varastetaan, niin liittymän voi helposti sulkea. Laitteen
>IMEI on myös ilmoitettu operaattorille. Tilapäistä luvatonta käyttöä
>vaikkapa silloin jos unohdan puhelimeni hetkeksi jonnekin en osaa
>kovin suurena riskinä pitää.
IMEI-koodin voi muuttaa. Älä kysy miten, minä en tiedä, mutta
sellaista on tapahtunut. PIN-koodia sen sijaan ei ole murrettu.
>En ole koskaan käyttänyt PIN-koodia puhelimissani, se on kerta
>kaikkiaan liian hankalaa. Useimmat varmaan vielä käyttävät samaa
>tunnuslukua kuin pankkikortissaan, jolloin senkin urkkiminen
>näppäilyjä seuraamalla on oma riskinsä.
Minä en todellakaan käytä pankkikorttini tunnuslukua missään muualla.
Ehkä tästä voimme kuitenkin päätellä sen, että ihminen on lähes
kaikissa periaatteessa turvallisissa laitteissa isoin
turvallisuusriski.
J.P
>> Täytyy tietää PIN. Itse olin tosi järkyttynyt, kun joku edes mainitsi
>> mahdollisuuden kääntää PIN-koodin kysely pois päältä. Ei kai sitä
>> kukaan tee?
> Ari Husa wrote in message ...
>Ihmettelen suuresti miksi ihmiset käyttävät PIN-koodia puhelimissaan.
>Siitä on potentiaalisesti erittäin suurta haittaa kun joku rähmäkäpälä
>pääsee syöttämään väärän tunnusluvun tarpeeksi monta kertaa. Sitten
>etsitäänkin PUKkia mokoman pässin takia.
>
>Jos puhelin varastetaan, niin liittymän voi helposti sulkea. Laitteen
>IMEI on myös ilmoitettu operaattorille. Tilapäistä luvatonta käyttöä
>vaikkapa silloin jos unohdan puhelimeni hetkeksi jonnekin en osaa
>kovin suurena riskinä pitää.
Samat sanat tuntuu että ihmiset pitävät kyselyn päällä oloa tärkeänä
ajattelematta onko sillä jotain tosiasiallista merkitystä.
Llisäisin että jos ja kun puhelimessa on virrat päällä kun sen varas vie
niin ei se mitään pinnejä kysele jos varas haluaa soitella (ja latureita
kyllä - löytyy ei tarvi sammuttaa ikinä)
Petri Virkkula
Pekka> Tästä joudutaan spekulaation tielle. On otettava huomioon, että
Pekka> simm-lukituksiinkin käytetty 56 bitin DES on murrettu aikapäivää, ihan
En oikein ymmärrä mitä tarkoitat. Jos tarkoitat älykortin
lukkoon menoa väärän PIN-numeron syötön jälkeen niin ei siinä
mitään erityistä salausalgoritmia käytetä. Älykortti on
lukossa tai ei ole.
Pekka> brute-force tekniikalla. Siemensin piireillä kasattuja puhelinkortteihin
Pekka> pystyi lataamaan 1000 mk:n saldon triggaamalla niihin pulssin skoopilla,
Taidammekin kirjoittaa eri asioista. Minä olen koko ajan
kirjoittanut prosessorilla varustettua älykorteista. Kaikki
puhelinkortit taitavat olla muistikortteja joiden turvallisuus
aivan erilainen. Toisaalta epäilen kyllä myös muistikorttien
osalta tuommoista mahdollisuutta (skoopilla, 9 voltin
patterilla tms. triggaamisella rahan lataamiseen).
Pekka> arvaa miksi avant yleistyi niin vauhdilla puhelinkioskeissa ? Enpä usko,
No miksi se yleistyi? Itse epäilen että muistikorteilla
saatiin niin suuria kustannussäästöjä verrattuna
kolikkopuhelimiin vaikka huijaamisen mahdollisuus kasvoikin.
Pekka> että nk. 'sirukorttien' ensimmäinen sukupolvi on olemassa ainakaan
Pekka> kolmea vuotta kauempaa, ennenkuin se muuttuu turvattomaksi. Ennemmin tai
Totta, kaikki teknologiat muuttuvat ajan myötä
turvattomammiksi (käsittääkseni esimerkiksi setelien, passien
yms. painatusta on muutettu ajan kuluessa vastaamaan ajan
haasteita). Tosin en tiedä mitä tarkoitat ensimmäisellä
sukupolven sirukorteilla.
Pekka> myöhemmin joku meistä, joilla on moinen kiinni logiikkaanalysaattorissa
Pekka> tutkii senkin salat digitaaliskoopin kera, ja onnistuu luomaan
Pekka> feikkivarmenteen - ja näinollen lataamaan kortille muutaman satatonnia
Pekka> kahisevaa.
Mahdollisesti. Jään odottamaan tuon tapahtumista.
Jussi Uotila
>En ole kokeillut, mutta luulisin, että ko. kortilla olisi mahdollista
>tehdä tilinylitys nostamalla "kylmältä" automaatilta enemmän kuin
>tilillä on rahaa.
Se onnistuu lämpimällä automaatillakin tavallisella utomaattikortilla!
Omakohtaista kokemusta. Merita yritti bvielä vatia jopa ylityskorkoa, koska
"mun olis pitänyt tietää, ettei siellä ole rahaa..."
Maksoin vain sen 20 ilmoituskulun koron ja tietysti "lainaamani" pääoman.
Ylitysmaksua en maksanut.
Tommi P Uschanov
> > entäs kun maksaa huoltiksella eli pinnin on PAKKO olla kortilla
>
> Miten niin? Kyllä kait huoltiksenkin systeemeistä voi olla yhteys
> jonnekin?
Epäilemättä, mutta tunnuslukua vaativa huoltoaseman pääte ilmoittaa
*todella* nopeasti (id est: nopeammin kuin pankkiautomaatti),
onko tunnusluku oikea.
--
"I have tried too, in my time, to be a philosopher; but, I don't
know how, cheerfulness was always breaking in." --Oliver Edwards
T P Uschanov tusc...@cc.helsinki.fi +358 (0)40 584 2720
Visit my home page! http://www.helsinki.fi/~tuschano/
Timo Raita
> Täytyy tietää PIN. Itse olin tosi järkyttynyt, kun joku edes mainitsi
> mahdollisuuden kääntää PIN-koodin kysely pois päältä. Ei kai sitä
> kukaan tee? SIM-korttiani ei ainakaan pääse käyttämään tietämättä
> PIN-koodia, eikä toista SIMiä asettamaan puhelimeeni tietämättä
> puhelimen turvakoodia.
Entäs jos puhelimesi on auki joutuessaan vääriin käsiin? Vaan minun
puhelimestani ei soitella mihinkään ilman PIN2:ta. ;-)
Timo Raita
> Jos puhelin varastetaan, niin liittymän voi helposti sulkea. Laitteen
> IMEI on myös ilmoitettu operaattorille. Tilapäistä luvatonta käyttöä
> vaikkapa silloin jos unohdan puhelimeni hetkeksi jonnekin en osaa
> kovin suurena riskinä pitää.
Sitä varten on PIN2. Jos joku yrittää soittaa, puhelin ilmoittaa vain
tylysti "ei sallittu". Ainoa ikävä puoli on, että rajoitusta ei voi
purkaa puhelukohtaisesti, vaan se pitää muistaa erikseen laittaa takaisin
päälle puhelun jälkeen.
>Useimmat varmaan vielä käyttävät samaa tunnuslukua kuin
>pankkikortissaan,
...vanhassa, käytöstä poistetussa automaattikortissa.
Timo Raita
> IMEI-koodin voi muuttaa.
...ja vaikka ei muuttaisikaan, on vielä maita joissa IMEI-"musta lista"
ei toimi.
Timo Raita
> Llisäisin että jos ja kun puhelimessa on virrat päällä kun sen varas vie
> niin ei se mitään pinnejä kysele jos varas haluaa soitella (ja latureita
Sitä varten on sallittujen numeroiden rajoitus.
Nuutinen@oulu.fi Keijo Nuutinen
> Ei sitä ihan normaalia automaattikorttia, mutta pientä (20 mk/vuosi)
> lisämaksua vastaan saa sellaisen kortin jota voi käyttää myös monissa
> ulkomaisissa pankkiautomaateissa. Luottokortti se ei siis ole. Kortissa
> vielä lukee selväkielisenä: "Electronic use only".
Tämä on siis se kortti, joka on tarkoitettu lähinnä alle 18-vuotiaille,
joilla ei ole mahdollisuutta saada omaa Visa-korttia. Ulkomailla tehdyt
nostot veloitetaan aikanaan suomalaiselta pankkitililtä proviisioneen.
--
***********************************************************
Keijo Nuutinen phone: +358-(0)8-553 1408
Department of Geophysics +358-(0)8-553 1474
University of Oulu fax: +358-(0)8-553 1414
FI-90571, Oulu
FINLAND e-mail: Keijo.N...@oulu.fi
Keijo Nuutinen
> Automaatti ei varmasti ottanut yhteyttä Suomeen Meritaan.
> En ole kokeillut, mutta luulisin, että ko. kortilla olisi mahdollista
> tehdä tilinylitys nostamalla "kylmältä" automaatilta enemmän kuin
> tilillä on rahaa.
Totta kai se onnistuu niiden rajojen puitteissa, jotka korttiin on sovittu.
Näissä electron-korteissa on se etu, että rahan nostaminen ulkomailla
onnistuu niille merkityistä automaateista. Huono puoli niillä on se, ettei
kotimaassa ilmoiteta milloin pankkitilin veloitus tapahtuu. Siihen voi mennä
aikaa useampikin viikko. Jos tilillä ei silloin olekaan katetta, niin se
mennä pamahtaa miinuksen puolelle.
Pekka Niklander
http://www.radiolinja.fi/soittajansivut/ohjeet/peruspalvelut/6_050box.htm#050boxinkayttoonotto
----- alkaa ----
3. 050 Boxi pyytää muuttamaan väliaikaisen salasanasi uudeksi. Näppäile
uusi vähintään 4-numeroinen salasana, jonka itse muistat helposti;
esim.
pankkikortin tunnusluku, syntymäpäiväsi tms. ja sitten #. 050 Boxi
toistaa
antamasi salasanan, joten voit varmistua sen oikeellisuudesta ja
tarvittaessa
muuttaa sitä.
----- loppu ----
Juhani Rantanen
Tai oikeastaan se on operaattorikohtaista. Musta lista on usein
ominaisuus, joka ostetaan toimittajalta erikseen ja kaikki eivät ole
siihen sijoittaneet.
Hanna Meklin
> Ei sitä ihan normaalia automaattikorttia, mutta pientä (20 mk/vuosi)
> lisämaksua vastaan saa sellaisen kortin jota voi käyttää myös monissa
> ulkomaisissa pankkiautomaateissa. Luottokortti se ei siis ole. Kortissa
> vielä lukee selväkielisenä: "Electronic use only".
Tarkoitatko Visa Electronia? Tuommoista ainakin olen itse kayttanyt.
Vuosimaksu on muutama kymppi, ja joka nostosta veloitetaan 12 mk + joku
pieni prosenttiosuus nostettavasta summasta (en nyt muista tuota
prosenttiosuutta tarkalleen). Rahat lahtee tililta noin viikon paasta
nostosta.
Tuohon tunnuslukuasiaan en sen kummemmin ota kantaa.
- Hanna Meklin - hme...@rieska.oulu.fi - mekl...@cs.man.ac.uk -
- 330 Claremont Road, Manchester M14 7WJ, UK -
- +358 400 915 606 -
- Meaow. -
Janne Turunen TKKK
: Ei sitä ihan normaalia automaattikorttia, mutta pientä (20 mk/vuosi)
: lisämaksua vastaan saa sellaisen kortin jota voi käyttää myös monissa
: ulkomaisissa pankkiautomaateissa. Luottokortti se ei siis ole. Kortissa
: vielä lukee selväkielisenä: "Electronic use only".
Mutta miten tuossa automaatti-Visassa sitten on hoidettu PINin tarkistus?
Kanta, joka replikoituu ympäri maailmaa, ja johon jokaisella visamaatilla on
yhteys? Yhdistelmäkortti käyttää luonnollisesti samaa menetelmää...
+janne
Kim F allstrom
<väite: pin kysely turhaan päällä>
:Samat sanat tuntuu että ihmiset pitävät kyselyn päällä oloa tärkeänä
:ajattelematta onko sillä jotain tosiasiallista merkitystä.
Jos puhelimessa ei ole rajoitettu soitto-oikeutta muistissa
oleviin numeroihin tai liittymästä ole estetty viihdepuheluiden
soittamista niin PIN-kysely on mielestäni varsin perusteltu.
Yksi tunnin pituinen puhelu johonkin 1234-LÄÄH - numeroon
(esim 20 mk/min) maksaa pyöreästi tuhat markkaa. En usko,
että joka tilanteessa huomaisin puhelimen katoamisen tunnin
kuluessa tapahtuneesta. Yksi jäynäpuhelu voi tulla kalliimmaksi
kuin uuden puhelimen ostaminen.
Viihdelukkojen kytkeminen ei maksa mitään ainakaan Soneran
liittymällä. Lukon kytkemisen yhteydessä voi operaattorille
antaa oman salasanan (siis muukin kuin henkilötunnus), jota
kysellään ennen lukon poistamista.
Kim
--
/ t e l : + 3 5 8 - 4 0 - 5 9 5 - 7 9 2 0 /
/ e m a i l : k f a @ h u g o . h u t . f i /
Mikko Koskenniemi
: Samat sanat tuntuu että ihmiset pitävät kyselyn päällä oloa tärkeänä
: ajattelematta onko sillä jotain tosiasiallista merkitystä.
: niin ei se mitään pinnejä kysele jos varas haluaa soitella (ja latureita
Paitsi jos puhelut on estetty muihin kuin puhelinluettelossa oleviin
numeroihin..... Niin eikä luetteloa pääse muuttamaan ilman känyn omaa PIN:ä.
Juhani Rantanen
<mkos...@cc.helsinki.*POISTA*.fi> wrote:
>: Llisäisin että jos ja kun puhelimessa on virrat päällä kun sen varas vie
>: niin ei se mitään pinnejä kysele jos varas haluaa soitella (ja latureita
>: kyllä - löytyy ei tarvi sammuttaa ikinä)
>
>Paitsi jos puhelut on estetty muihin kuin puhelinluettelossa oleviin
>numeroihin..... Niin eikä luetteloa pääse muuttamaan ilman känyn omaa PIN:ä.
Kännykässä ei kyllä ole mitään pin-koodia, se on vain kortissa.
Uudemmissa GSM-korteissa on pin2-koodi, jolla tuollaisen eston pystyy
tekemään. Jos korttisi on vanha eikä siinä ole pin2-koodia (huomaa
siitä, että puhelunrajoitus ei toimi) kannattaa hakea uusi kortti
jostain matkapuhelinliikkeestä.
Osmo Ronkanen
>In article <74gv98$s...@kruuna.Helsinki.FI>, ronk...@cc.helsinki.fi (Osmo Ronkanen) writes:
>
>>>Minulla taas kun ei ole yhdistelmäkorttia vaan pelkkä automaattikortti,
>>>jolla siis ei voi ostaa mitään eikä varsinkaan luotolla. Se kuitenkin
>>>antaa nostaa rahaa ulkomailla automaateista. Esimerkiksi muutama viikko
>>>sitten se toimi Les Saintesilla, jossa monikaan ei tuntunut kuulleen
>>>varmasti ottanut yhteyttä Suomeen Meritaan.
>>
>
>Ei se tarkistanut saldoa. Eikä tunnuslukua kotisuomesta. Sitähän tässä
>on jo pitkään yritetty jankata. Tiliä velotataan joskus muutamia päiviä
>myöhemmin.
>
>
>> pankkiautomaattikorttia muka käyttää tosta vain ulkomailla?
>
>lisämaksua vastaan saa sellaisen kortin jota voi käyttää myös monissa
>ulkomaisissa pankkiautomaateissa. Luottokortti se ei siis ole. Kortissa
>vielä lukee selväkielisenä: "Electronic use only".
Montako kertaa olen sanonut että VISAlla on oma systeemi.
Osmo
18
Petteri Jarvinen wrote in message <748ndg$e...@idefix.eunet.fi>...
>On ilmennyt, että pankit ovat antaneet asiakkailleen vähintäänkin
>harhaanjohtavaa tietoa väittäessään, ettei pankkikortin tunnuslukua ole
>tallennettu itse korttiin. Luku on kortilla, vaikka tavan sen lukemiseen
>tietääkin Suomessa virallisesti vain muutama ihminen.
>
>Virolaisten (?) pankkikorttihuijauksen myötä on käynyt hyvin
>todennäköiseksi, että tieto on nyt levinnyt sisäpiirin ulkopuolelle. Voiko
>pankki jatkossa olla korvaamatta niitä nostoja, jotka pankkikortilla sen
>varastamisen jälkeen on tehty, vaikka tunnuslukua ei olisi säilytetty
>lompakossa? Kuka enää uskaltaa säilyttää pankkikorttia lompakossa, jos sen
>tunnusluku on selvitettävissä korttia lukemalla?
>
>Petteri
>
>
Tomi Holger Engdahl
> Hmmm.. onkos t{{ll{ kortin p{{ll{ olevalla lukusarjalla mit{{n tekemist{ sen
> kanssa joka l|ytyy magneettiraidoilta...
On. Tuo sama lukusarja löytyy sieltä mageneettiraidalta.
Tuon lukusarjan lisäksi siellä on joitain muitakin tietoja
(tarkastussumma, PIN-koodin "jälki", voimassaoloaika jne.)
> Eli l{hinn{.. mink{ verran sielt{ raidoilta tietoa l|ytyy?
40 merkkiä.
--
Tomi Engdahl (http://www.iki.fi/then/)
Take a look at my electronics web pages at http://www.hut.fi/Misc/Electronics/