Можно ли получить номер карты с чипа Visa/Master?

[IRabinovich]

Здравствуйте!

На PHDays подходил с этим вопросом к молодому человеку, который "обслуживал" тестовый банкомат и крутил презенташки (было очень познавательно, кстати, спасибо команде "Банкоматчика"!). К сожалению, при тестовой попытке прогона моей сберовской карты выяснилось, что ридер читает только с магнитки, а чип игнорирует.

Поэтому вопрос всё ещё стоит ребром, мне нужно знать для будущего проекта- можно ли получить с чипа карты системы Visa/Master номер карты в оффлайновом режиме? Нужна ли при этом авторизация по пину?

[EjVTumane]

нет не нужна, да можно. номер с карты получается до отсыла авторизационного пакета на хост.

[Lucky]

при тестовой попытке прогона моей сберовской карты выяснилось, что ридер читает только с магнитки, а чип игнорирует.

А чем вы там тестировались?что-то я не заметила

[shket]

возой

[Lucky]

А карта какая была? У меня есть подозрения, что дело в карте, ибо PAN с чипа читается без проблем.

Логи сохранили?

[IRabinovich]

Endless Quest Карта- Сберовская, Visa Classic 3D, с чипом и магниткой. Магнитка считалась, чип не считался.

EjVTumane То есть, номер карты с чипа можно получить даже без ввода пина? Я правильно понял ваш ответ?

[EjVTumane]

IRabinovich
Вы не Илья Рабинович, разработчик DefenseWall - а?

Добавлено спустя 1 минуту 1 секунду:
да

[Lucky]

можно получить

Получить-то можно, только PCI и PA DSS очень не рекомендуют его хранить и передавать в открытом виде.
А что за проект, если не секрет? Может, дельных советов дадим

Вы не Илья Рабинович

Ты знаешь его лично? Да, он Илья Рабинович. Коллеги еще поржали, думали, что это фейк.

[IRabinovich]

Вы не Илья Рабинович, разработчик DefenseWall - а?

Автор DefenseWall, если быть точнее. Да, именно он.

Добавлено спустя 4 минуты 55 секунд:

А что за проект, если не секрет? Может, дельных советов дадим

Хочу сделать безопасную платёжную систему на основе кредитных карт, где, даже если злоумышленник имеет возможность полного доступа к транзакции/авторизации либо модификации транзакции, невозможно было бы украсть деньги у пользователя. А для этого нужно будет кард-ридер. Было бы вообще шикарно, если бы номер карты получался только при вводе пина, тогда была бы хорошая двухфакторная аутентификация пользователя.

[Lucky]

Илья, честно говоря, я не очень понимаю, как чтение трека после ввода пина поможет, если

злоумышленник имеет возможность полного доступа к транзакции/авторизации либо модификации транзакции

.

[IRabinovich]

Илья, честно говоря, я не очень понимаю, как чтение трека после ввода пина поможет

Трека? А кто говорил про "трек"? Я говорю только про чип, иначе можно будет катать белый пластик туда-сюда.

А вот так, можно сделать такую штуку и я даже знаю как. Вот только железячника не могу найти ну просто никак, а так стартовал бы прямо немедленно. Новые железки в России не делают, железячников почти что нет, а те, что есть- старой закалки.

[Lucky]

Очепятка у меня вышла, да
Надо подумать.

[Dan]

Вот только железячника не могу найти ну просто никак

А что железячник должен сотворить?

[EjVTumane]

А что железячник должен сотворить?

выточить новый чип... ))) Для чего идет чтение пана карты с чипа вперед ввода пина - для того чтобы по фитам (FIT таблицы) прогнать - проверка свой чужой (если он совсем чужой нафига с него пин требовать?) в зависимости от этого строится сценарий дальнейшей работы, считываются нужные данные далее ввод пина, отсылка пакета (вкратце так).
То что вы предлагаете это офлайн авторизация, что то типа системы АС-СБЕРКАРТ, хотя наверное даже там не все так просто...
По моему Вам лучше написать классный антималварный продукт для статических систем типа банкоматов и терминалов возможностью удаленного установки, контроля того что он установился, возможностью распространения по "дохлым" линиям.
какие требования:
1. работа по принципу белого списка. (поставил пока все чисто и забыл)
2. защита по критических секций (типа hips) (при необходимости отключения защиты по белому списку для обновления чего либо, желательно иметь подстраховку в виде поведенческого блокиратора)
3. нужен контроль за съемными носителями.(что то типа примитивной dlp)
4. прикольно иметь уже шаблоны защиты для различных устройств & software (этого пока никто не предлагает, дают конструктор и вперед настраивай)
5. централизованный сервер мониторинга с какими нибудь десктопами для клиентов с разграничением уровня доступа.
6. неплохо иметь облачный не грузящий сигнатурный анализатор. причем центральная база сигнатур должна быть на сервере в банке, а оттуда уже может откуда либо обновляться.
7. Возможность удаленной установки
8. Тотальный контроль все этапов установки.
9. Возможностью работы на "дохлых" линиях...

Добавлено спустя 3 минуты 46 секунд:
высказал, наболевшее)) нелегкий опыт работы с mcafee solidcore - очень хорошая штука но... такая прожорливая...

[IRabinovich]

Надо подумать.

"У вас нет доступа к чтению личных сообщений". Сорри, прочитать не могу.

Добавлено спустя 9 минут 13 секунд:

высказал, наболевшее)) нелегкий опыт работы с mcafee solidcore - очень хорошая штука но... такая прожорливая...

Ну, в общем-то, многое уже есть в текущем моём продукте. Причём это всё в хорошей степени совместимо с требованиями PCI DSS. Более того, он практически не требуется вмешательства IT персонала и не нуждается в постоянном обслуживании. Многое из того, что вы выкатили, не проходит по требованиями PCI DSS, например, облачные сервисы: точка доступа не имеет право лезть куда-либо, кроме как отсылать и принимать контрольные коды из центра обработки транзакций. Сигнатурный сканер обязательно должен быть сертифицирован МПС, иначе- штраф. Белые списки нужно постоянно обновлять, кто этим будет заниматься? Какие ресурсы придётся потратить на обновления всех списков на всех банкоматах при условии, что доступа в сеть у них быть не должно, обновление будет возможно только при сервисном обслуживании человеком.

[EjVTumane]

точка доступа не имеет право лезть куда-либо, кроме как отсылать и принимать контрольные коды из центра обработки транзакций.

а как по вашему работают технические системы мониторинга терминальных устройств? точка доступа "лезет" на сервер мониторинга, а он не является центром обработки транзакций. Сервер находится в ДМЗ. Сигнатурный сервер тоже может находиться в ДМЗ, а вот схему обновления на нем нужно продумать.

Белые списки нужно постоянно обновлять

- как я уже сказал терминальные системы относятся к статическим, т.е. в большинстве своем случаев там действует принцип: поставил раз - работает и сейчас. В большинстве случаев белые списки могут быть универсальны для определенных моделей устройств. Т.е. просчитав для одного эталонного - можно накрыть им и другие подобные терминалы. Это можно сделать при инсталляции самого терминала, чтобы не гонять сигнатурную базу по сети...

при сервисном обслуживании человеком

вот это должно быть исключено. Т.е. к человеку, который осуществляет ТО терминала - доверия нет (он потенциальный интрудер умышленный или нет). Управление только с сервера, администратором. Который от ТО терминалов далек...

Сигнатурный сканер обязательно должен быть сертифицирован МПС

этот момент я изучу... Ваш продукт хорош, но... Руководство банков ценит -контроль, и централизацию управления. К сожалению у вас это отсутствует.

Добавлено спустя 1 час 15 минут 51 секунду:
можете дать ссылку на тот документ, где утверждается, что сигнатурный сканер должен быть сертифицирован МПС?

[IRabinovich]

можете дать ссылку на тот документ, где утверждается, что сигнатурный сканер должен быть сертифицирован МПС?

Нет, мне это сказал аудитор одной из западных компаний.

Сигнатурный сервер тоже может находиться в ДМЗ

Ну так это уже не совсем "облако". Точнее, совсем не "облако".

Руководство банков ценит -контроль, и централизацию управления. К сожалению у вас это отсутствует.

Контроль- не значит безопасность. Контроль увеличивает количество ресурсов, потребляемых IT отделами. Много контроля- много дополнительных сотрудников. В DefenseWall реализован сброс всех сообщений о заблокированных манипуляциях, а также текущем статусе защиты в штатный Windows Event Log, сбор любым SEM/SEIM.
Централизованное управление возможно, через remote registry и remote file system, то есть, штатными средствами, встроенными в операционную систему, но также не очень нужно, поскольку идеальная система защиты- "поставил и забыл", а не "поставил и управляешь, управляешь, управляешь...".
Короче- всё, что можно, сделано через работу со штатными средствами, встроенными в операционную систему. Изобретать и реализовывать велосипед в стотысячдесятый раз не вижу никакого смысла.

[EjVTumane]

аудитор одной из западных компаний.

доверяй но проверяй... нигде не встречал такого требования. по идеи оно должно быть в паблике. По поводу сигнатурного сервера - наверное я не правильно его обозвал - анализ по сигнатурам должен быть на сервере ни где то в интернете, а в самом банке на отдельном сервере... как там идет обновление сигнатур - это другой вопрос.

Контроль- не значит безопасность

В этом я с Вами согласится не могу... Не один год работаю в банковской сфере.

Много контроля- много дополнительных ...

сказать просто "много" это не правильно. В информационной безопасности приняты нормы по разделению сфер ответственности - и да при этом встает вопрос дополнительных ресурсов.

remote registry и remote file system,

это первое что мы закрываем на терминальных устройствах.

Windows Event Log, сбор любым SEM/SEIM

- еще дополнительная приблуда которая будет "лезть" куда либо.

Изобретать и реализовывать велосипед в стотысячдесятый раз не вижу никакого смысла.

- все ясно) вопрос закрыт.

[IRabinovich]

это первое что мы закрываем на терминальных устройствах.

А, я не знал. А как тогда происходит модификация ключей реестра, локальных файлов (например, накатывание новой версии банкоматного софта)?

В этом я с Вами согласится не могу

Контроль- не значит безопасность. Контроль означает возможность блокировать угрозу, но вот воспользоваться ею или нет, во многом, зависит от человека, принимающего решения. И если решение будет неверным, то вместо безопасности будет зиять дырка. Именно поэтому во многих продуктах безопасности реализована автоматическое принятие решений, чтобы пользователь не мог напортачить.

еще дополнительная приблуда которая будет "лезть" куда либо.

Обычно, подобные системы уже стоят в банках. Так что она не сколько "дополнительная", сколько уже имеющаяся.

[EjVTumane]

модификация ключей реестра...

Везде по разному. В моем случае это входит в функционал системы технического мониторинга.

Контроль означает возможность блокировать угрозу

Под словом контроль я подразумевал нечто другое. Блокировка угрозы - на автомате - так и должно быть. Но вот то, что была угроза в реалтайме должно приходить на десктоп "наблюдателя" (и оставаться в базе событий) и опять же я говорю не только о малваре, а о попытках использования USB носителей, попытке изменения удаления критичной информации, попытке доступа к различным портам терминала (к тому же порту диспенсера с деньгами) - в этом случае блокировать мало - надо еще во во время среагировать по определенному регламенту.

системы уже стоят в банках

да есть (SolarWinds), но не на терминалах.. Мне вполне достаточно той же самой системы технического мониторинга. События виндоуса я там могу перехватывать, но мне они не нужны.