loki Posted January 22, 2011 Report Posted January 22, 2011 (edited) (nu imi pica fisa acum in ce sectiune sa public - o las ca stire. Nu e nicio intentie de invitatie la ilegalitati, e o concluzie de "rusinica")Cate ceva despre Raiffeisen Online: un simplu serviciu pentru a-ti accesa conturile bancare, pentru transfer online intre conturi sau interbancar. Super util.Pentru a accesa un cont Raiffeisen online sunt necesare asemanator altor banci: un cont stabilit de tine si scris in contract, o parola si un numar generat in timp real de un micut aparat oferit o data cu contractul.Acum un an sau 2 in locul acelui numar situl cerea 2 cifre alese aleator din ultimele 8 din numarul pe cardului.Schimbare: acea jucarie care este insotita de un card fara banda magnetica, doar cu un cip care iti genereaza acel cod.Toate par bune si frumoase, mai multa protectie asupra conturilor. Ma sacaia ideea: de ce am pe langa aparat un card care nu foloseste la nimic.De cand cardurile au fost schimbate cu un nou cip similar m-am gandit sa fac niste teste:- in loc de cardul respectiv am folosit cardurile mele. La autentificare imi bag pinul corect de pe acel card si imi genereaza codul.- recent am luat cardul unui prieten care nu are Raiffeisen Online, a introdus codul pin, corect!- am gresit pinul de multe ori, nu se intampla nimic rau. Imi pare rau ca tocmai mi-am reziliat toate cardurile in valuta din criza de... criza, imi devenisera inutile, oricum transferam totul pe un singur card in lei. Voiam sa verific daca totusi dupa cateva zeci de incercari se intampla ceva cu cardul, il blocheaza sau nu.Concluzie: daca am un card gasit pe strada, de la Raiffeisen, cu cip, pot incerca daca am rabdare si dexteritate 10000 de pinuri pana aflu pinul. Spre diferenta de bancomate unde ai 3 incercari. Deci, orice client Raiffeisen Online dispune de un aparat de incercat coduri pin ale oricarui card Raiffeisen. Este asta o imbunatatire a securitatii?Am cerut de la prieteni carduri de la alte banci. Nu am gasit totusi un cip similar sa testez. BT nu are cip (sau sunt vechi cardurile) Allianz mai foloseste un cip diferit, dar metoda lor online e mult mai sofisticata cu niste rahaturi de cont si parola pe care le caut prin contracte si un aparat micut care iti cere si el alt rahat de cod.Intrebare atunci, sa merg mai departe: codul pin poate fi aflat printr-o simpla accesare a cipului dupa metode old school prin care se citeau cartelele telefonice pentru a evita timpul pierdut cu incercari repetate? Sau totusi au scapat din "greseala" o criptare in aparatul ala?Din fericire totusi - ultimul test ca sa ma joc pana la capat: codul generat de un alt card nu poate fi folosit pe Online. Apropo de cod e in functie de numarul de incercari, de timp si posibil de niste cifre de pe card. Poate tot alea 8. Edited January 23, 2011 by loki 1
phreak Posted January 23, 2011 Report Posted January 23, 2011 Acum care se pricepe la electronica sa faca din digi pass bruteforcer de pinuri?
ICEBREAKER101010 Posted January 23, 2011 Report Posted January 23, 2011 Eu zic asa,first of all trebuie sa stii username si parola contului online.Cand te loghezi iti cere username,parola si sirul de cifre generat de apartul acela mic.Iar ca sa iti genereze cifrele alea trebuie sa stii pinul cardului.Deci unde e insecuritatea aici ?Chiar daca ai afla pinul cardului tot nu te-ar ajuta cu nimic.Daca bagi username si parola gresit de 3 ori se blocheaza contul online.Si trebuie sa suni la ei.So....
Guest Praetorian Posted January 23, 2011 Report Posted January 23, 2011 Eu zic asa,first of all trebuie sa stii username si parola contului online.Cand te loghezi iti cere username,parola si sirul de cifre generat de apartul acela mic.Iar ca sa iti genereze cifrele alea trebuie sa stii pinul cardului.Deci unde e insecuritatea aici ?Chiar daca ai afla pinul cardului tot nu te-ar ajuta cu nimic.Daca bagi username si parola gresit de 3 ori se blocheaza contul online.Si trebuie sa suni la ei.So....Victima: TactuUcigas: TinKodeUcigasul ii fura cardul lui Tactu (care are 150 mil in cont). Totodata Ucigasul se foloseste de aparat pentru a face BruteForce pana gaseste PIN-ul (unde mai ai sansa asta sa incerci N combinatii?), dupa care se duce linistit la bancomat, si isi scoate banii pentru o guma turbo.Acum te-ai prins?
Paul4games Posted January 23, 2011 Report Posted January 23, 2011 Eu zic asa,first of all trebuie sa stii username si parola contului online.Cand te loghezi iti cere username,parola si sirul de cifre generat de apartul acela mic.Iar ca sa iti genereze cifrele alea trebuie sa stii pinul cardului.Deci unde e insecuritatea aici ?Chiar daca ai afla pinul cardului tot nu te-ar ajuta cu nimic.Daca bagi username si parola gresit de 3 ori se blocheaza contul online.Si trebuie sa suni la ei.So....Gandeste contructiv,ori cum a zis TinKode,ori si mai inventiv si daca ai un bot care suporta custom webinjects,de exemplu spyeye:1)Faci un webinject pentru site-ul la Raiffeisen Online care va adauga pe langa Username/Password/numarul generat in timp real/un field pentru PIN,ceea ce nu este asa de greu.2)Acum tu vei primi Usernameul/Passwordul+Pin-ul vintimei iar de aici este foarte usor sa iti transferi bani in diferite conturi,sa faci diferite tranzactii,etc..
loki Posted January 23, 2011 Author Report Posted January 23, 2011 (edited) Numarul respectiv expira in probabil 1 minut. Si nu e valid decat cu cardul acelui cont.Iar de la asta pana la tranzactii online e de-a-n boulea, ramai la bancomat, golesti cardul si iti iei turbo. Insecuritatea era simpla: doar posibilitatea aflarii unui cod pin.Dar sa nu mergem cu ideile prea departe ca ajungem in ilegalitate: regulamentul interzice clar partea bancara. Am vrut sa fie doar ca un avertisment. Fara idei de atac online, sau alte prostii. Si ma gandesc daca nu ar fi mai bine sa inchid topicul din acest motiv. Edited January 23, 2011 by loki
blackrunner1911 Posted January 23, 2011 Report Posted January 23, 2011 (edited) Criptare > DecriptareProgramul de brute se poate face, daca stii tastele spre exemplu la computer tasta "Space" este 0x39. La interfata bancara numerele le stim si sunt de forma:X'30' pana la X'39' iar tasta enter este 'X6D' si asa mai departe.Este exact cum te-ai juca cu un lacat cu 4 siruri, numai la o viteza superioara, timp 2-4 minute maximIn schimb restul in afara de aflarea pinului este prezentat mai departe...Tot ce iese din aparat este criptat, si cel mai important totul pleaca de la un microprocesor programat care genereaza un cod aleator pe baza caruia se face criptarea.M-ar ajuta mult daca a-ti putea desface un aparat sa imi ziceti serile controlerelor, sau macar o poza. Edited January 23, 2011 by blackrunner1911
loki Posted January 23, 2011 Author Report Posted January 23, 2011 (edited) blackrunner1911adica citirea tastaturii? oooofff - n-are nicio legatura.ok, la PC sunt intersectii binare, la sinclair spectrum stiam si eu in a,254; out a,a; in a,254.... in fine citirea datelor de pe magistrale.Nu, ori ajungem la offtopic, ori ajungem la electronica si piraterie bancara. Hai sa oprim aici subiectul. Closed!Hai topic separat! Edited January 23, 2011 by loki