Szerző Téma: Hőkamerával is lenyúlhatók a PIN kódok  (Megtekintve 8208 alkalommal)

0 Felhasználó és 1 vendég van a témában

Nem elérhető syn7h37ic

  • Szakember
  • Ős tag
  • *****
  • Hozzászólások: 456
+1
Felelőtlenségre és hülyeségre nincs orvosság.
Amikor olyan dolgokat csinál a kétbites user, hogy ha nem láttam volna a saját szememmel, el sem hiszem. ATM gépcserén voltunk, a frissen kicsomagolt és burkolatától megfosztott géphez odalépett a tag, és megpróbálta a raklapon lévő gépbe tuszkolni a kártyáját. Mikor a röhögési inger alábbhagyott, és megpróbáltuk finoman ráébreszteni, hogy ez még egy beépítésre váró gép, még neki állt feljebb, hogy nem jó. De ezer hasonlót tudnék még sorolni, kezdve azzal, hogy odáig nem jut el a jóembernek, hogy kiírja a gép, hogy sajnáljuk, pillanatnyilag nem üzemel. És áterőszakolja a kártyablokkoló záron keresztül a nyomorult bankkártyáját csakazértis...  ::fejel::
   Na, az ilyen emberektől fogják lenyúlni az adatokat. Ezeknek hiába is magyarázza akárki, hogy mire figyeljen. fingja sem lesz, miért is kell megsimogatni a pinpadot, még hülyének is fog nézni. Az meg a non plusz ultra, hogy az öreg odaadja egy vadidegennek a kártyáját, hogy "segéljé mán, pénzt levenni, mer' nem látom mi van kiírva" (ilyen is volt! ) És utána meg csodálkozik, hogy hová lett a nyugdíj ilyen gyorsan...

Nem elérhető eXtra

  • Szakember
  • Ős tag
  • *****
  • Hozzászólások: 1 509
Kár, hogy ezt a mobilt csak az asztalon tesztelték és nem engedték rá egy ATM-re, de valószínűleg az alvilág majd hamarosan kipróbálja, hogy mire jó...  8)
http://www.geeks.hu/blog/mwc_2016/160223_kiprobaltuk_a_cat_s60_at_igazi_svajci_bicska_ez_a_mobil


Nem elérhető eXtra

  • Szakember
  • Ős tag
  • *****
  • Hozzászólások: 1 509
+1

Bérelni olcsóbb, majd később veszel sajátot  ;D 

Kérdés, hogy kinek mi az olcsó!? :)

Pl. tizensok éve 300 000 Ft / nap bérleti díjért keringett az a WW Golf, amibe ugrókódos riasztókat nyitó-záró kütyü volt beépítve! Az alvilág nagyon ragaszkodott hozzá, mert a lefoglalt autót a rendőrség udvaráról lopták vissza... :o

előzmény: SLC #9

Nem elérhető SLC

  • Szakember
  • Ős tag
  • *****
  • Hozzászólások: 757
0
Bérelni olcsóbb, majd később veszel sajátot  ;D
előzmény: L. Pásztor #8

Nem elérhető L. Pásztor

  • Szakember
  • Ős tag
  • *****
  • Hozzászólások: 922
0
Annyi az, meg még sokkal több is ... ha tényleg jó rajta az optika.
A komolyabb hőkamerát CSAK a komoly bűnbandák engedhetik meg maguknak :)
De egyetlen jól sikerült akción megjöhet az ára !
Csak meg kell nézniük, h ki áll az automata előtt ...

előzmény: balusecurity #7

Nem elérhető balusecurity

  • Ős tag
  • *****
  • Hozzászólások: 499
0
csak szerintem a hőkamerát csak komolyabb bűn banda engedheti meg magának.Akár hogy is nézem én még 800 000ft alatt nem találtam hő kamerát.Nagyon drágák,
előzmény: eXtra #6

Nem elérhető eXtra

  • Szakember
  • Ős tag
  • *****
  • Hozzászólások: 1 509
0
Az is marhaságnak és életszerűtlennek hangzik, hogy a kártya nyílás elé felszerelnek egy ál/előlapot kártyaolvasóval. Mindezt egy működő, kamerával felszerelt droidra.

Aztán valahogy mégis megcsinálják nap mint nap, kis hazánkban is.  Ezzel a kártyaadatokat megszerzik/ másolják.
Fontos megjegyezni, hogy egyszerű módszerekkel kizárólag a chip nélküli kártyákat lehet másolni! Szerencsére a chipkártyák hamarosan teljesen kiszorítják a mágnescsíkos bankkártyákat, ezért a jövőben nem másolni fogják a kártyákat, hanem ellopni. Persze chipkártyát is lehet másolni, de nagyon macerás eljárásokkal és nem olcsó eszközökkel! Lehet, hogy van még néhány hack a chipes kártyák chip nélküli elfogadtatására is, de a bankok is folyamatosan foltozgatják a biztonsági réseket... :)


 

Nem elérhető L. Pásztor

  • Szakember
  • Ős tag
  • *****
  • Hozzászólások: 922
0
Abszolút működöképes lehet !
Már kb. 20 évvel ezelőtt is fejlesztettünk, építettünk olyan egyedi, biológia kutatásban használatos műszereket, melyekkel sokkal kisebb hőmérséklet különbségek is kimutathatók voltak...
Nem látnám nehéz feladatnak ezt megoldani, és kisebb-nagyobb akadályt csak az jelenthet, h milyen távolságra van a kamera a billentyűzettől. És h milyen a kamera ...
Tovább megyek: megfelelő algoritmussal (bizonyos valószínűséggel) az sem lehetetlen, h a megnyomott gombok hőkülönbsége alapján a megnyomás sorrendjére is legyen tipp. Sőt: a többinél sokkal melegebb gombok arra is utalhatnak, hogy 2x nyomták meg. Stb, stb, stb ... ha a "túloldalon" állnék, el lehetne filózni rajta... :)

DE: (minden vitát megelőzendő) mindez csak akkor működhet, ha átlagos lúzerről van szó, átlagos felhasználói szokásokkal. És ez a nagytöbbség !
Ha valaki rákészül (ők vannak kevesebben) és kp. felvét után ignorálja a hőképet azzal h pl. rátenyerel, rálehel stb. a billentyűzetre ... már reménytelenné válik a hacking ...

És hogy egy másik példát mondjak: egy teljesen törölt (format, és nem csak a könyvtár bejegyzéseket törölt) wincsi tartalma is helyreállítható. Bitenként működik, és k...a sokba kerül, de helyreállítható ...   

előzmény: admin #1

Nem elérhető matrixlaci

  • Szakember
  • Teljes tag
  • *****
  • Hozzászólások: 59
    • Mátrix Biztonságtechnika
+1
Az is marhaságnak és életszerűtlennek hangzik, hogy a kártya nyílás elé felszerelnek egy ál/előlapot kártyaolvasóval. Mindezt egy működő, kamerával felszerelt droidra.

Aztán valahogy mégis megcsinálják nap mint nap, kis hazánkban is.  Ezzel a kártyaadatokat megszerzik/ másolják.

Az így ellopott kártyához kell még nekik a PIN kód is. Ezt legygyakrabban vagy az automatára telepített kamerával, vagy távolról rázoomolva próbálják megkaparintani. Több kevesebb sikerrel, hiszen beütéskor eleve a tenyereddel, ujjaiddal,testeddel takarod ki a billentyűzetet.

A pin kód beütés után elveszed a kezed,  "bevitel gomb" már arrébb van. Tehát egy jó helyre rejtett hőkamerával, 0,1 másodperccel a kódbeütés után jó esély van a kód visszanyerésére, mielőtt még az összeget és egyebeket beütögetnéd.

Nem arról van tehát szó, hogy egy-két perccel a készpénzfelvétel után majd mindig odasétál valaki egy vállról indítható hőkamerával és próbál filmezni. "Ez kicsit feltűnő és lebukásgyanús lenne"






előzmény: bcslaci #2

Nem elérhető Lacy

  • Szakember
  • Ős tag
  • *****
  • Hozzászólások: 1 562
0
ez úgy marhaság ahogy van. A pin kódon kívül még vagy 8 gombot megnyomsz mielött kiadja a lovét, és ráadásul ha valaki egyedi összeget akar akkor máris kész a káosz
Aztán ehhez nagyon érzékeny kamera kéne, és jó rálátás, mivel utólag szerintem képtelenség pár pillanatnyi érintés után ezt észlelni.
Szerintem valakiknek komoly anyagi érdekük fűződik ahhoz, hogy pár ezer új banki terminált legyárthasson és eladhasson.
Vagy a szokásos hoax levél amit a portálok megint beszoptak  :o :P

Nem elérhető bcslaci

  • Szakember
  • Ős tag
  • *****
  • Hozzászólások: 672
+1
A PIN kód beütése után ugyanazon a billentyűzeten ütöm be a felvenni kívánt összeget is és a kód beütése után legalább egy percet még az automata előtt töltök (pin kód->kp felvét bizonylattal/nélkül->összeg beütése->kártya visszaad->pénz kiad->bizonylat kiad->pénz elrak), lehet ez több is mint egy perc.

Ha csak a kódot ütögetik akkor hihető, de életszerűnek nem mondanám.

Szerintem!
előzmény: admin #1

Nem elérhető admin

  • Adminisztrátor
  • Törzstag
  • *****
  • Hozzászólások: 132
    • Biztonságtechnika Fórum
Hőkamerával is lenyúlhatók a PIN kódok
#1 2011. Szeptember 02. - 09:34:41
0
Informatikai biztonsággal foglalkozó amerikai kutatók egy olyan újfajta eljárást mutattak be a San Franciscóban múlt héten megrendezett USENIX Security Symposiumon, mellyel viszonylag nagy hatékonysággal reprodukálhatók a billentyűzeten keresztül megadott rövidebb számkombinációk, például a pénzkiadó automaták által kért PIN kód. A megoldás az ujjaink által hátrahagyott hőnyomokra épít.

Amint a Kaliforniai Egyetem San Diegó-i campusán oktató szerzőhármas tanulmánya rámutat: a szakirodalom ezt a lehetőséget eddig alig vette számba, e területen – tudomásuk szerint – csupán egyetlen publikáció született, mely azt vizsgálta, hogy miként hasznosítható a hőkamera páncélszekrények feltörésénél. A kutatók ezt az ötletet bontották ki, és alkalmazták szélesebb körben.

A vizsgálatuk során 21 emberrel gépeltettek be egyenként 27 véletlenül kiválasztott PIN kódot, miközben a műveletet hőkamerával rögzítették. A kísérlethez valódi ATM-ekből származó számbillentyűzetet használtak, mégpedig kétfélét – az egyik műanyagból, a másik szálcsiszolt fémből készült –, mert arra is kíváncsiak voltak, hogy tapasztalható-e különbség az anyaghasználat függvényében.

Amint várható volt, a beütött kód visszanyerésének esélyeit befolyásolja a gombnyomás erőssége, az alany testhőmérséklete és valószínűleg – bár ezt nem vizsgálták – a környezeti hőmérséklet is. Az is kiderült, hogy a fémből készült billentyűzeten gyakorlatilag nem működik a hőkamerás támadás, e felületen már néhány másodperccel a gépelés után felszívódnak a hőnyomok. A műanyag gombokon azonban nem.

A műanyag billentyűzet esetében 10 másodperccel a gépelés után a kombinációk mintegy 80 százalékát sikerült beazonosítani, és még 90 másodperc múlva is 20 százalék körüli volt a visszanyerési arány. Az idő múlásával egyenes arányban csökken az esélye annak, hogy a leütött billentyűk sorrendje is megállapítható a hőnyomokból, de a kutatók szerint egy támadó számára a sorrend nélkül is hasznos a kinyert információ, hiszen a szóba jöhető kombinációk száma így kezelhető szintre csökken (például egy ismétlődő számjegyet nem tartalmazó négyjegyű kód esetében mintegy 10 ezerről 24-re).

A vizsgálatból az is kiderült, hogy a felvételek elemzése alapján végzett kódvisszanyerés szoftverrel nagy hatékonysággal automatizálható, így lehetőség van hosszabb felvételek gyors és pontos feldolgozására. A kutatók szerint a hőkamerás megoldást bűnözők hatékonyan használhatják a kártyaleolvasóból (skimmer) és kamerából álló PIN kód lopó eszközök hatékonyságának javítására – hiszen például ez akkor is eredményes lehet, ha a billentyűzetet a felhasználó kitakarja –, de az más területeken, például kódot igénylő biztonsági ajtóknál is bevethető.

A tanulmány ugyanakkor az ATM-üzemeltetők számára is szolgál tanulsággal: fém billentyűzetet kell építeni a gépekbe, mert azokon e támadástípus nem működik.

forrás: itcafe.hu

 

Bezárás
Vendégként csak korlátozottan használhatod az oldalt, ezért javasoljuk, hogy lépj be vagy regisztrálj!
Bezárás
Vendégként csak korlátozottan használhatod az oldalt, ezért javasoljuk, hogy lépj be vagy regisztrálj!