/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Trådløst = mere sikkert end kabel ?
Fra : Povl H. Pedersen


Dato : 28-02-04 10:56

Forsiden af PBS' website henviser til denne pressemeddelelse:
http://www.pbs.dk/pbs/site/pbs_dk/dk/content/om_pbs/nyheder/nyhed_040119.html

Her praler de med at der er trådløst kommunikation internt mellem
salgsøen, og mellem forretningen og PBS.

Er der nogen her i gruppen der mener det er lige så sikkert som
kabel ? Jeg ser det ihvertfald som noget der udgår en trussel.
Jeg går ud fra, at forretningens sikkerhed kan knækkes, men ved
ikke med den anden strækning (FWA?). Er FWA krypteret, eller
ligger sikkerheden i at aflytningsudstyr koster over 20 kr ?

Og såfremt den onde kunde "støjer", så kan hans kort ikke
valideres, og automaten må slå over i offline mode. Men det
er DoS, men stadigvæk et problem.

 
 
Christian E. Lysel (01-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 01-03-04 00:33

In article <slrnc40pdg.pk.povlhp@povl-h-pedersens-computer.local>, Povl H. Pedersen wrote:
> Her praler de med at der er trådløst kommunikation internt mellem
> salgsøen, og mellem forretningen og PBS.

Det er da også praktisk, at kunne flytte en betalings ø.

> Er der nogen her i gruppen der mener det er lige så sikkert som
> kabel ? Jeg ser det ihvertfald som noget der udgår en trussel.

Kablet er vel mere usikkert, da men nemt kan patche sig på
et ethernet.

> Jeg går ud fra, at forretningens sikkerhed kan knækkes, men ved
> ikke med den anden strækning (FWA?). Er FWA krypteret, eller
> ligger sikkerheden i at aflytningsudstyr koster over 20 kr ?

Hvad opnår man ved at knække den trådløse sikkerhed?

Selve transaktionen til PBS er krypteret af applikationen.


I norge, kører kunden en transaktion på terminalen der bliver
valideret hos kortudstederen, herefter får butikken et transaktions
nr. som butikken sender til kortudstederen om aften.

Således får butikken aldrig kundens kortnummer at vide,
ej skrevet det på bonen, ej sendes det i butikkens
transmissionsudstyr.


Butikkens egne transaktioner er typisk ikke krypteret.

Jeg kan ikke gennemskue om trafikken imellem terminalen og
kasse er et seriel link eller et trådløst link.

> Og såfremt den onde kunde "støjer", så kan hans kort ikke
> valideres, og automaten må slå over i offline mode. Men det
> er DoS, men stadigvæk et problem.

I dag kan du i andre butikker også støje med en mobil
(på de gamle terminaler), ellers kan du klippe telelinien.
På nogle terminaler kan fjerne forretnings informationerne.

Har man disse problemmer tager man kortet manuelt i kassens
stregkode læser, eller også bliver det tastet manuelt ind.
Alt efter hvilket kort type det er skal det evt. valideres
telefonisk, eller via en spærrer liste, eller ej.

Problemmet er blot med det nye Dankort system, er det den
part med det svageste led, der skal betale hvis systemmet
udnyttes.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Povl H. Pedersen (01-03-2004)
Kommentar
Fra : Povl H. Pedersen


Dato : 01-03-04 21:20

In article <slrnc44tkn.dk0.chel@weebo.dmz.spindelnet.dk>, Christian E. Lysel wrote:
> In article <slrnc40pdg.pk.povlhp@povl-h-pedersens-computer.local>, Povl H. Pedersen wrote:
>> Her praler de med at der er trådløst kommunikation internt mellem
>> salgsøen, og mellem forretningen og PBS.
>
> Det er da også praktisk, at kunne flytte en betalings ø.

Ja, men den kræver også strøm, og de skal have mange AP'er hvis
den skal virke pakket ind i en udsalgsflok.

>> Er der nogen her i gruppen der mener det er lige så sikkert som
>> kabel ? Jeg ser det ihvertfald som noget der udgår en trussel.
>
> Kablet er vel mere usikkert, da men nemt kan patche sig på
> et ethernet.

Det kommer vel an på om alle stik er patchet op, om der er et stik på
gaden (der er vel trådløs dækning derude), om der køres 802.1x
som er sværere at sniffe end 802.1x i luften.

>> Jeg går ud fra, at forretningens sikkerhed kan knækkes, men ved
>> ikke med den anden strækning (FWA?). Er FWA krypteret, eller
>> ligger sikkerheden i at aflytningsudstyr koster over 20 kr ?
>
> Hvad opnår man ved at knække den trådløse sikkerhed?

DoS = terminalen kører i offline mode, og selv stjålne og
spærrede kort kan bruges. Det er trivielt med en 802.11
jammer i lommen (sælges i USA).

> Selve transaktionen til PBS er krypteret af applikationen.

På fornuftig vis ? Sidst jeg talte med en PBS server var det
alene via SSL, uden certifikatvalidering fra nogen ender.
Dvs totalt åbent for Man-in-the-middle. PBS kunne ikke se det
var et problem. Nu åbner de op for endnu flere MiM muligheder.

> I norge, kører kunden en transaktion på terminalen der bliver
> valideret hos kortudstederen, herefter får butikken et transaktions
> nr. som butikken sender til kortudstederen om aften.
>
> Således får butikken aldrig kundens kortnummer at vide,
> ej skrevet det på bonen, ej sendes det i butikkens
> transmissionsudstyr.

Den danske løsning er så vidt jeg ved lavet så den kan køre i offline
mode. Jeg ved ikke om det kræver en serveradgang, men jeg mener
terminalen er relativt selvstændig.

> Butikkens egne transaktioner er typisk ikke krypteret.
>
> Jeg kan ikke gennemskue om trafikken imellem terminalen og
> kasse er et seriel link eller et trådløst link.

Jeg er overbevist om, at dette er et kabel. Der er ingen grund
til at denne del skal være trådløs. Der er heller ikke mange
DOS PC'ere (=kasseterminaler) der er glade for WLAN.

Og når du er på WLAN'et, så kan du muligvis tilgå kassens
prisdatabase og justere priser.

>> Og såfremt den onde kunde "støjer", så kan hans kort ikke
>> valideres, og automaten må slå over i offline mode. Men det
>> er DoS, men stadigvæk et problem.
>
> I dag kan du i andre butikker også støje med en mobil
> (på de gamle terminaler), ellers kan du klippe telelinien.
> På nogle terminaler kan fjerne forretnings informationerne.
>
> Har man disse problemmer tager man kortet manuelt i kassens
> stregkode læser, eller også bliver det tastet manuelt ind.
> Alt efter hvilket kort type det er skal det evt. valideres
> telefonisk, eller via en spærrer liste, eller ej.
>
> Problemmet er blot med det nye Dankort system, er det den
> part med det svageste led, der skal betale hvis systemmet
> udnyttes.

Det er vel altid forretningen ? Og nu er billedet fjernet så
forretningen ikke kan kontrollere det.

PBS mener ikke at manglende gensidig certifikatvalidering
er et problem (eller har ikke gjort tidligere).

Jeg ved ikke hvordan chipkortet benyttes, men i dag er det
vel magnetstrimlen = kortinfo der sendes.

Christian E. Lysel (02-03-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 02-03-04 00:03

In article <slrnc476nv.14o.povlhp@povl-h-pedersens-computer.local>, Povl H. Pedersen wrote:
> DoS = terminalen kører i offline mode, og selv stjålne og
> spærrede kort kan bruges. Det er trivielt med en 802.11
> jammer i lommen (sælges i USA).

Hvis kortet ikke står i spærrer listen, skal
tyven lave underskrift forfalskning...Hvilket
selvfølgeligt er nemt, men forhåbenligt kostere
mere når personen skal straffes.


Men dette har altid været en trusel, fake at magnetstrimlen
ikke virker.

>> Selve transaktionen til PBS er krypteret af applikationen.
>
> På fornuftig vis ? Sidst jeg talte med en PBS server var det
> alene via SSL, uden certifikatvalidering fra nogen ender.
> Dvs totalt åbent for Man-in-the-middle. PBS kunne ikke se det
> var et problem. Nu åbner de op for endnu flere MiM muligheder.

Vi snakker ikke om websites med en payment server.

Men aner virkelig ikke hvordan det kommer til at fungere i
fremtiden.

Vi har lidt fornæmmelsen at de forskellige partner heller ikke ved
det, eller også er de bare sværer at få informationer ud af.

> Den danske løsning er så vidt jeg ved lavet så den kan køre i offline
> mode. Jeg ved ikke om det kræver en serveradgang, men jeg mener
> terminalen er relativt selvstændig.

I en vis tidsperiode ja, på et eller andet tidspunkt skal
butikken fyldes op med varer igen.

>> Butikkens egne transaktioner er typisk ikke krypteret.
>>
>> Jeg kan ikke gennemskue om trafikken imellem terminalen og
>> kasse er et seriel link eller et trådløst link.
>
> Jeg er overbevist om, at dette er et kabel. Der er ingen grund
> til at denne del skal være trådløs. Der er heller ikke mange
> DOS PC'ere (=kasseterminaler) der er glade for WLAN.

Jeg regner med det blot er et seriel kabel, fx fra bon printeren til
kassen.

> Og når du er på WLAN'et, så kan du muligvis tilgå kassens
> prisdatabase og justere priser.

Ja.

Eller du kan også rette i debitor kortene. Pille ved gavekort,
ectetera.

>> Problemmet er blot med det nye Dankort system, er det den
>> part med det svageste led, der skal betale hvis systemmet
>> udnyttes.
>
> Det er vel altid forretningen ? Og nu er billedet fjernet så
> forretningen ikke kan kontrollere det.

Det har ikke altid været forretningen.
I nogle tilfælde ja, men ikke alle.

> PBS mener ikke at manglende gensidig certifikatvalidering
> er et problem (eller har ikke gjort tidligere).

I øjeblikket er de ligeglade med hvilken terminal der bruges på
hvilken linie (i nogle tilfælde).

> Jeg ved ikke hvordan chipkortet benyttes, men i dag er det
> vel magnetstrimlen = kortinfo der sendes.

Jeg ved det heller ikke.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste