Informacijos apsauga .LT » Blog Archive » Kas kortelėje gyvena?
Kas kortelėje gyvena?
2009-03-09 12:16 parašė Audrius
1 Star2 Stars3 Stars4 Stars5 Stars (19 votes, average: 4.53 out of 5)
Loading ... Loading ...

Nepraėjo nei pusė metų, kol vėl normalesnį įrašą sususiruošiau padaryti. :) Kalbėsiu šį kartą apie magnetines korteles. Viskas prasidėjo nuo įrangos, atkeliavusios štai tokioje dėžutėje.

image

Prijungiama per USB, papildomo maitinimo šaltinio jai nereikia.

image

Įranga skaito/rašo visus 3 magnetinės kortelės takelius. Pritaikyta Windows/Mac OS/Linux ir Windows Mobile sistemoms. Praktiškai dar nebandžiau (neturiu USB į miniUSB konverterio), bet teoriškai visas šitas gėris turėtų veikti ir su mano Xperia telefonu. Pasijungimas ir diegimas paprastas, viskas vyksta sklandžiai.

Magnetinių kortelių fizines charakteristikas apibrėžia krūva ISO standartų. Nuo to gali priklausyti kortelės dydis, lankstumas, magnetinės juostelės padėtis ir t.t. Duomenys joje gali būti saugomi trijuose takeliuose, tačiau visi trys būna naudojami gan retai. Pvz. VISA kortelėse naudojami tik du takeliai. Įvairiose nuolaidų kortelėse dažniausiai naudojamas išvis tik vienas. Kaip duomenys surašomi į korteles – priklauso nuo naudojamo standarto. Pvz. mokėjimo kortelėse naudojamas ISO 7813 standartas. Visą techninę duomenų formato informaciją rasite aprašytą standarte, tad čia į tai nesigilinsiu. Kur kas įdomiau yra korteles panagrinėti praktiškai. Turiu tokių krūvą piniginėje. Žinoma, pirmą kurią ištraukiau, buvo mokėjimo kortelė. Ir neradau joje nieko labai neįprasto. Viskas taip pat, kaip aprašo standartas. Kortelės numeris, vardas, pavardė, galiojimo data, paslaugos kodas ir t.t. Nieko įdomaus greitiems eksperimentams. Jei būtų pasibaigusi kortelės galiojimo data, tuomet būtų galima ją prasitęsti ir pasižiūrėti kaip į tai reaguotų bankinė sistema. Bet čia šiaip trumpi pasižaidimai.

Turbūt blogiausias dalykas, kurį galima padaryti, tai į kortelę, ant kurios užrašytas mano vardas ir pavardė, surašyti svetimus duomenis. Tokiu atveju ant kortelės bus visi reikiami duomenys, jie atitiks mano dokumentus, mano parašas bus geras, tačiau pinigų nuskaitymas vyktų iš svetimos sąskaitos. Pardavėjoms liepiama tikrinti duomenis ant kortelės, su duomenimis dokumente ir šis žmogiškas filtras būtų apeitas. Tokiu atveju pardavėjos turėtų dar papildomai tikrinti ir kas atspausdinta kvite, t.y. paskutinius skaičius ant kortelės, su paskutiniais skaičiais kvite. Bet ar jos tai daro? Jos net į parašo autentiškumą dėmesio nekreipia. :) Tiesa, šiam dalykui reikia gauti svetimus kortelės duomenis, o jų niekas taip paprastai nedalina. Duomenų iš kortelių vagysčių atvejų gali pasitaikyti pvz. kavinėse ar kitose vietose, kai jūs savo kortelę duodate padavėjai, o ji ją nusineša prie baro. Su mano turima įranga nukopijuoti duomenis tetrunka maždaug 2 sekundes ir jūs tikrai to nepastebėsite. Žinoma, visuomet dar lieka PIN kodas. Kam įdomu, tai galiu pasakyti, kad jis kortelėje nesaugomas. Bet ar sunku žvilgtelėti per petį? Žodžiu, norit saugios kortelės, tai pasiimkit lustines, su mikroschema ir be jokių magnetinių takelių. Kai kurie bankai dalina dubliuotas, “tipo” saugias korteles. Jose yra ir mikrschema, ir magnetinis takelis. Taip padaryta didesniam suderinamumui, kad kortelę galėtų aptarnauti ir senesnė įranga. Pardavėjai, tokiu atveju, pinigų nuskaitymą turėtų daryti iš lusto, o ne magnetinio takelio. Kai kurie taip ir daro. Kurie turi tam skirtą įrangą. O kai kurie didieji prekybos centrai, panašu, kad dėjo ant tokio bankų reikalavimo pasakydami “jums reikia, jūs ir keiskit įrangą” ir toliau sau brauko per takelį. :D Žinoma, bankams tai per didelės investicijos, o atsisakyti aptarnauti kortelių nenori, nes kiekvienas atsiskaitymas jiems reiškia pajamas. Vat ir visas tokios lustinės kortelės saugumas. Atrodo, lustas lyg ir saugiau, bet jei yra ir dubliuojantis magnetinis takelis, tuomet gaunasi lygiai tas pats. :)

Neste kreditinė kuro kortelė turiniu pasirodė panaši į bankinę kortelę. Bet tai nieko nuostabaus, nes naudojantis ja reikia rinkti PIN kodą ir t.t.

O vat su nuolaidų ir visokiom panašiom kortelėmis kur kas įdomiau. Piniginėj pastoviai nešiojuosi tik vieną – Laisvalaikio. Joje įrašytas tik antras takelis. Ir viskas kas jame yra, tai tik ant kortelės užrašytas numeris, kurio pradžioje yra pridėtas skaičius 900.

image

Nesu tikras ką jis reiškia, galbūt kažkuriuo būdu užrašytą galiojimo datą, bet tą analizę atliksiu kiek vėliau, tiesiog tokių kortelių turinį pasižiūrėjęs iš kolegų bei draugų ir sulyginęs. Pati kortelė kainuoja 100 Lt metams ir į ją įrašyti svetimos kortelės numerį nėra sudėtinga, kad kortelė veiktų toliau. Numerio formatas – išdavimo metai + turbūt iš eilės einanti skaičių seka. Bet čia didesnė bėda yra nuotrauka ir galiojimo data ant jos. Kai kur (pvz. Forum Cinemas kinoteatre) yra tikrinamas ne kortelės turinys, bet tai kas parašyta ant jos, tokiu atveju pakeisti duomenys kortelėje nieko nekeičia. Tad čia sutaupyti 100 litų turbūt nelabai pavyks. :)

Tas pats ir su sporto klubo Impuls kortele. Įrašytas tik numeriukas antrame takelyje. Ant pačios kortelės nėra nieko. Bet kai tą kortelę paduodi klube, ateinančio žmogaus nuotrauką darbuotojai mato kompiuteryje. Daugiau jokios kitokios kortelės duomenų apsaugos nėra.

Tad vis tik ar galima kaip nors nesudėtingai ir be galimų didelių bausmių sutaupyti šiais krizės laikais? Galima. Tą paprasta padaryti su kaupiamosiomis nuolaidų kortelėmis. Tokias turi Norfa, Monton, JCI, Lukoil bei kiti tinklai. Tokios kortelės pagrindinė idėja – kuo daugiau perki, tuo didesnę nuolaidą gauni arba sukaupi. Vienuose tinkluose nuolaidos būna visam laikui, kituose galioja tik metus. Pvz. Monton tinkle (nepamenu ar turi magnetinį takelį ar tik barkodą). Tokiu atveju kuo greičiau sukaupi didesnę nuolaidą, tuo greičiau gali pradėti sutaupyti. Pagal idėją, tai yra lojalumo skatinimo programa. Bet man asmeniškai debilizmas kažkoks. Noriu man patinkančios prekės už priimtiną kainą dabar, o ne po metų. Tikrai nepirksiu drabužių Montone vien tam, kad sukaupčiau didesnę nuolaidą, kuria galbūt pasinaudosiu per metus, jei rasiu ten patinkančių rūbų. O jei nerasiu? Pradėčiau keiktis dėl tokių lojalumo programų ir man nesuprantamo savininkų/vadybininkų mąstymo, bet sako negražu keiktis. Žodžiu, man tai yra tiesiog maustymas, o ne lojalumo skatinimas. Dėl to net neužeinu į Montoną.

Taigi, jei neduodama geresnė kaina iš karto, vadinasi reikia pasiimti ją patiems. Idėja turbūt jau aiški. Imi kelias vieno tinklo nuolaidų korteles ir surašai į jas tuos pačius duomenis. Vizualiai jos atrodys tinkamai, su visais logotipais ir t.t., gali skirtis tik ant jų išspaustas numeris, bet kam jis rūpi? O turinys magnetiniame takelyje bus visiškai identiškas ir nuolaidos bus kaupiamos į vieną sąskaitą. Pasidalinus tokias klonuotas korteles keliese, suma, nuo kurios prasideda nuolaidos, susikaups kur kas greičiau. Vat taip paprastai ir susitaupo po truputį… Juk krizė, Kubilius diržus veržtis liepė… ;)

msr 002

;)

» Temos: Blogietis, Nulaužimai
» Žymėtis: kaip.tik.ten :: topix.lt :: del.icio.us

Įrašo gairės:

« Tuoj…    ::    Pokalbiai telefonu »

Komentarai
  1. 2009-03-09 12:31 Sielos vagis rašė:

    Vaikai dabar tures nauja zaidima

  2. 2009-03-09 13:30 Audrius rašė:

    Sielos vagie, parašiau tik apie labai nedidelę išnaudojimo galimybę. Įranga pirkta visai kitiems tikslams, bet tokie pasižaidimai kaip tik tinkami blog’e aprašyti. Juk blog’as turi būti pramogai skirtas, o ne apie labai gilius dalykus rašinėti. :)

  3. 2009-03-09 14:10 dzhiurgis rašė:

    Na del nuolaidu korteliu tai kyla klausimas ar yra imanoma irasyti i jau esamas nauja informacija - kiek zinau - ne. Spausdinti prekybos centro atributika ant baltos korteles taip pat vargu ar bus ekonomiskai prasminga.
    Kas liecia vardo ir numerio sukeitima tai skamba itin naiviai - manai, jog bankine sistema nematys nesutampancio # su pavarde?
    Siaip idomu kokie dar duomenys eina korteleje? As manau, jog privalo buti unikalus kodas, kurio nera uzrasyta fiziskai ant korteles. Antraip pasiemus paprasta buitine kamera su kokiu 20x zoomu, galima butu sniffint atsisedu prie bankomato, o po to duomenys surasyt i magnetine kortele..

  4. 2009-03-09 14:14 dzhiurgis rašė:

    Tiesa dirbant su kortelemis galima panaudoti savotiska ’social engineering’.. Paimti tokia tuscia kortele, atspausdinti su reljefu skaiciukus (kaip buna tikrose kreditinese, ne electron, etc) ir tarkim uzsipilti kuro degalineje. Paaiskejus, kad korteles nenuskaito, teks atsiskaityti kitokiu budu - padarant korteles kopija su tokiu specialu aparatu, kuris ta reljefa perkelia ant popieriaus, deja nepamenu jo pavadinimo :)
    zodziu galima suktis ir is antro galo (kaip filme apie cekius “Pagauk jei gali”) :)

  5. 2009-03-09 14:32 Audrius rašė:

    dzhiurgi, kalba eina ne apie vardo ir numerio sukeitimą, bet apie pilną kortelės perrašymą. Viena būtų užrašyta ant kortelės, kita - viduje. Bankinė sistema skaito kas yra viduje, pardavėja - kas išorėje.
    Kas dėl kortelės perrašymo, tai neturėtų kilti problemų, čia gi veikimo principas kaip “juostinio magelio”. Susirasiu kokią nenaudojamą kortelę ir pabandysiu tai padaryti, kad tai patikrinčiau. Beje, visuomet galima uždėti naują takelį.

  6. 2009-03-09 14:35 Mantas rašė:

    .. “Tokiu atveju pardavėjos turėtų dar papildomai tikrinti ir kas atspausdinta kvite, t.y. paskutinius skaičius ant kortelės, su paskutiniais skaičiais kvite.” ..

    Jei nepastebejai, pardavejoms yra reikalavimas ivesti paskutinius keturis skaicius uzrasytus ant korteles :)
    Veliau softas sulygina tai kas nuskaityta is korteles ir ka iveda pardaveja.

  7. 2009-03-09 15:11 Audrius rašė:

    Hm, galbūt, neatkreipiau dėmesio į tai. Vadinasi su mokėjimo kortelėmis taip paprastai viskas nepraeitų. :)

  8. 2009-03-09 19:18 ichmbch rašė:

    Visai neseniai girdėjau, kad yra nustatytas aiškus terminas iki kada privaloma pilnai pereiti prie lustinių kortelių. Nepamenu tiksliai iki kurių metų, bet čia nebetoli atrodo :)

  9. 2009-03-09 19:46 Tomas rašė:

    Kiek už aparatą mokėjai, jei ne paslaptis?

  10. 2009-03-09 21:48 TIMIS rašė:

    koks aparato pavadinimas ir kiek jis kainuoja? aciu

  11. 2009-03-09 22:25 Andrius Paurys rašė:

    > Tokiu atveju ant kortelės bus visi reikiami
    > duomenys, jie atitiks mano dokumentus, mano
    > parašas bus geras, tačiau pinigų nuskaitymas
    > vyktų iš svetimos sąskaitos.

    Nepavyks, nes jei nuskaitymas vyksta nuo magneto, pardavėja turi nuo reljefinio užrašo nurašyti 4 paskutinius cc# skaičius.

  12. 2009-03-10 17:08 Tautvydas rašė:

    Kadangi minėjai, kad šis įrenginukas veikia ir su linux, tai aš irgi labai norėčiau sužinoti, ar jo kaina (galutinė, su atsiuntimu) nėra daug didesnė už mano smalsumą :)

  13. 2009-03-10 17:41 Audrius rašė:

    Pagrindinę kainą čia ir sudaro programinė įranga. Ją gali rasti torentuose, bet su kitais įrenginiais ji tiesiog neveikia. Naudojamas įrenginys - makstripe. Kaina ~750 Lt. Atkeliauja per 4 dienas iš Vokietijos.

  14. 2009-03-10 18:46 nesvarbu rašė:

    galima sutilpt i $100 USD uz aparata + korteliu, perkant is dealextreme.com

  15. 2009-03-11 15:09 Audrius rašė:

    Tai paieškojus galima ir dar turbūt pigiau rasti, nes šios įrangos didesnę dalį kainos sudaro programinė įranga.

  16. 2009-03-11 18:37 dzhiurgis rašė:

    Beje, butu daug idomiau pamatyti eksperimentu su rfid. DX’e irenginiai apie $50 :)

  17. 2009-03-12 10:46 Audrius rašė:

    Kas liečia praėjimo kontrolės korteles, veikiančias RFID pagrindu, tai ten mažai skirtumų nuo magnetinių kortelių. Viduje saugomas tik numeriukas, kuris sistemoje priskirtas prie kiekvienos spynos “praleisti/nepraleisti” principu. Ir viskas. Jei sugebėsi sužinoti numeriuką ir pasigaminti kortelę su juo, tuomet galėsi praeiti ten pat. Teoriškai, RFID kortelėse duomenys turėtų būti šifruoti, ypač asmens dokumentuose, bet kaip yra pvz. su Lietuviškais pasais - neaišku. Dar neatkeliavo reikiama įranga, negaliu pažiūrėti. O RFID įrangos kaina priklauso nuo to, kiek ji skirtingų standartų palaiko. Tad tie 50$ gali būti išleisti ir visiškai nenaudingai. :)

  18. 2009-03-13 15:02 TecHNicaL rašė:

    Nei tu turi ta MSR’a nei tu rasyk tuos straipsnius. Noob’u tutorial’us isverte i Lietuviu kalba.

  19. 2009-03-13 15:29 Audrius rašė:

    TecHNicaL, tau gal antroj nuotraukoj matomą Lenovo kompą nufotografuot papildomai, ar Maximoj pirktą termosinį puodelį, kurio irgi tik kampas matosi? O gal MSR’ą su Vilniaus vaizdu pro langą? Bet ką ten, juk tau svarbu pašnekėt… :)

  20. 2009-03-13 19:45 naujokelis rašė:

    TecHNicaL parasyk geriau kad toks gudrus ir visi tauj yra noobai..
    P.S Geras straipsnis taip ir toliau :)

  21. 2009-03-15 07:31 Evaldas rašė:

    Tikrai labai geras straipsnis. Ačiū Tau. Tokių straipsnių patarčiau kuo daugiau rašyti. :)

  22. 2009-03-19 08:37 Une fille du tonnerre rašė:

    Dabar viskas taip brangsta… Galbūt kas nors norėtu draugiškai straipsnyje aprašytu būdu “pasidalinti” viešojo transporto nuolatinį bilietėlį? :D Būtų “mokėk už vieną, gauk - du”. :D

  23. 2009-03-19 20:41 TecHNicaL rašė:

    http://www.msrfactory.com/.

    Nusipirkit, isbandysit, suprasit kad cia rase ta straipsni snarglys, nieko apie tai nesuprantantis.

    Is tutorial’u bandydamas interpretuoti kazkokiu prirase nesamoniu prirase, nieko konkretaus. Turint omeny jog jeigu jis turetu viska butu konkreciai surases, o ne kazkokius noobiskus aprasymus.

    Sekmes!

  24. 2009-03-19 21:14 naujokelis rašė:

    TecHNicaL straipsnis ir turi buti noobiskas ir perdaug nekonkretus, kad visi ji suprastu ir tuo paciu vaikai nepasinaudotu.. O protingam zmogui pradziai uzteks ir tiek info jei nores susiras konkreciau.

  25. 2009-03-20 00:24 naudotais automobiliais rašė:

    O galima man tik porą milijonų perkelti į mano bankinę kortelę ? :D

  26. 2009-03-20 17:19 Audrius rašė:

    TecHNicaL, taip taip, visi žino, tu pats fainiausias ir geriausias, o aplinkui vieni loxai. :)

  27. 2009-03-20 20:49 TecHNicaL rašė:

    Svarbiausia, kad pripazintum jog esi grybas.

  28. 2009-03-21 08:46 Audrius rašė:

    Jau girdėjom koks tu fainas, nebūtina kartotis. O laiko čia visi turi, palauks kol prisipažinsi.

  29. 2009-03-22 18:02 TecHNicaL rašė:

    “Girdejom”, “Visi”, - kam ta daugiskaita? Arba tau asmenybes susidvejinimas arba ieskai draugu. Ir apskritai esi visiska nesamone taip pat kaip ir sitas tinklapis.

  30. 2009-03-22 18:05 naujokelis rašė:

    TecHNicaL gal jau uzteks kraut.. matyt pavydi arba kazkokia konkurencija.. (think)

  31. 2009-03-23 18:41 TecHNicaL rašė:

    Tiesiog zinau is kokio tai straipsnio (tiek tekstas tiek nuotraukos) ir kas ju autorius. Tai taip pat netinkama kaip ir sakyti jog tu sukurei muzika, kurios autoriu visi zino jau is seniau.

  32. 2009-03-23 20:26 Audrius rašė:

    TecHNicaL, tai parodyk tą straipsnį ir nuotraukas. :) Aš rytoj specialiai tau pridėsiu nuotrauką su lietuviškom magnetinėm kortelėm, kurių duomenys ir buvo nuskaitinėti, šalia to pačio skaitytuvo ir kompiuterio. Dar ir puodelį prie visos kompozicijos pridėsiu. Gal dar ir sąskaitą nuskenuoti? :D Siūlau pirma tau eiti ir pabandyti užaugti, o tuomet bandyti čia kažką įrodinėti.

  33. 2009-03-24 14:06 Une fille du tonnerre rašė:

    Nu bet kaip smagiai jūs čia kalbatės. :D Ar bus pratęsimas? Dabar gi TecHNicaL eilė. ;)

  34. 2009-03-24 14:54 Audrius rašė:

    Nuotrauka pridėta.

  35. 2009-03-24 22:37 tori rašė:

    man atrodo nevertėjo dėl teknikal tiek stengtis - pabezdėt po nosim visi galim. mažiau kalbų

  36. 2009-04-20 09:39 bi2 rašė:

    Lietuvoje pirkai? Kokia kaina?

  37. 2009-04-27 17:12 Stepono Kazakevičiaus tinklaraštis » Daryti apsimoka! rašė:

    [...] mielas drauge? Čia visai kaip TecHNicaL netikėjo Audriaus kortelių skaitymo gebėjimais! Tai čia aš irgi galiu patvirtinti - jis 10 metrų [...]

  38. 2009-05-15 19:38 KING rašė:

    Už šitą straipsnį su malonumu tavo galvą į sieną irėminčiau.

  39. 2009-05-26 19:52 as rašė:

    Oi, karaliau, koks tu loxas :D

  40. 2009-06-25 21:49 . rašė:

    Nu velniam vaikam i rankas degtukus iduot?

  41. 2010-05-17 11:34 Povilas N. rašė:

    O dabar pabandyk ta pati padaryti su EMV :)

  42. 2010-06-02 23:59 holms rašė:

    njo vaiku internete ziuriu mes turim kaip reikalas =)) visokie cia “technical’ai” =))

    del rfid seip yra labai idomi situacija. kadangi dazniausei dabar RFID yra sifruojami nieks nesistengia uzsisakyt custome rfid’us su costume algoritmais, sifravimo raktai ten geresniu ir pns. o dabar kad ir musu pyp-bilietas [kad nesugooglintu ;]] yra tiesiog mifare korta kuria galima nubrutint ir su RFIFDUMP =) tik reik readerio kuris palaikytu LIBNFC SDK , tada jokiu problemu nekils, kadangi tokio readerio neturiu teks turbut ji parsisiust. daugiau toks korteles totalei niekaip netikrinamos,apart skanavimo.su aparatu =)ypac kai man ji praskanuoja net neistraukus is pinigines. as tai visai rimtai situo planuoju uzsiimt =)


Palikite komentarą