Opisane zgodbe se zdijo dokaj malo verjetne, mogoč pa je tudi naslednji scenarij: Praviloma se veliki trgovski centri izognejo stroškom telekomunikacijske povezave s Aktiva centron tako, da POS terminale povežejo v LAN. POS terminal v takšnem primeru ne vzpostavi direktne povezave, saj kartična transakcija potuje po LAN. Kaj lahko se zgodi, da lokalne informacijske rešitve zapišejo takšen strin v zbirko. String praviloma vsebuje vse potrebne atribute, tudi PIN (ni potrebno nobene kamere, ali velikega brata ... To s kamero je naravnost smešno). Ves ostali postopek pa je otročje lahek. Prepričan sem, da se je v Merkurju zgodilo prav to. V primeru, da je bil POS terminal preusmerjen na "navidezni" center pa je moral avtor poznati zelo dobro sistem odgovarjanja, saj ni nujno, da je odgovor sploh prišel iz Active!

ISPRO je napisal(a):
Opisane zgodbe se zdijo dokaj malo verjetne, mogoč pa je tudi naslednji scenarij: Praviloma se veliki trgovski centri izognejo stroškom telekomunikacijske povezave s Aktiva centron tako, da POS terminale povežejo v LAN. POS terminal v takšnem primeru ne vzpostavi direktne povezave, saj kartična transakcija potuje po LAN. Kaj lahko se zgodi, da lokalne informacijske rešitve zapišejo takšen strin v zbirko. String praviloma vsebuje vse potrebne atribute, tudi PIN (ni potrebno nobene kamere, ali velikega brata ... To s kamero je naravnost smešno). Ves ostali postopek pa je otročje lahek. Prepričan sem, da se je v Merkurju zgodilo prav to. V primeru, da je bil POS terminal preusmerjen na "navidezni" center pa je moral avtor poznati zelo dobro sistem odgovarjanja, saj ni nujno, da je odgovor sploh prišel iz Active!

Jao jao. Zdaj vidim, da bo treba plačevati s kešom. Torej potem potuje string neenkriptiran po lokalnem lanu?

pavel je napisal(a):

Jao jao. Zdaj vidim, da bo treba plačevati s kešom. Torej potem potuje string neenkriptiran po lokalnem lanu?

 
tud tle lohka v koprive sedeš: velik ponarejenih €vrotov je v obtoku :(

pavel je napisal(a):

Jao jao. Zdaj vidim, da bo treba plačevati s kešom. Torej potem potuje string neenkriptiran po lokalnem lanu?

ne vem, ce je to to, ampak:
http://www.gbkr.si/html/ponudba/obcani_kartice_P OS.html
te pripelje sem:
http://www.activa.si/pos.asp
ki pravi "Sistem M/S 2000 (Master/Slave) za večje centre"
www.dasistemi.it/UK/...ratori.asp

Po moje je za to kriv slabo napisan pravilnik o varstvu osebnih podatkov.

lp

gregor666 je napisal(a):


ne vem, ce je to to, ampak:
http://www.gbkr.si/html/ponudba/obcani_kartice_P OS.html
te pripelje sem:
http://www.activa.si/pos.asp
ki pravi "Sistem M/S 2000 (Master/Slave) za večje centre"
http://www.dasistemi.it/UK/concentratori.asp
si bom vzel čas, da vse tole pogledam. me prav zanima. Ima dudek prav.pravilniki. med drugim.

pavel je napisal(a):


si bom vzel čas, da vse tole pogledam. me prav zanima. Ima dudek prav.pravilniki. med drugim.

vendar glede na to, da pravijo, da so bile namescene naprave v terminale, ne gre za problem v enkripciji/povezavi.

potem je vse skupaj zgolj vprasanje, kdo je imel fizicni dostop do pos terminala na liniji lastnik-serviser-trgovec.

glede na to, da se vecina terminalov hvali z zascito pred nepooblascenem odpiranjem, potem verjetno odpade tudi trgovec.

gregor666 je napisal(a):


vendar glede na to, da pravijo, da so bile namescene naprave v terminale, ne gre za problem v enkripciji/povezavi.

potem je vse skupaj zgolj vprasanje, kdo je imel fizicni dostop do pos terminala na liniji lastnik-serviser-trgovec.

glede na to, da se vecina terminalov hvali z zascito pred nepooblascenem odpiranjem, potem verjetno odpade tudi trgovec.

zdaj je samo problem kaj pravijo in kaj je bilo res. če sploh vedo.

pavel je napisal(a):


zdaj je samo problem kaj pravijo in kaj je bilo res. če sploh vedo.

ja to je najvecji problem, zaradi katerega je vsa nasa pamet uporabna zgolj za ugibanje.

uporabniki so prepusceni na milost in nemilost kriminalcem, banke pa lahko svoje napake izkoriscajo za pr stunte v smislu "mi smo tako dobri, da vam bomo krili stroske".

gregor666 je napisal(a):


ja to je najvecji problem, zaradi katerega je vsa nasa pamet uporabna zgolj za ugibanje.

v bistvu nam sporocajo, da so u ibr nesposobni... kar je koristna informacija za potencialne kradljivce ;)

gregor666 je napisal(a):

v bistvu nam sporocajo, da so u ibr nesposobni... kar je koristna informacija za potencialne kradljivce ;)

ker sem v tem poslu, ti to lahko le potrdim.

Mene pa bolj zanima, v koliko trgovin bo potrebno vlomiti v sisteme, da se bodo odgovorni zganili in zaščitili svoje kupce ?

Dragi Palcom! Pravilnik o varstvu osebnih podatkov nima prav nič skupnega s kartičnimi transakcijami. To o čemer razmišljaš se verjetno imanuje: Dokument varnostne politike za področje informacijske tehnologije. Tudi pametne kartice ne bodo rešile možnosti zlorabe.
Izjemno pomembno pa je, da pravila igre (varnostna politika) doreče avtorizacijski center Activa. Glede na dobroto kolačev (beri provizije od 2%->), ki jih dobivajo od poslovnih bank bi lahko več naredili za varnost imetnikov kartic.

ISPRO je napisal(a):
Dragi Palcom! Pravilnik o varstvu osebnih podatkov nima prav nič skupnega s kartičnimi transakcijami. To o čemer razmišljaš se verjetno imanuje: Dokument varnostne politike za področje informacijske tehnologije. Tudi pametne kartice ne bodo rešile možnosti zlorabe. Izjemno pomembno pa je, da pravila igre (varnostna politika) doreče avtorizacijski center Activa. Glede na dobroto kolačev (beri provizije od 2%->), ki jih dobivajo od poslovnih bank bi lahko več naredili za varnost imetnikov kartic.

"predpisuje" vedno tisti, ki ima interes to predpisati.

Mene predvsem čudi, kako se chip kartice ne prijemljejo hitreje, ker vseeno odpravljajo dokaj hudo pomankljivost magnetnih, to je enostavno kopiranje. Nenazadnje bi lahko bile kombinirane, in pa se potem bolj mehko stimulira prehod na samo chip kartice. Ampak če pogledamo kako so naredili pri recimo potnih listih, kjer so se namesto za pravo chip teknologijo očitno raje odločili za cheap tehnologijo, in lepo omogočili kopiranje, potem očitno so neki meni neznani zadržki.

sicer pa sem imel sam zlorabo par mesecev nazaj (400 EUR), in mi je banka pozitivno rešila pritožbo. Očitno takšnih primerov ni (še) preveč, in jih še ne žuli toliko.

Sicer ti pa noben dokument varnostne politike ne reši nič, če ti zaupanja vredna oseba (prodajalec, serviser) se odloči malce zlorabljati svojo pozicijo. ker on pač zavestno krši ta dokument. Načeloma lahko računaš da, če imaš ustrezne dokumente, bo večja verjetnost, da kdo od ostalih zaposlenih opazi tovrstno početje. Ampak bolj kot "Dokument varnostne politike za področe informacijske tehnologije" je ključno osveščanje zapolsenih.

www.google.com/searc...skanje&lr=

jeanmark je napisal(a):

Sicer ti pa noben dokument varnostne politike ne reši nič, če ti zaupanja vredna oseba (prodajalec, serviser) se odloči malce zlorabljati svojo pozicijo. ker on pač zavestno krši ta dokument. Načeloma lahko računaš da, če imaš ustrezne dokumente, bo večja verjetnost, da kdo od ostalih zaposlenih opazi tovrstno početje. Ampak bolj kot "Dokument varnostne politike za področe informacijske tehnologije" je ključno osveščanje zapolsenih.

pomoje je bilo tisto s pravilnikom zajebancija. palcom?

Druga pot je namestitev naprave, ki bi prisluškovala - praviloma telefonski - povezavi med POS-terminalom in procesnim centrom. Ko bi POS-terminal poslal podatke o kartici in PIN-kodo procesnemu centru, bi zlikovci lahko prestregli te podatke. Te goljufije oškodovanec ne more ugotoviti, saj je prisluškovalno napravo možno brez sledi namestiti in jo tudi odstraniti, pravi Saša Kos.

Bemti! X-< Se pravi, da je komunikacija POS-center dejansko nekriptirana. Prokleti kurci šlampasti nesposobni! Od zdaj naprej plačujem samo še s kešem.