Stefano Zanero ha scritto:
Corrado Conti wrote:
5) Riconoscere i problemi da te sollevati potrebbe avere un effetto a
catena anche sui sistemi ATM/Bancomat, dove i pin da 5 cifre sono
norma internazionale.
In un eccesso di puntigliosita' rispetto al tuo post per il resto
completamente condivisibile, ti faccio notare che in questo caso il
threat model e' completamente diverso, in quanto il pin e' collegato a
un oggetto fisico che viene ritirato dopo un eccesso di tentativi
erronei.
Faccio anche notare in aggiunta che a seconda del meccanismo di blocco
e di enumerazione del codice cliente da 8 cifre, siccome immagino che
la banca abbia piu' di 99.999 correntisti, per fare bruteforcing si
puo' anche far scorrere l'id e lasciar fisso il pin.... e' una
riflessione che abbiamo gia' fatto mille volte.
Escludendo il circuito dei POS (dove se viene manipolato un terminale
poi vengono a bussare a casa omini in divisa), rimane come unica strada
quella dell'ATM.
Gli ATM moderni hanno, come dispositivi di sicurezza fisica:
- un caricatore della tessera che effettua scatti randomici per evitare
che una maschera applicata sopra la fessura reale possa scandire la tessera;
- una clamp che impedisce l'uso di tessere a cui sono applicate cavi o
altro per l'estrazione in caso di pin errato troppe volte
La banda, di per se, non contiene direttamente le informazioni del CC,
ma un ID (assai lungo) che viene poi correlato al conto solo dopo
l'autenticazione.
Detto questo, mi stupisco che sulla miriade di bancomat che ho avuto il
PIN fosse sempre di 5 cifre, MA con una o più cifre ripetute: come se ci
fosse un
qualche algoritmo che genera codici facilmente memorizzabili (è
indubbio che ci siano sequenze facili alla memorizzazione, e sequenze
difficili) basandosi sulla configurazione
dei tasti del tastierino e estraendo una qualche combinazione (ad
esempio CENTRO-SU-RIPETI-GIU'-DESTRA = 52289). [NUMERI A CASO]
E' una curiosità che mi è sempre frullata per la testa, purtroppo non ho
modo di verificare.
Alessandro Sappia
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
