Täna telekas: PINkoodidest, kokkuleppest autorikaitsega…

Autor Peeter Marvet | Avaldatud: 23. apr. 2001

#

Seekordset tele-kratti alustame demonstratsioon-esinemisega teemal “kuidas saadakse teada sinu pangakaardi PIN-kood”. Ja me ei kasuta selleks pleegitamist, nagu kahtlustab möödundesmaspäevane Postimees:

Anonüümseks jääda soovinud ja end spetsialistiks nimetanud mehe sõnul pole siiski välistatud, et teatud meetodil on pangakaardid lahtimuugitavad.

Tubli, Postimees, täpselt selline ekspert ongi parim hinnanguandja (tühja sellest Martensti Tarvist kes vastu punnib, niikuinii on ta ennast rahatuusadele maha müünud). Ja loo pealkirja oleks võinud võtta politseiprefekti kommentaarist, näiteks: “Oleme hirmul,” ütles paaniliselt ringi piiluv politseiprefekt.

Ah et kuidas siis tegelikult käib? No pea õhtuni vastu…

Lisaks: teenusepakkujad ja autorikaitsjad leppisid kokku, kes millega tegeleb. Tehnokratt on kah teenusepakkuja kolhoos.ee näol, ja otsustasime kah liituda. Miks küll — katsume saates selgitada. Vt ka Koostööleping ja selle lisa Autoriõiguse olulistest aspektidest Internetis.

Taavi Saimrega räägime sellest, kuidas ennast netis leitavaks muuta. Vt tema soovitusi http://siteoptimization.net/ või Petsi teksti samal teemal: Kuidas teha oma kodulehekülg internetis leitavaks?

Lisaks — katsume Kaupsiga selgitada välja, mis on mittetulundusühngute veebide puhul trendikas.

Ja kõige lõpuks — kuivõrd sellel nädalal on kaks üritust, ehk et ITfest / Lanparty / jne toimub 27-29.04.2001 (mängurid hakkavad kogunema juba 26ndal), 3G: Elu mobiil-internetis aga 27.04.2001 kell 12-15, siis võtame kätte ja proovime koos Voicecom’iga, kui lihtne või keeruline on luua oma SMS-teenus. Mainime saates vist et “ühe GSM-teenusepakkuja juures” — tegemist on siiski konkreetselt EMTiga, näidatud “m-mängude platvorm” peaks lähiaegadel ka käiku minema.

Nagu ikka, leiad saatekülaliste e-posti meie ekstranetist.

Postitatud rubriiki Arhiiv, Tehnokratt!. Talleta püsiviide. Kommenteerimine ja trackback-viidete lisamine ei ole lubatud.

2 Kommentaarid

  1. Alan Rein
    Lisatud 24. apr. 2001 kell 15:05 | Püsiviide

    Preambula

    Olen veendunud, et parim viis olemuselt tehniliste kuritegudega (nt ka korteri- ja autovargused) võitlemiseks on avaldada ja diskuteerida maksimaalselt kurikaelade tegevuse võtteid ja üksikasju, et inimesed oskaksid end kaitsta.

    Klaviatuurilt koodi sisestamine on hetkel üks kõige levinumaid turvaidentifitseerimise võtteid ja jääb selleks üsna pikaks ajaks. Eelkõige seetõttu, et kõik alternatiivsed tehnoloogiad (sõrmejälg, labakäe kontuur, hääleallkiri, silmapõhi, näopildituva kuni nahaalune identifitseerimischip) on lähema 5 a jooksul veel piisavalt kallid ja avakasutuseks omade probleemidega.

    Kõige olulisem reegel…

    …peale koodi liigse lihtsuse ja kättesaadavuse vältimise:

    Kui PIN koodi automaadis sisestada, siis tuleb numbreid sisestav käsi varjata. Rahakotiga, teise käega, mapi, käekotiga ja absoluutselt. Ja see ei tähenda, et koodisisestaja oleks paranoiline nannipunn või eeldaks, et kõik läheduses viibivad isikud on vastikud nuhkijad. Lihtsalt tuleb varjata ja kõik.

    Abiks on veel see, kui õpite oma koodi sisestama nii, et labakäsi võimalikult vähem liiguks. Oluline on ka see, et Te oma koodi just käe vähese liikuvuse alusel ei määraks. Siis oleks lihtsam ära arvata. Samas ‘0’-i kui kõige ebamugavamalt kättesaadava numbri võib ju välja jätta. Käe vähese liikuvuse triki teostamiseks soovitan kasutada üldjuhul siseruumides asuvaid automaate (ka isikule turvalisem), mille nupud ei ole raske käiguga ja veekindlad, nii et vajutamiseks tuleb jõudu kasutada.

    Eriti paranoilised kaardiomanikud võivad lisaks muule ka klaviatuuri pärast operatsiooni teostamist üle nühkida (miks, sellest allpool).

    Rollimäng: Kuidas pätt mõtleb?

    Pangakaardi koodi peaks olema põhimõtteliselt võimalik teada saada järgmiselt:

    1) visuaalne vaatlus. Kõige lihtsam ja levinum meetod. Ainus vajalik lisavarustus on äärmisel juhul binokkel, kuid piisab ka teravast silmanägemisest. Kasuks tuleb käeliigutuste alusel tõenäolise koodi äraarvamise kunst (koodi saab kolm korda valesti sisestada, nii et alati on variandid). Tegemist on millegi huulteltlugemise sarnase oskusega ainult et oluliselt lihtsamaga. Väljavõtteline vaatlus panga-automaatide kasutajate kohta lubab väita, et umbes poolte kasutajate puhul on õigel kohal seistes võimalik kood suure tõenäosusega reprodutseerida.

    • Nii et varjake, varjake, varjake.
    • Võiks olla võimalus valida teenust – ainult üks, kaks korda valesti ja kaart automaadi kõhtu.

    2) libaklaviatuur. Nii lisaklaviatuuri paigutamine olemasoleva peale, kuid ka ‘kaardinuusutaja’ paigutamine kaardisisestuspilu juurde muudavad ka tavainimesele arusaadavalt automaadi väljanägemist.

    • Selle vastu pole küll muud vahendit, kui lihtsama lähenemise korral võtta ainult ühest ja samast automaadist raha, jätta meelde automaadi välisdisain ja iga muutuse puhul ärevaks muutuda.
    • Vilunud ‘automaaturid’ omavad piisavat ülevaadet, milline üks või teine automaat välja näeb ja oskavad kahtlustada.
    • Samas ei teeks paha, kui keegi riputaks veebi üles, kuidas üks ‘normaalne’ automaat olulistes detailides välja näeb. Neid on küll erinevaid (NCR, IBM jms) aga on vähemalt infoallikas millele toetuda. Ja Hansapank võiks ka vihjet anda, kuidas see Kadaka Selveri ‘nuusutaja’ välja nägi.

    3) ultraviolettvalguses fluorestseeruv spray värv, mis tavavalguses on nähtamatu. Koodi sisestus pole ju midagi muud kui rasuste sõrmeotste järjestikused puudutused vastu metallklahve. Kes väga tahab võib ju ka värskeid sõrmejälgi analüüsida ja ülitundliku termokaameraga mõõta klahvide diferentsiaalsoojust aga ….

    • Seega spray klaviatuurile
    • ohvri tulekut ootama
    • visuaalne vaatlus pluss kindlad andmed klahvivajutuse kohta klaviatuuri vaatlemisel ultraviolettlambi valguses.

    Kuna see värv ei saa olla kiiresti kuivav, siis on ta vedel (ja nähtamatu) ka pärast koodi sissetoksimist. Seega on ta ka pühitav. Ei tea et keegi oleks selle trikiga vahele jäänud.

    4) üles kirjutatud kood ja social engineering‘uga identifitseeritav kood. Esimene, nagu öeldud, üles kirjutatud. Social engineering on krüptograafiast tuntud võte, kuidas ohvri teadmisi, arusaamu ja käitumist tõlgendades arvatakse ära PIN kood. Selle viimase punkti mõttes on väga halb, et tuhanded Hansapanga automaadi kasutajad said suures koodivahetamise tuhinas ise määrata oma turvakoodi.

    • Kõrge turvalisusega süsteemis määrab turvakoodi süsteem ise mingi loogika alusel. Saan samas aru, et Hansapanga telefonitoe ja kontorite töökoormus oleks oluliselt tõusnud olukorras, kus kõik saavad uusi masina poolt etteantud koode. Võib-olla muudab selle võimatuks ka panga ja automaadi vahelise suhtluse turvaprotokoll.
    • Masin võiks umbes 3 automaadioperatsiooni ette hoiatada, et tulemas on koodivahetus. Siis on aega valmistuda (vältida ja planeerida, kus seda teha). Minu jaoks tuli see üsna üllatavalt olukorras kus 7 (!) inimest minu selja taga järjekorras ootas.
    • Lisaks võiks inimestele õpetada lihtsaid mnemoonilisi võtteid kuidas juhuslikku numbrijada meeles pidada (selle kohta näpunäiteid raamatust (vist oli) Loeser – Mälutreening).

    See siin on deduktiivse loogika vili. Kui palju võiksid lisada praktikud (ei, ma pean silmas ATM-ide müügifirmasid ja pankade turvaspetsialiste). Ilmselt on turvalisuserisk peamine põhjus, miks pangakaartide suhtarv ei tõuse rohkem kui ta seda praegu teeb. Sellest kuidas vargad oma tööd teevad ja kuidas selle vastu võidelda, võiks rääkida juba EV Politseiameti esindaja.

    • Ardo
      Lisatud 8. juuli 2001 kell 00:36 | Püsiviide

      “Eriti paranoilised kaardiomanikud võivad lisaks muule ka klaviatuuri pärast operatsiooni teostamist üle nühkida”

      Ei aita, kui klahve pärast kasutamist termokaameraga (hmm..miks ylitundlikke termomeetreid termokaameraks nimetame ? Nad ju enamasti pystoli vôi pastaka kujulised…) môôdetakse vôi klahvid enne koodi toksimist puhtaks on tehtud (piiritusega näiteks). Jäljed jäävad ikka ( kui sa peale automaadi kasutamist ka ise piirituse vms. abil klahve ei puhasta :-).
      Soovitaks lihtsalt peale kaardi automaadist kätte saamist lihtsalt sôrmedega yle klaviatuuri tômmata.
      Kui sa aga rahasummad ka numbriklaviatuurilt sisse toksid, siis pole ka seda klaveri puhastamist ehk vaja.
      Näpujälgede järgi puudutatud klahvide leidmine peaks eriti lihtne olema plastikklahvidega klaviatuurilt – läbipaistev kleepekas korra klaverile vajutada ja siis maha..ongi jäljed käes..kui kindla peale minna, siis vôiks enne veel talki vmt. yle klaveri puhuda.
      Kaardinuusutaja kohta ei oska kommenteerida…iseenesest on asi väga lihtne ja pilu juures peab olema vaid lugemispea (mitte suurem, kui kassettmaki oma..tegelt saab koguni kassettmaki lugemispead kasutada seal, ent peab arvestama, et môningates kaartides vôiba 4 ja enamgi magnetrada salvestatud olla)
      Lisaklaviatuur on aga kuri probleem – see vôib eemalt vaid läbipaistva kilena näida ( umbes selline, nagu enamustes arvutiklaviatuurides sees on). Ise paigutaks pahalasena kyll just midagi sarnast – vaevalt ta neil metallist veekindlatel klahvidel eriti enamikku kahtlustama paneb….
      Kokkuvôttes peaks ikkagi arvestama, et parool on määrav ja selle avalikuks tulekut ei tohi lubada. Kaardist koopiat teha on lapsemäng.
      Näiteks ka yks pangakaardi “sisu” (kehtetu kaart):
      5898572105946315´00011210000000000000