Portada
mis comunidades
otras secciones
#5:
El articulo habla sobre la vulnerabilidad del protocolo EMV que es el utilizado en las tarjetas con Chip.
Ademas explica el diseño de un lector de tarjetas chip con el fin de ser usado con la técnica "man in the middle" el cual nos permite efectuar transacciones sin necesidad del pin por un fallo del protocolo que es conocido desde hace algún tiempo.
También critica que los propietarios del protocolo no han hecho nada por solucionarlo porque de momento el nivel de fraude es muy bajo.
Ademas explica el diseño de un lector de tarjetas chip con el fin de ser usado con la técnica "man in the middle" el cual nos permite efectuar transacciones sin necesidad del pin por un fallo del protocolo que es conocido desde hace algún tiempo.
También critica que los propietarios del protocolo no han hecho nada por solucionarlo porque de momento el nivel de fraude es muy bajo.
#13:
#11
Ya te explico yo porque es más seguro.
Es más seguro que la banda magnética por dos motivos, especialmente:
1.- La banda magnética la puede copiar cualquier persona, el aparato necesario lo puede conseguri cualquiera y no se requieren conocimientos de ningún tipo. Con el chip, en cambio, puede que hayan bugs, pero a día de hoy NUNCA se ha conseguido copiar un chip (los sectores de memoria donde se encuentran los datos confidenciales están protegidos por hardware, puede entrar inforamción, para hacer una petición de autenticación, pero solo puede salir un verdadero/falso, no se puede sacar, por ejemplo, el pin.
2.- La tecnología chip puede tener bugs, pero estos pueden ser corregidos. La tecnología de banda magnética es un chista a día de hoy y no tiene ningún sentido que se haya tardado tanto en empezar a retirar. Los problemas que conlleva (sobre todo, la facilidad para copiarla) NO pueden corregirse.
Lo que comentas del Man in the middle... no es imposible, pero es bastante complicado, especialmente puesto que estos errores de seguridad se intentan corregir a medida que surgen. Supongo que por algún motivo tienes miedo en exceso, porque decir "menuda inseguridad estan creando con esto del chip de marras", con todo respeto, es absurdo, puesto que siempre será mucho más seguro que la tecnología de banda.
El principal problema del chip, no es culpa de la tecnología, si no de una "decisión de diseño". Que te pidan el pin al comprar, puesto que alguien puede verlo y luego robarte la tarjeta.
Ya te explico yo porque es más seguro.
Es más seguro que la banda magnética por dos motivos, especialmente:
1.- La banda magnética la puede copiar cualquier persona, el aparato necesario lo puede conseguri cualquiera y no se requieren conocimientos de ningún tipo. Con el chip, en cambio, puede que hayan bugs, pero a día de hoy NUNCA se ha conseguido copiar un chip (los sectores de memoria donde se encuentran los datos confidenciales están protegidos por hardware, puede entrar inforamción, para hacer una petición de autenticación, pero solo puede salir un verdadero/falso, no se puede sacar, por ejemplo, el pin.
2.- La tecnología chip puede tener bugs, pero estos pueden ser corregidos. La tecnología de banda magnética es un chista a día de hoy y no tiene ningún sentido que se haya tardado tanto en empezar a retirar. Los problemas que conlleva (sobre todo, la facilidad para copiarla) NO pueden corregirse.
Lo que comentas del Man in the middle... no es imposible, pero es bastante complicado, especialmente puesto que estos errores de seguridad se intentan corregir a medida que surgen. Supongo que por algún motivo tienes miedo en exceso, porque decir "menuda inseguridad estan creando con esto del chip de marras", con todo respeto, es absurdo, puesto que siempre será mucho más seguro que la tecnología de banda.
El principal problema del chip, no es culpa de la tecnología, si no de una "decisión de diseño". Que te pidan el pin al comprar, puesto que alguien puede verlo y luego robarte la tarjeta.
#1:
Zas,en toda la boca.
Mañana veremos como los bancos prohiben transferencias a cuentas de la univerdad de Cambridge
Mañana veremos como los bancos prohiben transferencias a cuentas de la univerdad de Cambridge
Comentarios
El articulo habla sobre la vulnerabilidad del protocolo EMV que es el utilizado en las tarjetas con Chip.
Ademas explica el diseño de un lector de tarjetas chip con el fin de ser usado con la técnica "man in the middle" el cual nos permite efectuar transacciones sin necesidad del pin por un fallo del protocolo que es conocido desde hace algún tiempo.
También critica que los propietarios del protocolo no han hecho nada por solucionarlo porque de momento el nivel de fraude es muy bajo.
#5 buen resumen
Zas,en toda la boca.
Mañana veremos como los bancos prohiben transferencias a cuentas de la univerdad de Cambridge
Mastercard está trabajando en ello...
También critica que los propietarios del protocolo no han hecho nada por solucionarlo porque de momento el nivel de fraude es muy bajo.
¿Alguien recuerda lo que hacía el personaje de Edward Norton en "El club de la lucha" como perito de accidentes en una empresa de automoviles? Pues eso.
Barclays esta trabajando para arreglar el problema. El resto trata de ocultar el problema. Interesante.
yo nunca entendere pq ahora con el chip ya no me piden el DNI!
a mas de una tienda les he dicho... como se yo que este aparato no esta modificado para duplicar el chip y encima le estoy poniendo mi PIN?
menuda inseguridad estan creando con esto del chip de marras, una tecnica de man in te middle puede hacer que sin darnos cuenta nos esten robando todo el dinero (poco en mi caso estando en el paro)
me gustaria que algun experto me aclarase pq es mas seguro el chip que la banda magnetica, mi firma y mi dni y pq ahora NO se necesita el DNI para verificar que soy el titular de la tarjeta
#11
Ya te explico yo porque es más seguro.
Es más seguro que la banda magnética por dos motivos, especialmente:
1.- La banda magnética la puede copiar cualquier persona, el aparato necesario lo puede conseguri cualquiera y no se requieren conocimientos de ningún tipo. Con el chip, en cambio, puede que hayan bugs, pero a día de hoy NUNCA se ha conseguido copiar un chip (los sectores de memoria donde se encuentran los datos confidenciales están protegidos por hardware, puede entrar inforamción, para hacer una petición de autenticación, pero solo puede salir un verdadero/falso, no se puede sacar, por ejemplo, el pin.
2.- La tecnología chip puede tener bugs, pero estos pueden ser corregidos. La tecnología de banda magnética es un chista a día de hoy y no tiene ningún sentido que se haya tardado tanto en empezar a retirar. Los problemas que conlleva (sobre todo, la facilidad para copiarla) NO pueden corregirse.
Lo que comentas del Man in the middle... no es imposible, pero es bastante complicado, especialmente puesto que estos errores de seguridad se intentan corregir a medida que surgen. Supongo que por algún motivo tienes miedo en exceso, porque decir "menuda inseguridad estan creando con esto del chip de marras", con todo respeto, es absurdo, puesto que siempre será mucho más seguro que la tecnología de banda.
El principal problema del chip, no es culpa de la tecnología, si no de una "decisión de diseño". Que te pidan el pin al comprar, puesto que alguien puede verlo y luego robarte la tarjeta.
#11 El chip no es motivo para que no te pidan el DNI. El único motivo por el que no te pueden pedir DNI es la foto. Ahora creo que ya pocos bancos ofrecen esa posibilidad, pero antes era bastante habitual tener tu foto en la propia tarjeta, y ahorraba el sacar el DNI.
No te pedirán DNI porque pasarán del tema, a lo mejor te parece que ahora no te lo piden porque antes directamente tú se lo enseñabas, ahora no se lo enseñas y has descubierto la cantidad de sitios en los que no se molestan en pedirlo.
El DNI es obligatorio pedirlo porque la tarjeta puede ser robada, por tanto es necesaria la "identificación facial".
Por otro lado, no es cierto que las tarjetas de chip se puedan "robar" clonandolas. Ningún aparato en el que introduzcas la tarjeta puede estar modificado para clonar tu chip. Me explico:
Tu chip, al igual que la banda magnética, tiene una clave. La diferencia con la banda magnética, es que de la banda magnética se puede sacar dicha clave, en cambio es en teoría imposible (si no existen vulnerabilidades como podría ser el caso de este artículo), extraer la clave del chip.
El funcionamiento del chip consiste en que se introducen en éĺ los datos de tu compra, y el chip firma los datos de esa compra con tu clave. El chip proporciona por tanto no la clave, sino los datos de la compra firmados con la clave. A través de los contactos del chip se pueden obtener datos firmados por la clave, pero nunca la clave, ya que esta es almacenada en una parte de la memoria del chip a la cual es en teoría imposible acceder desde un lector del chip. Habría que destruir el chip con un aparato de gran tecnología para acceder a tu clave.
Por tanto, lo único que podría estafarte la máquina estando modificada, es pedirle al realizar tu pago, no sólo que te firme ese pago, sino otros determinados pagos. Al igual que te puede engañar la pantalla de la máquina estando modificada y mostrar una cantidad distinta a la que la máquina está pidiendo a tu chip que firme. Es decir, sí es posible como dices, una estafa mediante una máquina modificada, pero dicha estafa no puede consistir como dices en copiar tu chip.
#16 ¿?
¿Puedes decirme de donde has sacado esa información? (No lo digo como pulla, lo pregunto sinceramente)
En principio lo que dices no es cierto, a menos que ese sistema se aleje del estándar. Te "corrijo" los puntos que no me cuadran y, si no te molesta, me gustaría contrastarlos para saber si es que estoy muy despistado:
1.-
"Tu chip, al igual que la banda magnética, tiene una clave"
La banda no tiene ninguna clave, solo los dato de la tarjeta (número PAN, titular, etc)y, al pagar, se realiza una autenticación online con el banco para comprobar que los datos son correctos y que la tarjeta no ha sido denunciada como copiada o robada.
2.-
"El funcionamiento del chip consiste en que se introducen en éĺ los datos de tu compra, y el chip firma los datos de esa compra con tu clave. El chip proporciona por tanto no la clave, sino los datos de la compra firmados con la clave"
El chip no firma los datos de la compra, en todo caso, utiliza una clave (dependiendo de si se trata de una tarjeta SDA o DDA) simétrica o asimétrica para la transacción, para evitar que se cambie la tarjeta una vez ha sido autenticada para engañar al lector y para evitar que alguien que haga sniffing con los datos pudiese estudiar cientos de transacciones para averiguar la clave. Al margen de eso, lo que hace el chip es recibir el PIN que se introduce, enviarlo al sector protegido de memoria que devuelve un valor boleano diciendo si el chip es correcto para poder continuar con la compra, pero no se utiliza ninguna clave para firmar datos.
3.-
"Habría que destruir el chip con un aparato de gran tecnología para acceder a tu clave."
Esto más que una corrección es una puntualización. Los chips están enganchados de manera que es imposible extraerlos sin romperlos o sin llevarse la cola enganchada de manera que los romperías al limpiarlo. En teoría, puesto que pueden haber diversos problemas en la fabricación, esto es el punto más discutible.
#14 En realidad, muy probablemente no. Cuando en una tarjeta de chip no pones el PIN, obviamente la tarjeta no puede comprobar si el PIN es correcto, eso quiere decir que se está realizando una autenticación online, como se hace con las tarjetas de banda magnética. Es más seguro que la banda, puesto que los datos se encuentran en el chip, pero al finy al cabo son los mismos datos que también se encuentran en la banda.
La seguridad que aporta la tarjeta es la capacidad de "autovalidarse", cosa que no funciona si no les pones el PIN.
#16 El DNI es obligatorio pedirlo porque la tarjeta puede ser robada, por tanto es necesaria la "identificación facial"
no, lo que es obligatorio es comprobar la firma (aunque en españa se haga de pena, como dice #12) .
que yo sepa, no hay ninguna ley, ni reglamento (salvo, quizas, alguno interno de algun banco) que obligue a un comercio a pedirte el dni
#11
El chip es infinitamente más seguro que la banda magnética... sobre todo para tu banco y los comercios.
Ahora al poder verificar que se ha introducido un PIN válido, la orden de cobro se emite sin comprobante firmado, de forma que no se les puede reclamar por un justificante con firma fraudulenta, sino que tienen toda la seguridad del mundo de que alguien ha introducido con tu tarjeta tu PIN.
De esta forma, como clonar un chip en la actualidad no es ni rápido ni fácil, lo más inteligente para robarte es hacer un man-in-the-middle por software y/o hardware en los terminales; emitiendo cobros adicionales sin necesidad de tu PIN, pero que a la entidad bancaria le constará como una operación perfectamente válida.
Y luego te pones a denunciar un pago contra un sistema "100% seguro"...
yo le mandé un e-mail a mi banco preguntándoles: «cómo puede ser que mi correo electrónico se preocupe más por la seguridad de mi contraseña que mi propio banco?»
me respondieron diciendo que no comprendían la respuesta, por lo que tuve que explicárles con todo detalle en qué consiste la seguridad de las contraseñas, pero ahí siguen los muy gilipollas, esperando bien abiertos hasta que alguien les penetre y entonces pondrán el grito en el cielo.
#7 Soy de los que no ven claro lo de las tarjetas con chip. Con el rollo de que el pin es muy seguro, muchas tiendas no piden el carnet de identidad, y ya se empiezan a escuchar historias de gente mayor a las que le han visto el pin mientras compraban (cosa que no es difícil), les han robado la tarjeta y les han hecho algún estropicio importante en las cuentas. Me imagino que el robo se lo cubrirá el banco, pero mientras tanto el susto y el problema es importante.
Encuentro absurdo el tener que poner el mismo pin en el cajero y haciendo una compra. Si el importe es inferior a X(a definir) debería existir un pin diferente
#12 porque en el resto del mundo civilizado (sic) no tienen DNIs, y no comprueban tu identidad con nada. La revisión de firma es de risa, puedes firmar como Homer J. Simpson todas las veces que quieras y seguramente nunca se darán cuenta ni cancelarán la transacción.
Yo diría que lo Unico que comprueban cuando te piden el DNI es que el nombre coincida con el de la tarjeta. Nunca me han mirado la cara.
PIN y PON.
#3 Pin y Puk en realidad.
Tras haber leído la carta [ http://www.cl.cam.ac.uk/~rja14/Papers/ukca.pdf ], considero que el título no es correcto: «First, your letter was not correctly addressed. The University of Cambridge is a self-governing community of scholars rather than a corporate hierarchy. Mr Jolly is responsible for the university’s front page at www.cam.ac.uk and for some of the pages in www.admin.cam.ac.uk, but not for web pages in academic departments. Omar Choudary is responsible for his pages at www.cl.cam.ac.uk/~osc22; I am responsible for my pages at www.cl.cam.ac.uk/~rja14; and Steven Murdoch is responsible for his pages at www.cl.cam.ac.uk/~sjm217 as well as being webmaster of www.lightbluetouchpaper.org. Omar’s work was not ‘published by the university’ as you claim but by him. If you wanted him to take his thesis offline, you should have asked him». Debería ser algo así como «Respuesta de Ross Anderson, de la Universidad de Cambridge ....»
La censura en acción:
Intenta visitar esta noticia con más de 500 meneos Divertidísima acción de Protesta ante una sucursal bancaria
Divertidísima acción de Protesta ante una sucursal...
youtube.comPara ver el video censurado, click aqui
Mi tarjeta tiene chip pero en lugar de pin tengo que firmar, asi que tengo las ventajas de ambos sistemas
en las que se pide pin hay algun limite de errores para bloquear la tarjeta?