Måste slå ett slag (?) för spikpistolen!
Håller på att sätta panel i hallen och har lånat en spikpistol av en kollega. Fantastiskt smidigt verktyg. Hålla med en hand skjuta med den andra, inga skruvar som trillar av bitsen, inga spikar som ska förskiktigt förspikas, inga blåa tumnaglar.
Kanske lite kångligt att man måste ha kompressorn i närheten, men det går ju att lösa (min står i bastun just nu så att man slipper ljudet...)
Även Max, tvååringen, tycker att det är roligt, lite för farligt på egen hand dock. Det gäller att var riktigt noga med att koppla ur luftslangen när man lägger i från sig pistolen, även om man bara ska vända sig om och hämta en ny bräda.
/Jens
Monday, March 1, 2010
Friday, February 26, 2010
Chipkorten hackade
Ett brittiskt forskarteam har hackat chippet på våra betalkort (Eurocard/Mastercard/Visa). Eller hackat är väl inte rätt ord riktigt, snarare överlistat själva verifieringsprocessen.
Hacket, om vi väljer att kalla det så, medför att man kan använda ett kort för betalning utan att kunna pin-koden, men att köpet trots detta registreras som "verified by pin" vilket då medför att bankerna inte kommer att ersätta den som förlorat sitt kort.
Själva hacket är inte speciellt knepigt, man låter helt enkelt en liten dator svara "ja" på kortterminalens fråga "är det här rätt pinkod?" istället för att kortet gör det. Kortet i sin tur tror att köpet ska verifieras med signatur och klagar inte.
Det är kanske inte värdens största problem så här långt, förövaren måste ha tillgång till ditt kort vid köptillfället och kortet får inte vara spärrat. Sen gäller det bara köp i butik eller liknade med chipterminal, så summorna lär inte bli men än ett par tusen, rimligtvis.
Men sen kommer den STORA frågan. Kan man använda samma metod för att logga in i internetbanken? Jag har tillexempel tre olika internetbanker där jag stoppar ett chipförsett kort i en fristående kortläsare, knappar in en kontrollkod och min pinkod och får en svarskod tillbaka som jag knappar in i internetbankens inloggningsruta.
I en av bankerna, får jag inte någon verifiering på att jag har gett rätt pinkod, utan den används som en del i nyckeln, även fel pinkod genererar altså en svarskod, som för betraktaren sel lika riktig ut som alltid. Men i de andra två får man mer känslan av att pinkoden bara "öppnar" dosan. Undra om det går att komma runt på liknande sätt? Då kan det bli lite kostsammare...
En av bankernas dosor kan även kopplas till datorn med en kabel och kortet användas för e-legetimation, här knappas bara pinkoden in, antingen i dosan, eller på datortangentbordet, om jag använder en dosa utan knappsats. Fungerar hacket även här? Då blir det riktigt läskigt...
Väntar med spänning på att Truesec eller någon med tekniken på plats testar även dessa saker...
Hacket, om vi väljer att kalla det så, medför att man kan använda ett kort för betalning utan att kunna pin-koden, men att köpet trots detta registreras som "verified by pin" vilket då medför att bankerna inte kommer att ersätta den som förlorat sitt kort.
Själva hacket är inte speciellt knepigt, man låter helt enkelt en liten dator svara "ja" på kortterminalens fråga "är det här rätt pinkod?" istället för att kortet gör det. Kortet i sin tur tror att köpet ska verifieras med signatur och klagar inte.
Det är kanske inte värdens största problem så här långt, förövaren måste ha tillgång till ditt kort vid köptillfället och kortet får inte vara spärrat. Sen gäller det bara köp i butik eller liknade med chipterminal, så summorna lär inte bli men än ett par tusen, rimligtvis.
Men sen kommer den STORA frågan. Kan man använda samma metod för att logga in i internetbanken? Jag har tillexempel tre olika internetbanker där jag stoppar ett chipförsett kort i en fristående kortläsare, knappar in en kontrollkod och min pinkod och får en svarskod tillbaka som jag knappar in i internetbankens inloggningsruta.
I en av bankerna, får jag inte någon verifiering på att jag har gett rätt pinkod, utan den används som en del i nyckeln, även fel pinkod genererar altså en svarskod, som för betraktaren sel lika riktig ut som alltid. Men i de andra två får man mer känslan av att pinkoden bara "öppnar" dosan. Undra om det går att komma runt på liknande sätt? Då kan det bli lite kostsammare...
En av bankernas dosor kan även kopplas till datorn med en kabel och kortet användas för e-legetimation, här knappas bara pinkoden in, antingen i dosan, eller på datortangentbordet, om jag använder en dosa utan knappsats. Fungerar hacket även här? Då blir det riktigt läskigt...
Väntar med spänning på att Truesec eller någon med tekniken på plats testar även dessa saker...
Subscribe to:
Posts (Atom)