BlackRusian Black Blog

Publicado el 01/05/2010 12:05:00 en Seguridad Bancaria. Total de votos: 1  Votar

Hi

Un pinblock es un bloque de datos que contiene el PIN. Generalmente los pins tienen entre 4 y 12 cifras decimales, y las entradas de los algoritmos son de 16 cifras hexadecimales, con lo que el pin se encapsula en los llamados pinblocks para su manipulación. Tienen una longitud de 16 dígitos hexadecimales ( 8 bytes o 64 bits).
Existen varios tipos de pinblocks, dependiendo de las variables que intervengan en su generación. Vamos a mostrar los cuatro  principales: ISO-0, ISO-1, ISO-2 e ISO-3, pero existen otros modelos como el VISA-2, VISA-3, el IBM-3624, y los ECI-2 y ECI-3 entre otros.


ISO­-0

También llamado ANSI X9,8, VISA-1 y  ECI-1. Es usado para transacciones en linea, soporta pins de longitud de 4 a 12 dígitos, y en su formación interviene el PIN y el PAN. 

Se obtiene de hacer una operación XOR con dos bloques de datos, el primero seria:



donde:
0 indica que el pinblock tiene el formato ISO­ 0.
L muestra la longitud del pin, generalmente 4.
P muestra los dígitos del PIN (se permiten valores desde 0 a 9).
F campo de relleno hexadecimal de valor F hasta completar el bloque de 16 cifras.


El segundo bloque estaría compuesto cuatro ceros iniciales más los doce dígitos menos significativos del PAN, que es el numero de cuenta principal.



Dando como resultado el pinblock ISO­-0.





ISO­-1

También llamado ECI­-4. Se usa para transacciones en linea. Tiene la peculiaridad de que para su generación utilizamos números aleatorios.

Tiene la siguiente estructura:



donde:
1 indica que el pinblock tiene formato ISO­-1
L longitud del pin.
P representa el pin.
R campo de relleno con n&u... [/trombi]

Continúa aquí...

Comentarios: 11 | Leer comentarios

Publicado el 26/02/2010 12:02:00 en Criptografía. Total de votos: 8  Votar

Hi

El otro día entro el muertito en el chat preguntando si podíamos ayudarle con un hash que no podía sacarlo. Todavía no ha salido, pero es cuestión de tiempo. Esto prueba que la mejor defensa contra este tipo de ataques es una contraseña fuerte, esto es, la combinación aleatoria de mayúsculas, minúsculas, números y símbolos y nunca menor de 10 caracteres.

Lo primero que habría que saber es que tipo de hash es. En el caso del muertito era un hash de Joolma. La tendencia de los CMS es diversificar los métodos de encriptación, pero utilizando alguno de los algoritmos mas comunes como MD5 o SHA1. Con lo que lo primero a la hora de enfrentarnos a un hash de un CMS es saber que tipo de hash es. Para eso ya tenemos el trabajo hecho, existen tablas como estas:



Y sino existen programas como el Hash Analizer que te dicen el tipo de encriptacion que lleva, pero yo me fiaría mas de las tablas.

Una vez que ya sabemos que tipo de cifrado lleva vamos a ver el programa PasswordsPro. En el caso del muertito era un hash de Joolma, donde $hash=md5($pass.$salt). Donde el hash es el resultado de añadirle un salto generado aleatoriamente a la pass en claro, y luego el resultado cifrarlo en MD5.


El programa PasswordsPro esta diseñado para recuperar contraseñas de diferentes tipos de hashes. Funciona bajo windows (en linux el wine parece que lo emula bien), no lleva instalación y usa sus propias librerias con los algoritmos. Soporta mas de 30 tipos de hashes y la versión comercial admite hasta 256 hash simultáneamente, la versión shareware esta limitada a un hash. También se le pueden cargar plugins con utilidades como un generador de contraseñas seguras, un generador de diccionario, conversores de texto y algunos mas.

La lista de algoritmos que admite es:

– MySQL5
– DES(Unix)
– MD2
– MD4
– MD4(HMAC)
– MD4(Base64)
– MD5
– MD5(APR)
– MD5(Unix)
– MD5(HMAC)
– MD5(Base64)
– MD5(phpBB3)
– MD5(Wordpress)
– MD5_HMAC($salt,MD5_HMAC($salt,$pass))
– SHA-1
– SHA-1(HMAC)
– SHA-1(Base64)
– SHA-1(Django)
– SHA-256
– SHA-256(Unix)
– SHA-256(Django)
– SHA-256(md5($pass))
– SHA-256(PasswordSafe)
– SHA-384
– SHA-384(Django)
– SHA-512
– SHA-512(Unix)
– Haval-128
– Haval-160
– Haval-192
– Haval-224
– Haval-256
– Tiger-128
– Tiger-160
– Tiger-192
– RipeMD-128
– RipeMD-160
– MaNGOS
– Whirlpool
– RAdmin v2.x
– Lineage II C4
– Domain Cached Credentials
– md5(md5($pass))
– md5($pass.$salt)
– md5($salt.$pass)
– md5(sha1($pass))
– md5($hex_salt.$pass)
– md5(md5(md5($pass)))
– md5(md5($pass).$salt)
– md5(md5($salt).$pass)
– md5($salt.md5($pass))
– md5($salt.$pass.$salt)
– md5(md5($salt).md5($pass))
– md5(md5($pass).md5($salt))
... [/trombi]

Continúa aquí...

Comentarios: 9 | Leer comentarios

Publicado el 20/02/2010 12:02:00 en Seguridad Bancaria. Total de votos: 7  Votar

Hi

Este no es mio, es de Or_DIE, un aficionado a la materia que publico este manual en el 2004 y luego lo retiro no se muy bien si por miedo o por no querer buscarse problemas. Hace poco decidió volver a liberarlo y por aca se lo dejo, leanselo que esta muy bien. (Y maquetado...)

==========================================================0


Magnéticas Bancarias

Versión: 00.02
Fecha creación:Marzo de 2004
Fecha primera revisión:Febrero 2010
by Or_DIE

Indice

Disclaimer
Historial de revisiones
Mail y clave pública
Presentación y objetivos
Requisitos mínimos y conocimientos previos
Abreviaciones y palabrejas raras
Introducción y datos generales
Y dijo la tarjeta: “no me toques los tracks”
Track1
Track2
Más sobre el PAN
Más sobre el PVV
Más sobre el CVV
Cosas varias y notas finales
Agradecimientos
Despedida y cierre del chiringuito


Disclaimer

El contenido de este manual tiene una finalidad exclusivamente educativa e informativa. Todo lo que aquí se expone es totalmente público y resulta de una simple recopilación de datos de la red. No me responsabilizo del mal uso que pueda derivar de este manual.
Por lo que al manual en sí se refiere, pues se puede distribuir únicamente de forma libre y gratuita, en el formato que sea, pero de forma íntegra. Es decir, no podéis distribuirlo cortado o con su contenido alterado. Y mucho menos lo podéis vender o pedir algo a cambio de su distribución (como mucho las gracias). Aunque dudo que nadie estuviera dispuesto a pagar nada por él. Tampoco se puede distribuir conjuntamente con un hardware que sí se vende. En general no quiero que este manual se cuelgue en las típicas webs de venta de material electrónico. ¿Qué pasará si igualmente hacéis algo de todo esto? Hombre, no estaré allí para abofetearos, pero quizás me puteo y no hago más manuales. De todas formas, si tenéis problemas con el formato o necesitáis usar algún trozo, pues no dudéis en escribir a la dirección de correo que más abajo sale.


Historial de revisiones

- Creación del manual en marzo del 2004. Versión 00.01
- Revisión del manual en febrero del 2010. Versión 00.02: simplemente cambio la parte de mail y clave pública, el contenido no es revisado ni actualizado pero diría que sigue vigente en un 99%.


Mail y clave pública

He abierto un mail para aquellos de vosotros que queráis hacer aportaciones, sugerencias, críticas, correcciones, preguntas o lo que sea, que no tienen porque ceñirse al contenido de este manual. Esta dirección es: kanman2020@yahoo.com. Es posible que se den correcciones y/o ampliaciones del manual... [/trombi]

Continúa aquí...

Comentarios: 17 | Leer comentarios

Publicado el 16/02/2010 12:02:00 en Noticias. Total de votos: 1  Votar

Hi

Según la noticia han petado EMV, el sistema de chip destinado a sustituir a la banda magnética en las tarjetas de crédito. Un sistema que hasta ahora se pensaba que era inquebrantable... habrá que esperar a mayo para tener mas detalles.

==================================================================

Investigadores de la Universidad de Cambridge encuentran una vulnerabilidad en las tarjetas de pago europeas

Cientos de millones de tarjetas de pago en Europa padecen un fallo que podría permitir a los criminales introducir cualquier código de identificación PIN aleatorio en una tarjeta robada para completar una transacción, según investigadores de la Universidad de Cambridge.

Este descubrimiento, que será expuesto en detalle en el encuentro Simposio IEE sobre Privacidad y Seguridad (IEEE Symposium on Security and Privacy), que se celebrará en California el próximo mayo, proyectan nuevas dudas sobre la seguridad de las tarjetas “chip-and-PIN” o EMV, aquellas que contiene un microchip que verifica si el PIN introducido es el correcto para, en tal caso, completar una transacción.
Los bancos europeos defienden que este sistema es más seguro, pero los investigadores de Cambridge aseguran haber encontrado una vulnerabilidad en el complicado protocolo EMV que abre la puerta a la posibilidad de ataques “man-in-the-middle”. Básicamente, tales ataques conseguirían engañar al terminal del punto de venta donde se introduce la tarjeta para que crea haber recibido el PIN correcto, independientemente de los dígitos introducidos.
En cualquier caso, el ataque, sobre el que la industria bancaria fue informada hace dos meses, exige un alto nivel de conocimiento sobre el sistema chip-and-PIN, según los investigadores, y algún hardware externo.


15/02/2010 Marta Cabanillas

De: http://www.idg.es/cio/Investigadores-de-la-Universidad-de-Cambridge-encuentran-una-vulnerabilidad-en-las-tarjetas-de-pago-europeas/doc90308-seguridad.htm

Bye

Comentarios: 3 | Leer comentarios

Publicado el 12/02/2010 12:02:00 en Criptografía. Total de votos: 3  Votar

Hi

Es un refrito pero por aquí no estaba. Los que no lo hayan leído ya espero que les guste.



El titular de una cuenta bancaria es el individuo o entidad que tiene la cuenta en un banco. A veces nos referimos al titular de la cuenta como el usuario o cliente. El banco que emite la tarjeta y el PIN asociado a la cuenta del titular, se conoce como el banco emisor, mientras que el banco que inicialmente acepta una transacción por parte del usuario se conoce como el banco adquiriente.

El Primary Account Number (PAN) es el numero de tarjeta asociado la cuenta bancaria del usuario sobre la que se va a realizar la operación.
El PIN es un número que es utilizado por el titular de la cuenta para verificar su identidad al banco emisor y se utiliza como un medio de autenticación de una transacción. Siempre esta asociado algún tipo de banda magnética o chip inteligente que contienen los datos necesarios para llevar a cabo la operación financiera.

El PIN consta típicamente de entre 4 y 12 dígitos decimales. El conocimiento del PIN da derecho a operar con la cuenta, con lo que es imperativo que el PIN se mantenga en secreto. Esto se hace mediante cifrado.
Antes de ser cifrado, el PIN cambia a un formato hexadecimal llamado pinblock (PB). Los pinblock son bloques de datos donde se encapsula el PIN para su manipulación. Al resultado de cifrar un pinblock se le denomina encripted pinblock (EPB).

Cuando el titular de una tarjeta introduce el PIN en un punto de servicio ya sean cajeros automáticos (ATMs) o puntos de venta llamados POS o datáfonos, éste, y los datos de la banda magnética o chip se envían al host del emisor o a una entidad autorizada para verificar la transacción, a esas comunicaciones se les suele llamar trazas. Por lo general la comunicación entre el punto de servicio y el host de destino para la verificación no es directa, (el banco adquiriente o que presta el servicio no tiene porque ser el emisor de la tarjeta) con lo que va pasando a través de conmutadores, también llamados Switchs, interruptores o pasarelas.

Cada pasarela descifra los datos (si es necesario), verifica el resultado del pinblock, vuelve a darle formato al pinblock (si es necesario) y reencripta los datos con otra clave que solo conoce el siguiente switch y envía los datos hacia el mismo hasta llegar al destino de verificación. De esta forma se garantiza que el pin va encubierto en todo su viaje, desde que el cliente lo introduce en un teclado hasta el host final de comprobación.

La razón de esta arquitectura radica en los métodos de cifrado para proteger el PIN. Las redes de cajeros automáticos y puntos de venta (EFTPOS) se implantaron en los años 80 y se utilizan cifrados de claves simétricas, por lo general DES y 3DES. Así pue... [/trombi]

Continúa aquí...

Comentarios: 7 | Leer comentarios

Ver: Siguientes 5