هک کارتهای اعتباری rfid

[kimiafars]

pdf هشدار در رابطه با هک RFID

[0121takpa]

.
بله این قضیه یعنی هک سیستمها و امنیت کارت های rfid بسیار جدی شده و واقعا خطرناکه و از هشدار شما بینهایت سپاسگذارم


سازنده های این سری محصولات که بازار خودشون رو تو خطر میبینن سعی میکنن با تزریق خبرهایی ذهن عموم رو منحرف کنن و با تبلیغات خودشون مثل :
ساخته شدن سری جدید ؛ ورژن جدید ؛ نسل پیشرفته ؛ ضد هک ؛ گاوصندوق امنیتی ؛ رفع مشکل دستگاه مبتنی بر RFID و انداختن اسمامی جدید مثل سیستم NFC میخوان بازار خودشون رو حفظ کنن مثلا همین NFC که میگن و ادعاشو میکنن همون RFID ایی (آر اف آی دی - ار اف ای دی )هست که فقط ارتباط دو طرفه داره و مشکلی رو نتونسته حل کنه و دیدم چقدر زود NFC هم هک شده است

کسی که باید چند میلیارد بایت ضعف سیستمی مثل NFC ضرر کنه میاد و با چند میلیون پولی که بابت تبلیغات به مدیران شرکت های معتبر و مهندسان و طراحان سرشناس یا بازیگران هالیوودی یا فوتبالیست ها میده تا برای محصول شرکتش حرفای کلیدی بزنن و با استفاده از اعتماد مردم به این دست افراد محبوب و مشهور اینطوری هم شرکتش رو حفظ میکنه و جلوی ضرر رو میگیره و هم سود فرآونی میکنه این ها ترفندهای بازاره و نباید تعجب کنیم

مثلا در مورد NFC میگن فروشگاه های رنجیره ایی مک دونالد اومده به این سیستم مجهز شده بله واقعا هم همینطوره ولی تا حالا به بخش پنهان این تبلیغات توجه کردین مثلا بازیکن فوتبال کریستین رونالدو واسه روغن موتور کاسترول تبلیغات میکنه ولی آیا واقعا موقع خرید خودش حتما از محصولات کاسترول استفاده میکنه
(محصولات شرکت کاسترول واسه مصرف شخصی رونالدو از طرف شرکت تا مدتی رایگان هست و مثال بالا فقط جهت روشن شدن موضوع هست)
یا دیوید بکام واسه چند شرکت آرایشی بهداشتی تبلیغات میکرد ولی از همون ها هم استفاده می کرد این ها فقط تبلیغاته

فروشگاه زنجیره ایی مک دونالد هم مثل خیلی از مهندسای دیگه که فیلم های مختلفی از اونها تو یوتیوب و سایر سایت ها هست واسه NFC و مخصوصا پرداخت پول با NFC تبلیغات کرده و دستگاشو تو فروشگاهاش گذاشته ولی خودش از اون استفاده دائم میکنه؟؟؟ معلومه که نه چون فقط یه تبلیغات بوده مثل سایر تبلیغات ها و هر کی دوست داره میتونه کارت اعتباریش رو به خطر بندازه ولی لزوما مک دونالد خودش استفاده نمیکنه

خیلی ساده است هم داره از شرکت های کله گنده ایی که بصورت وسیع روی NFC سرمایه گذاری کردن پول حسابی میگیره و هم با نصب سیستم NFC تو فروشگاهاش یه تبلیغات دهن پر کنی واسه خودش راه میندازه

الان یکی از دوستام یه دستگاهی رو ساخته که اندازش یکم بزرگ شده ؛ البته چون اولین نمونه هست و دستی ساخته
این دستگاه اطلاعات کارتهای RFID رو از راه دور کوپی میکنه و خودش یکی عین اون رو درست میکنه و چند هفته ایی هست که واسه کارت های NFC(ان اف سی )و TAG ( تگ ) NFC و موبایل ( MOBILE ) های مجهز به NFC موفق به COPY ( کوپی ) اطلاعات و DATA ( دیتا ) درونش بصورت کامل شده حتی کد یونیک ( unique code ) رو هم که مثلا کد امنیت این کارت ها و تگ هاست کوپی میکنه و سیستم مادر رو در شناسایی فریب میده جالب اینکه گوشی ایی رو که دوستم هک کرد مجهز به تراشه NFC هست که سازنده ژاپنیش که به نوعی بابا بزرگ NFC محسوب میشه و اوایل 2013 ادعا کرده بود این تراشه قفلدار و ضد هکه ، عجب قفلدار و ضد هک بود؟!!!!!!!

البته به بنده نگفته چطور این کار رو میکنه ولی وقتی که کارایی دستگاه رو نشون داد ؛ راست میگفت ؛ موفق شده بود و این کار رو چندین بار انجام داد ؛ حالا اگه PCB ( برد ) بزنه فکر کنم یه برد 10CM در 10CM بشه و با تقویت کننده حرفه ایی که گذاشته راحت از فاصله 2 الی 3 متری میتونه تقویت سیگنال فرستاده شده و دریافت شده بین موبایل و دستگاه NFC رو عالی انجام بده و یکی که داره با موبایل تو فرکانس 13.56 MHZ مگاهرتز با NFC کار میکنه اطلاعاتش رو هک کنه و این واقعا فاجعه است

متاسفانه چون کار با NFC و RFID راحت و سریع و تقریبا با کلاس هست همه دوست دارن ولی واقعا خطرناکه و مثل دوست من هم کم نیستن و از همه بدتر مدیران سازمان ها و بعضی از ادارت هم دارن استقبال و حمایت میکنن و در عبور مرور محل ها خاص مثل نقاط حساس پژوهشی و امنیتی از این دستگاه ها استفاده میکنن و زمزمه ایی از بانک ها هم شنیده میشه که میخوان برای سبقت گرفتن از بانک های رقیب دست به هر کاری بزنن و برای تامین کسری خودشون مردم رو با NFC تو دردسر بندازن
دستگاه پوز (اینهایی که فروشگاه ها و مغازه ها دارن) که هک شد صداش رو هم در نیاوردن من نمیدونم مدیراشون عوض میشه که عبرت نمیگیرن یا واقعا پول واسشون مهمه نه مردم

بهترین روش همون دستگاه های خود پرداز بانکه بعد اینترنت ،به مابقی اصلا اعتباری نیست بقیه فقط تبلیغاته مخصوصا پرداخت های بانکی از طریق موبایل ؛ کافیه تو گوگل بزنین < هک سیم کارت > تا ببینید ما داریم با چه سیستم قدیمی کار میکنیم ویروس رو از طریق اینترنت وارد گوشی شما میکنن و ویروسه همه مسائل امنیتی شما مخصوصا مبادلات بانکی شما رو زیر نظر میگیره و واسه هکر ارسال میکنه سیستم امنیتی بانک ها کارشون واقعا حرف نداره ولی امنیت گوشی شما ، سیم کارت شما و سیستم عامل گوشی شما پایینه و بانک در قبال هک شدن گوشی شما که مسئولتی نداره و حق هم دارن

آگاهی از روش های هک کم کم داره زیاد میشه و این جور افراد زیاد میشن و خطرش هر روز داره بالا میره و خوش خیال هایی که اسیر تبلیغات میشن معمولا قربانی این نوع سوء استفاده های مالی قرار میگیرن و بهترین راه اینکه از طریق موبایل انتقال وجه بین بانکی رو انجام ندیم چون خطرش دیگه مثل سابق کم نیست و داره مثل قارچ هکر ها زیاد میشن

همه استفاده از چیزای مدرن و جدید رو دوست داریم ولی باید مراقب باشیم اگه فلان مهندس آمریکایی گفت فلان مدیر سایت گفت ، رئیس شرکت معروف تولید گوشی های همراه گفت یا مصاحبه ویدئویی داد ؛ اینها همش تبلیغاته

امیدورارم یه بار دیگه با دقت بخونید و به خاطر بسپارید و به دیگران هم توصیه های ایمنی رو در مورد این سیستم ها بدیم تا خوب مراقب محل های امنیتی ، اطلاعات شخصی و سرمایه خودمون و هم وطنامون باشیم تا خدای نکرده تو تاکسی و اتوبوس یا تو فروشگاه یا کارت RFID یا NFC موبایلمون هک نشه بهتر بگم حسابمون پاک نشه

از کسانی که وارد کننده و واسطه دستگاه های مبتنی بر RFID و NFC هستن عذر خواهی میکنم ولی این دستگاه ها همون طوری که خیلی مزیت دارن همون طور معایب هم دارن که باید به اطلاع عموم برسونیم

اگه واقعا به دنبال روش امنی برای این طور کارهای تشخیص هویت و عبور و مرور و پرداخت های سریع و امن هستیم باید بگم یه شرکت ژاپنی با همکاری یه طراح آلمانی چند ساله که دارن روش کار میکنن و به موفقیت هایی رسیدن و تا اونجایی که من متوجه شدم داستانش کلا فرق داره و به اختصار به این فناوری جدید SG به عبارتی (Security Giant) یا همون (غول امنیتی) نامگذاری شده و قراره بزودی (فکر کنم نوشته بود اواسط 2014) به جهان معرفی بشه و احتمالا ما هم میتونیم تا چند ماه دیگه از Payment یا سیستم پرداخت پول اون هم که SGP مخفف Security Giant Payment هست استفاده کنیم و نگرانی از این بایت نداشته باشیم

اگه لینکش رو پیدا کردم واستون میذارم

زکات علم نشر اونه

محتویات این پست رو میتونین به همین آدرس به بقیه دوستانتون خبر بدین یا Mail بزنین:

http://www.iranled.com/forum/thread-2676...#pid214896




.

[0121takpa]

مثلا از جدید ترین ویروس ها یه ویروس از نوع Z bot ، Zeus هست که حالا به اسم ویروس جولی همون آنجلیا جولی مشهور معروف شده که میاد تو ایمیل فرد مخصوصا تو spam و طرف که پیام رو باز میکنه یه صفحه فلش وسط صفحتون باز میشه که اگه هر طوری روش کلیک کنید ویروس خودش خودشو نصب میکنه و کارش اینطوره که دقیقا اطلاعات اقتصادی و مالی فرد را هدف قرار می دهد که بدون اطلاع شما میتونه اطلاعات بانکی شما رو سرقت کنه.

مثل این ویروس ها زیاده عین همین royal baby رو هم داریم واقعا خطرناکه

پس اگه پیام های خارجی مخصوصا با عنوان hello و winner و از این دست پیام های مشکوک دارین بهتره که اصلا بازش نکنید یا اگه باز کردین و یه صفحه وسط lcd باز شد که رد نمیشه هول نشین و روی ضربدرش(خروجش) کلیک نکنید اول فایل های دیگه رو save کنید و sign out میل رو بزنید و سیستم رو دستی خاموش کنید تا چیزی رو ناخواسته save نکنه (میدونم دستی سیستم رو خاموش کردن ممکنه ویندوز رو کمی خراب کنه ولی از هک شدن اطلاعات بانکی که بهتره سیستم رو میشه با برنامه از اول هم بهتر کرد)

واسه وجود اینطور برنامه ها میگم از موبایل و اینترنت و سیستم های نا امن جدید استفاده نکنید زحمت یه عمرتون وقتی تو یه اشتباه از دست بره اون وقته که باورتون نمیشه که یه اتفاق الکی اشک آدم رو در میاره

امیدوارم هیچکی اینطوری خستگی های عمرش باد هوا نشه

[babyy]

مثل این ویروس ها زیاده عین همین royal baby رو هم داریم واقعا خطرناکه

نوکرم


در کل در هنگام وبگردی توصیه میکنم:
0 - مرورگر فایرفاکس به روز
۱ - نصب افزونه noscript
۲- نصب افزونه flash blocker
۳ - غیر فعال کردن جاوا و سایر پلاگین‌ها

اینجوری تا n درصد (n > 90) از این حملات جلوگیری میشه!
تنها مشکلی که ممکنه پیش بیاد ایراد در مرورگر فایرفاکسه؛ که اونم روزی ۲ تا ورژن داره میده بیرون

[0121takpa]

سلام بر babyy عزیز
ضمن آگاهی از ترفندهای امنیتی از شما بابت راهنمای امنیتی که کردی تشکر میکنم

حقیقت اینکه اگه من بخوام همه رو رعایت کنم کلا کار عذاب آوری میشه مثلا وب بری اونم با فایرفاکس بعد فلش و پلاگین ها فعال نباشه نمیگم نمیشه ولی خیلی چیزا اونوقت روی LCD اصلا نمایش داده نمیشه یا بخوام هر دفعه آکروبات ریدر ، جاوا ، کوبیک و جاوااسکریپ رو چک کنیم که غیر فعال باشه ، این ترفندها خوب و موثره ولی اینا واسه من و شما خوبه ولی از طرف عموم مردم کشورم میدونیم کمتر پذیرش میشه البته استفاده از Noscript وTrusteer Rapport و VirusTotal واقعا عالیه ولی کافی نیست همون n<90%

به نظر من مشکل ما اینا نیست مشکل ما همونیه که خود شما هم خیلی خوب اشاره کردی مشکل بزرگ ما به روز شدن سریع نرم افزارهاست
همون طوری که فایرفاکس و سایر نرم افزارهای مفید به روز میشن نرم افزار های مخرب و جاسوسی جدیدی هم وارد محیط
وب میشن که موانع امنیتی ما رو پشت سر میگذارن و تا چند وقتی از این حفره های امنیتی خوب استفاده میکنن تا بسته بشه
حالا معلوم نیست طی این مدت کیا شکار میشن

الان واسه من که میشه گفت هفته ایی یکی دو بار ایمیل جهت ثبت نام در کلاس های هک میاد این یعنی طی یکی دو سال آینده جمعیت هکرها مثل قارچ زیاد میشه و دوستان فکر نکنن هک کردن مثل سابق یه تفریح و یه کار هیجانیه ، نه ، الان جوونا اون رو به دیده یه شغل پر درآمد نگاه میکنن و به دنبال یادگیری اون هستن
من نمیگم تو وب نریم میگم با وب یا NFC تا جایی که امکانش هست کاری بانکی رو انجام ندیم تا یه چند ماهی که سیستم SGP وارد کشور ما هم بشه

دوستان ناراحت نباشن
گر صبر کنند ز غوره حلوای SGP رو هم میخورند

[kimiafars]

SGP هم کاری نمیکنه
شما یه atm را نگاه کنید سخت افزاره و کمتر کسی باهاش مرتبطه باز هم اسکیم میشه
لینک رو یه نگاه بنداز لطفا
http://anbordast.ir/forum/showthread.php?tid=7

[0121takpa]

سیستم ATM و کارت اعتباری چه ربطی به سیستم SGP داره؟!!!

با کمال ادب و احترام باید بگم با این مطالبی که ما رو به اون ارجاع دادی معلومه که از سیستم SGP اطلاعی نداری البته حق هم دارین چون از اعلام رسمیش تو وب 2 هفته اون هم بصورت قسمتی از یک مجله در قالب PDF بیشتر نگذشته که حالا بنده هم اتفاقی دیدم و فکر کنم چند ماهی طول بکشه تا مطالبش تو وب قابل توجه بشه

برادر ،من که عرض کردم سیستمش کلا فرق داره اگه این بود که به اون غول امنیتی پرداخت نمیگفتن

[kimiafars]

ببینیم و تعریف کنیم

---

و حق با شماست

[0121takpa]

---

ببینیم و تعریف کنیم

---

و حق با شماست

خدایا این همه از تعریف کردم SGP ضایم نکنیا، یه کاری کن باگ نده

این پسره kimiafars رو میگم انبردسته، میاد گوشمونو پیچ میده
(آقا شوخی میکنم ناراحت نشی)

میخوام متنشو ترجمه کنم حالا سایتشو پیدا نمیکنم که مقالشو دانلود کنم
ولی همین قدر میتونم بگم که شبیه به RFID هست ولی اساس کارش کلا فرق داره

[kimiafars]

یه کاری کن باگ نده

الهی آمین
اما مگه میشه باگ نداشته باشه

[0121takpa]

خب فرقش با سیستم های قبلی همینه که بر پایه باگ نداشتن بنا شده نه بر پایه راحتی یا صرفا یه تبادل اطلاعات و یه ارتباط ساده یا پیچیده
با این حال من هم لحظه اول مثل شما فکر میکردم که مگه میشه یه سیستم باگ نده و این سوالی بود که از سازنده پرسیدن و جواب داد بله ، شدن میشه و حدود امنیت و کارایی رو رنج و زحمتی که واسه SGP کشیده شده به شما نشان خواهد داد (البته تقریبا همین چیزی رو گفت که عرض کردم چون اون PDF رو الان ندارم که دوباره ترجمه کنم)