Archief
- De topics van lang geleden
Rabobank random reader
11-11-2006, 14:48 door Anoniem, 25 reacties
Ik had een avond niks te doen en ben eens gaan kijken voor de gein wat
voor informatie je nou eigenlijk kan halen uit random readers.
Rabobank random reader
Op achter kant van de random reader staat gelijk de fabrikant van het
product www.vasco.com[/quote].Eenmaal op de site staatonder de link e-goverment de random reader.En bij de informatie van het product "These are usally PKI smart cards that are generating digital signatures".Toen ben ik na google gegaan en ben ik gaan zoeken op PKI smart cards. En kreeg ik meer gevanceerde informatie erover.http://www.tldp.org/HOWTO/Smart-Card-HOWTO/smartpki.htmlhttp://www.microsoft.com/technet/security/topics/identitymanagement/scard.mspx Eenmaal genoeg informatie gevonden te hebben ben ik het kasje open gaan maken aan de achterzijde en gelijk gaf die een defect aan.Het blijkt dat er soort beveiliging is ingebouwd en alles is geblokeerd.Er was namelijk verbinding met de achter kant van het plaatje en de printplaat.Uit de informatie op de printplaat was alleen het type printplaat vinden opcv0d p800 met nog een code BJH-305 rev:3.0 en kon hier verder geen informatie over vinden op het net.Conclusie: Het is niet eens zo slecht aparaatje maar is alleen zonde dat de fabrikant op de achterkant vermeld staat anders kon je niks erover op het net vinden.
voor informatie je nou eigenlijk kan halen uit random readers.
Rabobank random reader
Op achter kant van de random reader staat gelijk de fabrikant van het
product www.vasco.com[/quote].Eenmaal op de site staatonder de link e-goverment de random reader.En bij de informatie van het product "These are usally PKI smart cards that are generating digital signatures".Toen ben ik na google gegaan en ben ik gaan zoeken op PKI smart cards. En kreeg ik meer gevanceerde informatie erover.http://www.tldp.org/HOWTO/Smart-Card-HOWTO/smartpki.htmlhttp://www.microsoft.com/technet/security/topics/identitymanagement/scard.mspx Eenmaal genoeg informatie gevonden te hebben ben ik het kasje open gaan maken aan de achterzijde en gelijk gaf die een defect aan.Het blijkt dat er soort beveiliging is ingebouwd en alles is geblokeerd.Er was namelijk verbinding met de achter kant van het plaatje en de printplaat.Uit de informatie op de printplaat was alleen het type printplaat vinden opcv0d p800 met nog een code BJH-305 rev:3.0 en kon hier verder geen informatie over vinden op het net.Conclusie: Het is niet eens zo slecht aparaatje maar is alleen zonde dat de fabrikant op de achterkant vermeld staat anders kon je niks erover op het net vinden.
Reacties (25)
en dan? dan was het helemaal veilig ofzo? als je wilt kom je
altijd wel achter meer informatie, geen fabrikant erop
zitten helpt daar echt niet tegen.
altijd wel achter meer informatie, geen fabrikant erop
zitten helpt daar echt niet tegen.
Veilig zou het nooit zijn.En natuurlijk kan je zo meer informatie erover
krijgen als je gericht bezig bent maar dan gaat het al richting social
engineering mijn doel was te kijken wat voor informatie je kon krijgen
ermee op het net.Dus eigenlijk maakt het wel veiliger waneer de fabrikant
er niet op vermeld staat.Want een bedrijf als vasco heeft beroeps geheim
en zou dus ook projecten niet snel vrij geven als het gaat om samen
werking met de Rabobank.Daarom vind ik het stom van hun dat ze hun
bedrijf achter op de reader vermelden omdat ze zo bevestigen dat het
product van hun afkomstig is.Hiermee kan namelijk iemand die wel op
social ingeering uit is gelijk een stap verder dan waneer de frabrikant er
niet bij vermeld staat.
krijgen als je gericht bezig bent maar dan gaat het al richting social
engineering mijn doel was te kijken wat voor informatie je kon krijgen
ermee op het net.Dus eigenlijk maakt het wel veiliger waneer de fabrikant
er niet op vermeld staat.Want een bedrijf als vasco heeft beroeps geheim
en zou dus ook projecten niet snel vrij geven als het gaat om samen
werking met de Rabobank.Daarom vind ik het stom van hun dat ze hun
bedrijf achter op de reader vermelden omdat ze zo bevestigen dat het
product van hun afkomstig is.Hiermee kan namelijk iemand die wel op
social ingeering uit is gelijk een stap verder dan waneer de frabrikant er
niet bij vermeld staat.
12-11-2006, 15:38 door
SirDice
Weten hoe iets werkt maakt het niet per definitie onveilig.
Kijk naar OpenSSL bijvoorbeeld. Daar kun je de volledige
source van downloaden en bekijken hoe het werkt, Het SSL
protocol zelf is ook volledig bescheven. Maakt dat SSL onveilig?
Kijk naar OpenSSL bijvoorbeeld. Daar kun je de volledige
source van downloaden en bekijken hoe het werkt, Het SSL
protocol zelf is ook volledig bescheven. Maakt dat SSL onveilig?
Sirdice,
Dat hoefd niet.Het is maar net hoe goed die software is die op die op het
SSL protocol geschreven is.Maar er is wel een verschil om maar een
voorbeeld te geven als iemand geen idee hebt om waat voor soort
applicatie het gaat zo het toch een tijdje duren voordat iemand er iets mee
kan.
Dat hoefd niet.Het is maar net hoe goed die software is die op die op het
SSL protocol geschreven is.Maar er is wel een verschil om maar een
voorbeeld te geven als iemand geen idee hebt om waat voor soort
applicatie het gaat zo het toch een tijdje duren voordat iemand er iets mee
kan.
Ik heb laatst mijn Senseo opengemaakt en tot mijn verbazing kon ik op het
internet allerlei informatie vinden over de componenten in mijn Senseo.
Blijkbaar is het wel een goed beveiligd product, want mijn Senseo is nog
nooit gehacked (al gaat de smaak wat achteruit de laatste tijd).
internet allerlei informatie vinden over de componenten in mijn Senseo.
Blijkbaar is het wel een goed beveiligd product, want mijn Senseo is nog
nooit gehacked (al gaat de smaak wat achteruit de laatste tijd).
13-11-2006, 11:14 door
SirDice
Door Koekie
Sirdice,
Dat hoefd niet.Het is maar net hoe goed die software is die
op die op het SSL protocol geschreven is.Maar er is wel een
verschil om maar een voorbeeld te geven als iemand geen idee
hebt om waat voor soort applicatie het gaat zo het toch een
tijdje duren voordat iemand er iets mee kan.
Dat heet ook wel Security through obscurity..Sirdice,
Dat hoefd niet.Het is maar net hoe goed die software is die
op die op het SSL protocol geschreven is.Maar er is wel een
verschil om maar een voorbeeld te geven als iemand geen idee
hebt om waat voor soort applicatie het gaat zo het toch een
tijdje duren voordat iemand er iets mee kan.
SirDice,
Thx ik zag zoiets laast volgens mij ook tussen andere topics verschijnen
maar had geen idee wat het nou eigenlijk bekende.
Ik zat daar een tijdje terug nog over na te denken over het misschien
mogelijk was een of ander aparaatje in te bouwen zodat waneer je
opstaat boven in je bed al op een knopje kan drukken en benede de koffie
klaar is als je beneden komt.
Thx ik zag zoiets laast volgens mij ook tussen andere topics verschijnen
maar had geen idee wat het nou eigenlijk bekende.
Ik heb laatst mijn Senseo opengemaakt en tot mijn verbazing kon ik
op het
internet allerlei informatie vinden over de componenten in mijn Senseo
op het
internet allerlei informatie vinden over de componenten in mijn Senseo
Ik zat daar een tijdje terug nog over na te denken over het misschien
mogelijk was een of ander aparaatje in te bouwen zodat waneer je
opstaat boven in je bed al op een knopje kan drukken en benede de koffie
klaar is als je beneden komt.
13-11-2006, 12:02 door
SirDice
Door Koekie
Ik zat daar een tijdje terug nog over na te denken over het misschien mogelijk was een of ander aparaatje in te bouwen zodat waneer je opstaat boven in je bed al op een knopje kan drukken en benede de koffie klaar is als je beneden komt.
Een "ouderwets" koffiezetapparaat en een tijdschakelaar doen wonderen ;)Ik zat daar een tijdje terug nog over na te denken over het misschien mogelijk was een of ander aparaatje in te bouwen zodat waneer je opstaat boven in je bed al op een knopje kan drukken en benede de koffie klaar is als je beneden komt.
Een "ouderwets" koffiezetapparaat en een tijdschakelaar doen
wonderen ;)
wonderen ;)
Jah dat zou ook nog kunnen maar dan moet je wel de wekker zetter
anders is ie koud voor je beneden komt :D
hehehe jahhhhh !!! en dan met een senseo driver erbij zodat je gewoon
onder je pc c:maak koffie kan intypen!.
onder je pc c:maak koffie kan intypen!.
Nerds.. ;-)
Ik heb ook zo'n random reader van de Rabobank. Ik heb er ook een van de
belgische bank "Dexia". Het is precies hetzelfde enkel andere kleuren,
maar met de maker op de achterkant. Ik zal eens proberen om mijn
belgische bankkaart op de random reader van de Rabobank te gebruiken.
Ik heb ook zo'n random reader van de Rabobank. Ik heb er ook een van de
belgische bank "Dexia". Het is precies hetzelfde enkel andere kleuren,
maar met de maker op de achterkant. Ik zal eens proberen om mijn
belgische bankkaart op de random reader van de Rabobank te gebruiken.
Nog leuker zijn de demos die dezelfde fabrikant als de
RandomReader van onder andere Rabobank vrij beschikbaar
stelt. Daar zit weinig beveiliging op om te voorkomen dat
onder de kap wordt gekeken wat ze allemaal bedacht hebben.
Het zal mij niets verbazen als met die kennis ook grote
delen van de hardware producten overeenkomen en er misbruik
van kan worden gemaakt.
http://www.vasco.com/products/range.html?VSID=8af619d8ba2778386161d85391617538#Digipass
RandomReader van onder andere Rabobank vrij beschikbaar
stelt. Daar zit weinig beveiliging op om te voorkomen dat
onder de kap wordt gekeken wat ze allemaal bedacht hebben.
Het zal mij niets verbazen als met die kennis ook grote
delen van de hardware producten overeenkomen en er misbruik
van kan worden gemaakt.
http://www.vasco.com/products/range.html?VSID=8af619d8ba2778386161d85391617538#Digipass
Oh nee scheef klein dingetje over het hoofd gezien op de printplaat van
random reader staat dp800 wat staat voor Digipass 800 (DP800) precies
het type dat overeen komt met de url :
http://www.vasco.com/products/product.html?product=58
Wat ik me nou afvraag is bij de link e-goverment kijkt daar een kasje staat
met een kabel voor een pc aansluiting.Dit is toch te bizar eigenlijk je kan
dus zo kasje en kabel bestellen inlusief de software downloaden en gaan
testen op security (=
lol !
ps. Over humor gesproken wanneer je op de link High Res. Image (637 KB) klikt zie je onderste boven de rabobank staan (=
http://www.vasco.com/documents/products/graphics_hires/dp_pro_800_aan.jpg
random reader staat dp800 wat staat voor Digipass 800 (DP800) precies
het type dat overeen komt met de url :
http://www.vasco.com/products/product.html?product=58
Wat ik me nou afvraag is bij de link e-goverment kijkt daar een kasje staat
met een kabel voor een pc aansluiting.Dit is toch te bizar eigenlijk je kan
dus zo kasje en kabel bestellen inlusief de software downloaden en gaan
testen op security (=
lol !
ps. Over humor gesproken wanneer je op de link High Res. Image (637 KB) klikt zie je onderste boven de rabobank staan (=
http://www.vasco.com/documents/products/graphics_hires/dp_pro_800_aan.jpg
18-11-2006, 21:28 door
ctrlaltdelete
Volgens mij is de random reader allang gekraakt.
Probleem is... je pincode staat op de pas vermeld.
Je verliest je pinpas, of hij wordt gejat.
En er wordt redelijk snel gepind door ..... ja door wie eigenlijk?
Een handige kraker?
Probleem is... je pincode staat op de pas vermeld.
Je verliest je pinpas, of hij wordt gejat.
En er wordt redelijk snel gepind door ..... ja door wie eigenlijk?
Een handige kraker?
Volgens mij is de random reader allang gekraakt.
Probleem is... je pincode staat op de pas vermeld.
Probleem is... je pincode staat op de pas vermeld.
Jah dat klopt dit kan je ook terug vinden in de demo van de dp800.Vraag
me af waneer die dan gekraakt zou zijn.
19-11-2006, 13:56 door
[Account Verwijderd]
[Verwijderd]
NielsT,
Dat betwijvel ik eigenlijk of die pincode niet word opgeslagen want bij de
informatie van de dp800 staat:
"The reader leverages the inherent security of chipcards to store secrets
and (optionally) for secure computing (cryptographic calculations)."
En juist omdat die specefiek gemaakt is voor picode's in combinatie met
cryptologie kan je er eigenlijk al vanuitgaan dat dit wel het geval is.
Dat betwijvel ik eigenlijk of die pincode niet word opgeslagen want bij de
informatie van de dp800 staat:
"The reader leverages the inherent security of chipcards to store secrets
and (optionally) for secure computing (cryptographic calculations)."
En juist omdat die specefiek gemaakt is voor picode's in combinatie met
cryptologie kan je er eigenlijk al vanuitgaan dat dit wel het geval is.
19-11-2006, 16:42 door
[Account Verwijderd]
[Verwijderd]
Dat kan je infeite toch ook als je zo die encryptie weet te kraken.Op dat punt
is de chipknip nog best wel riskant want neem het meeste extreme geval
dat die te kraken is dan kan je dus gewoon geld als waarde opwaarderen
en niemand die na kan checken dat het geld op die chipknip wel van jou
rekening komt.Een winkel kijkt alleen maar na of er genoeg op dat ding
staat.
is de chipknip nog best wel riskant want neem het meeste extreme geval
dat die te kraken is dan kan je dus gewoon geld als waarde opwaarderen
en niemand die na kan checken dat het geld op die chipknip wel van jou
rekening komt.Een winkel kijkt alleen maar na of er genoeg op dat ding
staat.
19-11-2006, 20:28 door
[Account Verwijderd]
[Verwijderd]
19-11-2006, 21:03 door
ctrlaltdelete
Mooie links :-)
Door ctrlaltdelete
Je verliest je pinpas, of hij wordt gejat.
En er wordt redelijk snel gepind door ..... ja door wie
eigenlijk?
Een handige kraker?
niks kraker, gewoon de pincode ook stelen via een cameraJe verliest je pinpas, of hij wordt gejat.
En er wordt redelijk snel gepind door ..... ja door wie
eigenlijk?
Een handige kraker?
ofzo. volgens mij kunnen ze helemaal niks met je pasje als
ze niet via een trucje je code ook weten.
NielsT,
Staat nog best veel te gegevens op die chip trouwens en wel raar dat een
klant je personalia kan/mag opvragen.
Staat nog best veel te gegevens op die chip trouwens en wel raar dat een
klant je personalia kan/mag opvragen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
