כרטיסים לכוחות הבטחון במטרופולין...

מצב
הנושא נעול.

25306yosef

New member
ופעם לפני עידן האייפונים והפייסבוק, המידע היה באתרי האינטרנט

יש מספיק מידע מהפייסבוק של החיילים
ופעם לפני עידן האייפונים והפייסבוק, המידע היה באתרי האינטרנט
אני זוכר שלפני 10 שנים (לפני עידן הטלפונים הסלולריים החדשים והפייסבוק) שוטטתי באחד מאתרי האינטרנט של אחת מהרשתות החברתיות של הימים ההם (ככל הנראה אתר מקושרים). באחד הדפים של אחת החיילות ראיתי אותה מצולמת מול מפה צבאית של רשת התמסורת (רשת התקשורת האופטית) הצבאית של צה"ל.

המידע שרואים במפה הצבאית הוא חסר כל משמעות להדיוטות. אבל מי שמבין בתחום ומכיר היטב את אותם קודים מקצועיים (כמו: הצפון, ירקון, הדרום, מערב, נורדיה, וכו... זה בכלל לא מה שאתם חושבים, זה רק קודים) יכול להפיק מהמפה הזו מטעמים רבים ביותר.

אבל למרות זאת ולמרות שיש כיום מספיק מידע בפייסבוק של החיילים, אין כל ספק בכך שמסד הנתונים של כרטיס הרב קו יכול לדלוף לגורמים עויינים ולגרום לנזק ביטחוני.
 
אני לא יודע מה הצורה שבה מתנהלים הנתונים

ופעם לפני עידן האייפונים והפייסבוק, המידע היה באתרי האינטרנט
אני זוכר שלפני 10 שנים (לפני עידן הטלפונים הסלולריים החדשים והפייסבוק) שוטטתי באחד מאתרי האינטרנט של אחת מהרשתות החברתיות של הימים ההם (ככל הנראה אתר מקושרים). באחד הדפים של אחת החיילות ראיתי אותה מצולמת מול מפה צבאית של רשת התמסורת (רשת התקשורת האופטית) הצבאית של צה"ל.

המידע שרואים במפה הצבאית הוא חסר כל משמעות להדיוטות. אבל מי שמבין בתחום ומכיר היטב את אותם קודים מקצועיים (כמו: הצפון, ירקון, הדרום, מערב, נורדיה, וכו... זה בכלל לא מה שאתם חושבים, זה רק קודים) יכול להפיק מהמפה הזו מטעמים רבים ביותר.

אבל למרות זאת ולמרות שיש כיום מספיק מידע בפייסבוק של החיילים, אין כל ספק בכך שמסד הנתונים של כרטיס הרב קו יכול לדלוף לגורמים עויינים ולגרום לנזק ביטחוני.
אני לא יודע מה הצורה שבה מתנהלים הנתונים
אבל אני חושב שאתם מדברים על דברים שאתם לא מבינים בהם.
&nbsp
בהנחה שמימשו את העניין הזה נכון... אין שום מסד נתונים או רשימה כלשהי. כל מה שיש זה קוד שנמצא על הכרטיס ובעת "גיהוץ" הוא עובר ערבול ואם התוצאה של הערבול עומדת בטווח מסוים אז ניתן אישור ואם לא אז יש דחיה. זה הכל.
אין פרטים אישיים ואין שום מסד נתונים שמכיל את כל שמות החיילים.
&nbsp
אם תרצו זה בערך כמו גיהוץ אשראי, לבית העסק שאצלו אתם מגהצים אין דרך לדעת מי אתם או מה אתם הוא מעביר מספר ומקבל אישור או דחיה. המספר גם לא נשמר אצלו לאחר מכן.
 

25306yosef

New member
ראשית כל אציין במפורש שמספר כרטיס האשראי כן נשמר בבית העסק

אני לא יודע מה הצורה שבה מתנהלים הנתונים
אבל אני חושב שאתם מדברים על דברים שאתם לא מבינים בהם.
&nbsp
בהנחה שמימשו את העניין הזה נכון... אין שום מסד נתונים או רשימה כלשהי. כל מה שיש זה קוד שנמצא על הכרטיס ובעת "גיהוץ" הוא עובר ערבול ואם התוצאה של הערבול עומדת בטווח מסוים אז ניתן אישור ואם לא אז יש דחיה. זה הכל.
אין פרטים אישיים ואין שום מסד נתונים שמכיל את כל שמות החיילים.
&nbsp
אם תרצו זה בערך כמו גיהוץ אשראי, לבית העסק שאצלו אתם מגהצים אין דרך לדעת מי אתם או מה אתם הוא מעביר מספר ומקבל אישור או דחיה. המספר גם לא נשמר אצלו לאחר מכן.
ראשית כל אציין במפורש שמספר כרטיס האשראי כן נשמר בבית העסק
המספר המלא של כרטיס האשראי נשמר במחשב של בית העסק וכל ילד קטן שקצת מבין במחשבים יכול לשלוף את מספרי כרטיסי האשראי אם יש לו גישה לאותו מחשב. הרי לא צריך כרטיס מגנטי או סיסמא בשביל גישה לקבצים של המחשב, מספיק ידע בסיסי במחשבים וגישה לסייר הקבצים במחשב. כל הקבצים עם מספרי כרטיסי האשראי אמנם מוצפנים (בגלל שרבים כיום מעבירים אוותם לשב"א דרך האינטרנט), אבל אם יש לך גישה למחשב שבו נוצרו הקבצים המוצפנים אז אין להצפנה הזו כל ערך מאחר והתוכנה שיצרה את הקבצים המוצפנים יודעת היטב לפתוח אותם ללא כל בעיה. גם אם אין לך כל גישה למחשב שבו נוצרו הקבצים המוצפנים, ניתן לפתוח את אותם הקבצים המוצפנים ללא כל בעיה אם יש ברשותך את מספר ה-XXXXXX (פה אני נאלצתי לעצור ולא לחשוף איזה מספר בדיוק נדרש מאחר ואת המספר הזה יכול להשיג בקלות כל ילד קטן שיודע להשתמש בסייר הקבצים ולפתוח אותם בעורך טקסטים וגם אם אין לו גישה למחשב...)

עכשיו בו נמשיך, 1. בבתי העסק שבהם מעבירים עדיין את התקשורת לשב"א בחיוג לקו בזק ולא דרך האינטרנט, הקבצים בכלל לא מוצפנים. 2. בבתי עסק רבים מבצעים מדי פעם גיבויים של כל הקבצים כולל קבצי אשראית.

כך שמה שרשמת בעניין כרטיסי האשראי אינו נכון כלל.

בעניין הרב קו אתה בכלל לא הבנת את המהות של הדבר. יתכן ומאגר הנתונים של כרטיסי הרב קו הצהליים אינו כולל את הפרטים האישיים של החיילים, אבל הוא כן כולל את דפוסי הנסיעה של חיילי צה"ל לבסיסים ומהם ואת היעדים ותחנות המוצא של אותם חיילים ומידע שכזה אם ידלוף לגורמים עויינים עלול לגרום נזק ביטחוני כבד.

עדיף שמשרד התחובורה "יפסיד" הרבה כסף מאשר שמאגר הנתונים ידלוף לגורמים עויינים.
 
הכל תלוי אלגוריתם הצפנה

ראשית כל אציין במפורש שמספר כרטיס האשראי כן נשמר בבית העסק
המספר המלא של כרטיס האשראי נשמר במחשב של בית העסק וכל ילד קטן שקצת מבין במחשבים יכול לשלוף את מספרי כרטיסי האשראי אם יש לו גישה לאותו מחשב. הרי לא צריך כרטיס מגנטי או סיסמא בשביל גישה לקבצים של המחשב, מספיק ידע בסיסי במחשבים וגישה לסייר הקבצים במחשב. כל הקבצים עם מספרי כרטיסי האשראי אמנם מוצפנים (בגלל שרבים כיום מעבירים אוותם לשב"א דרך האינטרנט), אבל אם יש לך גישה למחשב שבו נוצרו הקבצים המוצפנים אז אין להצפנה הזו כל ערך מאחר והתוכנה שיצרה את הקבצים המוצפנים יודעת היטב לפתוח אותם ללא כל בעיה. גם אם אין לך כל גישה למחשב שבו נוצרו הקבצים המוצפנים, ניתן לפתוח את אותם הקבצים המוצפנים ללא כל בעיה אם יש ברשותך את מספר ה-XXXXXX (פה אני נאלצתי לעצור ולא לחשוף איזה מספר בדיוק נדרש מאחר ואת המספר הזה יכול להשיג בקלות כל ילד קטן שיודע להשתמש בסייר הקבצים ולפתוח אותם בעורך טקסטים וגם אם אין לו גישה למחשב...)

עכשיו בו נמשיך, 1. בבתי העסק שבהם מעבירים עדיין את התקשורת לשב"א בחיוג לקו בזק ולא דרך האינטרנט, הקבצים בכלל לא מוצפנים. 2. בבתי עסק רבים מבצעים מדי פעם גיבויים של כל הקבצים כולל קבצי אשראית.

כך שמה שרשמת בעניין כרטיסי האשראי אינו נכון כלל.

בעניין הרב קו אתה בכלל לא הבנת את המהות של הדבר. יתכן ומאגר הנתונים של כרטיסי הרב קו הצהליים אינו כולל את הפרטים האישיים של החיילים, אבל הוא כן כולל את דפוסי הנסיעה של חיילי צה"ל לבסיסים ומהם ואת היעדים ותחנות המוצא של אותם חיילים ומידע שכזה אם ידלוף לגורמים עויינים עלול לגרום נזק ביטחוני כבד.

עדיף שמשרד התחובורה "יפסיד" הרבה כסף מאשר שמאגר הנתונים ידלוף לגורמים עויינים.
הכל תלוי אלגוריתם הצפנה
בשיטות הצפנה נורמליות יש מפתח פומבי ומפתח פרטי ואז כל מה שכתבת לא תקף כי אתה מסתמך על זה שההצפנה והפענוח נעשים באותה מכונה ועם אותו מפתח.
&nbsp
ואם יש חנות כלשהי ששומרת את מספרי כרטיסי האשראי זוהי עברה על החוק.
&nbsp
אני לא יודע באיזה אמצעי אבטחה שב"א מאבטחת את החיבור הקווי שלהם, אפילו פייפאל כבר התקדמו והטמיעו את תקן SHA-256
 

25306yosef

New member
אין כל קשר לאלגוריתם הצפנה ולמפתחות

הכל תלוי אלגוריתם הצפנה
בשיטות הצפנה נורמליות יש מפתח פומבי ומפתח פרטי ואז כל מה שכתבת לא תקף כי אתה מסתמך על זה שההצפנה והפענוח נעשים באותה מכונה ועם אותו מפתח.
&nbsp
ואם יש חנות כלשהי ששומרת את מספרי כרטיסי האשראי זוהי עברה על החוק.
&nbsp
אני לא יודע באיזה אמצעי אבטחה שב"א מאבטחת את החיבור הקווי שלהם, אפילו פייפאל כבר התקדמו והטמיעו את תקן SHA-256
אין כל קשר לאלגוריתם הצפנה ולמפתחות
כאשר קבצי העיסקאות נמצאים במחשב ניתן לפתוח אותם מאותו המחשב שבו הם נמצאים בעזרת תוכנת אשראית שקיימת במחשב. מי שמכיר היטב את תוכנת אשראית יכול גם לפתוח את הקבצים הללו ממחשב אחר... ושוב, אין לזה כל קשר לאלגוריתם הצפנה ולמפתחות, אתה מדבר בכלל על משהו אחר לחלוטין.

אלגוריתם ההצפנה ומפתחות רלוונטיים לעניין תעבורת המידע באינטרנט בלבד ולא לגבי המחשב שבו מותקנת תוכנת אשראית. כאשר בית העסק משדר לשב"א את הנתונים דרך קו טלפון בחיוג כפי שהיה פעם, אז אין כל הצפנה של הנתונים.

כאשר הנתונים עוברים דרך האינטרנט הם מוצפנים ואין כל אפשרות לדעת מהם. וזו המטרה היחידה של ההצפנה.

ובאשר למה שכתבת על עבירה על החוק, אני לא יודע על איזה חוק אתה מדבר. אבל תוכנת אשראית PC שומרת את כל קבצי העיסקאות באשראי עד 100 ימים לאחר ביצוע העיסקה וכל הקבצים הללו נמצאים במחשב הקופה הרושמת. כך בנויה התוכנה.

יתכן אולי שאתה מדבר בכלל על חוק שאוסר לשמור נתוני פס מגנטי של כרטיס האשראי שזה בכלל משהו שונה לחלוטין ממספר כרטיס האשראי.

מספר כרטיס האשראי (כולל כל המותגים הבינלאומיים אך לא כולל כרטיסי מותג ישראכרט) הם עד 19 ספרות כאשר בנוסף למספר הכרטיס קיימים על הפס המגנטי של הכרטיס נתונים רבים נוספים כמו: תוקף הכרטיס, קוד שרות לכרטיס, ונתונים נוספים שלא כאן המקום לפרט אותם.

לפני 20 שנה תוכנת אשראית שמרה למעשה את נתוני הפס המגנטי המלא. אך בשלב מאוחר יותר בגירסה מתקדמת של התוכנה נתוני הפס המגנטי המלאים "נמחקו" על מנת שלא ישמרו במחשב מאחר ואין לתוכנת הקופה הרושמת וגם לא לתוכנת אשראית כל צורך בנתונים הללו.

לצורך תאימות לאחור, תוכנת אשראית שומרת עדיין את אותו מספר התווים המלא של נתוני הפס המגנטי, אבל נתוני הפס המגנטי שאין בהם צורך הוחלפו בנתונים אחרים. כך שאם בנתוני הפס המגנטי המלא מופיעים נתונים נוספים כמו 143699876542, התוכנה מחליפה אותם לספרות 999999999999 וכך לעולם לא ניתן לדעת מה היו הנתונים המקוריים.
 

arseny92

Well-known member
מנהל
בנוסף כאשר אתה חותם על קבלה, או מזין PIN, אתה בכך מאשר עסקה

אין כל קשר לאלגוריתם הצפנה ולמפתחות
כאשר קבצי העיסקאות נמצאים במחשב ניתן לפתוח אותם מאותו המחשב שבו הם נמצאים בעזרת תוכנת אשראית שקיימת במחשב. מי שמכיר היטב את תוכנת אשראית יכול גם לפתוח את הקבצים הללו ממחשב אחר... ושוב, אין לזה כל קשר לאלגוריתם הצפנה ולמפתחות, אתה מדבר בכלל על משהו אחר לחלוטין.

אלגוריתם ההצפנה ומפתחות רלוונטיים לעניין תעבורת המידע באינטרנט בלבד ולא לגבי המחשב שבו מותקנת תוכנת אשראית. כאשר בית העסק משדר לשב"א את הנתונים דרך קו טלפון בחיוג כפי שהיה פעם, אז אין כל הצפנה של הנתונים.

כאשר הנתונים עוברים דרך האינטרנט הם מוצפנים ואין כל אפשרות לדעת מהם. וזו המטרה היחידה של ההצפנה.

ובאשר למה שכתבת על עבירה על החוק, אני לא יודע על איזה חוק אתה מדבר. אבל תוכנת אשראית PC שומרת את כל קבצי העיסקאות באשראי עד 100 ימים לאחר ביצוע העיסקה וכל הקבצים הללו נמצאים במחשב הקופה הרושמת. כך בנויה התוכנה.

יתכן אולי שאתה מדבר בכלל על חוק שאוסר לשמור נתוני פס מגנטי של כרטיס האשראי שזה בכלל משהו שונה לחלוטין ממספר כרטיס האשראי.

מספר כרטיס האשראי (כולל כל המותגים הבינלאומיים אך לא כולל כרטיסי מותג ישראכרט) הם עד 19 ספרות כאשר בנוסף למספר הכרטיס קיימים על הפס המגנטי של הכרטיס נתונים רבים נוספים כמו: תוקף הכרטיס, קוד שרות לכרטיס, ונתונים נוספים שלא כאן המקום לפרט אותם.

לפני 20 שנה תוכנת אשראית שמרה למעשה את נתוני הפס המגנטי המלא. אך בשלב מאוחר יותר בגירסה מתקדמת של התוכנה נתוני הפס המגנטי המלאים "נמחקו" על מנת שלא ישמרו במחשב מאחר ואין לתוכנת הקופה הרושמת וגם לא לתוכנת אשראית כל צורך בנתונים הללו.

לצורך תאימות לאחור, תוכנת אשראית שומרת עדיין את אותו מספר התווים המלא של נתוני הפס המגנטי, אבל נתוני הפס המגנטי שאין בהם צורך הוחלפו בנתונים אחרים. כך שאם בנתוני הפס המגנטי המלא מופיעים נתונים נוספים כמו 143699876542, התוכנה מחליפה אותם לספרות 999999999999 וכך לעולם לא ניתן לדעת מה היו הנתונים המקוריים.
בנוסף כאשר אתה חותם על קבלה, או מזין PIN, אתה בכך מאשר עסקה
ובית העסק שומר את הקבלה המאושרת הזו, שכוללת את המספר המלא של הכרטיס, גם באופן פיזי וגם בתור קובץ בקופה הרושמת למספר חודשים (וגם משדרת נתוני כל עסקה לרשות המיסים המקומית, כדי לוודא שבית העסק ישלם מיסים (מע"מ וכדומה) כראוי על סמך כמות העסקות ומחירם הכולל ביום/חודש/שנה - פיסקליזציה), למקרים שבית העסק יצטרך להוכיח ביצוע עסקה במקרה והלקוח מכחיש את העסקה בחברת האשראי שלו

עותק הקבלה שכוללת רק מספר חלקי של הכרטיס, ניתנת ללקוח, האם אתם בכלל קוראים את מה שאתם חותמים?
 

arseny92

Well-known member
מנהל
לגבי ההצפנה ומפתחות, מה הכשרתך בנושא זה?

אין כל קשר לאלגוריתם הצפנה ולמפתחות
כאשר קבצי העיסקאות נמצאים במחשב ניתן לפתוח אותם מאותו המחשב שבו הם נמצאים בעזרת תוכנת אשראית שקיימת במחשב. מי שמכיר היטב את תוכנת אשראית יכול גם לפתוח את הקבצים הללו ממחשב אחר... ושוב, אין לזה כל קשר לאלגוריתם הצפנה ולמפתחות, אתה מדבר בכלל על משהו אחר לחלוטין.

אלגוריתם ההצפנה ומפתחות רלוונטיים לעניין תעבורת המידע באינטרנט בלבד ולא לגבי המחשב שבו מותקנת תוכנת אשראית. כאשר בית העסק משדר לשב"א את הנתונים דרך קו טלפון בחיוג כפי שהיה פעם, אז אין כל הצפנה של הנתונים.

כאשר הנתונים עוברים דרך האינטרנט הם מוצפנים ואין כל אפשרות לדעת מהם. וזו המטרה היחידה של ההצפנה.

ובאשר למה שכתבת על עבירה על החוק, אני לא יודע על איזה חוק אתה מדבר. אבל תוכנת אשראית PC שומרת את כל קבצי העיסקאות באשראי עד 100 ימים לאחר ביצוע העיסקה וכל הקבצים הללו נמצאים במחשב הקופה הרושמת. כך בנויה התוכנה.

יתכן אולי שאתה מדבר בכלל על חוק שאוסר לשמור נתוני פס מגנטי של כרטיס האשראי שזה בכלל משהו שונה לחלוטין ממספר כרטיס האשראי.

מספר כרטיס האשראי (כולל כל המותגים הבינלאומיים אך לא כולל כרטיסי מותג ישראכרט) הם עד 19 ספרות כאשר בנוסף למספר הכרטיס קיימים על הפס המגנטי של הכרטיס נתונים רבים נוספים כמו: תוקף הכרטיס, קוד שרות לכרטיס, ונתונים נוספים שלא כאן המקום לפרט אותם.

לפני 20 שנה תוכנת אשראית שמרה למעשה את נתוני הפס המגנטי המלא. אך בשלב מאוחר יותר בגירסה מתקדמת של התוכנה נתוני הפס המגנטי המלאים "נמחקו" על מנת שלא ישמרו במחשב מאחר ואין לתוכנת הקופה הרושמת וגם לא לתוכנת אשראית כל צורך בנתונים הללו.

לצורך תאימות לאחור, תוכנת אשראית שומרת עדיין את אותו מספר התווים המלא של נתוני הפס המגנטי, אבל נתוני הפס המגנטי שאין בהם צורך הוחלפו בנתונים אחרים. כך שאם בנתוני הפס המגנטי המלא מופיעים נתונים נוספים כמו 143699876542, התוכנה מחליפה אותם לספרות 999999999999 וכך לעולם לא ניתן לדעת מה היו הנתונים המקוריים.
לגבי ההצפנה ומפתחות, מה הכשרתך בנושא זה?
> אשר קבצי העיסקאות נמצאים במחשב ניתן לפתוח אותם מאותו המחשב שבו הם נמצאים בעזרת תוכנת אשראית שקיימת במחשב. מי שמכיר היטב את תוכנת אשראית יכול גם לפתוח את הקבצים הללו ממחשב אחר...
> אלגוריתם ההצפנה ומפתחות רלוונטיים לעניין תעבורת המידע באינטרנט בלבד ולא לגבי המחשב שבו מותקנת תוכנת אשראית

ממש לא, מי שמכיר היטב את התוכנות המשתמשות בכל נתונים מוצפנים, מוודא שכל הנתונים יוצפנו באמצעות האישור הנכון, ויפוענחו באמצעות מפתח פרטי ייחודי המתאים, ולא יתקין את אותו צירוף המפתחות על כל עותק של תוכנה. אם יש סיכון לגנבת מפתח פרטי, מבוצע טקס מפתחות ליצירת מפתח פיענוח חדש
שימוש באותו צירוף מפתחות בכל האביזרים מותנה באותו סיכון של שימוש באותה הסיסמא לכל מקום
אלגוריתמי ההצפנה, חתימה, פיענוח ואימות נועדו לא רק לעניין תעבורת מידע בפרוטוקול כלשהו באינטרנט, אלא גם לשמירת מידע סודי הלא נועד למסירה, הנמצא על אותה הסביבה. קבצים מוצפנים יפוענחו על ידי עותק התוכנה בסביבה אחרת רק במקרה ואותה הסביבה משתמשת באותן מפתחות!
 

25306yosef

New member
אני לא מתכוון לפרט כאן בפורום כיצד עובדת תוכנת אשראית

לגבי ההצפנה ומפתחות, מה הכשרתך בנושא זה?
> אשר קבצי העיסקאות נמצאים במחשב ניתן לפתוח אותם מאותו המחשב שבו הם נמצאים בעזרת תוכנת אשראית שקיימת במחשב. מי שמכיר היטב את תוכנת אשראית יכול גם לפתוח את הקבצים הללו ממחשב אחר...
> אלגוריתם ההצפנה ומפתחות רלוונטיים לעניין תעבורת המידע באינטרנט בלבד ולא לגבי המחשב שבו מותקנת תוכנת אשראית

ממש לא, מי שמכיר היטב את התוכנות המשתמשות בכל נתונים מוצפנים, מוודא שכל הנתונים יוצפנו באמצעות האישור הנכון, ויפוענחו באמצעות מפתח פרטי ייחודי המתאים, ולא יתקין את אותו צירוף המפתחות על כל עותק של תוכנה. אם יש סיכון לגנבת מפתח פרטי, מבוצע טקס מפתחות ליצירת מפתח פיענוח חדש
שימוש באותו צירוף מפתחות בכל האביזרים מותנה באותו סיכון של שימוש באותה הסיסמא לכל מקום
אלגוריתמי ההצפנה, חתימה, פיענוח ואימות נועדו לא רק לעניין תעבורת מידע בפרוטוקול כלשהו באינטרנט, אלא גם לשמירת מידע סודי הלא נועד למסירה, הנמצא על אותה הסביבה. קבצים מוצפנים יפוענחו על ידי עותק התוכנה בסביבה אחרת רק במקרה ואותה הסביבה משתמשת באותן מפתחות!
אני לא מתכוון לפרט כאן בפורום כיצד עובדת תוכנת אשראית
אני גם לא מתכוון לפרט כאן ואין לי גם שום סמכות למסור כאן מידע על אמצעי האבטחה וההצפנה של תוכנת אשראית.

מי שמכיר היטב את תוכנת אשראית ורק מי שמכיר היטב את תוכנת אשראית, יכול לפתוח את הקבצים המוצפנים אם יש ברשותו קוד מסויים.

את הקוד הזה אמנם קל מאוד להשיג אבל אני לא מתכוון לפרט כאן בפורום מהו בדיוק הקוד הזה ואיך משיגים אותו ומדוע זה מאוד קל להשיג אותו. ושוב, רק מי שמכיר היטב את תוכנת אשראית יכול להשיג את הקוד הזה בקלות רבה ביותר ולעשות בו שימוש לפתיחת הקבצים המוצפנים. ומי שלא מכיר את הקוד הזה, אז הקוד בשבילו הוא לא יותר מאשר אוסף ספרות חסרי כל משמעות. יכול להיות שמה שאני קורא לו קוד, זה מה שאתה קורא לו מפתח, שיהיה.

במסופים המוגדרים לעבודה בתקשורת בחיוג דרך קו הטלפון של בזק, אין הצפנה של הקבצים.
 

arseny92

Well-known member
מנהל
מיותר לציין שבמקרה של קו טלפון, זה לא קבצים, אלא תמסורת dtmf

אני לא מתכוון לפרט כאן בפורום כיצד עובדת תוכנת אשראית
אני גם לא מתכוון לפרט כאן ואין לי גם שום סמכות למסור כאן מידע על אמצעי האבטחה וההצפנה של תוכנת אשראית.

מי שמכיר היטב את תוכנת אשראית ורק מי שמכיר היטב את תוכנת אשראית, יכול לפתוח את הקבצים המוצפנים אם יש ברשותו קוד מסויים.

את הקוד הזה אמנם קל מאוד להשיג אבל אני לא מתכוון לפרט כאן בפורום מהו בדיוק הקוד הזה ואיך משיגים אותו ומדוע זה מאוד קל להשיג אותו. ושוב, רק מי שמכיר היטב את תוכנת אשראית יכול להשיג את הקוד הזה בקלות רבה ביותר ולעשות בו שימוש לפתיחת הקבצים המוצפנים. ומי שלא מכיר את הקוד הזה, אז הקוד בשבילו הוא לא יותר מאשר אוסף ספרות חסרי כל משמעות. יכול להיות שמה שאני קורא לו קוד, זה מה שאתה קורא לו מפתח, שיהיה.

במסופים המוגדרים לעבודה בתקשורת בחיוג דרך קו הטלפון של בזק, אין הצפנה של הקבצים.
מיותר לציין שבמקרה של קו טלפון, זה לא קבצים, אלא תמסורת dtmf
בערך כפי שנשלחים פקסים או כל מידע אחר המשתמש במודם לעיבוד ביטי מידע... כולל חיוג ליצירת חיבור קו dial-up (שכבה הפיזית), ייצור חיבור X25 (שכבת קו ורשת), תמסורת על שכבת תעבורה, ועד קבצים זה מגיע רק בשכבת היישום, ויש מלא אפשרויות להצפנת המידע בדרך, עוד בשכבת השיחה ושכבת הייצוג.
 
יוסף אתה מפספס את הנקודה

אין כל קשר לאלגוריתם הצפנה ולמפתחות
כאשר קבצי העיסקאות נמצאים במחשב ניתן לפתוח אותם מאותו המחשב שבו הם נמצאים בעזרת תוכנת אשראית שקיימת במחשב. מי שמכיר היטב את תוכנת אשראית יכול גם לפתוח את הקבצים הללו ממחשב אחר... ושוב, אין לזה כל קשר לאלגוריתם הצפנה ולמפתחות, אתה מדבר בכלל על משהו אחר לחלוטין.

אלגוריתם ההצפנה ומפתחות רלוונטיים לעניין תעבורת המידע באינטרנט בלבד ולא לגבי המחשב שבו מותקנת תוכנת אשראית. כאשר בית העסק משדר לשב"א את הנתונים דרך קו טלפון בחיוג כפי שהיה פעם, אז אין כל הצפנה של הנתונים.

כאשר הנתונים עוברים דרך האינטרנט הם מוצפנים ואין כל אפשרות לדעת מהם. וזו המטרה היחידה של ההצפנה.

ובאשר למה שכתבת על עבירה על החוק, אני לא יודע על איזה חוק אתה מדבר. אבל תוכנת אשראית PC שומרת את כל קבצי העיסקאות באשראי עד 100 ימים לאחר ביצוע העיסקה וכל הקבצים הללו נמצאים במחשב הקופה הרושמת. כך בנויה התוכנה.

יתכן אולי שאתה מדבר בכלל על חוק שאוסר לשמור נתוני פס מגנטי של כרטיס האשראי שזה בכלל משהו שונה לחלוטין ממספר כרטיס האשראי.

מספר כרטיס האשראי (כולל כל המותגים הבינלאומיים אך לא כולל כרטיסי מותג ישראכרט) הם עד 19 ספרות כאשר בנוסף למספר הכרטיס קיימים על הפס המגנטי של הכרטיס נתונים רבים נוספים כמו: תוקף הכרטיס, קוד שרות לכרטיס, ונתונים נוספים שלא כאן המקום לפרט אותם.

לפני 20 שנה תוכנת אשראית שמרה למעשה את נתוני הפס המגנטי המלא. אך בשלב מאוחר יותר בגירסה מתקדמת של התוכנה נתוני הפס המגנטי המלאים "נמחקו" על מנת שלא ישמרו במחשב מאחר ואין לתוכנת הקופה הרושמת וגם לא לתוכנת אשראית כל צורך בנתונים הללו.

לצורך תאימות לאחור, תוכנת אשראית שומרת עדיין את אותו מספר התווים המלא של נתוני הפס המגנטי, אבל נתוני הפס המגנטי שאין בהם צורך הוחלפו בנתונים אחרים. כך שאם בנתוני הפס המגנטי המלא מופיעים נתונים נוספים כמו 143699876542, התוכנה מחליפה אותם לספרות 999999999999 וכך לעולם לא ניתן לדעת מה היו הנתונים המקוריים.
יוסף אתה מפספס את הנקודה
אין לי מושג איך חברות האשראי ממשות את נושא שמירת המידע על המסופים, נתתי את דוגמאת האשראי לצורך המחשה.
&nbsp
אם חברות האשראי לא מצפינות את המידע בדרך שבה הלקוח לא יוכל לפענח אותו בכוחות עצמו אז זה מחדל חמור שאין כמותו. גם אני עוסק בתוכנה וגם לי יש רכיבי מידע שפזורים אצל לקוחות ואין להם שום יכולת לגשת ולהבין מה כתוב במסדי הנתונים שמותקנים שם בלי שאני אתן להם את ההרשאה לפענח. אני בוחר איזה מידע לתת להם לראות ואיזה מידע יהיה מעורבל בצורה שבה גם אם הלקוח יגיע אליו הוא לא יבין כלום.
אגב, כמעט כל משחק מחשב פועל באותה צורה אחרת כל הקטע של צ'יטים היה כבר מזמן חוצה גבולות.
 

25306yosef

New member
הלקוח (ובעל העסק) יוכל לפענח את המידע אם הוא מכיר את התוכנה

יוסף אתה מפספס את הנקודה
אין לי מושג איך חברות האשראי ממשות את נושא שמירת המידע על המסופים, נתתי את דוגמאת האשראי לצורך המחשה.
&nbsp
אם חברות האשראי לא מצפינות את המידע בדרך שבה הלקוח לא יוכל לפענח אותו בכוחות עצמו אז זה מחדל חמור שאין כמותו. גם אני עוסק בתוכנה וגם לי יש רכיבי מידע שפזורים אצל לקוחות ואין להם שום יכולת לגשת ולהבין מה כתוב במסדי הנתונים שמותקנים שם בלי שאני אתן להם את ההרשאה לפענח. אני בוחר איזה מידע לתת להם לראות ואיזה מידע יהיה מעורבל בצורה שבה גם אם הלקוח יגיע אליו הוא לא יבין כלום.
אגב, כמעט כל משחק מחשב פועל באותה צורה אחרת כל הקטע של צ'יטים היה כבר מזמן חוצה גבולות.
הלקוח (ובעל העסק) יוכל לפענח את המידע אם הוא מכיר את התוכנה
רק אם הלקוח ובעל העסק מכירים היטב את תוכנת אשראית, הם יכולים לפענח את הנתונים שבתוכנה.

תוכנת הקופה הרושמת מעבירה לבעל העסק רק את הנתונים שהוא צריך לצורך ניהול בית העסק ובהתאם להסכם עם בית התוכנה. בהתחשב בכך שבעל בית העסק לא ישחק במחשב עם הקבצים והתוכנות, אז לא יכול להיות מצב שהוא יפענח את הנתונים או ינסה לפענח את הנתונים. סביר גם להניח שבכל קופה רושמת יש גם אנטי וירוס וקיר חסין אש.

אבל כל זה לא מבטיח שהנתונים של הקופה הרושמת לא ידלפו למקומות אחרים לאחר שהתבצע גיבוי על התקן חיצוני. הנתונים שבגיבוי יכולים לדלוף למישהו שיכול להשתמש בהם...

לגבי מה שכתבת על הלקוחות שלך,

אמנם אין להם שום יכולת לגשת ולהבין מה כתוב במסדי הנתונים שמותקנים שם בלי שאתה תתן להם את ההרשאה לפענח, אבל מספיק שאחד העובדים שלך שמכיר היטב את התוכנה ואת מסדי הנתונים ישתף איתם פעולה בשביל שהם יוכלו לפענח את מסדי הנתונים הללו....
 
הם לא יוכלו.

הלקוח (ובעל העסק) יוכל לפענח את המידע אם הוא מכיר את התוכנה
רק אם הלקוח ובעל העסק מכירים היטב את תוכנת אשראית, הם יכולים לפענח את הנתונים שבתוכנה.

תוכנת הקופה הרושמת מעבירה לבעל העסק רק את הנתונים שהוא צריך לצורך ניהול בית העסק ובהתאם להסכם עם בית התוכנה. בהתחשב בכך שבעל בית העסק לא ישחק במחשב עם הקבצים והתוכנות, אז לא יכול להיות מצב שהוא יפענח את הנתונים או ינסה לפענח את הנתונים. סביר גם להניח שבכל קופה רושמת יש גם אנטי וירוס וקיר חסין אש.

אבל כל זה לא מבטיח שהנתונים של הקופה הרושמת לא ידלפו למקומות אחרים לאחר שהתבצע גיבוי על התקן חיצוני. הנתונים שבגיבוי יכולים לדלוף למישהו שיכול להשתמש בהם...

לגבי מה שכתבת על הלקוחות שלך,

אמנם אין להם שום יכולת לגשת ולהבין מה כתוב במסדי הנתונים שמותקנים שם בלי שאתה תתן להם את ההרשאה לפענח, אבל מספיק שאחד העובדים שלך שמכיר היטב את התוכנה ואת מסדי הנתונים ישתף איתם פעולה בשביל שהם יוכלו לפענח את מסדי הנתונים הללו....
הם לא יוכלו.
אתה יודע מה בוא נסתכל על זה מנקודת מבט אחרת...
קח חברה שמשתמשת בשרת LDAP בשביל לעשות LOGIN למחשבים שלהם.
קח את כל צוות המתכנתים שלך ואת עצמך ותנסה לומר לי מהן הסיסמאות של המשתמשים שלך. אתה לא תצליח.
 

arseny92

Well-known member
מנהל
...כי כפי שהצגתי מטה, הסיסמאות הוצפנו ע"י אלגוריתם חד-כווני

הם לא יוכלו.
אתה יודע מה בוא נסתכל על זה מנקודת מבט אחרת...
קח חברה שמשתמשת בשרת LDAP בשביל לעשות LOGIN למחשבים שלהם.
קח את כל צוות המתכנתים שלך ואת עצמך ותנסה לומר לי מהן הסיסמאות של המשתמשים שלך. אתה לא תצליח.
...כי כפי שהצגתי מטה, הסיסמאות הוצפנו ע"י אלגוריתם חד-כווני
http://www.tapuz.co.il/forums/viewmsg/394/182586941/אקטואליה/תחבורה_ציבורית

בעת ביצוע כניסה השרת מבצע האשינג של הנתונים שהוזנו על ידי המשתמש, כל פעם מחדש, ואז בודק אם הצרוף שיוצא תואם למה שיש במסד הנתונים כאמצעי זיהוי, אם זה תואם, הכניסה מאושרת

אינך יכול לדעת מהו הצירוף ה-input שהמשתמש מזין, אם ברשותך רק ההאש של ה-output בלבד (!), אלא אם תבצע ברוטפורס של כל צירוף אפשרי, ואם ה-input די ארוך ומסובך, כמעט לעולם לא תגיע עם ברוטפורס לצרוף שיהיה שווה למה שיש לך ב-output , תצטרך מחשב קוונטי כדי לעבד כל צירוף אפשרי בזמן קצר, ועיקר אם אינך יודע מראש את אורך תווי צירוף המקור, יש לך אינסוף אפשרויות עד שתגיע ליעד
 

25306yosef

New member
ועכשיו אתה רוצה לראות איך נראה קובץ הסיסמא של תוכנת אשראית?

...כי כפי שהצגתי מטה, הסיסמאות הוצפנו ע"י אלגוריתם חד-כווני
http://www.tapuz.co.il/forums/viewmsg/394/182586941/אקטואליה/תחבורה_ציבורית

בעת ביצוע כניסה השרת מבצע האשינג של הנתונים שהוזנו על ידי המשתמש, כל פעם מחדש, ואז בודק אם הצרוף שיוצא תואם למה שיש במסד הנתונים כאמצעי זיהוי, אם זה תואם, הכניסה מאושרת

אינך יכול לדעת מהו הצירוף ה-input שהמשתמש מזין, אם ברשותך רק ההאש של ה-output בלבד (!), אלא אם תבצע ברוטפורס של כל צירוף אפשרי, ואם ה-input די ארוך ומסובך, כמעט לעולם לא תגיע עם ברוטפורס לצרוף שיהיה שווה למה שיש לך ב-output , תצטרך מחשב קוונטי כדי לעבד כל צירוף אפשרי בזמן קצר, ועיקר אם אינך יודע מראש את אורך תווי צירוף המקור, יש לך אינסוף אפשרויות עד שתגיע ליעד
ועכשיו אתה רוצה לראות איך נראה קובץ הסיסמא של תוכנת אשראית?
מצורף הקובץ המלא שהוא למעשה קובץ טקסט פשוט. לא שיניתי שום דבר בקובץ אלא רק את שמו של הקובץ על מנת למנוע את הזיהוי שלו.

לא יכולתי שלא להתפקע מצחוק לאחר שראיתי את הסיסמא ואת המבנה של הקובץ ואת המיקום שבו נמצא הקובץ הזה.....

למען הסר ספק אני מציין בזאת שזה לא מספר ה-...... ולא ניתן לפתוח עם הסיסמא הזו שום קובץ מוצפן אלא רק להיכנס לתוכנה במקרה ויש צורך להקיש את הסיסמא.

מספר ה-....... זה משהו שונה לחלוטין ואני לא מתכוון לכתוב עליו כאן בפורום. אבל אציין שגם מספר ה-...... הוא למעשה טקסט פשוט שניתן לפתוח אותו עם כל עורך טקסטים...
 
אבל שוב אתה מפספס את הנקודה

ועכשיו אתה רוצה לראות איך נראה קובץ הסיסמא של תוכנת אשראית?
מצורף הקובץ המלא שהוא למעשה קובץ טקסט פשוט. לא שיניתי שום דבר בקובץ אלא רק את שמו של הקובץ על מנת למנוע את הזיהוי שלו.

לא יכולתי שלא להתפקע מצחוק לאחר שראיתי את הסיסמא ואת המבנה של הקובץ ואת המיקום שבו נמצא הקובץ הזה.....

למען הסר ספק אני מציין בזאת שזה לא מספר ה-...... ולא ניתן לפתוח עם הסיסמא הזו שום קובץ מוצפן אלא רק להיכנס לתוכנה במקרה ויש צורך להקיש את הסיסמא.

מספר ה-....... זה משהו שונה לחלוטין ואני לא מתכוון לכתוב עליו כאן בפורום. אבל אציין שגם מספר ה-...... הוא למעשה טקסט פשוט שניתן לפתוח אותו עם כל עורך טקסטים...
אבל שוב אתה מפספס את הנקודה
הבהרת כבר שרמת אבטחת המידע של חברות האשראי היא בדיחה. הבנו את זה.
אנחנו מדברים על מה אמור להיות, ומתכנתים נורמלים לא היו מאפשרים סיטואציות כאלה.
אתה בינתיים הרחקת לכת ואמרת שתמיד אפשר "לעשות UNDO" ולקבל את הסיסמאות והמידע וזה פשוט לא נכון.
&nbsp
&nbsp
 

arseny92

Well-known member
מנהל
כפי ש-123mod10=3,הצפנות קריפטוגרפיות כיוון אחד אינן מתבטלות!

אבל שוב אתה מפספס את הנקודה
הבהרת כבר שרמת אבטחת המידע של חברות האשראי היא בדיחה. הבנו את זה.
אנחנו מדברים על מה אמור להיות, ומתכנתים נורמלים לא היו מאפשרים סיטואציות כאלה.
אתה בינתיים הרחקת לכת ואמרת שתמיד אפשר "לעשות UNDO" ולקבל את הסיסמאות והמידע וזה פשוט לא נכון.
&nbsp
&nbsp
כפי ש-123mod10=3,הצפנות קריפטוגרפיות כיוון אחד אינן מתבטלות!
נסה לבטל את הדוגמה הזו ותקבל כל מספר עם 3, 13, 23, 33, 5956655935653, 3*
 

arseny92

Well-known member
מנהל
אם אתם לא מבינים את ההבדל בין הצפנה להאשינג, אז זה כבר מוגזם

כפי ש-123mod10=3,הצפנות קריפטוגרפיות כיוון אחד אינן מתבטלות!
נסה לבטל את הדוגמה הזו ותקבל כל מספר עם 3, 13, 23, 33, 5956655935653, 3*
אם אתם לא מבינים את ההבדל בין הצפנה להאשינג, אז זה כבר מוגזם
https://stackoverflow.com/questions/35899323/how-to-decrypt-sha-512-hashed-data
&nbsp
צריך עוד?
&nbsp
&nbsp
 

25306yosef

New member
למה אתה כל כך בטוח שבחברת עדליא הכל מאובטח ותקין?

אבל שוב אתה מפספס את הנקודה
הבהרת כבר שרמת אבטחת המידע של חברות האשראי היא בדיחה. הבנו את זה.
אנחנו מדברים על מה אמור להיות, ומתכנתים נורמלים לא היו מאפשרים סיטואציות כאלה.
אתה בינתיים הרחקת לכת ואמרת שתמיד אפשר "לעשות UNDO" ולקבל את הסיסמאות והמידע וזה פשוט לא נכון.
&nbsp
&nbsp
למה אתה כל כך בטוח שבחברת עדליא הכל מאובטח ותקין?
ולמה אתה כל כך בטוח שהמתכנתים של שב"א אינם מתכנתים נורמליים?

הרי הבהרתי חזור והבהר שרק מי שמכיר את תוכנת אשראית היטב (כול איך היא בנויה ועובדת) יכול להגיע אל הנתונים ואל פרטי כרטיסי האשראי. ואילו מי שלא מכיר היטב את התוכנה ולא יודע איך בדיוק היא פועלת לא יכול להגיע אל הנתונים ובוודאי שלא יכול לפתוח את הקבצים המוצפנים. הרי בכל דבר יש נקודת תורפהשמי שמכיר אותה היטב יודע לעקוף אותה.

אז למה אתה כל כך בטוח שבחברת עדליא הכל מאובטח ומוצפן וכל המתכנתים שם הם מתכנתים נורמליים לחלוטין ולא יכול להיות מצב כמו בשב"א שמי שמכיר את התוכנה היטב יכול גם לפענח את ההצפנות אם בכלל קיימות?

וגם אם קיימות הצפנות מחוץ למשרדי חברת עדליא, הדבר לא אמור למנוע מעובדים בחברת עדליא שיש להם גישה לבסיס הנתונים, להעתיק אותו ולהפיץ אותו לכל המרבה במחיר או אף לפתוח הרשאת גישה למחשבי עדליא לגורם עויין ללא ידיעת משרד התחבורה.

בקיצור, אני לא סומך על חברת עדליא וגם לא על משרד התחבורה. לגבי השאלה האם אני סומך על משרד הביטחון, זו כבר תשובה מורכבת לשרשור נפרד.

לעומת זאת על שב"א אני דווקא כן סומך מאחר ואני יודע בוודאות שלמי שלא מכיר את תוכנת אשראית היטב ולא יודע איך היא בדיוק פועלת, אין שום סיכוי לפענח את המידע המוצפן שבקבצים.
 
לא רק האורך.. גם מהם התווי החוקיים לאותו INPUT

...כי כפי שהצגתי מטה, הסיסמאות הוצפנו ע"י אלגוריתם חד-כווני
http://www.tapuz.co.il/forums/viewmsg/394/182586941/אקטואליה/תחבורה_ציבורית

בעת ביצוע כניסה השרת מבצע האשינג של הנתונים שהוזנו על ידי המשתמש, כל פעם מחדש, ואז בודק אם הצרוף שיוצא תואם למה שיש במסד הנתונים כאמצעי זיהוי, אם זה תואם, הכניסה מאושרת

אינך יכול לדעת מהו הצירוף ה-input שהמשתמש מזין, אם ברשותך רק ההאש של ה-output בלבד (!), אלא אם תבצע ברוטפורס של כל צירוף אפשרי, ואם ה-input די ארוך ומסובך, כמעט לעולם לא תגיע עם ברוטפורס לצרוף שיהיה שווה למה שיש לך ב-output , תצטרך מחשב קוונטי כדי לעבד כל צירוף אפשרי בזמן קצר, ועיקר אם אינך יודע מראש את אורך תווי צירוף המקור, יש לך אינסוף אפשרויות עד שתגיע ליעד
לא רק האורך.. גם מהם התווי החוקיים לאותו INPUT
אחרת אתה סתם מוסיף עוד תווים לבדיקה.
&nbsp
אני לא חושב שיש איזשהו האקר שמדמיין בראש שלו לפרוץ משהו עם ברוטפורס
 

arseny92

Well-known member
מנהל
לא רחוק היום שבו יוצג המחשב הקוונטי, כל אלגוריטם הצפנה

הכל תלוי אלגוריתם הצפנה
בשיטות הצפנה נורמליות יש מפתח פומבי ומפתח פרטי ואז כל מה שכתבת לא תקף כי אתה מסתמך על זה שההצפנה והפענוח נעשים באותה מכונה ועם אותו מפתח.
&nbsp
ואם יש חנות כלשהי ששומרת את מספרי כרטיסי האשראי זוהי עברה על החוק.
&nbsp
אני לא יודע באיזה אמצעי אבטחה שב"א מאבטחת את החיבור הקווי שלהם, אפילו פייפאל כבר התקדמו והטמיעו את תקן SHA-256
לא רחוק היום שבו יוצג המחשב הקוונטי, כל אלגוריטם הצפנה
יהפוך לחסר משמעות, כי כל אורך הצפנה של כל אלגוריטם דו-כווני של היום (PKI), נפרץ בקלות תוך דקות על ידי רק מספר קוביטים בסופרפוזיציה של שני המצבים בו זמנית

ו-SHA עם לא משנה איזה אורך הוא בכלל אלגוריטם קריפטוגרפי בכיוון אחד, כל דבר אשר מתבטה כצירוף קסדצימלי SHA אינו יכול להיות מומר חזרה לנתוני המקור, אלא אם נתוני המקור ידועים לך מראש או שיש לך גישה למסד נתונים או רשימה עם שיוכים של כל צירוף אשר בשימוש חזרה אל נתוני המקור, מה שהופך את הפיענוח לחסר משמעות אם יש לך את הצירוף המוצפן בלבד :

קוד:
PS C:\WINDOWS\system32> [System.Security.Cryptography.HashAlgorithm]::Create("sha512").ComputeHash([System.Text.Encoding]::UTF8.GetBytes("Hello world!!!!!1111")) | ForEach-Object -Begin {$str=''} -Process{$str += "{0:x2}" -f $_} -End{$str}
3a50774ef4741174165ea7fcbd7356de7cbb3233dd096f5372a9607ac0eaf2f7f88fbc9576a27bdbebbb1dee3cf3983fdd6bef86e4bed05616c7e4dd8f0161b9

אם אתה צריך דווקא להצפין אך לשמור גישה נוחה לנתונים המקוריים בעת פיענוח, יש להשתמש באלגוריטמים המאפשרים גם הצפנה על ידי המפתח הפומבי וגם פיענוח על ידי המפתח הפרטי הנכון שאינך מדליף
 
מצב
הנושא נעול.
למעלה