[EL] Digipass Rabobank, herprogrameerbaar? - Modding, mechanica en elektronica

zondag 3 april 2005 23:22

Acties:

Discovery Channel

Topicstarter

ik heb dus ergens in een duister hoekje mijn Digipass van de Rabobank weer gevonden en direct geprobeerd op telebankieren, maar helaas, ik moet gebruik maken van de huidige Random Reader

omdat de "0" amper werkte heb ik dat ding open gemaakt en de connecten schoongemaakt, waarbij helaas allebei de knoopcellen er uit moesten (een voor power en een voor de ram inhoud) en na het in elkaar zetten dat ding dus braindead is geworden (was was te verwachten

(en daarom niet toen schoongemaakt))

maargoed, dat ding heeft ook een IR poort waardoor dat ding geprogged word?
als ik er een afstandsbediening er voor hou en em aan zet, krijg ik een "XFER ERROR"
Afbeeldingslocatie: http://members.home.nl/thahandy/got/digipass1.jpg

Afbeeldingslocatie: http://members.home.nl/thahandy/got/digipass1.jpg

Als ik hem gewoon aanzet komt er "V5.1" op het display en op de cijfers/x/-/+ druk komt er 01-0F op het display?
Afbeeldingslocatie: http://members.home.nl/thahandy/got/digipass2.jpg

Afbeeldingslocatie: http://members.home.nl/thahandy/got/digipass2.jpg

iemand ideeën?

edit:

Random Reader (huidige)
Afbeeldingslocatie: https://bankieren.rabobank.nl/rabo/dp800.gif

digipass (oud, verlopen)
Afbeeldingslocatie: https://bankieren.rabobank.nl/rabo/dp500.gif

voor degene die niet weten waar ik het over heb

[ Voor 24% gewijzigd door ThaHandy op 03-04-2005 23:32 ]

zondag 3 april 2005 23:25

Acties:

Helmet

als je de random reader open maakt wordt iig een brug verbroken waardoor de software op t apparaat gewist wordt

Icons are overrated

zondag 3 april 2005 23:27

Acties:

GeforceDDQ

Dat is volgens mij wel zo ja, dat is om te voorkomen dat iemand erachter komt hoe dat ding dus aan zijn codes komt

maw, nutteloos geworden

[/]logische beredeneringsmodus[/]

301SQN

zondag 3 april 2005 23:36

Acties:

ThaHandy

Discovery Channel

Topicstarter

aha, dr is idd een programmer er voor

http://www.vasco.com/docu...ure/pdf/DP_Programmer.pdf

maandag 4 april 2005 07:38

Acties:

DRAFTER86

Even lichtelijk offtopic, ik heb z'on nieuwe random-reader. Hoe kan het dat dat ding het aangeeft wanneer ik een verkeerde pincode intoets?
Ik dacht toch echt dat de code niet op je pasje stond maar op een of andere server.

maandag 4 april 2005 07:49

Acties:

Verwijderd

Klopt, maar waarschijnlijk staat er ook een hash op je random reader (waardoor hij geprogrammeerd dient te worden). Dat verklaart ook waarom dat ding zo goed beveiligd is, want indien je de hash kunt achterhalen uit het eeprommetje dat erin zit, zijn er slechts 9999 mogelijkheden en is de pincode gemakkelijk te achterhalen.

[ Voor 48% gewijzigd door Verwijderd op 04-04-2005 07:50 ]

maandag 4 april 2005 09:51

Acties:

Dracoplasm

Ookal krijg je hem weer aan de praat, dan nog heb je er niks aan, het apparaatje wordt namelijk niet meer ondersteund vanaf +/- mei...

9.000wp - Atlantic Explorer V4 270 - Itho Amber 120

maandag 4 april 2005 09:53

Acties:

simon

DracoplasM64 schreef op maandag 04 april 2005 @ 09:51:
Ookal krijg je hem weer aan de praat, dan nog heb je er niks aan, het apparaatje wordt namelijk niet meer ondersteund vanaf +/- mei...

ik denk ook niet dat dat de bedoeling is van de ts

|>

maandag 4 april 2005 10:28

Acties:

Verwijderd

Verwijderd schreef op maandag 04 april 2005 @ 07:49:
Klopt, maar waarschijnlijk staat er ook een hash op je random reader (waardoor hij geprogrammeerd dient te worden). Dat verklaart ook waarom dat ding zo goed beveiligd is, want indien je de hash kunt achterhalen uit het eeprommetje dat erin zit, zijn er slechts 9999 mogelijkheden en is de pincode gemakkelijk te achterhalen.

Not true imho.

Ik kan met zowel mijn random reader en mijn bankpasje inloggen als met m'n moeders random reader en mijn bankpas.

Mss dat je bedoelt een hash op de oude digipas

maandag 4 april 2005 10:52

Acties:

Sprite_tm

Semi-Chinees

Verwijderd schreef op maandag 04 april 2005 @ 07:49:
Klopt, maar waarschijnlijk staat er ook een hash op je random reader (waardoor hij geprogrammeerd dient te worden). Dat verklaart ook waarom dat ding zo goed beveiligd is, want indien je de hash kunt achterhalen uit het eeprommetje dat erin zit, zijn er slechts 9999 mogelijkheden en is de pincode gemakkelijk te achterhalen.

Dat is niet zo: De chip in je bankpas is niet zomaar een EEPROM, maar een complete microcontroller. Zodra jij dat ding in de Random Reader stopt, begint het programma van dat ding te draaien: de Random Reader heeft dan maar toegang tot een klein beetje info (chipknipsaldo bijvoorbeeld). Om bij de informatie te komen waarmee je kan internetbankieren, wil die chip eerst je pincode hebben: je random reader vraagt die en stuurt 'm dan gewoon 1-op-1 door naar de chipknip. Die controleert dat en opent de access zodra je de juiste pincode hebt. Brute-forcen kan hiermee niet, omdat de chip na 3 verkeerde pin-entries zichzelf op slot zet waarna je er helemaal niets meer mee kan.

Verder: Geen idee of het over hetzelfde apparaat gaat, maar misschien kan je hier wat nuttige info uithalen?

Relaxen und watchen das blinkenlichten. | Laatste project: Ikea Frekvens oog

maandag 4 april 2005 10:59

Acties:

Syzzer

Prutser

Hoewel tamelijk offtopic:
op je chipper staat wel degelijk je pincode, zij het gecodeerd. Er zijn namelijk zat chipknip apparaten die offline transacties maken en deze pas verwerken als het apparaat op een telefoonlijn aangesloten wordt.

Of op je PIN strook je code staat betwijfel ik, aangezien de info die daarop staat niet gecodeerd is. Ook zouden de pinpas vervalsers een camera nodig hebben om je pincode te achterhalen.

Mijn logische beredenering is dat alleen op je chipknip een hash van je PIN staat. Ik weet wel zeker dat er voor de chipknip veel betere beveiliging wordt gebruikt voor het opslaan van data.

Edit:
Weer te laat

. ^^^ met het modje dus

[ Voor 5% gewijzigd door Syzzer op 04-04-2005 11:01 ]

maandag 4 april 2005 11:11

Acties:

Verwijderd

lijkt me eigenlijk eerder dat er helemaal geen pincode op je pas staat, chipknip is gewoon geld, da's verder niet echt beveiligd (je hebt ook je pin niet nodig om er mee te betalen)

ik denk eerder dat die reader een hash van je pincode + een roelerende code en een datestamp ofzo aan jou teruggeeft, wat je vervolgens intikt en aan de serverkant gecontroleerd wordt

maar idd redelijk offtopic

maandag 4 april 2005 13:12

Acties:

Sprite_tm

Semi-Chinees

Verwijderd schreef op maandag 04 april 2005 @ 11:11:
lijkt me eigenlijk eerder dat er helemaal geen pincode op je pas staat, chipknip is gewoon geld, da's verder niet echt beveiligd (je hebt ook je pin niet nodig om er mee te betalen)

ik denk eerder dat die reader een hash van je pincode + een roelerende code en een datestamp ofzo aan jou teruggeeft, wat je vervolgens intikt en aan de serverkant gecontroleerd wordt

Dat is niet zo. Als jij drie keer op de Random Reader je verkeerde PIN intikt gaat je chipknip op slot, in andere woorden: dat dingetje weet wel of jij de goede code intikt of niet. Het ding is dus wel intelligent.

Bovendien kan je niet zomaar geld van je chipknip afhalen, of erger: erbijop zetten. Daarvoor heb je een bepaalde key nodig die als 't goed is alleen aan de banken bekend is. Het oplaadapparaat vertelt die aan je chipknip, waarna je chipknip een aantal opwaardeer-instructies unlocked.

maar idd redelijk offtopic

Inderdaad, laten we verder gaan met waar we gebleven waren: de DigiPass hacken. Voor de mensen die meer info willen over hoe de chip op je pas werkt:
http://cuba.calyx.nl/hip/chipknip.html
http://www.klaphek.net/nr3/chipcards2.html
Kijk vooral ook eens naar hoe GSM SIMkaarten werken, da's namelijk IIRC hetzelfde protocol, en dezelfde manier van PINcodes afhandelen.

[ Voor 13% gewijzigd door Sprite_tm op 04-04-2005 13:13 ]

Relaxen und watchen das blinkenlichten. | Laatste project: Ikea Frekvens oog