[Arlleex 162]

1 час назад, girts сказал:

Защита в контроллерах... ну....
В начале 2000-х все верили, что локбит на пиках спасает от всего.

Даже в 2000-х понимали, что ценные сведения, записанные на внутреннюю флешку - это место уязвимости. Но болт забивали, т.к. не было на тот момент фирм, вскрывающих чипы и снимающих блокировку.

Тем более флешку анлочат при выключенном питании.

Если ключ в запитанном регионе ОЗУ, дебаг-порты купированы программно, объясните - каким образом вам этот ключ достанут?

[Plain 191]

В 10.06.2024 в 08:58, TOG сказал:

как лучше сделать этот сервис получения кодов продления? Может быть на сайте, или в телеграмм-боте, или в android, ios приложении?

Ничего из перечисленного — за желание собственника стать чем-то больше, в виде арендодателя, он должен дополнительно потратиться приобретением аппаратного генератора лицензий, чтобы устройство которого оставалось известным лишь его автору, а КД хранилась лишь в одном сейфе производителя.

Эргономически, процесс можно свести к выдаче прибором, по окончании срока, кода из 6-ти десятичных разрядов, содержащего, полностью или долями, наработку, серийный номер и пр., который владелец должен предать арендодателю, который скормит его, и требуемый новый срок, генератору лицензий.

[jcxz 223]

2 часа назад, girts сказал:

А при чём тут интернетбанки?

При том, что например в нашем Swedbank-е доступ к инет-банку может открываться генерацией кода кодовым калькулятором. Это такое небольшое устройства, формата брелока, в котором видимо стоит защищённый каким-то образом МК. Если ломать МК так легко, как вы рассказываете, то эти брелоки должны ломаться на раз. И кто угодно может легко получить доступ к любому чужому счёту.

Но почему тогда не происходит массового взлома счетов???

 

PS: Кстати - этот кодовый калькулятор работает примерно так же (такой же порядок действий с ним), как хочет чтоб работал генератор кодов аренды ТС. Например для выполнения какой-то расходной операции по счёту: страничка инет-банка генерит код; этот код вводится юзером в калькулятор; калькулятор в ответ генерит код-ответ; который затем вводится на инет-странице для подтверждения операции. Примерно то же самое хочет ТС, только инет-страничку и девайс поменять местами.

[TOG 0]

4 minutes ago, Arlleex said:

дебаг-порты купированы программно, объясните - каким образом вам этот ключ достанут?

А что такого можно сделать с дебаг-портом программно ?

11 minutes ago, Plain said:

Ничего из перечисленного — за желание собственника стать чем-то больше, в виде арендодателя, он должен дополнительно потратиться приобретением аппаратного генератора лицензий, чтобы устройство которого оставалось известным лишь его автору, а КД хранилась лишь в одном сейфе производителя.

Мне кажется секретность алгоритма не является залогом успеха. 

[jcxz 223]

2 часа назад, girts сказал:

Защита в контроллерах... ну....
В начале 2000-х все верили, что локбит на пиках спасает от всего.
Потом понадеялись на AVR - вот оно, наконец! И бац, пара сотен долларов и Китайский FIB решает всё...
Потом как то трахнули всю линейку HC08 и 9S12, Так, между прочим. И понеслось. В автомобильных делах это много проблем решило.
STM - туда же. Что то там в них потом поправили, но народ уже вошел во вкус и быстро асилили и апгрейд.
Дальше очередь некоторых Renesas...
Причем всё, кроме атмелов, делается в домашних условиях.

Ну-ну.... Так почему тогда до сих пор не сломали кодовый калькулятор Swedbank-а? 

Ведь там, за этим взломом, такой жирный куш маячит! В виде миллионов евро на счетах юзеров. Ломай и греби бабки лопатой!  

 

Имха - все эти россказни про лёгкий взлом разных МК, по большей части - байки. Да, в каких-то МК видимо были баги, которые и позволяли их взламывать. Конкретно эти семейства МК. Но это скорее частные случаи, чем правило. Иначе такие устройства, как этот самый кодовый калькулятор, были бы просто невозможны. Так как легко ломались бы.

[jcxz 223]

37 минут назад, Plain сказал:

Ничего из перечисленного — за желание собственника стать чем-то больше, в виде арендодателя, он должен дополнительно потратиться приобретением аппаратного генератора лицензий, чтобы устройство которого оставалось известным лишь его автору, а КД хранилась лишь в одном сейфе производителя.

Кодовый калькулятор, о котором писал выше - это видимо и есть такой аппаратный генератор лицензий. Их существует множество готовых. Только на странице Swedbank-а вижу несколько штук разных: https://www.swedbank.lv/business/d2d/ebanking/authentication?language=RUS  (раздел "Калькулятор кодов").

И купить и использовать его может видимо кто угодно, не только банки. Стоят они как видно - сравнительно недорого = 6-12 евро. И разрабатывают и производят их не сами банки видимо, а сторонний производитель. Значит устройство его известно не только пользователю (банку).

[sasamy 1]

On 6/14/2024 at 9:01 AM, jcxz said:

Ведь там, за этим взломом, такой жирный куш маячит!

видимо этим уг просто никто не пользуется. И опять же всё завязано на инете - в случае обнаружения хоть одного случая взлома все девайсы окирпичиваются по щелчку

Quote

В случае утери или кражи калькулятора кодов просим незамедлительно сообщить об этом в банк, позвонив по
телефону 67 444 444 или посетив ближайший филиал Swedbank. После этого калькулятор кодов будет заблокирован

сам девайс полезен разве что для людей с ограниченными возможностями помнить пароль

http://www.sberbank.ru/ru/person/kibrary/articles/dvuhfaktornaya-autentifikaciya

Изменено 14 июня пользователем sasamy

[Arlleex 162]

2 часа назад, TOG сказал:

А что такого можно сделать с дебаг-портом программно ?

Отключить отладку по ним.

[TOG 0]

1 minute ago, Arlleex said:

Отключить отладку по ним.

Я чисто в целях своего просвещения спрошу: Есть методики взлома защищенной флэш-памяти МК через DebugPort ? Для STM32 насколько мне известно так никто не делает, 

[jcxz 223]

1 час назад, sasamy сказал:

видимо этим уг просто никто не пользуется.

А если попробовать включить голову?

Из внешнего вида и цены видно, что девайсы фабричные, изготавливаемые серийно. И скорей всего - крупносерийно (при такой цене). К тому же - несколько разных моделей и производителей. Значит - пользуются спросом.

 

1 час назад, sasamy сказал:

сам девайс полезен разве что для людей с ограниченными возможностями помнить пароль

Причём тут "помнить пароль"??? Девайс генерит одноразовые пароли.

Вы даже не понимаете что делает этот девайс, но уже делаете вывод "ненужное уг". Как неандерталец, который то же самое сказал бы, увидев смартфон.  

23 минуты назад, TOG сказал:

Я чисто в целях своего просвещения спрошу: Есть методики взлома защищенной флэш-памяти МК через DebugPort ? Для STM32 насколько мне известно так никто не делает, 

Сейчас вам будут приводить ссылки на всяческие мутные ресурсы. Как доказательство...  

 

Но вот сколько здесь на форуме не поднималось тем про взлом (а было их ой как много), что-то не припомню где приводились бы не вызывающие сомнения доказательства успешного взлома: Название девайса, прошивку которого удалось вскрыть, его схема, сама прошивка и т.п. Чтобы можно было проверить. Все утверждения на уровне - ОБС (одна бабка сказала).

[sasamy 1]

On 6/14/2024 at 12:05 PM, jcxz said:

Причём тут "помнить пароль"?

при том что я помню пароль и мне это уг не нужно

 

On 6/14/2024 at 12:05 PM, jcxz said:

Девайс генерит одноразовые пароли

синхронно с сервером, теперь объясните нахер он нужен если при двухфакторной аутентификации происходит примерно тоже самое при этом не надо ничего докупать а главное таскать с собой какую то хрень которую леко сломать или потерять

On 6/14/2024 at 12:05 PM, jcxz said:

Как неандерталец, который то же самое сказал бы про смартфон.

так вы и есть неандерталец - даже не можете понять что смартфон счас у всех есть, а это уг разве что глубоким пенсионерам нужно

[jcxz 223]

39 минут назад, sasamy сказал:

при том что я помню пароль и мне это уг не нужно

И что? Причём тут постоянный пароль???

Вы умеете в уме генерить пароли? И выполнять AES-шифрование?

39 минут назад, sasamy сказал:

синхронно с сервером, теперь объясните нахер он нужен если при двухфакторной аутентификации происходит примерно тоже самое при этом не надо ничего докупать а главное таскать с собой какую то хрень которую леко сломать или потерять

так вы и есть неандерталец - даже не можете понять что смартфон счас у всех есть, а это уг разве что глубоким пенсионерам нужно

А смартфон нельзя потерять или сломать?

Похоже голова у вас совсем не включается. Печально....  

Если бы умели включать, то догадались бы что:

1. Пенсионеры - тоже люди

2. Не на любой смартфон поставится ваше приложение. Если смартфон рутованный - облом. Если смартфон не с самой последней версией OS - тоже облом.

[sasamy 1]

On 6/14/2024 at 12:56 PM, jcxz said:

Не на любой смартфон поставится ваше приложение.

одноразовые пароли в смс приходят

Quote

Можно ли заменить батарейку в калькуляторе кодов?
Заменить батарейку в калькуляторе кодов нельзя, а срок ее службы зависит от частоты использования калькулятора. Если батарейка
разрядилась, калькулятор нужно заменить на новый в соответствии с прейскурантом. Срок гарантии составляет 2 года.

ухаха - всё для людей!

Изменено 14 июня пользователем sasamy

[Arlleex 162]

1 час назад, TOG сказал:

Я чисто в целях своего просвещения спрошу: Есть методики взлома защищенной флэш-памяти МК через DebugPort ? Для STM32 насколько мне известно так никто не делает, 

В STM32F0 даже корпус шлифовать не придется - импульсов пачку на ножки подали и блокировка снята.

https://habr.com/ru/articles/596499/

[TOG 0]

6 minutes ago, Arlleex said:

В STM32F0 даже корпус шлифовать не придется - импульсов пачку на ножки подали и блокировка снята.

https://habr.com/ru/articles/596499/

Да, было такое, забыл совсем. И действительно, если первой командой в программе поставить отрубание Debugport'a, то эта методика взлома прошивки не удастся.