home *** CD-ROM | disk | FTP | other *** search

---

/ Cuteskunk BBS / cuteskunk.zip / cuteskunk / Cellular2 / 1f.txt

< prev

next >

Wrap

Internet Message Format  |  2003-06-29  |  20KB

---

1. From:    texbell!rpp386!scsmo1!tim@cs.utexas.edu  5-DEC-1988 17:58:27
2. To:    unix-wizards@sem.brl.mil
3. Subj:    [1070] Re: Here's a *BRILLIANT* password idea!
4.  
5. >But, in the UK at least, if you abort the 'login' attempt after the 2nd
6. >attempt (there is a button to do this), you get your card back, and can
7. >then try again immediately.  Thus you have an unlimited number of attempts.
8. >I have not tried this on a machine in the US.
9.  
10. This will work in the U.S.  Some machines will kick the card out after 3
11. incorrect tries.  One machine I tried 8 times, it didn't take the card, but
12. later after the card had been slightly mutated it took it.
13.  
14. I had the number changed on my card,  there was an ibm pc connected to a card
15. reader.  I typed in the number (on a seperate keypad) and the banker
16. slid the card back through the card reader.  The pc was _NOT_ connected
17. to anything.
18.  
19. >This no longer has much to do with Unix.
20. But it does have to do with money.  How about terminals that have card readers?
21.  
22. The biggest security problem is users that don't think about security problems,
23. They tell other users their passwords (the don't like using paths to get files)
24.  
25.                         Tim Hogard
26.                         tim@scsmo1.uucp
27.                         Soil Conservation Service.
28.  
29. From:    Phil Hughes <ssc!fyl@teltone.com>  5-DEC-1988 17:59:32
30. To:    unix-wizards@sem.brl.mil
31. Subj:    [1842] Re: Here's a *BRILLIANT* password idea! (Sarcasm on)
32.  
33. In article <1526@holos0.UUCP>, lbr@holos0.UUCP (Len Reed) writes:
34. > From article <438@amanue.UUCP>, by jr@amanue.UUCP (Jim Rosenberg):
35. > = Well surprise:  This exact password system is ***IN USE***!!!  In (are you
36. > = ready:) ***BANKS***!!!  I am not kidding.  Do you have an Automatic Teller
37. > = Machine card?  What does your password look like?  Every time I've been given
38. > = one of those things the password was just 4 digits!!!!!!!
39.  
40. > You have to have physical possession of the card, too, not just knowledge
41. > of the account number.  
42.  
43. Not really true.  If you are serious about ATM fraud you can buy a mag
44. stripe writer for about $300.  I used to work for a company that makes
45. automatic gas station equipment -- stick in your card, punch in your PIN
46. and pump gas.  We bought a card writer.  I made myself an extra EXCHANGE
47. card.  Sort of fun.
48.  
49. By the way, track 2 on the cards is the account number.  Most bank
50. machines either ignore or display track 1.  Rainier Bank locally puts your
51. name on track one and displays it on the terminal.  Rewrite track 1 and
52. when you enter your card you can get a nice message like:
53.     GOOD AFTERNOON YOU ROTTEN CROOK
54. on the display.  It amuses the people waiting in line behind you.
55.  
56. Now, for a worse story -- as of two years ago every ATM machine in a whole
57. state would accept a particular 4 digit number as a valid pin for every
58. card.  Yes, really.  I was doing testing on a controller to hook into
59. their network and it wasn't getting invalid PIN errors.  As it turned out
60. there was a bug in our software and it wasn't sending the PIN that was
61. being entered.  It just happened to be sending the magic PIN for the
62. network.  Now that was really stupid.
63. -- 
64. Phil Hughes, SSC, Inc. P.O. Box 55549, Seattle, WA 98155  (206)FOR-UNIX
65.     uw-beaver!tikal!ssc!fyl or uunet!pilchuck!ssc!fyl or attmail!ssc!fyl
66.  
67. From:    Ron Natalie <ron@ron.rutgers.edu>  9-DEC-1988 18:50:24
68. To:    unix-wizards@sem.brl.mil
69. Subj:    [1171] Re: password security
70.  
71. The cards themselves are easily forged.  Essentially, nothing is
72. encoded in the stripe that you can't see on the front of the card.
73. Obviously criminal elements have the ability to forge this information
74. because well publicised cases of credit cards (which use the same technology)
75. exist.  When dealing with a machine, it's even easier, the card doesn't
76. need to look real to the eye, just have the correct data on the stripe.
77.  
78. Even if the PIN records at the bank are relatively secure, there are
79. many ways that the 4 digit number may be discovered.  Abuse of telephone
80. credit card numbers (which are essentially just your account number (
81. phone number) and a 4 digit PIN) inidicate how vulnerable that system
82. is.  Banks mail PINs (albeit separately from the cards) through the
83. use of printthrough computer envelopes.  You don't even need to open
84. these to get the information.   Banks should never send the PINs out.
85. Here we get to go to the bank to set them.  People should safeguard their
86. PINs.  Be careful about the guy behind you in line.   Don't write them
87. down, and if you get to pick your own, don't be so bloody obvious.
88. I guessed my wifes with little difficulty.
89.  
90. From:    "Michael J. Chinni, SMCAR_CCS_E" <mchinni@ardec.arpa>  13-DEC-1988 14:23:12
91. To:    security@pyrite.rutgers.edu
92. Subj:    [983] [Nathaniel Ingersoll:  ATM passwords (PINs)]
93.  
94. F Y I
95.  
96. ----- Forwarded message # 1:
97.  
98. From: Nathaniel Ingersoll <nate@altos86.uucp>
99. Subject: ATM passwords (PINs)
100. Date: 9 Dec 88 19:58:45 GMT
101. To:       unix-wizards@sem.brl.mil
102.  
103. The way I look at it, all ATM cards (at least all the ones
104. I've ever run across) do not have their PIN encoded on the card.
105. When you do a transaction, the following events must happen:
106.     1) enter card
107.     2) enter pin
108.     3) select transaction
109.     4) success: result of action
110.     5) failure: notification
111.  
112. Now, if your PIN was encoded on the card, you could be informed of
113. PIN failure immediately after (2).  However, the ATM waits to
114. perform all data transfer until it has all necessary information,
115. so it probably sends whatever you entered for a PIN, your transaction
116. data, and whatever else, to the remote computer, which then
117. validates the PIN and transaction.
118.  
119. Make sense?
120. -- 
121. Nathaniel Ingersoll
122. Altos Computer Systems, SJ CA
123.     ...!ucbvax!sun!altos86!nate
124.     altos86!nate@sun.com
125.  
126. ----- End of forwarded messages
127.  
128. From:    "Jonathan I. Kamens" <jik@athena.mit.edu>  16-DEC-1988  2:53:42
129. To:    unix-wizards@sem.brl.mil
130. Subj:    [937] Re: random passwords (was Re: Worm...)
131.  
132. In article <5598@polya.Stanford.EDU> waters@polya.Stanford.EDU (Jim Waters) writes:
133.  
134. >Actually, I have a 7 digid "secret number," and I believe that 9 is the limit.
135. >We go to the bank to choose them, so no one else ever sees the number.
136.  
137. Ay, there's the rub....
138.  
139. My bank (BayBanks Boston) allowed me to choose a 7-digit security code
140. as well.  However, if you watch really closely when typing the 7-digit
141. code into a BayBanks machine, the screen will flash momentarily after
142. the fourth digit is entered.
143.  
144. Well, boys and girls, can you guess what that means?  Yes, that's
145. right, the BayBanks machine is only listening to the first four
146. digits!  In fact, if you press the enter key after only the first four
147. digits, the machine merrily accepts your PIN.
148.  
149. Moral of the story: are you *sure* that all seven digits of your PIN
150. matter to the machine?
151.  
152. (This really has nothing to do with unix.  Sigh.)
153.  
154.   Jonathan Kamens
155.   MIT Project Athena
156.  
157. From:    Phil Hughes <ssc!fyl@teltone.com>  16-DEC-1988  4:57:26
158. To:    unix-wizards@sem.brl.mil
159. Subj:    [998] Re: ATM passwords (PINs)
160.  
161. As dumb as it may seem, here is what really happens on most ATMs (IBM
162. and Diebold in particular).  It is not, however, the way it works on the
163. system I worked on.  We figured a reader terminal was smart enough to
164. figure out what to do next :-)
165.  
166. 1. You enter your card and the ATM sends the card number to the network
167. 2. The network tells the ATM to get the PIN
168. 3. The ATM asks for the PIN and waits.  When it gets it, it sends it
169.    to the network.
170. 4. ...
171.  
172. You get the idea I am sure.  There is a mainframe talking over a serial
173. line to a bunch of extremely dumb terminals.  The good news is that the
174. PIN is encrypted at the ATM before it is sent and it is sent in a
175. different message than the card number.  This means that tapping the
176. communications line does not give you the necessary information to make a
177. bogus card and use it in another ATM.
178. -- 
179. Phil Hughes, SSC, Inc. P.O. Box 55549, Seattle, WA 98155  (206)FOR-UNIX
180.     uw-beaver!tikal!ssc!fyl or uunet!pilchuck!ssc!fyl or attmail!ssc!fyl
181.  
182. From:    "Richard A. O'Keefe" <ok@quintus.com>  16-DEC-1988  5:00:25
183. To:    unix-wizards@sem.brl.mil
184. Subj:    [71] Re: random passwords (was Re: Worm...)
185.  
186. I had a Versatel card (Bank of America) and my PIN was 10 characters.
187.  
188. From:    "Michael J. Chinni, SMCAR_CCS_E" <mchinni@ardec.arpa>  16-DEC-1988 13:50:25
189. To:    security@pyrite.rutgers.edu
190. Subj:    [2573] [ted:  password security]
191.  
192. F Y I
193.  
194. From: ted@nmsu.edu
195. To: unix-wizards@BRL.MIL
196. Subject: password security
197.  
198. I would let all of this discussion about pin's and password protection
199. just slide on by, except for the fact that a friend of mine was
200. apparently a recent victim of an atm fraud.
201.  
202. The situation was that she went to the bank to make a withdrawal and
203. they said that her account had only $5 in it.  She objected that
204. according to her records she had over $700 in the account and that she
205. had not made any withdrawals recently.  The bank claimed that she had
206. made 5 withdrawals in one day for virtually the entire amount in the
207. account, leaving only the minimum in the account.  Upon presentation
208. with a written complaint, the bank checked the camera for the atm and
209. found that it had been blocked during the time of the withdrawals in
210. question.
211.  
212. The bank is currently standing pat on the absolute security of the atm
213. system and is insisting that they have no obligation to disburse any
214. of the questioned funds.  Combined with the recent discussion on the
215. net about the errors that have occurred in atm software and with the
216. fact that some systems store the pin (or the encrypted pin) on the
217. card, there is considerable doubt in my mind about whether atm's
218. provide even minimal levels of security.
219.  
220. My questions for the net are:
221.  
222. 1) are account and pin numbers really stored on the card in such a way
223. that a card can be easily forged (please, no secure details, I just
224. need enough information to believe you).
225.  
226. 2) how autonomous are atm machines?
227.  
228. 3) to what degree do atm's record transactions.  I know they record
229. the account number and amount, but do they record erroneous pin
230. entries, and do they record the pin number that is actually entered?
231. Is there enough of an audit trail to substantiate a claim of card
232. forgery? 
233.  
234. 4) are there any publicly available accounts of atm fraud, or
235. breakdowns in atm security? (the bug mentioned on the net recently
236. would classify, but did the company involved manage to sufficiently
237. hush up the problem so that it has effectively been pushed into the
238. apocrypha of computer security?)
239.  
240. If your reply is not suitable for public dissemination, please reply
241. by email, usmail or phone.  I will or will not summarize to the net
242. depending on the wishes of individual respondents.  I will honor
243. requests for anonymity, but obviously, in the current situation, I
244. would prefer to find experts in the field whom I can cite.
245.  
246. Thank you.
247.  
248. Ted Dunning
249. Computing Research Laboratory
250. New Mexico State University
251. Las Cruces, New Mexico 88003-0001
252. ted@nmsu.edu
253. (505) 646-6221
254.  
255. From:    "Michael J. Chinni, SMCAR_CCS_E" <mchinni@ardec.arpa>  20-DEC-1988 11:47:18
256. To:    security@pyrite.rutgers.edu
257. Subj:    [722] [Cory Kempf:  Re: password security]
258.  
259. F Y I
260.  
261. From: Cory Kempf <cory@gloom.uucp>
262. Subject: Re: password security
263. Date: 8 Dec 88 18:02:18 GMT
264. To:       unix-wizards@sem.brl.mil
265.  
266. Has anyone ever noticed that most of the ATM machines that are out
267. there is the real world (at least in the US) have a vertical keypad?
268.  
269. Does anyone really think that it is possible (without being a contortionist)
270. to prevent the person behind you from seeing as you type in the PIN?
271.  
272. Can anyone come up with a way to make it *easier* for someone else to see
273. you type in your PIN?
274.  
275. Retorical question time...
276.  
277.     why do most banks NOT use horizontal keypads (as well as other
278.     security measures)?
279.  
280. GAK
281. +C
282. -- 
283. Cory Kempf
284. UUCP: encore.com!gloom!cory
285.     "...it's a mistake in the making."    -KT
286.  
287. From:    "Michael J. Chinni, SMCAR_CCS_E" <mchinni@ardec.arpa>  20-DEC-1988 12:00:49
288. To:    security@pyrite.rutgers.edu
289. Subj:    [1556] [ted:  pins and passwords]
290.  
291. F Y I
292. Date: Mon, 12 Dec 88 14:03:20 MST
293. From: ted@nmsu.edu
294. To: unix-wizards@BRL.MIL
295. Subject: pins and passwords
296.  
297. After some checking, (and one very good reference) I have found out
298. that in the case of ATM's serviced by the CIRRUS network:
299.  
300. 1) the pin is verified with the issuing bank on every transaction,
301. although there appears to be room for CIRRUS to interject a false
302. verification for testing purposes.
303.  
304. 2) all data traffic is encrypted with DES with key distribution by
305. public-key methods.  Lines that go out of service are automatically
306. replaced by dial-ups as needed, so that tapping could be done without
307. much chance of detection, but the cost of attacking a 4.8Kbit DES line
308. is probably not worth the cost (but since atm's send pins and account
309. numbers directly over the line, you would completely compromise those
310. accounts).
311.  
312. 3) CIRRUS does not apparently support return of account balance.  This
313. would explain why moving out of your local area (i.e. local banking
314. group) causes your balance to disappear from the atm summary.
315.  
316. None of this information indicates that the PIN is NOT stored on the
317. card, only that atm's do not ever have to take the card's word that
318. the pin is correct.
319.  
320. The information that I have found does not say anything about the
321. other major atm transaction networks (cash stream and the plus
322. system), nor does it really say anything about the atm's themselves.
323.  
324. Many thanks to Mark Schuldenfrei for pointing me at the August 85
325. issue of CACM which had a case study of CIRRUS (really an interview
326. with one of the honshos).
327.  
328. From:    Troy Landers <sequent!tlanders@cse.ogi.edu>  17-MAR-1990  2:26:29
329. To:    misc-security@tektronix.tek.com
330. Subj:    [1069] Re: Bank card tricks in Toronto
331.  
332. I know it is, at least on some cards.  When I lived in Illinos, the bank
333. that I used had this little box that resembled one of those automatic
334. credit card calling thingamagigs.  When I opened my account, they gave
335. me a card, left me alone in the room (in the vault) and told
336. me how to use it.  All I did was type my PIN number, press a button, and
337. "swipe" my card through it.  Voilla, my card was now encoded with my
338. PIN.  I didn't think about it too much at the time, mostly because
339. I wasn't aware of all the sneaky things crooks can do, and because I
340. was a student and didn't have any money to steal anyway :-).  Now I
341. think I would be more reluctant to use a bank with such a system.
342. Who knows?
343.  
344. Troy
345.  
346. -------------------------------------------------------------------------------
347. Troy Landers                                   Sequent Computer Systems Inc.
348. UUCP:  ...!sequent!tlanders                    15450 S.W. Koll Parkway
349. Phone: (503) 626-5700 x4491                    Beaverton, Oregon 97006-6063
350.  
351.                   *** My opinions are precisely that! ***
352.  
353. From:    netcom!onymouse@claris.com (John Debert)  17-MAR-1990  2:27:11
354. To:    misc-security@ames.arc.nasa.gov
355. Subj:    [440] Re: Bank card tricks in Toronto
356.  
357. Many banks, not-so-long-ago, did record passcodes on the card. That way,
358. they didn't have to use their computer resources for such piddly things.
359. Also, access control software was not yet being produced that was reliable.
360. It was much easier to leave such things up to the ATM. 
361.  
362. A certain American bank still records passcodes in some cards, if not all.
363. They still use ATM's that expect the passcode to be there.
364.  
365. jd 
366. onymouse@netcom.UUCP
367.  
368. From:    night@pawl.rpi.edu (Trip Martin)  17-MAR-1990  2:50:37
369. To:    ???
370. Subj:    [378] Re: Bank card tricks in Toronto
371.  
372. When I got my cash card back in Sept, the bank told me that the access
373. code was indeed put on the card itself, and implied that this was better
374. because then no bank records would have the access code.  In fact, they
375. had my type in my desired access code into a machine which then then ran
376. the card through.  
377.  
378. Trip Martin
379. night@pawl.rpi.edu
380. -- 
381.  
382. Trip Martin
383. night@pawl.rpi.edu
384.  
385. From:    roeber@portia.caltech.edu  19-MAR-1990 23:14:01
386. To:    security@pyrite.rutgers.edu
387. Subj:    [821] Bank card tricks
388.  
389. An article in the Los Angeles Times, about some people who made phony ATM
390. cards from paper stock and audio magnetic tape, indicates that the PIN
391. code is not stored on the cards.  The people could program the cards with
392. bank account numbers, but the security hole that allowed them to steal
393. money was that one of them, an employee or ex-employee, could reprogram
394. the PINs in the bank database.  If the PIN was stored on the card, they
395. could have just picked any number.  However, my bank insists that to
396. change my PIN they must re-issue my card.  Perhaps there is some type of
397. encryption/verification going on?
398.  
399. Question: ATMs use phone lines.  Is there any sort of encryption on these
400. lines, to prevent wiretappers from gleaning valid account/PIN combinations?
401.  
402. Frederick Roeber
403. roeber@caltech.bitnet
404. roeber@caltech.edu
405.  
406. From:    Craig Leres <leres@helios.ee.lbl.gov>  20-MAR-1990  4:30:19
407. To:    security@rutgers.edu
408. Subj:    [273] Re: Bank card tricks in Toronto
409.  
410. Quite some time ago, the transaction cards spawned by my bank's ATMs
411. were changed so that the last two digits of the account number are
412. printed as XX. This helps protect those people who leave them behind.
413. (It doesn't help them balance their checkbooks, though.)
414.  
415.         Craig
416.  
417. From:    hollombe%sdcsvax@ttidca.tti.com (The Polymath)  21-MAR-1990  7:56:01
418. To:    misc-security@sdcsvax.ucsd.edu
419. Subj:    [1143] Re: Bank card tricks in Toronto
420.  
421. Many teller machines have cameras associated with them.  They can
422. photograph the person making every transaction.
423.  
424. }Does anyone know if the access code is, in fact, also on the mag
425. }stripe?
426.  
427. This varies by bank.  While the ANSI standard does give a format for each
428. of the three tracks on the magnetic strip, in practice each issuing
429. organization uses proprietary systems.  Putting the card number on track
430. two is pretty universal.  Track one often includes a repeat of the card
431. number and the card holder's name, among other things.  Track three is
432. writable and may include up to date account information.  A few banks are
433. foolish enough to put the cardholder's PIN on the card -- sometimes
434. encrypted, sometimes not.  Many systems only look at track two.
435.  
436. I'm not sure what you mean by "access code." The card number includes
437. fields that identify the issuing bank.
438.  
439. -- 
440. The Polymath (aka: Jerry Hollombe, M.A., CDP, aka: hollombe@ttidca.tti.com)
441. Citicorp(+)TTI                                    Illegitimis non
442. 3100 Ocean Park Blvd.   (213) 450-9111, x2483       Carborundum
443. Santa Monica, CA  90405 {csun | philabs | psivax}!ttidca!hollombe
444.  
445. From:    "Don't have a cow, man!" <AEWALSH@fordmurh.bitnet>  23-MAR-1990 16:25:55
446. To:    security@ohstvma
447. Subj:    [1030] PIN on Bank Cards (was tricks in Toronto)
448.  
449. A large commercial bank at which I used to bank had a system for "initializing"
450. and changing one's PIN as follows:
451.         1.  An administrator's card was swiped into a medium-sized device
452.             that had an LED screen and numeric keypad.  After entering his/her
453.             code, the customer's card was "swiped".
454.         2.  The administrator entered the card/account number.
455.         3.  The customer entered the desired PIN twice.
456.  
457. Futhermore, American Express offers a program called "Cash Now".  Essentially,
458. it enables you to withdrawl cash or purchase travelers checks at almost any
459. ATM around the world.  On more than one occasion, I have forgotten my PIN number
460. for my AMEX card.  After calling the 800 number, and providing information
461. about my account (last purchase, etc.), I have been able to change the PIN
462. over the phone.  Scary, isn't it?
463.  
464. My *guess* is that the PIN is not stored on the Mag strip.  Rather, it is
465. accessed into the bank/institution's computer.  Just a guess.
466.  
467. Jeffrey Walsh
468. AEWALSH@FORDMURH
469.