Naciśnij ESC aby zamknąć

Zabezpieczenie kart kredytowych PINem bezużyteczne

kartykredytowe_0.png
Opublikowano szczegółowy materiał o ataku man in the middle (człowiek w środku) przeciw systemowi płatności kartą EMV – Eurocard Mastercard Visa. Wykorzystanie ataku pozwala użyć skradzionej karty kredytowej albo karty płatniczej bez znajomości PINu czyli z dowolnym…

Główny problem protokołu EMV polega na tym, że pozwala karcie i terminalowi generować sprzeczne dane o procesie weryfikacji, które bank zaakceptuje jako poprawne.
[quote]Chwyt polega na tym by sprawić aby karta myślała, że autoryzacji podlega karta i podpis podczas gdy terminal myśli, że autoryzacji podlega karta i PIN.[/quote] Następnie wysyłany jest “z karty” kod potwierdzenia poprawności PINu 0x9000.

Umożliwia to zakup produktów z użyciem dowolnego PINu (np. 4225). Przeprowadzono test z różnymi kartami i na wydrukach była informacja, że zatwierdzono PINem.

Esencja błędu leży w dziurawej specyfikacji systemu płatności. Specyfikacja zawiera opis wytycznych na temat bezpieczeństwa, kustomizacji i zasad reguł różnych firm (Visa,Mastercard itp) ale nikt nie bierze odpowiedzialności za testy, które mają być wykonane na karcie, terminalu i komunikacji. W związku z tym możliwe jest stworzenie urządzenia między kartę i terminal, które spowoduje akceptacje każdego PINu.

Badacze twierdzą, że wymagane umiejętności inżynierskie i programistyczne aby przeprowadzić atak są elementarne.

Nie wiadomo czy metoda jest już wykorzystywana przez przestępców. Banki chyba jednak jeszcze nikogo przed tym nie ostrzegały…

mitm.png

Autorzy odkrycia powiadomili banki i regulatorów przez różnych reprezentantów w grudniu 2009. Jak do tej pory nie dostali żadnej informacji zwrotnej.

Twierdzą,że publikując nie pomagają przestępcą, a wstrzymując publikacje dalej izolowali by informację od ludzi, którzy pomogą naprawić błąd.

[i]Publikacja techniczna:[/i]
http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf
[i]
Materiał dla prasy:[/i]
http://www.cl.cam.ac.uk/research/security/projects/banking/nopin/press-release.html

[i]Filmik z praktycznego zastosowania:[/i]
http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html

[i]Strona www zespołu badawczego:[/i]
http://www.cl.cam.ac.uk/research/security/banking/nopin/

Redakcja

Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.