Opublikowano szczegółowy materiał o ataku man in the middle (człowiek w środku) przeciw systemowi płatności kartą EMV – Eurocard Mastercard Visa. Wykorzystanie ataku pozwala użyć skradzionej karty kredytowej albo karty płatniczej bez znajomości PINu czyli z dowolnym…
Główny problem protokołu EMV polega na tym, że pozwala karcie i terminalowi generować sprzeczne dane o procesie weryfikacji, które bank zaakceptuje jako poprawne.
[quote]Chwyt polega na tym by sprawić aby karta myślała, że autoryzacji podlega karta i podpis podczas gdy terminal myśli, że autoryzacji podlega karta i PIN.[/quote] Następnie wysyłany jest “z karty” kod potwierdzenia poprawności PINu 0x9000.
Umożliwia to zakup produktów z użyciem dowolnego PINu (np. 4225). Przeprowadzono test z różnymi kartami i na wydrukach była informacja, że zatwierdzono PINem.
Esencja błędu leży w dziurawej specyfikacji systemu płatności. Specyfikacja zawiera opis wytycznych na temat bezpieczeństwa, kustomizacji i zasad reguł różnych firm (Visa,Mastercard itp) ale nikt nie bierze odpowiedzialności za testy, które mają być wykonane na karcie, terminalu i komunikacji. W związku z tym możliwe jest stworzenie urządzenia między kartę i terminal, które spowoduje akceptacje każdego PINu.
Badacze twierdzą, że wymagane umiejętności inżynierskie i programistyczne aby przeprowadzić atak są elementarne.
Nie wiadomo czy metoda jest już wykorzystywana przez przestępców. Banki chyba jednak jeszcze nikogo przed tym nie ostrzegały…
Autorzy odkrycia powiadomili banki i regulatorów przez różnych reprezentantów w grudniu 2009. Jak do tej pory nie dostali żadnej informacji zwrotnej.
Twierdzą,że publikując nie pomagają przestępcą, a wstrzymując publikacje dalej izolowali by informację od ludzi, którzy pomogą naprawić błąd.
[i]Publikacja techniczna:[/i]
http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf
[i]
Materiał dla prasy:[/i]
http://www.cl.cam.ac.uk/research/security/projects/banking/nopin/press-release.html
[i]Filmik z praktycznego zastosowania:[/i]
http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html
[i]Strona www zespołu badawczego:[/i]
http://www.cl.cam.ac.uk/research/security/banking/nopin/