Zabezpieczenie kart kredytowych PINem bezużyteczne

kartykredytowe_0.png
Opublikowano szczegółowy materiał o ataku man in the middle (człowiek w środku) przeciw systemowi płatności kartą EMV - Eurocard Mastercard Visa. Wykorzystanie ataku pozwala użyć skradzionej karty kredytowej albo karty płatniczej bez znajomości PINu czyli z dowolnym...

Główny problem protokołu EMV polega na tym, że pozwala karcie i terminalowi generować sprzeczne dane o procesie weryfikacji, które bank zaakceptuje jako poprawne.

Cytat:
Chwyt polega na tym by sprawić aby karta myślała, że autoryzacji podlega karta i podpis podczas gdy terminal myśli, że autoryzacji podlega karta i PIN.
Następnie wysyłany jest "z karty" kod potwierdzenia poprawności PINu 0x9000.

Umożliwia to zakup produktów z użyciem dowolnego PINu (np. 4225). Przeprowadzono test z różnymi kartami i na wydrukach była informacja, że zatwierdzono PINem.

Esencja błędu leży w dziurawej specyfikacji systemu płatności. Specyfikacja zawiera opis wytycznych na temat bezpieczeństwa, kustomizacji i zasad reguł różnych firm (Visa,Mastercard itp) ale nikt nie bierze odpowiedzialności za testy, które mają być wykonane na karcie, terminalu i komunikacji. W związku z tym możliwe jest stworzenie urządzenia między kartę i terminal, które spowoduje akceptacje każdego PINu.

Badacze twierdzą, że wymagane umiejętności inżynierskie i programistyczne aby przeprowadzić atak są elementarne.

Nie wiadomo czy metoda jest już wykorzystywana przez przestępców. Banki chyba jednak jeszcze nikogo przed tym nie ostrzegały...

mitm.png

Autorzy odkrycia powiadomili banki i regulatorów przez różnych reprezentantów w grudniu 2009. Jak do tej pory nie dostali żadnej informacji zwrotnej.

Twierdzą,że publikując nie pomagają przestępcą, a wstrzymując publikacje dalej izolowali by informację od ludzi, którzy pomogą naprawić błąd.

Publikacja techniczna:
http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

Materiał dla prasy:

http://www.cl.cam.ac.uk/research/security/projects/banking/nopin/press-release.html

Filmik z praktycznego zastosowania:
http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html

Strona www zespołu badawczego:
http://www.cl.cam.ac.uk/research/security/banking/nopin/

Odpowiedzi

No Avatar
mark (niezweryfikowany) on 14.02.2010, 23:46
Właśnie dlatego nie używam kart płatniczych.

No Avatar
Bartosz Wącior on 15.02.2010, 01:32
Problemem jest to,ze im projekt bardziej skomplikowany tym łatwiej o błędy. Ludzka rzecz się mylić ale tylko głupiec trwa w błędzie, nawet gdy ktoś mu zwróci uwagę.Dzięki mark.

No Avatar
ww (niezweryfikowany) on 25.02.2010, 15:02
To jak Ty żyjesz we współczesnym świecie?... Pociąłbym się gdybym miał wypłacać pieniądze w okienku bankowym albo co gorsze - nosić cały czas ze sobą wystarczającą ilość gotówki...

No Avatar
Anonim (niezweryfikowany) on 17.02.2010, 21:10
To żadne odkrycie, kwestia: "nudzi mi się, co by tu zrobić, a popatrzę na protokół EMV...". Jest wiele tego typu "zabezpieczeń" które czekają na odkrywców i wielkich badaczy. Pozdrawiam

No Avatar
Bartosz Wącior on 21.02.2010, 01:13
A mógł byś zasugerować czym warto się zająć? I co nie ma zbyt epickich proporcji by nie być realnym :)

No Avatar
Anonim (niezweryfikowany) on 09.03.2010, 22:39
o tej metodzie słychać było już dosyć dawno temu. Usłyszałem o niej jakieś rok temu. "Nie wiadomo czy metoda jest już wykorzystywana przez przestępców." - śmiech na sali... Skoro białe kapeluszki teraz znaleźli błąd to myślicie że czarne go nie znalazły? poza tym - kto normalny dzieliłby się taką wiedzą? Moim zdaniem ten błąd jest znany od dawna tylko nie został rozpowszechniony z oczywistych względów.

No Avatar
Anonim (niezweryfikowany) on 16.03.2010, 22:14
Biale charaktrey nie sa glupsze od tych czarnych, wiec mysle ze watpliwe jest, ze jest rok przepqasci miedzy bialymi i czarnymi charakterami czarny nie rozpowszechialby info z oczywistych wzgledow, buialy rozpowszechnilby z poczywistych wzgledow.

No Avatar
Anonim (niezweryfikowany) on 16.10.2010, 21:15
metoda jest znana od bardzo dawna. w azji i w us czesto wykorzystywana. w PL zreszta tez. ale "szkodliwosc" jest na tyle mala , ze nie oplaca sie tego naprawiac. koszty byly by zbyt duze. tak samo bylo z gsm, tak samo jest z kartami. dlatego glupcy zawsze beda "placic po2nie". nie problem jest olac komorki i karty , ale czmeu ma to sluzyc ? rozsadek podpowiada raczej zeby korzystac z rozwaga i nie dac robic sie w chl_lja i tyle...

Odpowiedz

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
Fill in the blank.