Heise Online:

"Podczas odbywającej się w minionym tygodniu konferencji bezpieczeństwa
CanSecWest czwórka ekspertów od zabezpieczeń zademonstrowała praktyczne
możliwości zastosowania skimmingu wymierzonego w karty chipowe - i to
zarówno w przypadku układów niechronionej klasy (SDA), jak też klasy DDA
uchodzącej za bezpieczniejszą. Karty elektroniczne (EC) i karty
kredytowe wyposażone w układ w standardzie EMV mają utrudniać skimming,
czyli przechwytywanie danych karty i numeru PIN.

Ataki skimmingowe w zasadzie nie są nowe i da się je przeprowadzać,
używając między innymi specjalnych nakładek na klawiaturę. Jednak w
prezentacji zatytułowanej "Credit Card skimming and PIN harvesting in an
EMV world" czwórka badaczy opisuje, jak za pomocą płaskiej płytki obwodu
umieszczonej w szczelinie na kartę można podsłuchać i zmanipulować
komunikację między terminalem a chipem w celu uzyskania numeru PIN. Taka
płytka jest znacznie mniej widoczna od doklejonej nakładki.

Sztuczka, którą zaprezentowali naukowcy Andrea Barisani i Daniele Bianco
z firmy Inversepath oraz Adam Laurie i Zac Franken z Aperturelabs,
polegała na zasygnalizowaniu terminalowi listy obsługiwanych przez kartę
metod weryfikacji (CVM List), w przypadku której dopuszczalne jest także
przekazanie w postaci tekstu jawnego (Plaintext PIN verification
performed by ICC) PIN-u do karty w celu jego weryfikacji. Co prawda PIN
jest przekazywany tylko w trybie offline terminala (w trybie online
urządzenie przesyła PIN do sprawdzenia w centrali), jednak dzięki
zmanipulowaniu komunikacji między kartą a terminalem ekspertom udało się
wymusić weryfikację offline z transmisją w tekście jawnym. Dzięki płytce
umieszczonej w szczelinie na kartę możliwe było też odczytanie
sprawdzanego numeru PIN.

Jak się okazuje, nie ma przy tym znaczenia, czy karta zawiera tani chip
pozbawiony własnej funkcji kryptograficznej (SDA), czy drogi i uchodzący
obecnie za bezpieczny układ z mechanizmem DDA (Dynamic Data
Authentication). Żeby jednak skorzystać z przechwyconego numeru PIN,
skimmer musi albo ukraść kartę klientowi, albo dodatkowo odczytać pasek
magnetyczny i stworzyć kopię karty. Ten ostatni scenariusz da się
zrealizować jedynie w przypadku kart, które nie są chronione tak zwanym
kodem iCVV, czyli zabezpieczeniem sygnalizującym wydawcy karty próbę
nielegalnego użycia paska magnetycznego.

Daniele Bianco wyjaśnił: "Właściwy problem z EMV polega na tym, że przez
pozorne zapewnienie bezpieczeństwa tej metody zrzuca się ciężar dowodowy
na klienta. W razie czego można go posądzić o niedbałe obchodzenie się z
numerem PIN". Zdaniem Bianco dotyczy to wszystkich instalacji EMV, a
więc także tych stosowanych w Europie. "Problem tkwi w specyfikacji
protokołu. Dlatego też niełatwo jest zamknąć tę lukę" - dodał.

O istnieniu opisanych problemów firmy i banki wiedzą właściwie już od
przeszło pięciu lat. Wówczas naukowcy z Uniwersytetu Cambridge opisali
atak skimmingowy wymierzony w karty SDA. Od tamtej pory niewiele się
zmieniło. Przed około rokiem ci sami brytyjscy badacze pokazali sposób
na rozpracowanie metody EMV w kartach elektronicznych i kredytowych, w
efekcie czego akceptowały one dowolne numery PIN. Jednak tę manipulację
dało się wykryć po fakcie."

http://www.heise-online.pl/newsticker/news/item/Skim
ming-numerow-PIN-mozliwy-na-kartach-chipowych-nbsp-1
209763.html

--
Michal Zapalowski
g...@g...de
GG: 70574

do góry

Michal Zapalowski <g...@g...de> napisał(a):

no i skoro od tych 5 lat wszyscy zainteresowani (czyli przestępcy rownież)
wiedzą o tych strasznych dziurach w EMV to dlaczego nie ma wysypu fraudow tego
rodzaju tylko cały "ruch w interesie" przenosi się do transakcji CNP ?


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Seba wrote:
> Michal Zapalowski <g...@g...de> napisał(a):
>
> no i skoro od tych 5 lat wszyscy zainteresowani (czyli przestępcy rownież)
> wiedzą o tych strasznych dziurach w EMV to dlaczego nie ma wysypu fraudow tego
> rodzaju tylko cały "ruch w interesie" przenosi się do transakcji CNP ?
>

A nie widać, że tamta wiadomość jest dla takich, co coś kumają ? ;-)

witrak()

do góry

Seba pisze:

> no i skoro od tych 5 lat wszyscy zainteresowani (czyli przestępcy rownież)
> wiedzą o tych strasznych dziurach w EMV to dlaczego nie ma wysypu fraudow tego
> rodzaju tylko cały "ruch w interesie" przenosi się do transakcji CNP ?

Bo jest to dla złodziei łatwiej/taniej/szybciej/bezpieczniej. Nie robi
się wszystkiego co można zrobić, tylko to co ma sens. Po co się bawić w
skomplikowaną technologię, jak można po prostu ordynarnie podejrzeć
numer karty...

--
MiCHA

do góry

W dniu 2011-03-17 21:10, witrak() pisze:
> Seba wrote:
>> Michal Zapalowski<g...@g...de> napisał(a):
>>
>> no i skoro od tych 5 lat wszyscy zainteresowani (czyli przestępcy rownież)
>> wiedzą o tych strasznych dziurach w EMV to dlaczego nie ma wysypu fraudow tego
>> rodzaju tylko cały "ruch w interesie" przenosi się do transakcji CNP ?
>>
>
> A nie widać, że tamta wiadomość jest dla takich, co coś kumają ? ;-)
>
> witrak()

bardzo duzo terminali nie obsluguje w ogole kart chipowych i wtedy
korzystaja tylko z paska magnetycznego i PINu i stara dobra metoda jest
skuteczna.

Drugi duzo prostszy sposob pobrania gotowki z karty to instalacja
terminala rfid z odpowiednio wieksza antena np na stacji metra i
odczytywanie danych KK lub od razu pobieranie malych sum. Przy duzym
ruchu na stacji metra mozna jednorazowo skroic kilkaset kart dziennie po
kilkadziesiat dolcow.

do góry

W dniu 17.03.2011 21:17, Przemyslaw Kwiatkowski pisze:
> Seba pisze:
>
>> no i skoro od tych 5 lat wszyscy zainteresowani (czyli przestępcy
>> rownież)
>> wiedzą o tych strasznych dziurach w EMV to dlaczego nie ma wysypu
>> fraudow tego
>> rodzaju tylko cały "ruch w interesie" przenosi się do transakcji CNP ?
>
> Bo jest to dla złodziei łatwiej/taniej/szybciej/bezpieczniej. Nie robi
> się wszystkiego co można zrobić, tylko to co ma sens. Po co się bawić w
> skomplikowaną technologię, jak można po prostu ordynarnie podejrzeć
> numer karty...

No właśnie - jak banki traktują reklamację np. nie naszej zapłaty za
stronkę porno w internecie naszą kartą? Bo np. kasjer sobie zapamiętał w
markecie co trzeba? Potrzebne są jakieś dodatkowe ubezpieczenia i
udowadnianie, że to nie my?

do góry

On 3/18/2011 10:46 AM, kranu wrote:
> No właśnie - jak banki traktują reklamację np. nie naszej zapłaty za
> stronkę porno w internecie naszą kartą? Bo np. kasjer sobie zapamiętał w
> markecie co trzeba? Potrzebne są jakieś dodatkowe ubezpieczenia i
> udowadnianie, że to nie my?

zalezy od banku, ale większość pozytywnie.
takie firmy wliczają to po prostu w koszta.

do góry