eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiSkimming numerów PIN możliwy na kartach chipowychSkimming numerów PIN możliwy na kartach chipowych
  • Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.nask.pl!new
    s.nask.org.pl!newsfeed2.atman.pl!newsfeed.atman.pl!.POSTED!not-for-mail
    From: Michal Zapalowski <g...@g...de>
    Newsgroups: pl.biznes.banki
    Subject: Skimming numerów PIN możliwy na kartach chipowych
    Date: Thu, 17 Mar 2011 20:16:08 +0100
    Organization: ATMAN - ATM S.A.
    Lines: 62
    Message-ID: <2...@f...com>
    NNTP-Posting-Host: staticline17401.toya.net.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset="utf-8"
    Content-Transfer-Encoding: 8bit
    X-Trace: node2.news.atman.pl 1300389382 5250 85.89.185.107 (17 Mar 2011 19:16:22 GMT)
    X-Complaints-To: u...@a...pl
    NNTP-Posting-Date: Thu, 17 Mar 2011 19:16:22 +0000 (UTC)
    User-Agent: 40tude_Dialog/2.0.15.84pl
    Xref: news-archive.icm.edu.pl pl.biznes.banki:549212
    [ ukryj nagłówki ]

    Heise Online:

    "Podczas odbywającej się w minionym tygodniu konferencji bezpieczeństwa
    CanSecWest czwórka ekspertów od zabezpieczeń zademonstrowała praktyczne
    możliwości zastosowania skimmingu wymierzonego w karty chipowe - i to
    zarówno w przypadku układów niechronionej klasy (SDA), jak też klasy DDA
    uchodzącej za bezpieczniejszą. Karty elektroniczne (EC) i karty
    kredytowe wyposażone w układ w standardzie EMV mają utrudniać skimming,
    czyli przechwytywanie danych karty i numeru PIN.

    Ataki skimmingowe w zasadzie nie są nowe i da się je przeprowadzać,
    używając między innymi specjalnych nakładek na klawiaturę. Jednak w
    prezentacji zatytułowanej "Credit Card skimming and PIN harvesting in an
    EMV world" czwórka badaczy opisuje, jak za pomocą płaskiej płytki obwodu
    umieszczonej w szczelinie na kartę można podsłuchać i zmanipulować
    komunikację między terminalem a chipem w celu uzyskania numeru PIN. Taka
    płytka jest znacznie mniej widoczna od doklejonej nakładki.

    Sztuczka, którą zaprezentowali naukowcy Andrea Barisani i Daniele Bianco
    z firmy Inversepath oraz Adam Laurie i Zac Franken z Aperturelabs,
    polegała na zasygnalizowaniu terminalowi listy obsługiwanych przez kartę
    metod weryfikacji (CVM List), w przypadku której dopuszczalne jest także
    przekazanie w postaci tekstu jawnego (Plaintext PIN verification
    performed by ICC) PIN-u do karty w celu jego weryfikacji. Co prawda PIN
    jest przekazywany tylko w trybie offline terminala (w trybie online
    urządzenie przesyła PIN do sprawdzenia w centrali), jednak dzięki
    zmanipulowaniu komunikacji między kartą a terminalem ekspertom udało się
    wymusić weryfikację offline z transmisją w tekście jawnym. Dzięki płytce
    umieszczonej w szczelinie na kartę możliwe było też odczytanie
    sprawdzanego numeru PIN.

    Jak się okazuje, nie ma przy tym znaczenia, czy karta zawiera tani chip
    pozbawiony własnej funkcji kryptograficznej (SDA), czy drogi i uchodzący
    obecnie za bezpieczny układ z mechanizmem DDA (Dynamic Data
    Authentication). Żeby jednak skorzystać z przechwyconego numeru PIN,
    skimmer musi albo ukraść kartę klientowi, albo dodatkowo odczytać pasek
    magnetyczny i stworzyć kopię karty. Ten ostatni scenariusz da się
    zrealizować jedynie w przypadku kart, które nie są chronione tak zwanym
    kodem iCVV, czyli zabezpieczeniem sygnalizującym wydawcy karty próbę
    nielegalnego użycia paska magnetycznego.

    Daniele Bianco wyjaśnił: "Właściwy problem z EMV polega na tym, że przez
    pozorne zapewnienie bezpieczeństwa tej metody zrzuca się ciężar dowodowy
    na klienta. W razie czego można go posądzić o niedbałe obchodzenie się z
    numerem PIN". Zdaniem Bianco dotyczy to wszystkich instalacji EMV, a
    więc także tych stosowanych w Europie. "Problem tkwi w specyfikacji
    protokołu. Dlatego też niełatwo jest zamknąć tę lukę" - dodał.

    O istnieniu opisanych problemów firmy i banki wiedzą właściwie już od
    przeszło pięciu lat. Wówczas naukowcy z Uniwersytetu Cambridge opisali
    atak skimmingowy wymierzony w karty SDA. Od tamtej pory niewiele się
    zmieniło. Przed około rokiem ci sami brytyjscy badacze pokazali sposób
    na rozpracowanie metody EMV w kartach elektronicznych i kredytowych, w
    efekcie czego akceptowały one dowolne numery PIN. Jednak tę manipulację
    dało się wykryć po fakcie."

    http://www.heise-online.pl/newsticker/news/item/Skim
    ming-numerow-PIN-mozliwy-na-kartach-chipowych-nbsp-1
    209763.html

    --
    Michal Zapalowski
    g...@g...de
    GG: 70574

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1