-
Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.nask.pl!new
s.nask.org.pl!newsfeed2.atman.pl!newsfeed.atman.pl!.POSTED!not-for-mail
From: Michal Zapalowski <g...@g...de>
Newsgroups: pl.biznes.banki
Subject: Skimming numerów PIN możliwy na kartach chipowych
Date: Thu, 17 Mar 2011 20:16:08 +0100
Organization: ATMAN - ATM S.A.
Lines: 62
Message-ID: <2...@f...com>
NNTP-Posting-Host: staticline17401.toya.net.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit
X-Trace: node2.news.atman.pl 1300389382 5250 85.89.185.107 (17 Mar 2011 19:16:22 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Thu, 17 Mar 2011 19:16:22 +0000 (UTC)
User-Agent: 40tude_Dialog/2.0.15.84pl
Xref: news-archive.icm.edu.pl pl.biznes.banki:549212
[ ukryj nagłówki ]Heise Online:
"Podczas odbywającej się w minionym tygodniu konferencji bezpieczeństwa
CanSecWest czwórka ekspertów od zabezpieczeń zademonstrowała praktyczne
możliwości zastosowania skimmingu wymierzonego w karty chipowe - i to
zarówno w przypadku układów niechronionej klasy (SDA), jak też klasy DDA
uchodzącej za bezpieczniejszą. Karty elektroniczne (EC) i karty
kredytowe wyposażone w układ w standardzie EMV mają utrudniać skimming,
czyli przechwytywanie danych karty i numeru PIN.
Ataki skimmingowe w zasadzie nie są nowe i da się je przeprowadzać,
używając między innymi specjalnych nakładek na klawiaturę. Jednak w
prezentacji zatytułowanej "Credit Card skimming and PIN harvesting in an
EMV world" czwórka badaczy opisuje, jak za pomocą płaskiej płytki obwodu
umieszczonej w szczelinie na kartę można podsłuchać i zmanipulować
komunikację między terminalem a chipem w celu uzyskania numeru PIN. Taka
płytka jest znacznie mniej widoczna od doklejonej nakładki.
Sztuczka, którą zaprezentowali naukowcy Andrea Barisani i Daniele Bianco
z firmy Inversepath oraz Adam Laurie i Zac Franken z Aperturelabs,
polegała na zasygnalizowaniu terminalowi listy obsługiwanych przez kartę
metod weryfikacji (CVM List), w przypadku której dopuszczalne jest także
przekazanie w postaci tekstu jawnego (Plaintext PIN verification
performed by ICC) PIN-u do karty w celu jego weryfikacji. Co prawda PIN
jest przekazywany tylko w trybie offline terminala (w trybie online
urządzenie przesyła PIN do sprawdzenia w centrali), jednak dzięki
zmanipulowaniu komunikacji między kartą a terminalem ekspertom udało się
wymusić weryfikację offline z transmisją w tekście jawnym. Dzięki płytce
umieszczonej w szczelinie na kartę możliwe było też odczytanie
sprawdzanego numeru PIN.
Jak się okazuje, nie ma przy tym znaczenia, czy karta zawiera tani chip
pozbawiony własnej funkcji kryptograficznej (SDA), czy drogi i uchodzący
obecnie za bezpieczny układ z mechanizmem DDA (Dynamic Data
Authentication). Żeby jednak skorzystać z przechwyconego numeru PIN,
skimmer musi albo ukraść kartę klientowi, albo dodatkowo odczytać pasek
magnetyczny i stworzyć kopię karty. Ten ostatni scenariusz da się
zrealizować jedynie w przypadku kart, które nie są chronione tak zwanym
kodem iCVV, czyli zabezpieczeniem sygnalizującym wydawcy karty próbę
nielegalnego użycia paska magnetycznego.
Daniele Bianco wyjaśnił: "Właściwy problem z EMV polega na tym, że przez
pozorne zapewnienie bezpieczeństwa tej metody zrzuca się ciężar dowodowy
na klienta. W razie czego można go posądzić o niedbałe obchodzenie się z
numerem PIN". Zdaniem Bianco dotyczy to wszystkich instalacji EMV, a
więc także tych stosowanych w Europie. "Problem tkwi w specyfikacji
protokołu. Dlatego też niełatwo jest zamknąć tę lukę" - dodał.
O istnieniu opisanych problemów firmy i banki wiedzą właściwie już od
przeszło pięciu lat. Wówczas naukowcy z Uniwersytetu Cambridge opisali
atak skimmingowy wymierzony w karty SDA. Od tamtej pory niewiele się
zmieniło. Przed około rokiem ci sami brytyjscy badacze pokazali sposób
na rozpracowanie metody EMV w kartach elektronicznych i kredytowych, w
efekcie czego akceptowały one dowolne numery PIN. Jednak tę manipulację
dało się wykryć po fakcie."
http://www.heise-online.pl/newsticker/news/item/Skim
ming-numerow-PIN-mozliwy-na-kartach-chipowych-nbsp-1
209763.html
--
Michal Zapalowski
g...@g...de
GG: 70574
Następne wpisy z tego wątku
- 17.03.11 19:32 Seba
- 17.03.11 20:10 witrak()
- 17.03.11 20:17 Aha
- 17.03.11 20:17 Przemyslaw Kwiatkowski
- 18.03.11 15:46 kranu
- 18.03.11 18:51 witek
Najnowsze wątki z tej grupy
- Co nalezy do Cinkciarza, a co do Conotoxia ?
- jak tacy debile
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
Najnowsze wątki
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-21 jak tacy debile
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...