Heise Online:

"Podczas odbywającej się w minionym tygodniu konferencji bezpieczeństwa
CanSecWest czwórka ekspertów od zabezpieczeń zademonstrowała praktyczne
możliwości zastosowania skimmingu wymierzonego w karty chipowe - i to
zarówno w przypadku układów niechronionej klasy (SDA), jak też klasy DDA
uchodzącej za bezpieczniejszą. Karty elektroniczne (EC) i karty
kredytowe wyposażone w układ w standardzie EMV mają utrudniać skimming,
czyli przechwytywanie danych karty i numeru PIN.

Ataki skimmingowe w zasadzie nie są nowe i da się je przeprowadzać,
używając między innymi specjalnych nakładek na klawiaturę. Jednak w
prezentacji zatytułowanej "Credit Card skimming and PIN harvesting in an
EMV world" czwórka badaczy opisuje, jak za pomocą płaskiej płytki obwodu
umieszczonej w szczelinie na kartę można podsłuchać i zmanipulować
komunikację między terminalem a chipem w celu uzyskania numeru PIN. Taka
płytka jest znacznie mniej widoczna od doklejonej nakładki.

Sztuczka, którą zaprezentowali naukowcy Andrea Barisani i Daniele Bianco
z firmy Inversepath oraz Adam Laurie i Zac Franken z Aperturelabs,
polegała na zasygnalizowaniu terminalowi listy obsługiwanych przez kartę
metod weryfikacji (CVM List), w przypadku której dopuszczalne jest także
przekazanie w postaci tekstu jawnego (Plaintext PIN verification
performed by ICC) PIN-u do karty w celu jego weryfikacji. Co prawda PIN
jest przekazywany tylko w trybie offline terminala (w trybie online
urządzenie przesyła PIN do sprawdzenia w centrali), jednak dzięki
zmanipulowaniu komunikacji między kartą a terminalem ekspertom udało się
wymusić weryfikację offline z transmisją w tekście jawnym. Dzięki płytce
umieszczonej w szczelinie na kartę możliwe było też odczytanie
sprawdzanego numeru PIN.

Jak się okazuje, nie ma przy tym znaczenia, czy karta zawiera tani chip
pozbawiony własnej funkcji kryptograficznej (SDA), czy drogi i uchodzący
obecnie za bezpieczny układ z mechanizmem DDA (Dynamic Data
Authentication). Żeby jednak skorzystać z przechwyconego numeru PIN,
skimmer musi albo ukraść kartę klientowi, albo dodatkowo odczytać pasek
magnetyczny i stworzyć kopię karty. Ten ostatni scenariusz da się
zrealizować jedynie w przypadku kart, które nie są chronione tak zwanym
kodem iCVV, czyli zabezpieczeniem sygnalizującym wydawcy karty próbę
nielegalnego użycia paska magnetycznego.

Daniele Bianco wyjaśnił: "Właściwy problem z EMV polega na tym, że przez
pozorne zapewnienie bezpieczeństwa tej metody zrzuca się ciężar dowodowy
na klienta. W razie czego można go posądzić o niedbałe obchodzenie się z
numerem PIN". Zdaniem Bianco dotyczy to wszystkich instalacji EMV, a
więc także tych stosowanych w Europie. "Problem tkwi w specyfikacji
protokołu. Dlatego też niełatwo jest zamknąć tę lukę" - dodał.

O istnieniu opisanych problemów firmy i banki wiedzą właściwie już od
przeszło pięciu lat. Wówczas naukowcy z Uniwersytetu Cambridge opisali
atak skimmingowy wymierzony w karty SDA. Od tamtej pory niewiele się
zmieniło. Przed około rokiem ci sami brytyjscy badacze pokazali sposób
na rozpracowanie metody EMV w kartach elektronicznych i kredytowych, w
efekcie czego akceptowały one dowolne numery PIN. Jednak tę manipulację
dało się wykryć po fakcie."

http://www.heise-online.pl/newsticker/news/item/Skim
ming-numerow-PIN-mozliwy-na-kartach-chipowych-nbsp-1
209763.html

--
Michal Zapalowski
g...@g...de
GG: 70574