| Data: 2011-03-17 20:16:08 | |
| Autor: Michal Zapalowski | |
| Skimming numerów PIN możliwy na kartach chipowych | |
|
Heise Online:
"Podczas odbywającej się w minionym tygodniu konferencji bezpieczeństwa CanSecWest czwórka ekspertów od zabezpieczeń zademonstrowała praktyczne możliwości zastosowania skimmingu wymierzonego w karty chipowe – i to zarówno w przypadku układów niechronionej klasy (SDA), jak też klasy DDA uchodzącej za bezpieczniejszą. Karty elektroniczne (EC) i karty kredytowe wyposażone w układ w standardzie EMV mają utrudniać skimming, czyli przechwytywanie danych karty i numeru PIN. Ataki skimmingowe w zasadzie nie są nowe i da się je przeprowadzać, używając między innymi specjalnych nakładek na klawiaturę. Jednak w prezentacji zatytułowanej "Credit Card skimming and PIN harvesting in an EMV world" czwórka badaczy opisuje, jak za pomocą płaskiej płytki obwodu umieszczonej w szczelinie na kartę można podsłuchać i zmanipulować komunikację między terminalem a chipem w celu uzyskania numeru PIN. Taka płytka jest znacznie mniej widoczna od doklejonej nakładki. Sztuczka, którą zaprezentowali naukowcy Andrea Barisani i Daniele Bianco z firmy Inversepath oraz Adam Laurie i Zac Franken z Aperturelabs, polegała na zasygnalizowaniu terminalowi listy obsługiwanych przez kartę metod weryfikacji (CVM List), w przypadku której dopuszczalne jest także przekazanie w postaci tekstu jawnego (Plaintext PIN verification performed by ICC) PIN-u do karty w celu jego weryfikacji. Co prawda PIN jest przekazywany tylko w trybie offline terminala (w trybie online urządzenie przesyła PIN do sprawdzenia w centrali), jednak dzięki zmanipulowaniu komunikacji między kartą a terminalem ekspertom udało się wymusić weryfikację offline z transmisją w tekście jawnym. Dzięki płytce umieszczonej w szczelinie na kartę możliwe było też odczytanie sprawdzanego numeru PIN. Jak się okazuje, nie ma przy tym znaczenia, czy karta zawiera tani chip pozbawiony własnej funkcji kryptograficznej (SDA), czy drogi i uchodzący obecnie za bezpieczny układ z mechanizmem DDA (Dynamic Data Authentication). Żeby jednak skorzystać z przechwyconego numeru PIN, skimmer musi albo ukraść kartę klientowi, albo dodatkowo odczytać pasek magnetyczny i stworzyć kopię karty. Ten ostatni scenariusz da się zrealizować jedynie w przypadku kart, które nie są chronione tak zwanym kodem iCVV, czyli zabezpieczeniem sygnalizującym wydawcy karty próbę nielegalnego użycia paska magnetycznego. Daniele Bianco wyjaśnił: "Właściwy problem z EMV polega na tym, że przez pozorne zapewnienie bezpieczeństwa tej metody zrzuca się ciężar dowodowy na klienta. W razie czego można go posądzić o niedbałe obchodzenie się z numerem PIN". Zdaniem Bianco dotyczy to wszystkich instalacji EMV, a więc także tych stosowanych w Europie. "Problem tkwi w specyfikacji protokołu. Dlatego też niełatwo jest zamknąć tę lukę" – dodał. O istnieniu opisanych problemów firmy i banki wiedzą właściwie już od przeszło pięciu lat. Wówczas naukowcy z Uniwersytetu Cambridge opisali atak skimmingowy wymierzony w karty SDA. Od tamtej pory niewiele się zmieniło. Przed około rokiem ci sami brytyjscy badacze pokazali sposób na rozpracowanie metody EMV w kartach elektronicznych i kredytowych, w efekcie czego akceptowały one dowolne numery PIN. Jednak tę manipulację dało się wykryć po fakcie." http://www.heise-online.pl/newsticker/news/item/Skimming-numerow-PIN-mozliwy-na-kartach-chipowych-nbsp-1209763.html -- Michal Zapalowski grafikaUSUN-TO@gmx.de GG: 70574 |
|
| Data: 2011-03-17 19:32:06 | |
| Autor: Seba | |
| Skimming numerów PIN mo¿liwy na kartach chipowych | |
|
Michal Zapalowski <grafikaUSUN-TO@gmx.de> napisa³(a): no i skoro od tych 5 lat wszyscy zainteresowani (czyli przestêpcy rownie¿)
wiedz± o tych strasznych dziurach w EMV to dlaczego nie ma wysypu fraudow tego rodzaju tylko ca³y "ruch w interesie" przenosi siê do transakcji CNP ? -- |
|
| Data: 2011-03-17 21:10:11 | |
| Autor: witrak() | |
| Skimming numerów PIN mo¿liwy na kartach chipowych | |
|
Seba wrote:
Michal Zapalowski <grafikaUSUN-TO@gmx.de> napisa³(a): no i skoro od tych 5 lat wszyscy zainteresowani (czyli przestêpcy rownie¿) A nie widaæ, ¿e tamta wiadomo¶æ jest dla takich, co co¶ kumaj± ? ;-) witrak() |
|
| Data: 2011-03-17 21:17:18 | |
| Autor: Aha | |
| Skimming numerów PIN mo¿liwy na kartach chipowych | |
|
W dniu 2011-03-17 21:10, witrak() pisze:
Seba wrote: bardzo duzo terminali nie obsluguje w ogole kart chipowych i wtedy korzystaja tylko z paska magnetycznego i PINu i stara dobra metoda jest skuteczna. Drugi duzo prostszy sposob pobrania gotowki z karty to instalacja terminala rfid z odpowiednio wieksza antena np na stacji metra i odczytywanie danych KK lub od razu pobieranie malych sum. Przy duzym ruchu na stacji metra mozna jednorazowo skroic kilkaset kart dziennie po kilkadziesiat dolcow. |
|
| Data: 2011-03-17 21:17:18 | |
| Autor: Przemyslaw Kwiatkowski | |
| Skimming numerów PIN możliwy na kartac h chipowych | |
|
Seba pisze:
no i skoro od tych 5 lat wszyscy zainteresowani (czyli przestępcy rownież) Bo jest to dla złodziei łatwiej/taniej/szybciej/bezpieczniej. Nie robi się wszystkiego co można zrobić, tylko to co ma sens. Po co się bawić w skomplikowaną technologię, jak można po prostu ordynarnie podejrzeć numer karty... -- MiCHA |
|
| Data: 2011-03-18 16:46:36 | |
| Autor: kranu | |
| Skimming numerów PIN możliwy na kartac h chipowych | |
|
W dniu 17.03.2011 21:17, Przemyslaw Kwiatkowski pisze:
Seba pisze: No właśnie - jak banki traktują reklamację np. nie naszej zapłaty za stronkę porno w internecie naszą kartą? Bo np. kasjer sobie zapamiętał w markecie co trzeba? Potrzebne są jakieś dodatkowe ubezpieczenia i udowadnianie, że to nie my? |
|
| Data: 2011-03-18 13:51:28 | |
| Autor: witek | |
| Skimming numerów PIN możliwy na kartac h chipowych | |
|
On 3/18/2011 10:46 AM, kranu wrote:
No właśnie - jak banki traktują reklamację np. nie naszej zapłaty za zalezy od banku, ale większość pozytywnie. takie firmy wliczają to po prostu w koszta. |
|