Video: Угадай ПИН-КОД от БЕЗЛИМИТНОЙ КАРТЫ, чтобы РАЗБОГАТЕТЬ! **безбашенные покупки** (Septembra 2024)
Pre našich čitateľov z USA znamená platba kreditnou kartou posunutím magnetického prúžku. Ale pre ľudí vo väčšine Európy a iných krajín to znamená vloženie čipovej karty do čítačky a zadanie kódu PIN. Toto takzvané riešenie čipu a PIN bolo dlho ponúkané ako oveľa lepšie ako americké prejdenie prstom a vo väčšine prípadov je to také riešenie. Existuje však niekoľko vážnych problémov s tým, ako sa systém implementoval.
Ross Anderson položil v tomto roku históriu svojho tímu vyšetrovania čipových a PIN kariet v Black Hat. Pre systém navrhnutý tak, aby bol ťažšie podvádzať, mal Anderson prekvapivé množstvo informácií.
Kavaláda vád
Rýchly opakovací program na čip a PIN: spotrebitelia vkladajú svoje karty pri nákupe. Potom zadajú svoj PIN, ktorý je potvrdený kartou na zariadení - keď to funguje, PIN by nemal nikdy opustiť čítačku. Karta potom hovorí s bankou o autorizácii transakcie a uskutoční sa predaj. Na papieri to všetko znie skvele.
Anderson prešiel niekoľkými nevýhodami zraniteľnosti, ktoré zistil on a jeho tím, a ďalšie, ktoré boli prvýkrát pozorované vo voľnej prírode a potom spätne skonštruované odborníkmi na bezpečnosť.
Mnoho útokov sa zameriavalo na zariadenia, ktoré obchodníci používali na vykonávanie transakcií, a bankomaty. Jeho tím zistil, že niekoľko zariadení v skutočnosti nevyhovovalo bezpečnostným špecifikáciám, o ktorých sa tvrdilo, že ich dodržiavajú. S minimálnym úsilím uviedol, že môžu počas predaja odposlouchávať zariadenia a získať kód PIN.
Medzi ďalšie útoky patrila inštalácia toho, čo Anderson nazval „zlá elektronika“, do snímačov, aby zachytili údaje o transakciách. V jednom prípade podvodníci nainštalovali svoje zlé výrobky do čítačiek kariet ešte predtým, ako boli doručené obchodníkom.
Vyskytlo sa však mnoho ďalších útokov, ako napríklad vloženie voličov priamo na čipové a PIN karty, pripojenie kariet k skrytým zariadeniam, ktoré zlodejovi umožnili autorizáciu karty pomocou ľubovoľného náhodného kódu, a dokonca útoky, ktoré „prehrávali“ transakcie na rôznych miestach.
Technicky vynikajúce, prakticky problematické
Spýtal som sa Andersona, či po všetkých chybách, ktoré našiel s čipom a špendlíkom, si stále myslel, že je lepšie posúvať karty. Bol jednoznačný: čipové a PIN karty sú technicky vynikajúce jednoducho preto, že ich klonovanie je omnoho ťažšie ako pri švihnutí.
Veľkým problémom je spôsob zavedenia čipu a PIN v Európe. Anderson vysvetlil, že s cieľom prinútiť európskych obchodníkov, aby prešli na zmeny, banky prisľúbili obchodníkom, že budú zodpovední za podvodné poplatky. Pri švihnutých kartách je podvodný poplatok jednoducho vrátený obchodníkovi. Anderson to nazval „presun zodpovednosti“.
Znie to ako dobrý plán, ale realita bola dosť krutá. Anderson povedal, že banky boli obviňované z podvodov, ktoré ich obviňovali z toho, že nejakým spôsobom odhalili svoje PIN. V iných prípadoch si banky jednoducho zmenili názor a obrátili poplatky na obchodníkov. V extrémnych prípadoch banky a spoločnosti vydávajúce kreditné karty odmietli tlačiť poplatky proti známym podvodníkom, očividne z hanby.
Zdá sa, že nikto nechcel prevziať zodpovednosť za podvody s čipmi a PIN. Anderson sa spýtal, „ak banka neplatí za podvod, prečo by si mali nechať črevo, aby ho udržalo v bezpečí?“
Anderson tiež kritizoval autorov dokumentácie o čipoch a PIN za to, že nemajú jasnú víziu, a nechal dokumentáciu špirálu vymknúť spod kontroly. Nazval to tragédiou obyčajných ľudí a poznamenal, že nikto nepristúpil k napísaniu aktualizovanej verzie, ktorá by v skutočnosti mohla vykonať potrebné bezpečnostné zmeny štandardu.
Prichádza do Ameriky
Naši americkí čitatelia, spokojní so svojimi kartami, sa možno pýtajú, prečo by im to vôbec malo záležať. Existuje jeden jednoduchý dôvod: čipové a PIN karty sa chystajú zaviesť do tejto krajiny. Anderson uviedol, že banky sú pripravené uskutočniť prechod do roku 2015.
V tejto krajine to nemusí byť také zlé. Jednako len niektoré banky sa rozhodnú pre schémy čipov a PIN, zatiaľ čo iné banky zavedú čipové a podpisové karty. Tento plán autentifikácie bol použitý v Singapure a je navrhnutý tak, aby poskytoval väčšiu ochranu spotrebiteľa. Anderson tiež poznamenal, že úloha Federálneho rezervného systému v americkom bankovníctve tiež ponúka väčšiu ochranu spotrebiteľa - za predpokladu, že v blízkej budúcnosti nebude drasticky narušená.
Hral tiež úlohu, povedal, že publikum Black Hat môže hrať. „nejde o jediný protokol; je to veľká, náhodná a zdvorilá sada nástrojov na vytváranie platobných protokolov, “ uviedol. "Môžete buď prísť s niečím, čo je skutočne bezpečné, alebo s niečím, čo je skutočne prekliato strašné."
Dúfame, že dostaneme prvú.
