Złamano mechanizm zabezpieczenia PIN-em kart płatniczych i kredytowych

Przełom lat 2009/2010 to jakaś czarna seria dla projektantów systemów zabezpieczeń systemów IT. Złamano szyfrowanie stosowane w sieciach GSM, 3G, pokonano chip TPM, a teraz badacze z Cambridge pokazali, jak słabe są zabezpieczenia kart kredytowych i płatniczych. Okazało się, że łatwo można przechwycić komunikację między terminalem a kartą i zmusić system do akceptacji transakcji bez ważnego PIN-u.

Problem leży w protokole EMV – Europay, MasterCard, Visa, powszechnie stosowanym w transakcjach elektronicznych w całej Europie. Profesor Ross Anderson z Uniwersytetu Cambridge, wraz ze swoim zespołem przygotował atak, który zmusza czytnik kart do uwierzytelnienia transakcji, mimo że nie został podany ważny PIN. Atak powiódł się przeciwko ważnym kartom od sześciu dużych banków.

Okazuje się bowiem, że protokół EMV pozwala karcie i terminalowi na generowanie niejednoznacznych danych na temat procesu weryfikacji – a bank przyjmuje ją jako poprawne. Podczas ataku terminal zapisuje więc, że doszło do weryfikacji PIN, podczas sama karta otrzymuje wiadomość, z której wcale nie wynika, że użyto PIN-u. Jako że terminal to jednak autoryzuje, to transakcja zostaje uznana przez bank.

Dlatego technika ta, choć wymaga podania PIN-u, to może być to dowolny PIN, nie pokrywający się z tym, który przyznano karcie. Upada zatem podstawowe zabezpieczenie kart czipowych – ich bezużyteczność dla nieuprawnionej osoby, która uzyskałaby do nich fizyczny dostęp.

W przygotowanym przez badaczy artykule „Chip and PIN is Broken”, specjaliści wyjaśniają, w jaki sposób mechanizmy bezpieczeństwa wchodzą w interakcje z procesem weryfikacji ważności karty i poprawności PIN-u. Decyzja o tym, jak proces ten będzie przebiegał, zależy od tego, co wynegocjuje karta z terminalem. Dostępne są, w kolejności uprzywilejowania, trzy metody – z PIN-em, na podpis, bez weryfikacji.

Większość transakcji wymaga oczywiście weryfikacji PIN. Ciąg cyfr wystukany na klawiaturze czytnika zostaje przesłany do karty, która porównuje go do PIN-u zapisanego w czipie. Jeśli ciąg się zgadza, karta wysyła do terminala kod weryfikacji (0x9000), oznaczający, że można finalizować transakcję.

«poprzednia 1 2 następna »

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

9 skomentuj »

Komentarze

#1 jedrek^® 2010-02-12 10:04:58 0
Oczywiście zgadzam się, że jest to słaby punkt skoro udało się złamać takie zabezpieczenia ale kto normalny pozwoli podłączyć się komuż z urządzenem do terminala.

A jak ktoś wtyka karty tam gdzie nie powinien to już inna sprawa.

Oczywiście sprawa ma się inaczej gdy zgubimy kartę...

Ja w swojej VisieElectron (inteligo) nigdy nie miałem pinu...
IP: 83.21.157.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6 (.NET CLR 3.5.30729)
#2 Konrad Kałowski^® 2010-02-12 11:37:34 0
teraz to zes pojechal chlopie kazda karta ma pin tylko akurat w inteligo nie uzywasz go przy platnosciach w sklepie na stacji itp miejscach

ale zeby z bankomatu wyplacic musisz wbic pin ;]

wiem bo mam konto Inteligo
IP: 83.23.168.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.9.2) Gecko/20100115 Firefox/3.6 (.NET CLR 3.5.30729)
#3 Michał2 2010-02-12 15:22:32 0
Koledzy z Niebezpiecznika mają trochę więcej szczegółów technicznych, gdyby kogoś to interesowało: http://niebezpiecznik.pl/post/karty-kredytowe-z-chipem-podatne-na-atak/
IP: 83.175.191.[...] Opera/9.80 (Macintosh; Intel Mac OS X; U; en) Presto/2.2.15 Version/10.10
#4 adamoss 2010-02-12 21:00:17 0
tez mam karte w inteligo (visa) i trzeba podac pin w sklepie przy platnosciach
IP: 88.199.157.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
#5 wojtekm^® 2010-02-12 23:58:14 0
nic nie jest bezpieczne, nawet teraz do karty z pinem czasem wystarczy podpis

Sposób wykorzystania takiej możliwości się znajdzie-nieuczciwy pracownik sklepu, nieuczciwy serwisant terminala. Skoro da się ominąć samą weryfikację PIN to pewnie da się przekierować wpłatę na konto w Mozambiku.

A co sądzicie o nowych pomysłach banków w tym kontekscie czyli kartach przedpłaconych? To taki prepaid więc stracić można najwyżej tyle ile się na niej ma.
IP: 77.222.234.[...] Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7
#6 Sceptyk 2010-02-13 08:33:04 1
A co sądzicie o nowych pomysłach banków w tym kontekscie czyli kartach przedpłaconych

Nie jest to nowy pomysł, choćby w mbanku taką kartę można dostać za 20 zł (opłata za wydanie).

Jednak faktycznie, idealnie sprawdza się do płatności w sieci. Nawet jeśli zdecydujemy się na "stałe zlecenia" mamy wszystko pod kontrolą i co najwyżej będzie stratni tylko część i w dodatku jednorazowo. Dzięki temu systemowi można ustrzec się przed wieloma wpadkami.

IP: 89.72.37.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.9 (KHTML, like Gecko) Chrome/5.0.317.2 Safari/532.9
#7 xrobi^® 2010-02-16 12:12:21 0
A co sądzicie o przyszłych metodach płatności takich jakie reklamuje PayPal z Adaptive payments?

http://www.youtube.com/watch?v=rgT7gGciQrg
IP: 193.28.178.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7 (.NET CLR 3.5.30729)
#8 fabrycy 2010-02-19 17:36:44 0

Oczywiście protokół jest do bani, ale z drugiej strony, nie ma się czym przejmować, bo aby przeprowadzić taki atak to trzeba mieć dostęp do konta bankowego właściciela terminala…

http://www.e-klapa.org/index.php/2010/02/zlamano_zabezpieczenia_kart_platniczych_z_chipem/

IP: 90.156.74.[...] Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.43 Safari/532.5
#9 ziomek 2010-07-14 17:42:34 0
dupa maryny
IP: 87.205.239.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.9) Gecko/20100315 Firefox/3.5.9

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.