Ładowanie
I tu tkwi słabość systemu. Badacze zbudowali proste urządzenie, które pozwala przeprowadzić atak man-in-the-middle przeciwko układowi terminal-karta. W swojej demonstracji wykorzystali standardowy czytnik kart od Alcora, który podłączono do laptopa, na którym działało napisane w Pythonie oprogramowanie. Laptop został zaś podłączony przez port szeregowy do płytki FPGA (Spartan-3E Starter Kit). Płytkę FPGA podłączono do czipu Maxim 1740, który z kolei podłączono cienkimi przewodami do karty, wprowadzonej do terminala.
Zaraz jak tylko karta została włożona do czytnika, skrypt w Pythonie przekierował transakcję, zdławił komendę weryfikacji PIN wysłaną przez terminal i odesłał mu poprawny kod 0x9000.
Zdaniem ekspertów, przeprowadzenie takiego ataku jest możliwe dla praktycznie każdego, kto ma jakieś pojęcie o elektronice – nie wymaga to nadzwyczajnych umiejętności ze strony napastników. Z kolei rzecznik brytyjskiego Urzędu ds. Płatności Mark Bowerman, przyznał, że ustalenia badaczy z Cambridge są słuszne, jednak odżegnał się od wyciągniętych przez nich konkluzji. „Traktujemy informacje z tego artykułu bardzo poważnie, ponieważ niezwykle ważne jest utrzymanie odpowiedniego poziomu bezpieczeństwa kart – jednak odrzucamy pomówienie, jakoby złamane zostały zabezpieczenia kart czipowych” – wyjaśnił Bowerman.
Tymczasem eksperci obawiają się, że pokrzywdzeni będą przede wszystkim konsumenci: w transakcjach potwierdzonych PIN-em, banki odmawiają uznania reklamacji i obciążają konto klienta.
Z artykułem „Chip and PIN is Broken” można zapoznać się tutaj (plik PDF, 1,8 MB).
Źródło: ZDnet.co.uk
A jak ktoś wtyka karty tam gdzie nie powinien to już inna sprawa.
Oczywiście sprawa ma się inaczej gdy zgubimy kartę...
Ja w swojej VisieElectron (inteligo) nigdy nie miałem pinu...
Sex, Drugs and PHP
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6 (.NET CLR 3.5.30729)
ale zeby z bankomatu wyplacic musisz wbic pin ;]
wiem bo mam konto Inteligo
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.9.2) Gecko/20100115 Firefox/3.6 (.NET CLR 3.5.30729)
Browser: Opera/9.80 (Macintosh; Intel Mac OS X; U; en) Presto/2.2.15 Version/10.10
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Sposób wykorzystania takiej możliwości się znajdzie-nieuczciwy pracownik sklepu, nieuczciwy serwisant terminala. Skoro da się ominąć samą weryfikację PIN to pewnie da się przekierować wpłatę na konto w Mozambiku.
A co sądzicie o nowych pomysłach banków w tym kontekscie czyli kartach przedpłaconych? To taki prepaid więc stracić można najwyżej tyle ile się na niej ma.
Browser: Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7
Nie jest to nowy pomysł, choćby w mbanku taką kartę można dostać za 20 zł (opłata za wydanie).
Jednak faktycznie, idealnie sprawdza się do płatności w sieci. Nawet jeśli zdecydujemy się na "stałe zlecenia" mamy wszystko pod kontrolą i co najwyżej będzie stratni tylko część i w dodatku jednorazowo. Dzięki temu systemowi można ustrzec się przed wieloma wpadkami.
Browser: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.9 (KHTML, like Gecko) Chrome/5.0.317.2 Safari/532.9
http://www.youtube.com/watch?v=rgT7gGciQrg
xrobi
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7 (.NET CLR 3.5.30729)
Oczywiście protokół jest do bani, ale z drugiej strony, nie ma się czym przejmować, bo aby przeprowadzić taki atak to trzeba mieć dostęp do konta bankowego właściciela terminala…
http://www.e-klapa.org/index.php/2010/02/zlamano_zabezpieczenia_kart_platniczych_z_chipem/
Browser: Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.43 Safari/532.5
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.9) Gecko/20100315 Firefox/3.5.9