ZDNet - Pretekli teden smo poročali, da so raziskovalci s Cambridgea odkrili napako v sistemu avtentikacije plačil z bančnimi karticami, saj je mogoče z napadom MITM ukaniti terminal in zaobiti potrebo po vnosu pravilnega PIN-a. Kot poroča ZDNet UK, EMVCo, ki postavlja standarde za kartično poslovanje in je v solasti American Express, JCB, MasterCard in Vise, je napovedal, da bodo članek in napada preučili in ocenili potrebne spremembe. Prav tako bodo incident preiskali v podjetjih, ki skrbijo za plačilne sisteme. Tako je MasterCard že potrdil, da standard EMV redno preverjajo in da bodo v sodelovanju z drugimi podjetji poskrbeli, da bo poslovanje varno. Profesor Ross Anderson iz Cambridgea medtem pravi, da enostavne rešitve tega protokola ni.
V UK Payments Administration pa trdijo, da je napad izsledljiv, tako tudi problemov z dokazovanjem imetnikov kartic, da transakcij niso izvedli sami, ne bi smelo biti. Kot pravijo, bi napad lahko prepoznali, če bi po transakciji preverili tri elemente v zahtevku za avtorizacijo in poročilu o poravnavi. Pri prevari namreč pretentajo terminal, ki izpiše, da je bil vnesen pravilen PIN, a je transakcija zabeležena kot verificirana s podpisom (offline verification). Tako bi lahko imetniki kartic pokazali, da je šlo za zlorabo. Problem je, da je zlorabo moč dokazati šele po izvedbi in ne med samim dejanjem in da to preverjanje ni avtomatično, tako da mora transakcije izpodbijati lastnik računa.
Signature verification fallback je feature. Problem je samo v tem, da na eni strani izgleda kot da je bil uporabljen PIN na drugi pa da ni bil (podpisa pa jasno zato, ker v stacuni izgleda kot da je bil vpisan pravi PIN tudi nihce ne gleda).
Fora pri vsem tem je, da ce je transakcija avtorizirana s podpisom, odgovarja prodajalec (ki mogoce ni dovolj dobro pogledal), ce je v uporabi PIN pa banka. Ampak ta praviloma rece, da je slo za malomarnost s tvoje strani, ce je nekdo drug poznal tvoj PIN.
Torej v praksi nastradas ali ti (ker naj bi nekdo drug vedel PIN) ali pa prodajalec (ker ni preveril podpisa), namesto, da bi banka prevzela odgovornost nase.
Lopovi si po novem lahko pomagajo na POS terminalu tudi s kartico za katero ne poznajo PIN-a, medtem ko za bankomate to nicesar ne spremeni.
zee: Mogoce si zgledal sumljiv. :) Sicer pa ja: podpis in preverjanje osebne je pomoje prav. Edino ne vem zakaj je bil prej se PIN check. Prvo ali drugo bi moralo biti pomoje dovolj (razen ce je bila druga stvar se za "vsak slucaj", se pravi mimo ustaljenih principov).
Ali ni bila Španija tisti kraj, kjer se je ravno nekje lani množično izkoriščalo ponarejene kartice, katerih podatki so bili ukradeni? Nekako se pokrije z z-jevo izkušnjo.
Ne, to se samo zato, da prevarantje po tem, ko ti skopirajo kartico dobijo tako tvoj podpis, kot tvoj PIN. Ter seveda še osebne podatke 8naslov), itd...
