Financial Times - Precej časa je trajalo, da smo plačilne kartice z magnetnim zapisom nadgradili v takšne s čipom, kjer istovetnost dokazujemo z vnosom številke (PIN), pa še pri tem so onstran Atlantika v ogromnem zaostanku. Na tej strani Luže pa se MasterCard spogleduje z identifikacijo s prepoznavanjem obraza in branjem prstnih odtisov. V Veliki Britaniji in še nekaterih državah (med njimi Italija, Nemčija, ZDA) bodo že poleti poizkusno uvedli tovrstno identifikacijo, saj so pilotni preizkusi na Nizozemskem in v ZDA dali pozitivne rezultate.

Sistem se bo imenoval Selfie Pay in bo uporabnikom omogočal, da namesto vnosa PIN-a pogledajo v pametni telefon za prepoznavo obraza in oddajo prstni odtis, če bodo seveda namestili ustrezno aplikacijo. Najprej bodo morali na MasterCardove strežnike prenesti svojo sliko, ki se bo uporabljala kot...

Wired News - Francoski raziskovalci so predstavili praktično uporabo enega izmed načinov zlorabe plačilnih kartic, na katerega so raziskovalci iz Cambridgea teoretično opozorili že leta 2010. Tedaj so EMVCo in banke odmahnili z roko, da je v praksi ranljivost nemogoče zlorabiti. Francoski zlikovci so jih hitro demantirali in že v letih 2011-2012 začeli zlorabljati ranljivost. Danes je ta že odpravljena, zato so francoski raziskovalci z École Normale Supérieure v članku predstavili podrobnosti.

Za uspešno izvedbo transakcije moramo pri uporabi novih kartic s čipom vnesti pravilen PIN. Terminal preveri vneseni PIN tako, da čipu na kartici pošlje PIN, ta pa potem preveri, ali se njegova zgoščena vrednost ujema s tisto, ki je shranjena v čipu. Tako se PIN ne prenaša po zunanjih omrežjih, hkrati pa iz čipa ni mogoče izluščiti PIN-a. Gre pa nekoliko...

Slo-Tech - Spletni vmesniki za dostop do elektronske pošte, družabnih omrežij in podobno nas že sedaj dodatno povprašajo o identiteti, če zaznajo prijavo z IP-naslova, ki pripada geografsko zelo oddaljeni lokaciji od sicer za nas običajne. Ker so zlorabe plačilnih kartic enako problematične, bi lahko nekaj podobnega storili tudi tu, je ugotovil ameriški operater AT&T.

Nekatere banke oziroma kartični centri že sedaj ob uporabi kartice v oddaljeni državi pokličejo in vprašajo, ali smo res tam. Druge gredo celo tako daleč, da transakcijo preventivno zavrnejo. Slednji problem je zlasti pogost v ZDA, kjer so plačilne kartice še vedno brez čipov, kar pomeni, da je zloraba res zelo enostavna - potrebujemo le magnetni zapis. Da bi...

CNet - Googlova storitev za brezkontaktno plačevanje s pametnimi telefoni Google Wallet je ta teden doživela uradni krst. V projektu, ki bo omogočil plačevanje kar z zamahom telefona, sodelujejo Google, Citibank, MasterCard in Sprint.

Ta kombinacija partnerjev pomeni, da za zdaj storitev...

PhysOrg.com - Ena izmed enostavnih metod za zaščito pred zlorabo na bančnem avtomatu je pazljiv vnos številke PIN. Kadar nepridipravi bančne avtomate opremijo z bralniki zapisa, namestijo tudi kamero, ki snema številčnico, od koder dobijo PIN. Doslej je bilo dovolj, če smo med vpisom PIN-a številčnico prekrili z roko. Raziskovalci s sandiegovske Univerze v Kaliforniji so na avgustovskem USENIX Security Symposiumu prikazali napad, ki stre tudi ta oreh.

Predstavljena zamisel je zelo preprosta. Bančni avtomat lahko opremimo z infrardečo kamero, ki beleži temperaturo posameznih tipk. Pritisnjene tipke ob vnosu PIN-a so toplejše od neuporabljenih, tako da lahko na ta način 'preberemo' kodo tudi, če uporabnik številčnico zakrije z roko.

Če posnetek preberejo takoj po vnosu številke, lahko z 80-odstotno natančnostjo povedo, katere tipke so bile pritisnjene, nato pa odstotek pada. Po...

ZDNet - Pretekli teden smo poročali, da so raziskovalci s Cambridgea odkrili napako v sistemu avtentikacije plačil z bančnimi karticami, saj je mogoče z napadom MITM ukaniti terminal in zaobiti potrebo po vnosu pravilnega PIN-a. Kot poroča ZDNet UK, EMVCo, ki postavlja standarde za kartično poslovanje in je v solasti American Express, JCB, MasterCard in Vise, je napovedal, da bodo članek in napada preučili in ocenili potrebne spremembe. Prav tako bodo incident preiskali v podjetjih, ki skrbijo za plačilne sisteme. Tako je MasterCard že potrdil, da standard EMV redno preverjajo in da bodo v sodelovanju z drugimi podjetji poskrbeli, da bo poslovanje varno. Profesor Ross Anderson iz Cambridgea...

BBC - Bančne kartice so v zadnjem času dobile lične zlatorjave čipe, ki pri plačilu preko terminala POS zahtevajo vnos PIN-a za avtorizacijo plačila. Kot pravi Bruce Schneier, je že dlje časa znano, da gre bolj za prelaganje odgovornosti in ne za nobeno pravo varnost. Zdaj so to demonstrirali še raziskovalci z angleškega Cambridgea, ki od leta 2004 bdijo nad sistemom in odkrivajo pomanjkljivosti.

V članku Chip and PIN is broken so opisali (izjava za javnost, pogosto zastavljena vprašanja), kako lahko z napadom s posrednikom (man-in-the-middle attack) pretentamo sistem v avtorizacijo, ne da bi sploh vnesli PIN. Normalna transakcija poteka takole. Uporabnik vtipka PIN v terminal, ta preveri njegovo veljavnost na čipu pametne kartice, ki odgovori z da ali ne,...

Slo-Tech - Pri Linux Foundation so se skupaj s podjetjem CardPartner in UMB banko odločili ponuditi svojo Visa Platinum kreditno kartico.


Linux Foundation bo za vsako izdano kartico prejela 50 USD ter določen odstotek od vsake transakcije, ki jo bodo opravili imetniki kartice. Ves tako zbrani denar pa bodo namenili za odprtokodne tehnične prireditve ter kritje stroškov potovanja članov odprtokodne skupnosti.

Kreditna kartica bo za začetek na voljo le v ZDA, obljubljajo pa tudi razširitev na ostale države.

Končno bomo lahko pingvina spravili v denarnico...

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...

Schneier.com - Raziskovalci Cambridge University (Saar Drimer, Steven J. Murdoch in znani profesor Ross Anderson) so ugotovili, da dve znani napravi za plačevanje s pametnimi bančnimi karticami (tim PIN Entry Device) Ingenico i3300 in Dione Xtreme ne omogočata zadostne zaščite bančnih kartic z čipom.

Problem je v tem, da transakcija med bančno kartico z čipom in napravo za vnos PIN kode ni šifrirana. To omogoča prestrezanje komunikacije, na podlagi česar napadalec lahko izdela kopijo kartice (na magnetni kartici). Kljub temu, da naprave za vnos PIN kode ne onemogočajo takšnega prestrezanja, so bile certificirane in se še vedno uporabljajo. Oprema za napad stane le nekaj sto britanskih funtov, izvesti pa ga je mogoče na razmeroma enostaven način.

Kljub temu, da naj bi nove kartice za avtentikacijo transakcije uporabljale tehnologijo iCVV (ki izvaja avtentikacijo plačila s pomočjo digitalnega certifikata v čipu kartice), tudi novejše kartice (v Britaniji izdane februarja letos) še vedno...

The Register - 41-letni britanski državljan Maxwell Parsons je bil obsojen na triletno zaporno kazen, ker je z zlorabo bančnih kartic povzročil njihovim lastnikom 200.000 funtov (71 milijonov tolarjev) škode, poroča The Register. Pri vsem tem je najbolj zanimiv način, kako je svoje početje izpeljal.

Pri nečednih poslih si je pomagal z MP3-predvajalnikom, ki ga je priključil na samostoječe bankomate v trgovinah in barih (na vzidne to ni mogoče) in tako prisluškoval podatkom o transakcijah, ki jih bankomati prek telefonske povezave pošljejo banki. Kasneje je pridobljene podatke uporabil za izdelavo kloniranih kartic. Zanimivo je, da je britanska policija Parsonsa aretirala po naključju, saj ga je ustavila patrulja zaradi prometnega prekrška in odkrila ponarejeno bančno kartico. Njegovih pomagačev še niso odkrili.

The Register - Kratka: Apple, znan tudi kot eden najbolj zagretih podpornikov protokola FireWire (IEEE 1394), namenjeneu hitremu prinašanju podatkov (predvsem gibljivega slikovja), je prevzel podjetje Zayante. Slednjega so ustanovili sami stvarci omenjenega protokola, podjetje pa se je ukvarjalo z načrtovanjem silicijevih župic (torej čipovja) ter programja. Podrobnosti o transakciji niso znane, kar daje misliti na relativno nizko ceno.