Wired News - Francoski raziskovalci so predstavili praktično uporabo enega izmed načinov zlorabe plačilnih kartic, na katerega so raziskovalci iz Cambridgea teoretično opozorili že leta 2010. Tedaj so EMVCo in banke odmahnili z roko, da je v praksi ranljivost nemogoče zlorabiti. Francoski zlikovci so jih hitro demantirali in že v letih 2011-2012 začeli zlorabljati ranljivost. Danes je ta že odpravljena, zato so francoski raziskovalci z École Normale Supérieure v članku predstavili podrobnosti.

Za uspešno izvedbo transakcije moramo pri uporabi novih kartic s čipom vnesti pravilen PIN. Terminal preveri vneseni PIN tako, da čipu na kartici pošlje PIN, ta pa potem preveri, ali se njegova zgoščena vrednost ujema s tisto, ki je shranjena v čipu. Tako se PIN ne prenaša po zunanjih omrežjih, hkrati pa iz čipa ni mogoče izluščiti PIN-a. Gre pa nekoliko...

RTV Slovenija - Okrajno sodišče v Ljubljani je včeraj razsodilo, da je uporabnik spletne banke Klik od NLB upravičen do povračila škode v višini 5000 evrov, ki jo je utrpel zaradi zlorabe njegovega spletnega bančništva.

Uporabnik je decembra 2009 opazil, da ima na bančnem računu negativno stanje, zato je preveril transakcije. Ugotovil je, da je bilo z njegovega računa na neznani račun nakaznih 5000 evrov. Napadalci so lahko to transakcijo izvedli, ker je uporabnik na lažni strani, ki se je pretvarjala, da gre za vstopno stran v NLB Klik (klasični napad phishing), vnesel svoje prijavne podatke. Takoj po odkritju goljufije je to takoj naznanil banki ter naročil blokado spletne banke in...

New Scientist - Raziskovalci z Univerze v Cambridgeu so razvili laserski antitiskalnik, ki počne ravno nasprotno kot pravi tiskalniki - z uporabo laserskega žarka briše sledi črnila s papirja, ne da bi slednjega pri tem poškodoval.

Pri laserskih tiskalnikih se laser uporabi, da se na točkah na papirju, koder želimo zapis, ustvari pozitivni naboj. Ker je laserski toner negativno nabit, se delci barve primejo nanje, nakar jih s toploto zapečemo in fiksiramo. Antitiskalnik deluje ravno obratno. S kratkim laserskim pulzom, ki traja do štiri nanosekunde, se toner s papirja odpari (proces imenujemo ablacija). Poškodbam papirja se izognejo z uporabo laserja valovne...

Slashdot - Letos februarja je bilo na BBC-ju javno razkrito, da je trenutni sistem ugotavljanja istovetnosti uporabnika plačilne kartice luknjičav. Ker se pravilnost vnesenega PIN-a preverja proti kartici in ne proti centralni bazi podatkov v banki, je moč pretentati POS-terminal in z uporabo lažne kartice doseči, da se transakcije sprovede z vnosom poljubne kombinacije namesto PIN-a. Banke v desetih mesecih niso storile ničesar.

Podiplomski študent Omar S. Choudary na Cambridgeu je pripravil magistrsko nalogo The Smart Card Detective:
a hand-held EMV interceptor in jo tudi objavil na fakultetnih straneh. V njej je raziskal pomanjkljivost in...

Slo-Tech - V Moskvi so aretirali skupino kriminalcev, ki so v ruskem mestu Jakutsk napadli kar vse bankomate. Mesto ima dobrih 200 tisoč prebivalcev, tako da ne gre za trivialen dosežek. Posla so se lotili štirje. Trije so bili pravi kriminalci, medtem ko je bil četrti pomagač razvijalec zle programske opreme, ki je v zameno za 100.000 rubljev (2400 evrov) razvil posebej prilagojen virus. Tega so nato naložili na vse bančne avtomate v mestu.

Vloge so si razdelili z nemško pedantnostjo. Eden je bil zaposlen kot vodja IT-oddelka v banki in ta je priskrbel dostop do bankomatov. Drugi je bil sistemski administrator, ki je poskrbel za naložitev virusa, medtem ko je bil tretji mula. V izjavi za javnost (strojni prevod v angleščino)...

Wired News - Na BlackHat konferenci prejšnji teden v Las Vegasu je po poročanju medijev največ zanimanja požel prikaz napada na bančne avtomate.

Barnaby Jack je namreč prikazal dva napada na bančne avtomate. Prvi napad zahteva fizični dostop: bančni avtomat (proizvajalca Triton) je potrebno odpreti (vsi bančni avtomati tega proizvajalca uporabljajo isti ključ) in vanj vtakniti USB ključek z zlonamerno programsko opremo. Drugi napad (na avtomat proizvajalca Tranax) pa je mogoč kar preko omrežja. Na obeh sistemih teče operacijski sistem Windows CE. Triton je sicer lansko leto že izdal popravek, ki omogoča samo poganjanje digitalno podpisane programske opreme, tako da ta napad na posodobljenih napravah ni več mogoč.

Oddaljeni...

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...

The Register - 41-letni britanski državljan Maxwell Parsons je bil obsojen na triletno zaporno kazen, ker je z zlorabo bančnih kartic povzročil njihovim lastnikom 200.000 funtov (71 milijonov tolarjev) škode, poroča The Register. Pri vsem tem je najbolj zanimiv način, kako je svoje početje izpeljal.

Pri nečednih poslih si je pomagal z MP3-predvajalnikom, ki ga je priključil na samostoječe bankomate v trgovinah in barih (na vzidne to ni mogoče) in tako prisluškoval podatkom o transakcijah, ki jih bankomati prek telefonske povezave pošljejo banki. Kasneje je pridobljene podatke uporabil za izdelavo kloniranih kartic. Zanimivo je, da je britanska policija Parsonsa aretirala po naključju, saj ga je ustavila patrulja zaradi prometnega prekrška in odkrila ponarejeno bančno kartico. Njegovih pomagačev še niso odkrili.

Slo-Tech - Se vam je že kdaj zelo mudilo in ste hoteli dvigniti denar na bankomatu, pa le ta ni deloval? To bi se sedaj moralo dogajati redkeje, saj smo končno dobili spletno stran www.bankomati.net, ki nam ponuja informacije o stanju bankomatov po celi Sloveniji. Tako lahko sedaj kar doma ugotovite, ali bankomat deluje ali ne, ali pa mu je samo zmanjkalo denarja in lahko normalno napolnite svoj GSM račun ali položite depozit... Klik!

SiOL - Težko si je predstavljati življenje brez bankomatov. Vendar kljub temu obstaja verjetnost, da si ga bomo morali, saj utegnejo postati za vedno izbrisani ali doživeti kakšno metamorfozo. Kot nas je opomnil Cuoresportivo, so nepridipravi nekje v okolici Maribora bankomat opremili s posebnimi napravami, s pomočjo katerih lahko preberejo magnetni zapis s kartice in vtipkano kodo PIN. Zaenkrat je število okuženih bankomatov neznano, zato je pazljivost več kot priporočljiva. Kjerkoli in kadarkoli!

Še vedno zaupate bankomatom?

Finance - Že letos lahko pričakujemo prve bankomate v Sloveniji, ki bodo temeljili na operacijskem sistemu Windows NT. Do zdaj so bankomati delovali pod OS/2, zato bo dosežen velik napredek v smislu multimedijske predstavitve ter uporabniškega vmesnika. Možna bo tudi priključitev tiskalnika in s tem izpis podatkov, lažje pa se bodo znašli tudi slepi, saj bo možna tudi uporaba zvoka. Vendar tudi slabih strani ni malo. Windowsi niso znani po svoji varnosti, zato bi spreten heker verjetno lahko vdrl v sistem. Pojavlja pa se tudi vprašanje uporabniške prijaznosti v smislu "kje so tiste tipke Ctrl+Alt+Del", vendar vseeno upajmo na najboljše. Klik!

Slo-Tech - Primož Ermenc me je obvestil glede ene zelo zanimive novičke:

Z dnem 26.4 in 27.4.2001 so se širom po Sloveniji dogajale čudne stvari z bankomati. Pravzaprav že kar zaskrbljujoče. Vsak, ki je dvignil denar na ta dva datuma, mu je iz tekočega računa potegnilo dvojni znesek. Kam je šel ta denar in sploh zakaj se je to zgodilo? So mar hekerji napadli računalniški sistem, ki upravlja bankomate po Sloveniji ali pa je bila to samo računalniška napaka? Če ne verjamete, pokličite na številko 01/5834 183

Hm, porajajo se mi vprašanja: Ali se je ta denar že vrnil? Kaj točno je šlo narobe? Kdo je bil kriv? Jasno je, da je lahko šlo kaj narobe samo na glavnem računalniku, ki odšteva od stanj računa. Sedaj pa... Ali je to bila napaka administratorja, napaka na omrežju ali vdor hekerja? Ali sploh lahko še zaupamo bankomatom? Jutri bom poklical na zgoraj navedeno številko ter jih vprašal zgornja vprašanja. Odgovore dobite v naslednji novici ....