» »

Napad MITM na bančne kartice s PIN-om

Napad MITM na bančne kartice s PIN-om

Shema napada

BBC - Bančne kartice so v zadnjem času dobile lične zlatorjave čipe, ki pri plačilu preko terminala POS zahtevajo vnos PIN-a za avtorizacijo plačila. Kot pravi Bruce Schneier, je že dlje časa znano, da gre bolj za prelaganje odgovornosti in ne za nobeno pravo varnost. Zdaj so to demonstrirali še raziskovalci z angleškega Cambridgea, ki od leta 2004 bdijo nad sistemom in odkrivajo pomanjkljivosti.

V članku Chip and PIN is broken so opisali (izjava za javnost, pogosto zastavljena vprašanja), kako lahko z napadom s posrednikom (man-in-the-middle attack) pretentamo sistem v avtorizacijo, ne da bi sploh vnesli PIN. Normalna transakcija poteka takole. Uporabnik vtipka PIN v terminal, ta preveri njegovo veljavnost na čipu pametne kartice, ki odgovori z da ali ne, nakar se ob pozitivnem odgovoru transakcije avtorizira. Za izvedbo napada s posrednikom ukradeno kartico povežejo s čipom, ki ga nadzoruje prenosni računalnik s posebej napisano programsko opremo. Vse skupaj je nato povezano z lažno kartico, ki se vstavi v čitalnik kartic. Ukradena kartica na drugem koncu ob nakupu dobi obvestilo, da nakup avtorizira podpisnik, čitalnik pa da je pritrdilni odgovor poslala ukradena in ne lažna kartica.

Raziskovalci pravijo, da so testirali vse kartice večjih britanskih bank in prav vse so bile ranljive. Problem je tudi dokazno breme, saj banke uporabnikom povzročene škode ne bi hotele povrniti, saj bi vsi zapisi kazali, da je bil vnesen pravilen PIN. Posnetek napada je bil prikazan tudi na BBC.

11 komentarjev

terryww ::

kdo rihta tem firmam varnostne sisteme?
It is the night. My body's weak.
I'm on the run. No time to sleep.

Key Quest ::

A imamo mi kaj bistveno drugacen sistem?

karafeka ::

LOL, tisti kabel priključen na kartico sploh ni sumljiv, HAHAHA.....
Pa ponavadi daš kartico prodajalcu, da jo vstavi v čitalec.

d'Regi ::

Pri nas na Petrolovih servisih lahko vstavljaš sam...

raufnk ::

Tudi če na Petrolu vstaviš sam je kabel še vedno viden ... zadeva je kritična na raznih samopostrežnih zadevah, kjer ni nevarnosti da bi se kabel videl (če se že govori o Petrolu, potem recimo 24 urna pumpa kjer plačaš zunaj, ne pa na blagajni)
lp raufnk

[MYTiX] ::

Pa sej sploh ni problem narest wireless povezavo. To je samo proof of concept.

Sicer pa je res idiotski sistem. Meni se je zdelo nekako jasno, da se pin preverja na streznikih od providerjev kartic. Ocitno sem zivel v zmoti.
podpis

Zgodovina sprememb…

  • spremenil: [MYTiX] ()

ender ::

Pri pametnih karticah PIN vedno preverja čip na sami kartici. Kar pa so tu naredili narobe je to, da lahko kartica sporoča podatke tudi če ni prišlo do avtorizacije s PINom (ker lahko terminal zahteva avtorizacijo s podpisom, ki ga čip na kartici seveda ne more preverjati). Zakaj so v sistem vgradili takšno varnostno luknjo, verjetno vedo samo sestavljalci sistema.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

gregetz ::

Morda bi banke same upozorile uporabnike, naj ne uporabljajo njihovih elektroskih storitev, dokler ne zagotovijo višjega nivoja varnosti za svoje komitente...

PaX_MaN ::

Pri pametnih karticah PIN vedno preverja čip na sami kartici. Kar pa so tu naredili narobe je to, da lahko kartica sporoča podatke tudi če ni prišlo do avtorizacije s PINom (ker lahko terminal zahteva avtorizacijo s podpisom, ki ga čip na kartici seveda ne more preverjati). Zakaj so v sistem vgradili takšno varnostno luknjo, verjetno vedo samo sestavljalci sistema.

Kolikor sem prebral je tole nekaj takega kot tisti USB ključki, ki se jih odklene s točno določenim stringom. Tule zahtevo za avtorizacijo PIN prestreže software, da vedno vrne, tako kot pri ključkih, pozitiven odgovor.

techfreak :) ::

gregetz je izjavil:

Morda bi banke same upozorile uporabnike, naj ne uporabljajo njihovih elektroskih storitev, dokler ne zagotovijo višjega nivoja varnosti za svoje komitente...

Torej bi naslednjih 5 let bili brez plačevanja z bančnimi karticami?

ender ::

PaX_MaN je izjavil:

Kolikor sem prebral je tole nekaj takega kot tisti USB ključki, ki se jih odklene s točno določenim stringom. Tule zahtevo za avtorizacijo PIN prestreže software, da vedno vrne, tako kot pri ključkih, pozitiven odgovor.
Res je, nekoliko spominja na tisto - čip na kartici bo vrnil podatke brez PIN avtorizacije, če terminal sporoči, da se transakcija avtorizira z (lastoročnim) podpisom.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Obrali so me za 1000€ prek spleta !! pomoč/izkušnje!? (strani: 1 2 )

Oddelek: Loža
7519444 (14924) Daedalus
»

Kreditna kartica s čitalnikom prstnih odtisov

Oddelek: Novice / Omrežja / internet
3411880 (9324) Jackass
»

Banka trdi da je bilo plačilo izvedeno z nezakonitimi sredstvi (strani: 1 2 )

Oddelek: Loža
9321398 (16724) mat xxl
»

V Južni Afriki obsežen napad na elektronske blagajne

Oddelek: Novice / Varnost
1810668 (8467) McMallar
»

Napad MITM na bančne kartice s PIN-om

Oddelek: Novice / --Nerazporejeno--
116177 (5532) ender

Več podobnih tem