Napad na bančne kartice in morebitna revizija v preiskavi
Matej Huš
20. feb 2010 ob 08:48:52
Pretekli teden smo poročali, da so raziskovalci s Cambridgea odkrili napako v sistemu avtentikacije plačil z bančnimi karticami, saj je mogoče z napadom MITM ukaniti terminal in zaobiti potrebo po vnosu pravilnega PIN-a. Kot poroča ZDNet UK, EMVCo, ki postavlja standarde za kartično poslovanje in je v solasti American Express, JCB, MasterCard in Vise, je napovedal, da bodo članek in napada preučili in ocenili potrebne spremembe. Prav tako bodo incident preiskali v podjetjih, ki skrbijo za plačilne sisteme. Tako je MasterCard že potrdil, da standard EMV redno preverjajo in da bodo v sodelovanju z drugimi podjetji poskrbeli, da bo poslovanje varno. Profesor Ross Anderson iz Cambridgea medtem pravi, da enostavne rešitve tega protokola ni.
V UK Payments Administration pa trdijo, da je napad izsledljiv, tako tudi problemov z dokazovanjem imetnikov kartic, da transakcij niso izvedli sami, ne bi smelo biti. Kot pravijo, bi napad lahko prepoznali, če bi po transakciji preverili tri elemente v zahtevku za avtorizacijo in poročilu o poravnavi. Pri prevari namreč pretentajo terminal, ki izpiše, da je bil vnesen pravilen PIN, a je transakcija zabeležena kot verificirana s podpisom (offline verification). Tako bi lahko imetniki kartic pokazali, da je šlo za zlorabo. Problem je, da je zlorabo moč dokazati šele po izvedbi in ne med samim dejanjem in da to preverjanje ni avtomatično, tako da mora transakcije izpodbijati lastnik računa.