» »

Britansko združenje bank hotelo cenzurirati Univerzo v Cambridgeu

Britansko združenje bank hotelo cenzurirati Univerzo v Cambridgeu

Slashdot - Letos februarja je bilo na BBC-ju javno razkrito, da je trenutni sistem ugotavljanja istovetnosti uporabnika plačilne kartice luknjičav. Ker se pravilnost vnesenega PIN-a preverja proti kartici in ne proti centralni bazi podatkov v banki, je moč pretentati POS-terminal in z uporabo lažne kartice doseči, da se transakcije sprovede z vnosom poljubne kombinacije namesto PIN-a. Banke v desetih mesecih niso storile ničesar.

Podiplomski študent Omar S. Choudary na Cambridgeu je pripravil magistrsko nalogo The Smart Card Detective:
a hand-held EMV interceptor
in jo tudi objavil na fakultetnih straneh. V njej je raziskal pomanjkljivost in izdelal sistem, ki omogoča zlorabo te deset mesecev javno znane luknje.

UK Cards Association (britanski ekvivalent slovenskega Bankarta) je zato naslovil pismo na Univerzo v Cambridgeu, v katerem so od njih zahtevali, da omenjeno magistrsko delo umaknejo s spleta, saj da vsebuje informacije, ki bi lahko bile uporabljene za zlorabo kartičnega sistema. Izrazili so zaskrbljenost, da Cambridge podpira in objavlja tovrstno raziskovalno delo.

Predstojnik katedre, kjer je Choudary predložil svoje delo in čaka na zagovor, je odgovoril, da si seveda ne bodo pustili določati, kaj je objavljivo in kaj ni. Dodaja, da so vse informacije iz dela že javno znane več kot leto dni (prvi članki o tem napadu so bili napisani 2009 in vključujejo celo več informacij kakor to magistrsko delo).

Vsekakor pa je zelo žalostno, da se banke še vedno vedejo kot okoreli mastodonti. Zgodovina bi jih bila morala že zdavnaj naučiti, da se varnosti s skrivanjem protokolov pač ne da doseči. In če se neka luknja objavi, jo je potrebno zakrpati, ne pa preganjati vseh, ki si drznejo pisati o njej.

20 komentarjev

Gavran ::

Le veseli smo lahko, da še ni pravega sistema cenzuriranja na internetu!

Svobodo prostemu pretoku informacij!!!
Bodimo strpni do virusov. Tudi virusi gripe, prehlada in AIDSa morajo živeti.

blackbfm ::

zanimivo

SuperVeloce ::

To me spominja na en zalosten slovenski primer ;((:
Odkrijes veliko luknjo v NLB transakcijah itd... Namesto, da te zaposlijo, te kazensko preganjajo. Naredis samomor.
Takrat bi moral nekdo odgovarjat!

Thomas ::

Se strinjam, luka88. Čeprav ne vemo kako je bilo točno, so bankirji poslali policijo nadenj in ta ga je ovadila in on je storil samomor.

A je kdo morda kriv "nevestnega dela v službi", ki je morda nekoga pahnilo v smrt?
Man muss immer generalisieren - Carl Jacobi

Poldi112 ::

Kakor se jaz spomnim je on nlb izsiljeval z uporabo ranljivosti, kar je pa edino pravilno, da se preganja. Bi bilo pa fino, da bi imeli kakšen link, da si osvežimo spomin, če mislimo o tem debatirati.

Jasno je pa, da je zahteva po skrivanju ranljivosti bedasta.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

techfreak :) ::

Kaj ni bil tisti slovenski primer samo nek trojanec, ki je počakal, da se uporabnik logira na svoj elektronski račun in je potem oponašal uporabnika (ugrabitev miške/tipkovnice, da je izpolnil pravilna polja za nakazitev denarja)?

Edit: Našel nekaj več info glede NLBjevega trojanca: http://slo-tech.com/clanki/var01/var01.... Očitno res samo oponaša brskalnik.

Zgodovina sprememb…

ender ::

Oxford? Zakaj kažejo linki na Cambridge (in zakaj je na tiskanem vezju izpisano "University of Cambridge")?
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

WarMaker ::

ender je izjavil:

Oxford? Zakaj kažejo linki na Cambridge (in zakaj je na tiskanem vezju izpisano "University of Cambridge")?


To se tudi jaz sprašujem. :)

McHusch ::

Raje ne sprašujte, kako se taki lapsusi zgodijo :)

Matrin ::

Ne glede na to katera pomembna univerza je to bila, je to kar pogumno od bankirjev, da poskušajo tako pritiskati na takšno ustanovo. Da bi jim takšna stvar tudi dejansko uspela, bi bilo pa že grozljivo.

Ziga Dolhar ::

McHusch je izjavil:

Raje ne sprašujte, kako se taki lapsusi zgodijo :)


Nej uganemo. Google translate? :))

(Hec, hec!)
https://dolhar.si/

gzibret ::

Živela svobodna akademija. Če bodo še univerze klonile proti takim pritiskom, potem smo konec. Univerze so svobodne in imajo takšen status že vsaj 600 let, in naj tako tudi ostane! Oz. tako mora ostati.
Vse je za neki dobr!

NSA Agent ::

Problem je v da banke ščiti država!
Kajti položnice lahka sam prek banke plačuješ, delodajalec ti lahka izplača plačo samo na transakciski račun, to gre men v nos, zakaj bi morala država vedet kolk gnara zaslužim in zakaj bi jaz mogu met transakciski račun in plačou vsak mesec 2 evra za vodenje le tega.

Kajti mi ljudje bi lahko brezproblema brez bank živel sam so zakoni taki, da morš imet transakciski račun. Tk da je treba ta zakon spremenit pol pa lahka banke delajo kar hočejo.

Zakaj bi mi potrebovali nekega posrednika med nami in ...

Zgodovina sprememb…

  • spremenilo: NSA Agent ()

Spura ::

NSA Agent je izjavil:

to gre men v nos, zakaj bi morala država vedet kolk gnara zaslužim

Ja, le zakaj bi drzava to morala vedt... :))

Good Guy ::

Gavran je izjavil:

Le veseli smo lahko, da še ni pravega sistema cenzuriranja na internetu!

Svobodo prostemu pretoku informacij!!!


tudi če bo cenzura.. mamo tor omrežje..

keworkian ::

NSA Agent je izjavil:


...delodajalec ti lahka izplača plačo samo na transakciski račun, to gre men v nos....


Če se pravilno spomnim, sem bral na financah, da če želiš ti delodajalc da gnar na roke (zakonit način seveda).
Obscenities in B-Flat

poweroff ::

Thomas je izjavil:

Se strinjam, luka88. Čeprav ne vemo kako je bilo točno, so bankirji poslali policijo nadenj in ta ga je ovadila in on je storil samomor.

Ja. Pa še par podrobnosti. Tip je bil varnostnik na ministrstvu za obrambo. Pa je letel iz službe. Punca njegova je delala na šalterju v banki - pa so ji začeli težit. Itd. Pritisk je bil velik.
sudo poweroff

Matevžk ::

keworkian je izjavil:

NSA Agent je izjavil:


...delodajalec ti lahka izplača plačo samo na transakciski račun, to gre men v nos....


Če se pravilno spomnim, sem bral na financah, da če želiš ti delodajalc da gnar na roke (zakonit način seveda).

V glavi imam, da imaš prav. Seveda država (iz več virov!) še vedno ve, koliko plače si dobil.
lp, Matevžk

squngy ::

Good Guy je izjavil:


tudi če bo cenzura.. mamo tor omrežje..


Kako ti bo pa tor pomagal proti cenzuri :8)

Zgodovina sprememb…

  • spremenil: squngy ()

poweroff ::

Hidden services.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Umik magistrske naloge iz googla (strani: 1 2 )

Oddelek: Loža
6317749 (11993) StarMafijec
»

Resnična dodana vrednost magisterija FRI / IŠRM

Oddelek: Šola
92422 (1822) Heavy
»

Teoretični napad na plačilne kartice s PIN-om tudi v praksi

Oddelek: Novice / Varnost
2712555 (9820) Uranij
»

Napad na RSA, prizadet SecurID

Oddelek: Novice / Varnost
4115019 (11811) McMallar
»

Napad na bančne kartice in morebitna revizija v preiskavi

Oddelek: Novice / Varnost
135179 (4419) BlueRunner

Več podobnih tem