Britansko združenje bank hotelo cenzurirati Univerzo v Cambridgeu
Matej Huš
26. dec 2010 ob 10:38:40
Letos februarja je bilo na BBC-ju javno razkrito, da je trenutni sistem ugotavljanja istovetnosti uporabnika plačilne kartice luknjičav. Ker se pravilnost vnesenega PIN-a preverja proti kartici in ne proti centralni bazi podatkov v banki, je moč pretentati POS-terminal in z uporabo lažne kartice doseči, da se transakcije sprovede z vnosom poljubne kombinacije namesto PIN-a. Banke v desetih mesecih niso storile ničesar.
Podiplomski študent Omar S. Choudary na Cambridgeu je pripravil magistrsko nalogo The Smart Card Detective:
a hand-held EMV interceptor in jo tudi objavil na fakultetnih straneh. V njej je raziskal pomanjkljivost in izdelal sistem, ki omogoča zlorabo te deset mesecev javno znane luknje.
UK Cards Association (britanski ekvivalent slovenskega Bankarta) je zato naslovil pismo na Univerzo v Cambridgeu, v katerem so od njih zahtevali, da omenjeno magistrsko delo umaknejo s spleta, saj da vsebuje informacije, ki bi lahko bile uporabljene za zlorabo kartičnega sistema. Izrazili so zaskrbljenost, da Cambridge podpira in objavlja tovrstno raziskovalno delo.
Predstojnik katedre, kjer je Choudary predložil svoje delo in čaka na zagovor, je odgovoril, da si seveda ne bodo pustili določati, kaj je objavljivo in kaj ni. Dodaja, da so vse informacije iz dela že javno znane več kot leto dni (prvi članki o tem napadu so bili napisani 2009 in vključujejo celo več informacij kakor to magistrsko delo).
Vsekakor pa je zelo žalostno, da se banke še vedno vedejo kot okoreli mastodonti. Zgodovina bi jih bila morala že zdavnaj naučiti, da se varnosti s skrivanjem protokolov pač ne da doseči. In če se neka luknja objavi, jo je potrebno zakrpati, ne pa preganjati vseh, ki si drznejo pisati o njej.