Prelomená ochrana Chip and PIN kariet -- na získanie peňazí nepotrebujete PIN

Výskumníci z počítačového laboratória Cambridge University pod vedením prof. Andersona zverejnili ďalší zo série útokov na karty typu Chip and PIN.

Vytvorením zariadenia, ktorý realizuje útok typu Man in the Middle je možné získať z Chip and PIN karty peniaze bez nutnosti zadať PIN.

Zariadenie (na obrázku) pozostáva z falošnej karty napojenej na zariadenie, do ktorého sa vloží pôvodná karta. Falošná karta je pritom úplne pod kontrolou útočníka.



Útok funguje nasledovne (jedná sa o zjednodušený pohľad, detaily v zdroji článku):

1.) Zariadenie, ktoré sa snaží uskutočniť s kartou platbu sa najprv falošnej karty opýta na správnosť zadania PINu. Falošná karta potvrdí akýkoľvek PIN (napríklad 0000).

2.) Zariadenie pošle požiadavku na autorizáciu transakcie, ktorá obsahuje sumu. Výstupom je potvrdenie čipu o autorizácii. Falošná karta toto potvrdenie vydať nemôže, pretože nemá údaje na to potrebné. Tie sa nachádzajú na pôvodnom čipe. Požiadavku teda len jemne pozmení -- pridá informáciu, že sa jedná o transakciu, ktorá bude overená podpisom. Požiadavku prepošle pôvodnej karte.

3.) Pôvodná karta potvrdí transakciu, keďže má byť overená podpisom, nevyžaduje žiadny PIN.

4.) Potvrdenie falošná karta predá zariadeniu, ktoré platbu požadovalo.

5.) Zariadenie si myslí, že transakcia prebehla v poriadku a bol zadaný správny PIN. Karta si myslí, že vydala potvrdenie pre transakciu overovanú podpisom. Nešťastný majiteľ pôvodnej karty príde o svoje peniaze a útočník nemusel ani falšovať podpis ani poznať PIN.



Praktické použitie tejto techniky bude závisieť len od schopnosti útočníkov miniaturizovať zariadenie (v prípade, že útok funguje aj v bankomatoch ani toto nie je obzvlášť potrebné) a od toho, ako na tento útok zareagujú vydavatelia Chip and PIN kariet. Vymeniť všetky vydané karty ale nie je jednoduché.

Útok má však aj iný dôsledok: banky doteraz dávali zodpovednosť na držiteľa karty, v prípade, že bol zadaný správny PIN. Ako však vidíme, banka tento fakt v tomto prípade nemá ako overiť.

Autori štúdie tvrdia, že sú v kontakte s ľuďmi, ktorým banky tvrdia, že ich transakcie boli verifikované PINom (a teda neručia za peniaze vybraté po ukradnutí karty), ale podľa týchto ľudí PIN nemali nikde napísaný a nikto ho nemohol uhádnuť ani nijak získať. To by nasvedčovalo tomu, že tomuto útoku podobný útok môže byť realizovaný útočníkmi aj v praxi.

Keďže sa nejedná o problém konkrétnych bánk, ale rôznych vydavateľov, bude riešenie pravdepodobne zložité a tak skoro sa ho nedočkáme.

Zdroj: http://www.cl.cam.ac.uk/.../oakland10chipbroken.pdf

Publikované 14.02.2010
 
všetky

Udalosti

Udalosť SOIT Iná udalosť
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  
Zoznam udalostí pre Váš kalendár
(.ics formát)
všetky

Galéria

IMG_20120319_114424.jpg ()
IMG_20120319_145030.jpg ()
IMG_20120319_161055.jpg ()
IMG_20120319_114415.jpg ()
IMG_20120320_113709.jpg ()
IMG_20120319_153253.jpg ()
IMG_20120319_100722.jpg ()
IMG_20120319_150753.jpg ()
IMG_20120320_113356.jpg ()
DSCF4417.JPG ()
DSCF4427.JPG ()
DSCF4391.JPG ()
DSCF4429.JPG ()
DSCF4421.JPG ()
DSCF4419.JPG ()
DSCF4425.JPG ()
DSCF4416.JPG ()
DSCF4396.JPG ()
DSCF4410.JPG ()
soit-ossconf11-101.jpg ()
soit-ossconf11-107.jpg ()
soit-ossconf11-097.jpg ()
soit-ossconf11-105.jpg ()
soit-ossconf11-057.jpg ()
soit-ossconf11-006.jpg ()
soit-ossconf11-106.jpg ()
soit-ossconf11-099.jpg ()
soit-ossconf11-095.jpg ()
soit-ossconf11-098.jpg ()
DSCF3671.JPG (Bla)
DSCF3640.JPG ()
DSCF3647.JPG ()
DSCF3664.JPG ()
DSCF3663.JPG ()
DSCF3665.JPG ()
DSCF3672.JPG ()
DSCF3670.JPG ()
DSCF3655.JPG ()
DSCF3643.JPG ()
DSCF1573.JPG ()
DSCF1577.JPG ()
DSCF1572.JPG ()
DSCF1578.JPG ()
DSCF1571.JPG ()
DSCF1576.JPG ()
DSCF1574.JPG ()
DSCF1575.JPG ()
DSCF1570.JPG ()
DSCF1550.JPG ()
DSCF1564.JPG ()
DSCF1565.JPG ()
DSCF1569.JPG ()
DSCF1559.JPG ()
DSCF1568.JPG ()
DSCF1567.JPG ()
DSCF1561.JPG ()
DSCF1554.JPG ()
DSCF1552.JPG ()
DSCF1562.JPG ()
ossconf10-13.jpg (Využívaš aj ty dáta z projektu OpenStreetMap? ... Áno a často :-))
ossconf10-03.jpg ()
ossconf10-04.jpg ()
ossconf10-02.jpg ()
ossconf10-09.jpg ()
ossconf10-12.jpg ()
ossconf10-08.jpg ()
ossconf10-11.jpg ()
ossconf10-06.jpg ()
ossconf10-14.jpg ()
DSCF1534.JPG ()
DSCF1533.JPG ()
DSCF1532.JPG ()
DSCF1530.JPG ()
DSCF1529.JPG ()
DSCF1531.JPG ()
DSCF1503.JPG ()
DSCF1502.JPG ()
DSCF1500.JPG ()
DSCF1505.JPG ()
DSCF1506.JPG ()
DSCF1507.JPG ()
DSCF1501.JPG ()
DSCF1497.JPG ()
DSCF1489.JPG ()
DSCF1491.JPG ()
DSCF1476.JPG ()
DSCF1453.JPG ()
DSCF1463.JPG ()
DSCF1486.JPG ()
DSCF1484.JPG (Pozvaný prednášajúci doc. Rybička)
DSCF1482.JPG ()
DSCF1487.JPG ()
DSCF1473.JPG ()
DSCF1477.JPG ()
DSCF1475.JPG ()
DSCF1515.JPG ()
DSCF1523.JPG ()
DSCF1510.JPG ()
DSCF1528.JPG ()
DSCF1518.JPG ()
DSCF1525.JPG ()
DSCF1522.JPG ()
DSCF1517.JPG ()
DSCF1516.JPG ()
DSCF1512.JPG ()
 
 

Pridajte sa k nám

Napíšte nám

info@soit.sk

Staňte sa členom

vyplniť prihlášku

Newsletter

Except where otherwise noted, content on this site is licensed under a Creative Commons Attribution 3.0 License
This web site is proudly powered by Cyclone3 and XUL CMS.