Video: Montaj dressing usi glisante. (Noiembrie 2024)
Pentru cititorii noștri din SUA, a plăti cu un card de credit înseamnă a trece cu o bandă magnetică. Dar pentru oamenii din mare parte din Europa și din alte țări, înseamnă că introduceți cardul dvs. cip într-un cititor și introduceți codul PIN. Această soluție așa-numită cip și PIN a fost mult timp apreciată ca fiind mult superioară swipe-ului american și, în cele mai multe moduri, este. Există însă câteva probleme serioase cu privire la modul în care a fost implementată schema.
Ross Anderson a prezentat istoria echipei sale de investigare a cipurilor și cărților PIN la Black Hat în acest an. Pentru un sistem conceput să fie mai greu de înșelat, Anderson a avut o sumă surprinzătoare de spus.
O Cavalcadă de defecte
O actualizare rapidă pe cip și PIN: consumatorii își introduc cardurile atunci când fac cumpărături. Apoi introduc codul PIN, care este confirmat de cardul de pe dispozitiv - atunci când funcționează, codul PIN nu ar trebui să părăsească cititorul. Cardul discută apoi cu banca pentru a autentifica tranzacția, iar vânzarea se face. Pe hârtie, totul sună grozav.
Anderson a trecut prin mai multe vulnerabilități neadecvate găsite de el și echipa sa, și altele care au fost observate pentru prima dată în sălbăticie și apoi inversate de către experți în securitate.
Multe atacuri s-au concentrat pe dispozitivele pe care comercianții le-au folosit pentru a efectua tranzacții și bancomatele. Echipa sa a descoperit că mai multe dispozitive nu au fost făcute în conformitate cu specificațiile de securitate pe care pretindeau că le urmează. Cu un efort minim, el a spus că pot să cârmeze dispozitivele și să extragă codul PIN în timpul unei vânzări.
Alte atacuri au implicat instalarea a ceea ce Anderson a numit „electronică rea” pe cititori pentru a capta datele tranzacțiilor. Într-un caz, escrocii și-au instalat bunurile malefice în cititorii de carduri înainte de a fi eliberați chiar de comercianți.
Dar au existat multe alte atacuri, cum ar fi încorporarea electornicelor direct pe cipuri și carduri PIN, conectarea cartelelor la dispozitive ascunse, care au permis unui hoț să autorizeze cardul cu orice cod aleator, și chiar atacuri care „redau” tranzacțiile în diferite locații.
Tehnic superior, practic problematic
L-am întrebat pe Anderson dacă, după toate defectele pe care le-a găsit cu cip și știft, tot el a crezut că este superior cardurilor. El a fost fără echivoc: cardurile cu cip și PIN sunt superioare din punct de vedere tehnic pur și simplu pentru că sunt mult mai dificil de clonat decât swipe carduri.
Problema cea mai mare constă în modul în care cipurile și codurile PIN au fost lansate în Europa. Anderson a explicat că, pentru a determina comercianții europeni să schimbe, băncile le-au promis comercianților că vor fi responsabili pentru taxele frauduloase. Cu cardurile glisante, o taxă frauduloasă este inversată pur și simplu comerciantului. Anderson a numit asta „schimbarea răspunderii”.
Pare un plan bun, dar realitatea era destul de crudă. Anderson a spus că victimele fraudei au fost învinuite frecvent de bănci, care le-au acuzat că își expun codurile PIN cumva. În alte cazuri, băncile pur și simplu s-au răzgândit și au inversat taxele pentru comercianți. În cazuri extreme, băncile și companiile de cărți de credit au refuzat să depună taxe împotriva escrocherilor cunoscuți, aparent din jenă.
Se pare că nimeni nu voia să-și asume responsabilitatea pentru fraudarea cipurilor și a codurilor PIN. Anderson a întrebat: „dacă banca nu plătește pentru fraudă, de ce ar împiedica un intestin să-l păstreze în siguranță?”
Anderson a criticat, de asemenea, autorii documentației cip și PIN pentru că nu au o viziune clară și au lăsat spiralul documentației de sub control. El a numit-o o tragedie a bunurilor comune și a menționat că nimeni nu a făcut pas înainte către autor o versiune actualizată care ar putea efectua modificările de securitate necesare la standard.
Venind în America
Cititorii noștri din SUA, mulțumiți de cardurile glisante, s-ar putea să se întrebe de ce ar trebui să le conteze deloc acest lucru. Există un motiv simplu: cardurile cu cip și PIN sunt pregătite pentru a fi introduse în această țară. Anderson a spus că băncile urmează să facă tranziția până în 2015.
Este posibil ca lucrurile să nu meargă atât de prost în această țară. În primul rând, doar unele bănci optează pentru scheme de cipuri și PIN, în timp ce alte bănci vor extrage carduri de jetoane și semnătura. Acest plan de autentificare a fost utilizat în Singapore și este conceput pentru a oferi o protecție mai mare a consumatorilor. Anderson a remarcat, de asemenea, că rolul Rezervei Federale în domeniul bancar din SUA oferă, de asemenea, o protecție mai mare a consumatorilor - presupunând că în viitorul apropiat nu se va eroda drastic.
A spus, de asemenea, un rol în care publicul Black Hat ar putea juca. "Nu este un singur protocol; este un set de instrumente mare, întâmplător, priceput, pentru a construi protocoale de plată", a spus el. „Puteți veni cu ceva care este într-adevăr sigur, sau ceva cu adevărat îngrozitor”.
Iată în speranța că vom primi prima.