Σύμφωνα με Βρετανούς ερευνητές είναι δυνατή η χρέωση μίας κάρτας με chip χωρίς το απαραίτητο PIN. Οι ερευνητές από το Πανεπιστήμιο του Cambridge εντόπισαν σημαντικό κενό ασφάλειας στο πρωτόκολλο ΕΜV (Europay, MasterCard και Visa) πάνω στο οποίο βασίζονται οι συναλλαγές πιστωτικών και χρεωστικών καρτών με chip και PIN. Tα συμπεράσματα της έρευνας τους καταγράφονται σε επιστημονική δημοσίευση με τίτλο "Chip and PIN is Broken".
"Η προστασία μέσω του chιp και του PIN είναι πλέον θεμελιωδώς διάτρητη", σύμφωνα με τον καθ. Ross Anderson του Πανεπιστήμιου του Cambridge. "Οι τράπεζες και οι έμποροι βασίζονται πάνω στην φράση "Verified by PIN", αλλά αυτό δεν έχει καμία αξία πλέον."
Αυτό που κατάφεραν οι ερευνητές είναι να ξεγελάσουν μία έναν συσκευή ανάγνωσης χρεωστικών και πιστωτικών καρτών και μόνο με την χρήση της κάρτας και και χωρίς να έχει εισαχθεί το σωστό PIN να πραγματοποιήσουν συναλλαγή. Οι κάρτες που χρησιμοποίησαν για την έρευνα τους ήταν από έξι διαφορετικές βρετανικές τράπεζες/εταιρείες (Barclaycard, Co-operative Bank, Halifax, Bank of Scotland, HSBC και John Lewis).
"H διαδικασία που ακολουθήθηκε δεν απαιτεί ιδιαίτερες τεχνικές γνώσεις", δήλωσε ο Steven Murdoch ο οποίος πήρε μέρος στην έρευνα μαζί με τον R. Andrerson και τον Saar Drimer.
Η διαδικασία πιστοποίησης της εγκυρότητας μιας συναλλαγής μέσω του συστήματος chip και PIN είναι οι εξής: η κάρτα εισάγεται στο τερματικό, ο κάτοχος της κάρτας εισάγει τον κωδικό (PIN) του στο τερματικό, ο κωδικός αυτός συγκρίνεται με το PIN που είναι αποθηκευμένο στο chip της κάρτας. Αν οι δύο κωδικοί είναι ίδιοι τότε το chip στέλνει στο τερματικό το μήνυμα 0x9000, ως επιβεβαίωση.
Αυτό που κατάφεραν οι ερευνητές του Cambridge είναι να δημιουργήσουν μία συσκευή man-in-the-middle η οποία διαβάζει την χρεωστική ή πιστωτική κάρτα, λειτουργώντας ως τερματικό, και την κατάλληλη στιγμή στέλνει το μήνυμα 0x9000 ανεξαρτήτως αν έχει εισαχθεί ο κωδικός (PIN) ή όχι. Στην επίδειξη που έγινε χρησιμοποιήθηκε μία τυπική τερματική συσκευή ανάγνωσης καρτών της Alcor Micro.
Το τερματικό αυτό συνδέθηκε σε φορητό υπολογιστή που έτρεχε script σε Python και ο φορητός υπολογιστής συνδέθηκε σειριακά με κύκλωμα FPGA (field-programmable gate array). Mέσω του chip Maxim 1740 το οποίο ήταν συνδεδεμένο στο FPGA συνδέθηκε τέλος (με λεπτά καλώδια) η πλαστή κάρτα που χρησιμοποιήθηκε για την δοκιμή.
Μόλις η κάρτα αυτή εισήχθηκε στο τερματικό, άρχισε να τρέχει το Python script στον φορητό και έτσι, αποστέλλοντας το μήνυμα 0x9000, παρέκαμψε την πιστοποίηση του PIN.
O καθ. Anderson σημείωσε πως σε περιπτώσεις αμφισβητούμενων συναλλαγών, αν η συναλλαγή έχει γίνει με PIN, τότε η ευθύνη βαρύνει πλέον τον κάτοχο της κάρτας και όχι την τράπεζα ή το εμπορικό κατάστημα.
Σύμφωνα με το UK Payments Administration, όργανο το οποίο εκπροσωπεί τα συμφέροντα των εταιρειών καρτών, η μεγάλη πλειονότητα συναλλαγών καρτών στην Βρετανία γίνεται μέσω chip και PIN.
O Mark Bowerman, εκπρόσωπος του UK Payments Administration, δήλωσε πως γνωρίζει την έρευνα του πανεπιστημίου αλλά δεν αποδέχεται τα συμπεράσματα της.
"Λαμβάνουμε πολύ σοβαρά υπόψη μας το εν λόγω άρθρο, στα πλαίσια της διατήρησης της μέγιστης ασφάλειας των συναλλαγών, δήλωσε. "Όμως απορρίπτουμε τελείως τον ισχυρισμό πως το chip και το PIN έσπασαν."
O κ. Bowermar σημείωση πως δεν υπάρχουν αποδείξεις διενέργειας επιθέσεων σε εμπορικά καταστήματα του είδους των επιθέσεων που περιγράφονται στο άρθρο του Cambridge. Επίσης υπογράμμισε την σημασία της χρήσης του chip και του PIN στην μείωση των περιστατικών απάτης σε βάρος κατόχων καρτών.
Πηγή: Zdnet.co.uk
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου