Bezpečnostná diera v technológii platobných kariet Chip & PIN

karty.jpg Na kon­fe­ren­cii Can­SecWest, kto­rá sa ko­na­la vo Van­cou­ve­ri, pre­zen­to­va­li šty­ria exper­ti spô­sob, ako pre­lo­miť za­bez­pe­če­nie ka­riet ty­pu EMV (Euro­pay, Mas­ter­Card, Vi­sa). Ten­to­raz sa skim­mer­ský útok ne­reali­zo­val pou­ži­tím ban­ko­ma­tu, ale pla­tob­né­ho ter­mi­ná­lu POS (Point of Sa­le), a to tým spô­so­bom, že exper­ti vlo­ži­li do ter­mi­ná­lu POS vlast­ný in­teg­ro­va­ný ob­vod, kto­rý hral úlo­hu spros­tred­ko­va­te­ľa me­dzi kar­tou a har­dvé­rom ter­mi­ná­lu.

Prin­cíp úto­ku spo­čí­va v obí­de­ní tra­dič­né­ho spô­so­bu, akým sa bu­de kar­ta ove­ro­vať. Tá ob­sa­hu­je sú­bor CVM (Car­dhol­der Ve­ri­fi­ca­tion Met­hod), kde je ulo­že­ný zoz­nam dos­tup­ných spô­so­bov na ove­re­nie kar­ty (pod­pi­som na pa­pier, PIN kó­dom on-li­ne ale­bo off-li­ne a kom­bi­ná­ciou da­ných spô­so­bov). Jed­ným z nich je aj ove­re­nie PIN kó­dom ne­šif­ro­va­ným spô­so­bom lo­kál­ne v či­pe kar­ty. Te­da PIN kód sa na účel ove­re­nia ne­po­sie­la cez sieť na vzdia­le­ný sys­tém, ale pria­mo do in­teg­ro­va­né­ho či­pu na pla­tob­nej kar­te.

A prá­ve ten­to spô­sob ove­re­nia si exper­ti vy­nú­ti­li na­si­mu­lo­va­ním up­ra­ve­né­ho sú­bo­ru CVM, kto­rý pri­ká­zal ter­mi­ná­lu POS pos­lať PIN kód za­da­ný pou­ží­va­te­ľom v ne­šif­ro­va­nej po­do­be do či­pu pla­tob­nej kar­ty. Po­tom už nie je zlo­ži­té ten­to kód za­chy­tiť po­mo­cou vlo­že­né­ho in­teg­ro­va­né­ho ob­vo­du. Skim­mer sa pri pou­ži­tí toh­to úto­ku ne­mu­sí za­ují­mať o to, či kar­ta ob­sa­hu­je jed­no­duch­ší čip SDA bez šif­ro­va­nia ale­bo pok­ro­či­lej­ší DDA, kto­rý bol až do­te­raz po­va­žo­va­ný za bez­peč­ný.

Ke­by skim­mer ta­kým­to spô­so­bom zís­kal od ne­ja­ké­ho ma­ji­te­ľa kar­ty PIN, mu­sel by eš­te buď uk­rad­núť je­ho kar­tu, ale­bo sko­pí­ro­vať jej mag­ne­tic­ký prú­žok. Dru­hý spô­sob by bol pre útoč­ní­ka uži­toč­ný len v prí­pa­de, že kar­ta neob­sa­hu­je vo svo­jom či­pe za­bu­do­va­ný kód iCVV.

To, že v návr­hu pro­to­ko­lu sú ne­dos­tat­ky, je zná­me už viac ako 5 ro­kov, keď vý­skum­ní­ci z Uni­ver­si­ty of Cam­brid­ge opí­sa­li me­tó­du úto­ku na kar­ty s či­pom SDA. Prib­liž­ne pred ro­kom tí is­tí an­glic­kí exper­ti ob­ja­vi­li v da­nej tech­no­ló­gii aj ďal­šiu bez­peč­nos­tnú chy­bu. Pod­ľa jed­né­ho z exper­tov bu­de prob­le­ma­tic­ké tú­to bez­peč­nos­tnú di­eru op­ra­viť, keď­že sa na­chá­dza v ko­mu­ni­kač­nom pro­to­ko­le a v mno­hých čas­tiach sve­ta sa tá­to tech­no­ló­gia už pou­ží­va.

Zdroj:
www.h-on­li­ne.com
dev.in­ver­se­path.com



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter