Video: весёлое открытие бокс 3 бравлера за открытие боксов (November 2024)
Za naše bralce v ZDA plačevanje s kreditno kartico pomeni poteg magnetnega traku. Toda za ljudi iz večine Evrope in drugih držav to pomeni, da vstavite svojo čip kartico v čitalnik in vnesete svojo PIN. Ta tako imenovana rešitev za čipe in PIN že dolgo velja za veliko boljše od ameriškega poteg in v večini je. Obstaja pa nekaj resnih vprašanj, kako se shema izvaja.
Ross Anderson je predstavil zgodovino svoje ekipe pri preiskovanju čip in PIN kartic v Black Hatu letos. Anderson je za sistem, zasnovan tako, da ga je težje prevarati, presenetljivo povedal.
Kavalkada napak
Hitro osvežitev čipov in PIN: potrošniki pri nakupih vstavljajo svoje kartice. Nato vnesejo svoj PIN, kar potrdi kartica na napravi - ko deluje, PIN nikoli ne sme zapustiti bralca. Kartica se nato z banko pogovori za avtorizacijo transakcije in prodaja se opravi. Na papirju se vse sliši super.
Anderson se je sprehodil po več nenavadnih ranljivosti, ki jih je našel on in njegova ekipa in druge, ki so jih najprej opazili v naravi in nato obrnili varnostni strokovnjaki.
Številni napadi so se osredotočili na naprave, s katerimi so trgovci opravljali transakcije, in na bankomate. Njegova ekipa je ugotovila, da več naprav v resnici ni bilo narejenih po varnostnih specifikacijah, za katere so trdili, da upoštevajo. Z minimalnim naporom je dejal, da lahko med prodajo prisluhnejo napravam in izvlečejo PIN.
Drugi napadi so vključevali namestitev tistega, kar je Anderson imenoval "zlobna elektronika" na bralce, da bi zajemal podatke o transakcijah. V enem primeru so prevaranti nameščali svoje zle izdelke v čitalce kartic, preden so jih sploh verjeli trgovcem.
A bilo je še veliko drugih napadov, kot so vstavljanje elektornikov neposredno na kartice čipov in PIN, povezovanje kartic s skritimi napravami, ki so tatu dovolile odobritev kartice s poljubno naključno kodo in celo napadi, ki so "predvajali" transakcije na različnih lokacijah.
Tehnično vrhunsko, praktično problematično
Andersona sem vprašal, če se po vseh pomanjkljivostih, ki jih je našel s čipom in iglico, še vedno zdi, da je boljše od poteznih kartic. Bil je nedvoumen: kartice s čipi in PIN so tehnično boljše samo zato, ker jih je veliko težje klonirati kot povlecite kartice.
Večja težava je v tem, kako so v Evropi uvedli čip in PIN. Anderson je pojasnil, da so banke, da bi lahko zamenjale evropske trgovce, trgovcem obljubile, da bodo odgovorne za goljufive stroške. S poteznimi karticami se preprodajalec preprosto obrne na trgovca. Anderson je to poimenoval "premik odgovornosti."
Zveni kot dober načrt, toda resničnost je bila precej kruta. Anderson je dejal, da so banke goljufije pogosto krivile banke, ki so jih obtožile, da so nekako izpostavili svoje PIN-ove. V drugih primerih so se banke preprosto premislile in trgovce obrnile. V skrajnih primerih so banke in podjetja s kreditnimi karticami zavrnile obtožbe zoper znane prevarante, očitno iz zadrege.
Zdi se, da nihče ni hotel prevzeti odgovornosti za goljufijo s čipi in PIN. Anderson je vprašal, "če banka za goljufijo ne plača, zakaj bi razblinili črevesje, da bi jo ohranili?"
Anderson je tudi kritiziral avtorje dokumentacije o čipu in PIN, da nimajo jasne vizije, in pustil je, da je dokumentacija ostala brez nadzora. To je označil za tragedijo občine in ugotovil, da nihče ni stopil naprej k avtorju posodobljene različice, ki bi dejansko lahko spremenila potrebne varnostne spremembe standarda.
Prihajam v Ameriko
Naši bralci v ZDA, zadovoljni s svojimi poteznimi karticami, se morda sprašujejo, zakaj bi jim to sploh moralo biti pomembno. Obstaja en preprost razlog: kartice čipov in PIN so pripravljene za uvedbo v to državo. Anderson je dejal, da bodo banke prehod do leta 2015 izvedle.
V tej državi stvari morda ne bodo šle tako slabo. Na primer, le nekatere banke se odločajo za sheme čipov in PIN, druge banke pa bodo uvedle kartice za čipe in podpise. Ta načrt preverjanja pristnosti je bil uporabljen v Singapurju in je zasnovan tako, da zagotavlja večjo zaščito potrošnikov. Anderson je tudi opozoril, da vloga Zveznih rezerv v ameriškem bančništvu ponuja tudi večjo zaščito potrošnikov - ob predpostavki, da v bližnji prihodnosti ne bo drastično izginila.
Po njegovem mnenju je bila tudi vloga, da bi lahko občinstvo Black Hat igralo. "To ni en sam protokol; to je velik, naključen, spreten pripomoček za izdelavo plačilnih protokolov, " je dejal. "Lahko si zamislite nekaj, kar je resnično varno, ali nekaj, kar je resnično krvavo grozno."
Tu je upanje, da bomo dobili prvega.