Βρετανία: Σημαντικό κενό ασφάλειας ανακαλύφθηκε στις τραπεζικές κάρτες με chip και PIN

[nm96027]

Σύμφωνα με Βρετανούς ερευνητές είναι δυνατή η χρέωση μίας κάρτας με chip χωρίς το απαραίτητο PIN. Οι ερευνητές από το Πανεπιστήμιο του Cambridge εντόπισαν σημαντικό κενό ασφάλειας στο πρωτόκολλο ΕΜV (Europay, MasterCard και Visa) πάνω στο οποίο βασίζονται οι συναλλαγές πιστωτικών και χρεωστικών καρτών με chip και PIN. Tα συμπεράσματα της έρευνας τους καταγράφονται σε επιστημονική δημοσίευση με τίτλο "Chip and PIN is Broken".

"Η προστασία μέσω του chιp και του PIN είναι πλέον θεμελιωδώς διάτρητη", σύμφωνα με τον καθ. Ross Anderson του Πανεπιστήμιου του Cambridge. "Οι τράπεζες και οι έμποροι βασίζονται πάνω στην φράση "Verified by PIN", αλλά αυτό δεν έχει καμία αξία πλέον."

Αυτό που κατάφεραν οι ερευνητές είναι να ξεγελάσουν μία συσκευή ανάγνωσης χρεωστικών και πιστωτικών καρτών και μόνο με την χρήση της κάρτας και και χωρίς να έχει εισαχθεί το σωστό PIN να πραγματοποιήσουν συναλλαγή. Οι κάρτες που χρησιμοποίησαν για την έρευνα τους ήταν από έξι διαφορετικές βρετανικές τράπεζες/εταιρείες (Barclaycard, Co-operative Bank, Halifax, Bank of Scotland, HSBC και John Lewis).

"H διαδικασία που ακολουθήθηκε δεν απαιτεί ιδιαίτερες τεχνικές γνώσεις", δήλωσε ο Steven Murdoch ο οποίος πήρε μέρος στην έρευνα μαζί με τον R. Andrerson και τον Saar Drimer.

Η διαδικασία πιστοποίησης της εγκυρότητας μιας συναλλαγής μέσω του συστήματος chip και PIN είναι οι εξής: η κάρτα εισάγεται στο τερματικό, ο κάτοχος της κάρτας εισάγει τον κωδικό (PIN) του στο τερματικό, ο κωδικός αυτός συγκρίνεται με το PIN που είναι αποθηκευμένο στο chip της κάρτας. Αν οι δύο κωδικοί είναι ίδιοι τότε το chip στέλνει στο τερματικό το μήνυμα 0x9000, ως επιβεβαίωση.

Αυτό που κατάφεραν οι ερευνητές του Cambridge είναι να δημιουργήσουν μία συσκευή man-in-the-middle η οποία διαβάζει την χρεωστική ή πιστωτική κάρτα, λειτουργώντας ως τερματικό, και την κατάλληλη στιγμή στέλνει το μήνυμα 0x9000 ανεξαρτήτως αν έχει εισαχθεί ο κωδικός (PIN) ή όχι. Στην επίδειξη που έγινε χρησιμοποιήθηκε μία τυπική τερματική συσκευή ανάγνωσης καρτών της Alcor Micro. Το τερματικό αυτό συνδέθηκε σε φορητό υπολογιστή που έτρεχε script σε Python και ο φορητός υπολογιστής συνδέθηκε σειριακά με κύκλωμα FPGA (field-programmable gate array). Mέσω του chip Maxim 1740 το οποίο ήταν συνδεδεμένο στο FPGA συνδέθηκε τέλος (με λεπτά καλώδια) η πλαστή κάρτα που χρησιμοποιήθηκε για την δοκιμή.

Μόλις η κάρτα αυτή εισήχθηκε στο τερματικό, άρχισε να τρέχει το Python script στον φορητό και έτσι, αποστέλλοντας το μήνυμα 0x9000, παρέκαμψε την πιστοποίηση του PIN.

O καθ. Anderson σημείωσε πως σε περιπτώσεις αμφισβητούμενων συναλλαγών, αν η συναλλαγή έχει γίνει με PIN, τότε η ευθύνη βαρύνει πλέον τον κάτοχο της κάρτας και όχι την τράπεζα ή το εμπορικό κατάστημα.

Σύμφωνα με το UK Payments Administration, όργανο το οποίο εκπροσωπεί τα συμφέροντα των εταιρειών καρτών, η μεγάλη πλειονότητα συναλλαγών καρτών στην Βρετανία γίνεται μέσω chip και PIN.

O Mark Bowerman, εκπρόσωπος του UK Payments Administration, δήλωσε πως γνωρίζει την έρευνα του πανεπιστημίου αλλά δεν αποδέχεται τα συμπεράσματα της.

"Λαμβάνουμε πολύ σοβαρά υπόψη μας το εν λόγω άρθρο, στα πλαίσια της διατήρησης της μέγιστης ασφάλειας των συναλλαγών, δήλωσε. "Όμως απορρίπτουμε τελείως τον ισχυρισμό πως το chip και το PIN έσπασαν."

O κ. Bowermar σημείωση πως δεν υπάρχουν αποδείξεις διενέργειας επιθέσεων σε εμπορικά καταστήματα του είδους των επιθέσεων που περιγράφονται στο άρθρο του Cambridge. Επίσης υπογράμμισε την σημασία της χρήσης του chip και του PIN στην μείωση των περιστατικών απάτης σε βάρος κατόχων καρτών.

Πηγή: Zdnet.co.uk

[thanatos]

O καθ. Anderson σημείωσε πως σε περιπτώσεις αμφισβητούμενων συναλλαγών, αν η συναλλαγή έχει γίνει με PIN, τότε η ευθύνη βαρύνει πλέον τον κάτοχο της κάρτας και όχι την τράπεζα ή το εμπορικό κατάστημα.

Εεεεε;;;;;;;;;;;;;;

[nm96027]

Εεεεε;;;;;;;;;;;;;;

Λογικό είναι. Όπως και στις περιπτώσεις συναλλαγών όπου ο κάτοχος της κάρτας έχει υπογράψει με την υπογραφή του η οποία χαρακτηρίζεται ως γνήσια, τότε η συναλλαγή αυτή δεν μπορεί να αμφισβητηθεί από τον κάτοχο.

Έτσι και σε συναλλαγές με PIN ο κάτοχος δεν μπορεί να αμφισβητήσει την συναλλαγή εύκολα.

[Anarki]

O κ. Bowermar σημείωση πως δεν υπάρχουν αποδείξεις διενέργειας επιθέσεων σε εμπορικά καταστήματα του είδους των επιθέσεων που περιγράφονται στο άρθρο του Cambridge. Επίσης υπογράμμισε την σημασία της χρήσης του chip και του PIN στην μείωση των περιστατικών απάτης σε βάρος κατόχων καρτών.

Εντάξει κ. Bowermar, περιμέντε να υπάρξουν επιθέσεις πρώτα, τώρα που έγινε κιόλας γνωστός ο τρόπος, και μετά πάρτε μέτρα. Μάλλον λείπει η λέξη preemption από το λεξιλόγιο της μητρικής σας γλώσσας.

[nnn]

Τρίχες κατσαρές μάλιστα, πιο εύκολα κλέβεις τα στοιχεία της κάρτας παρά βάζεις ενδιάμεσο μηχάνημα στο POS.

[euri]

O Mark Bowerman, εκπρόσωπος του UK Payments Administration, δήλωσε πως γνωρίζει την έρευνα του πανεπιστημίου αλλά δεν αποδέχεται τα συμπεράσματα της.

"Λαμβάνουμε πολύ σοβαρά υπόψη μας το εν λόγω άρθρο, στα πλαίσια της διατήρησης της μέγιστης ασφάλειας των συναλλαγών, δήλωσε. "Όμως απορρίπτουμε τελείως τον ισχυρισμό πως το chip και το PIN έσπασαν."

Ναι, κοιτώντας το εντελώς τεχνικά, δεν έχει σπάσει κάποιο σύστημα κρυπτογράφησης ούτε γίνεται υποκλοπή του ΡΙΝ. Απλά γίνεται μια παράκαμψη του ελέγχου ΡΙΝ.

[ipo]

Σημαντική εξέλιξη...

Παρόλα αυτά η κάρτα πρέπει να κλαπεί για γίνει αυτό. Δεν μπορεί να κλωνοποιηθεί.

Όπως έγραψα και παλιότερα υπάρχει offline και online έλεγχος.

Το PIN είναι πράγματι αποθηκευμένο στην κάρτα με το EMV chip, αλλά όταν η τράπεζα απαιτεί online συναλλαγή, γίνεται επιπλέον έλεγχος του CCV (cryptographic check value). Επομένως αν η κάρτα δεν επιτρέπει offline συναλλαγές (visa electron) ελέγχεται ένας κωδικός offline και ένας online. Πρακτικά εσύ δίνεις την έγκριση ότι η κάρτα είναι δική σου και η τράπεζα ότι η κάρτα έχει εκδοθεί από εκείνη. Η πρώτη διαδικασία γίνεται offline και η δεύτερη online.

Όποιος θέλει να μελετήσει το σύστημα, μπορεί να διαβάσει εδώ.

Οι ερευνητές λένε λοιπόν ότι παρέκαμψαν τον offline έλεγχο, πράγμα το οποίο δεν είναι πολύ παράξενο. Κανονικά και οι δύο έλεγχοι θα έπρεπε να είναι online. Τόσο εκείνος που αφορά την αυθεντικότητα της κάρτας, όσο κι εκείνος που πιστοποιεί τον χρήστη. Το είχαμε συζητήσει και στο παρελθόν.

[thanatos]

Λογικό είναι. Όπως και στις περιπτώσεις συναλλαγών όπου ο κάτοχος της κάρτας έχει υπογράψει με την υπογραφή του η οποία χαρακτηρίζεται ως γνήσια, τότε η συναλλαγή αυτή δεν μπορεί να αμφισβητηθεί από τον κάτοχο.

Έτσι και σε συναλλαγές με PIN ο κάτοχος δεν μπορεί να αμφισβητήσει την συναλλαγή εύκολα.

Ακόμα δεν το καταλαβαίνω.Αυτό που λες το καταλαβαίνω ως ισχύον μέχρι τούδε.
Αφού όμως εφ'εξής δι'αυτού του συστήματος ο επίδοξος κλέφτης και απατεών δεν χρειάζεται το pin τότε;;;;;;
What am I missing?

[ipo]

Ακόμα δεν το καταλαβαίνω.Αυτό που λες το καταλαβαίνω ως ισχύον μέχρι τούδε.
Αφού όμως εφ'εξής δι'αυτού του συστήματος ο επίδοξος κλέφτης και απατεών δεν χρειάζεται το pin τότε;;;;;;
What am I missing?

Εννοείται ότι οφείλουν να αναθεωρήσουν την πολιτική αμφισβήτησης και σε αυτήν την περίπτωση. Υπενθυμίζω ότι αμφισβήτηση γίνεται πάντοτε, απλά με το chip είναι πιο χρονοβόρα.

[thanatos]

Εννοείται ότι οφείλουν να αναθεωρήσουν την πολιτική αμφισβήτησης και σε αυτήν την περίπτωση. Υπενθυμίζω ότι αμφισβήτηση γίνεται πάντοτε, απλά με το chip είναι πιο χρονοβόρα.

Δεν κατανοώ αν συμφωνείς ή διαφωνείς μαζί μου.Πάμε πάλι:

O καθ. Anderson σημείωσε πως σε περιπτώσεις αμφισβητούμενων συναλλαγών, αν η συναλλαγή έχει γίνει με PIN, τότε η ευθύνη βαρύνει πλέον τον κάτοχο της κάρτας και όχι την τράπεζα ή το εμπορικό κατάστημα.

Pourquoi?
Εκτός και αν το πλέον νοείται με την αρχαία σημασία του, ήτοι ως συγκριτικός βαθμός του πολύ.

[ipo]

Δεν κατανοώ αν συμφωνείς ή διαφωνείς μαζί μου.Πάμε πάλι:
Pourquoi?
Εκτός και αν το πλέον νοείται με την αρχαία σημασία του, ήτοι ως συγκριτικός βαθμός του πολύ.

Αρχικό άρθρο:

Anderson noted that in disputed transactions, if the transaction has been verified by PIN, the liability for the loss rests on the consumer rather than on the bank or merchant.

Στο αρχικό άρθρο λοιπόν δεν υπάρχει παρανόηση.

Από εκεί και πέρα στη μετάφραση στο forum:
Με το "πλέον", ο μεταφραστής εννοεί (νομίζω), "από την πρόσφατη εποχή χρήσης του EMV και μετά". Εύστοχη μετάφραση, διότι για την Ελλάδα, η εποχή χρήσης του EMV δεν είναι ακόμα στην ακμή της, αλλά μάλλον στην αρχή.

Δηλαδή το "πλέον" δεν πάει στο "από τη στιγμή που κοινοποιήθηκε η ύπαρξη μίας μεθόδου παράκαμψης".

[nm96027]

Η μετάφραση εννοεί ότι άπαξ και χρησιμοποιηθεί/υιοθετηθεί/χρησιμοποιείται γενικότερα το PIN η δυνατότητα αμφισβήτησης περιορίζεται σημαντικά και η ευθύνη επικεντρώνεται στον κάτοχο.

Η υιοθέτηση του συνδυασμού chip και PIN δεν είναι γενικευμένη εξ ου και η επιλογή της λέξης, που προκάλεσε ερωτηματικά. Αν θεωρείται ατυχής, mea culpa.

[thanatos]

Αρχικό άρθρο:

Στο αρχικό άρθρο λοιπόν δεν υπάρχει παρανόηση.

Από εκεί και πέρα στη μετάφραση στο forum:
Με το "πλέον", ο μεταφραστής εννοεί (νομίζω), "από την πρόσφατη εποχή χρήσης του EMV και μετά". Εύστοχη μετάφραση, διότι για την Ελλάδα, η εποχή χρήσης του EMV δεν είναι ακόμα στην ακμή της, αλλά μάλλον στην αρχή.

Δηλαδή το "πλέον" δεν πάει στο "από τη στιγμή που κοινοποιήθηκε η ύπαρξη μίας μεθόδου παράκαμψης".

Τώρα κοιτούσα και εγώ τα αρχικό αγγλόφωνο άρθρο.Οκ,μεταφραστική διολίσθηση και παρανόηση.Δεν θα το έλεγα εύστοχη μετάφραση,νoμίζω ότι προφανώς χρήζει διορθώσεως...
P.S.
Δεν προσπαθώ να μειώσω ,σημειωτέον,τους κόπους τους παιδιών του adslgr,του nm96027 συγκεκριμένα ή εσού.Εγώ (βασικά εσύ με πρόλαβες) απλώς εντόπισα μια μεταφραστική ατέλεια,εκείνoι έκαναν,εσείς κάνατε (και κάνετε γενικά) ολόκληρη μετάφραση...

[ninik]

Για να επιτευχθεί ένα τέτοιο workaround του PIN πρέπει η συναλλαγή να γίνει τοπικά (off line) είτε σε POS είτε σε ATM. Στην Ελλάδα όλες οι συναλλαγές γίνονται on line και στα δύο είδη συσκευών ( με μία εξαίρεση που δεν θα αναφέρω...) οπότε κάτι τέτοιο είναι αδύνατο να γίνει (προς το παρόν)

[ipo]

Για να επιτευχθεί ένα τέτοιο workaround του PIN πρέπει η συναλλαγή να γίνει τοπικά (off line) είτε σε POS είτε σε ATM. Στην Ελλάδα όλες οι συναλλαγές γίνονται on line και στα δύο είδη συσκευών ( με μία εξαίρεση που δεν θα αναφέρω...) οπότε κάτι τέτοιο είναι αδύνατο να γίνει (προς το παρόν)

Προφανώς πρέπει να γίνει τοπικά. Εννοείς ότι στην Ελλάδα για τις κάρτες με EMV chip (όχι για τις απλές μαγνητικές κάρτες), έχει αναπτυχθεί online σύστημα ελέγχου του PIN και όχι offline;

Το πρότυπο του EMV προβλέπει online έλεγχο της κάρτας, αλλά offline έλεγχο του PIN που είναι μέσα στο EMV chip.

Μπορείς να τεκμηριώσεις αυτά που λες;