Πέμπτη 13 Σεπτεμβρίου 2012

Δεν είναι ασφαλείς οι τραπεζικές κάρτες με chip!

Ευπάθεια στο ευρέως χρησιμοποιούμενο σύστημα πληρωμών "chip and pin" διαπίστωσαν ερευνητές του Πανεπιστημίου Cambridge.

Οι τραπεζικές κάρτες με ενσωματωμένο τσιπ, βρέθηκαν να είναι τελικά πρόσφορες για κλωνοποίηση, παρά τις διαβεβαιώσεις από τις τράπεζες ότι η τεχνολογία chip and pin είναι απολύτως ασφαλής.

Η κακή εφαρμογή των μεθόδων κρυπτογραφίας ..............

φαίνεται να βρίσκεται πίσω από το ελάττωμα, λένε οι ερευνητές.

Μάλιστα, κατηγόρησαν ορισμένες τράπεζες ότι αποκρύπτουν "συστηματικά" πληροφορίες σχετικά με τα τρωτά σημεία του συστήματος, προκειμένου να μην καταβάλουν αποζημιώσεις σε πελάτες θύματα απάτης.

Τα αποτελέσματα της έρευνας, παρουσιάστηκαν σε συνέδριο κρυπτογραφίας στο Βέλγιο, την Τρίτη.

Σύμφωνα με αυτά, παρά το γεγονός ότι η τεχνολογία του τσιπ χρησιμοποιείται για πάνω από μία δεκαετία, μόλις πρόσφατα κατέστη δυνατή η εξέτασή της απο ακαδημαϊκούς, τα ΜΜΕ και τη βιομηχανία.

Λάθος στην κρυπτογράφηση

Κάθε φορά που ένας πελάτης εμπλέκεται σε συναλλαγή chip and pin, είτε πρόκειται για ανάληψη μετρητών είτε για την αγορά προϊόντων, ένας μοναδικός "απρόβλεπτος αριθμός" ("unpredictable number" - UN) δημιουργείται για να επικυρώσει τη συναλλαγή.

Ο απρόβλεπτος αριθμός (UN), που παράγεται από το λογισμικό στα ATM και άλλες παρόμοιες συσκευές, υποτίθεται ότι πρέπει να επιλέγεται τυχαία.

Όμως, οι ερευνητές ανακάλυψαν ότι σε πολλές περιπτώσεις, ο φθηνός εξοπλισμός καθιστούσε τον αριθμό πολύ προβλέψιμο, επειδή χρησιμοποιούσε ημερομηνίες ή την ώρα της συναλλαγής.

Chipandpin2_13-9-2012 "Αν μπορείς να προβλέψεις [τον UN], μπορείς να καταγράψεις ό, τι χρειάζεσαι από μια στιγμιαία πρόσβαση στο τσιπ κάρτα και να το αναπαράγεις και να υποκαταστήσεις την κάρτα σε μια μελλοντική ημερομηνία και τόπο", δήλωσε ο ερευνητής Mike Bond σε ένα blog.

"Μπορείς κάλλιστα να κλωνοποιήσεις το τσιπ. Λέγεται επίθεση pre-play".

"Το είδος της απάτης που βλέπουμε, είναι εύκολο να εξηγηθεί από αυτό και από κανένα άλλο modus operandi που μπορούμε να σκεφτούμε", δήλωσε στο BBC o ερευνητής καθηγητής Ross Anderson.

"Για παράδειγμα, ένας καθηγητής φυσικής από την Στοκχόλμη, τα περασμένα Χριστούγεννα αγόρασε ένα γεύμα για μερικούς ανθρώπους για € 255 και μόλις μιάμιση ώρα αργότερα, υπήρχαν δύο αναλήψεις από € 750 από ένα κοντινό ΑΤΜ όπου φαίνεται ότι χρησιμοποιήθηκε ένας κλώνος της κάρτας του".

Αποκρύπτουν το πρόβλημα οι τράπεζες

Οι ερευνητές δήλωσαν ότι επικοινώνησαν με κορυφαίες τράπεζες για να τους ενημερώσουν για τον κίνδυνο, αλλά μερικές είχαν "σαφώς επίγνωση του προβλήματος για πολλά χρόνια".

"Η έκταση και το μέγεθος του προβλήματος ήταν μια έκπληξη για μερικούς" αναφέρει η έκθεση. "Άλλοι ανέφεραν ότι είχαν ήδη υποψίες για την αποτελεσματικότητα των απρόβλεπτων αριθμών".

Η μελέτη προσθέτει: "Αν οι ισχυρισμοί είναι αληθείς, είναι περαιτέρω απόδειξη ότι οι τράπεζες αποκρύπτουν συστηματικά πληροφορίες σχετικά με γνωστά τρωτά σημεία, με αποτέλεσμα να συνεχίζουν να αρνούνται αποζημίωση στα θύματα απάτης".

Η τεχνολογία chip and pin είναι η επικρατούσα μέθοδος επεξεργασίας και έγκρισης συναλλαγών με πιστωτικές και χρεωστικές κάρτες, με περισσότερες από 1 δισ. κάρτες σε χρήση παγκοσμίως.

Λόγω της πεποίθησης ότι ήταν πολύ πιο ασφαλείς από την προηγούμενη τεχνολογία της μαγνητικής ταινίας, οι τράπεζες υιοθέτησαν πιο επιθετική στάση σε περιπτώσεις αμφισβήτησης συναλλαγών από πελάτες.

Σύμφωνα με έρευνα στη Βρετανία, το διάστημα 2008-9 μόνο το 44% των θυμάτων απάτης αποζημιώθηκαν πλήρως. Από αυτό το 44%, το 55% κατά 25 – 499 λίρες και το 32% έχασε πάνω από 500 λίρες.

Ωστόσο, η άρνηση των τραπεζών για αποζημίωση, οδήγησε κάποιες περιπτώσεις σε περαιτέρω διερεύνηση και αποκαλύφθηκαν οι ευπάθειες του συστήματος.

Προηγούμενες έρευνες από την ίδια ομάδα ερευνητών, έδειξαν πως μια σχετικά απλή επίθεση τύπου "man-in-the-middle" - κατά την οποία κάποιος παρεμβάλεται μεταξύ δύο συσκευών στη διάρκεια μιας διαδικασίας, όπως η κάρτα και το μηχάνημα – μπορεί να ξεγελάσει το σύστημα, κάνοντάς το να πιστέψει ότι έχει εισαχθεί το σωστό pin.

Επιπλέον, επιθέσεις με κακόβουλο λογισμικό σε τερματικά, μπορούν να θέσουν σε κίνδυνο την στεγανότητά τους.

Difernews

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Προσοχή στον τρόπο που σχολιάζετε. Σχόλια που δεν θα σέβονται τον χώρο που φιλοξενούνται ή άλλους θα σβήνονται ΤΕΛΕΙΩΣ.