Video: Чит-коды на Left 4 Dead (Listopad 2024)
Pro naše čtenáře z USA znamená platba kreditní kartou posunutí magnetického proužku. Ale pro lidi ve většině Evropy a dalších zemí to znamená vložení čipové karty do čtečky a zadání kódu PIN. Toto takzvané čipové a PIN řešení bylo dlouho nabízeno jako mnohem lepší než americké švihnutí, a ve většině případů je. Existuje však několik vážných problémů s tím, jak byl systém implementován.
Ross Anderson rozložil letos svůj tým s vyšetřováním čipových a PIN karet v Black Hat. Pro systém navržený tak, aby byl těžší podvádět, měl Anderson překvapivé množství.
Kavaláda vad
Rychlý opakovací čip na čip a PIN: spotřebitelé vkládají své karty při nákupu. Poté zadají svůj PIN, který je potvrzen kartou na zařízení - když to funguje, PIN by nikdy neměl opustit čtečku. Karta poté promluví s bankou, aby transakci autorizovala, a provede se prodej. Na papíře to všechno zní skvěle.
Anderson prošel několika unqiue zranitelnostmi, které našel on a jeho tým, a další, které byly poprvé pozorovány v divočině a poté zpětně vytvořeny bezpečnostními experty.
Mnoho útoků se zaměřilo na zařízení, která obchodníci používali k provádění transakcí, a bankomaty. Jeho tým zjistil, že několik zařízení ve skutečnosti nevyhověla bezpečnostním specifikacím, o nichž se tvrdilo, že je dodržují. S minimálním úsilím řekl, že během prodeje mohou odposlouchávat zařízení a získat PIN.
Další útoky zahrnovaly instalaci toho, co Anderson nazval „zlá elektronika“ na čtenáře, aby zachytil transakční data. V jednom případě podvodníci nainstalovali své zlé zboží do čteček karet dříve, než byli dokonce rozdáni obchodníkům.
Objevilo se však mnoho dalších útoků, jako je například vkládání voleb do čipových a PIN karet, připojení karet ke skrytým zařízením, která zlodějovi umožnila autorizaci karty pomocí libovolného náhodného kódu, a dokonce útoky, které „přehrály“ transakce na různých místech.
Technicky vynikající, prakticky problematické
Zeptal jsem se Andersona, jestli po všech vadách, které našel s čipem a špendlíkem, si stále myslel, že je lepší posouvat karty. Byl jednoznačný: čipové a PIN karty jsou technicky nadřazené jednoduše proto, že je mnohem obtížnější je klonovat než karty švihnutím.
Větší problém spočívá v tom, jak byl v Evropě zaveden čip a PIN. Anderson vysvětlil, že s cílem přimět evropské obchodníky ke změně, banky slibovaly obchodníkům, že budou odpovědní za podvodné poplatky. U karet švihnutím se podvodný poplatek jednoduše převede na obchodníka. Anderson to nazval „přesun odpovědnosti“.
Zní to jako dobrý plán, ale realita byla docela krutá. Anderson řekl, že banky byly obviňovány z obětí podvodu, který je obvinil z nějakého odhalení svých PIN. V jiných případech banky jednoduše změnily názor a obrátily poplatky na obchodníky. V extrémních případech banky a společnosti vydávající kreditní karty odmítly účtovat poplatky proti známým podvodníkům, zřejmě z rozpaků.
Zdá se, že nikdo nechtěl převzít odpovědnost za podvody s čipem a PIN. Anderson se zeptal: „Pokud by banka za podvod neplatila, proč by to rozbili, aby to udrželi v bezpečí?“
Anderson také kritizoval autory dokumentace čipu a PIN za to, že nemají jasnou vizi, a nechal dokumentaci spirálu vymknout kontrole. Nazval to tragédií obyčejných lidí a poznamenal, že nikdo nepokročil k vytvoření aktualizované verze, která by ve skutečnosti mohla provést nezbytné změny zabezpečení standardu.
Přijíždí do Ameriky
Naši američtí čtenáři, spokojení se svými swipe kartami, se možná ptají, proč by jim to vůbec mělo záležet. Existuje jeden jednoduchý důvod: čipové a PIN karty jsou připraveny na zavedení do této země. Anderson uvedl, že banky jsou připraveny na přechod do roku 2015.
V této zemi to nemusí jít tak špatně. Zaprvé, pouze některé banky se rozhodly pro čipová a PIN schémata, zatímco jiné banky zavedou čipové a podpisové karty. Tento plán ověřování byl použit v Singapuru a je navržen tak, aby poskytoval větší ochranu spotřebitele. Anderson také poznamenal, že úloha Federálního rezervního systému v bankovnictví v USA také nabízí větší ochranu spotřebitele - za předpokladu, že v blízké budoucnosti nebude drasticky narušena.
Hrál také roli, řekl, že publikum Black Hat může hrát. „Nejedná se o jediný protokol; je to velká, náhodná a zdvořilá sada nástrojů pro vytváření platebních protokolů, “ řekl. "Můžete přijít s něčím, co je opravdu bezpečné, nebo s něčím, co je opravdu krvavé hrozné."
Doufáme, že dostaneme první.
