r   e   k   l   a   m   a
r   e   k   l   a   m   a

Hakerzy wiedzą, jak zdalnie wykraść PIN i dane z paska przez terminale kart

Strona główna AktualnościBEZPIECZEŃSTWO

Końcówka roku jest zawsze pyszna dla branży bezpieczeństwa – berliński Chaos Computer Club organizuje wówczas Chaos Communication Congress, jedną z najciekawszych imprez związanych z tą tematyką. Już 27 grudnia znani niemieccy badacze pokazać mają coś, co może zatrząść operatorami elektronicznych płatności. Shopshifting to technika, która ma dawać sobie radę z zabezpieczeniami powszechnie wykorzystywanych w całej Europie terminali na PIN, pozwalając wykraść za ich pomocą dane z paska magnetycznego jak i sam PIN – i w konsekwencji umożliwiając kradzież pieniędzy, przelewanych na dowolne konta.

O zagrożeniu mówią już niemieckie media. Strona internetowa programu telewizyjnego Tagesschau.de opublikowała pozbawiony większych szczegółów technicznych materiał o osiągnięciu Karstena Nohla i jego kolegów, którzy zdołali wykorzystać luki w protokole komunikacyjnym terminali do niezauważonego dla ofiar „przekierowania” środków – i o gorączkowych zapewnieniach operatorów systemów płatności, zapewniających, że wszystko jest dobrze, a atak jest do przeprowadzenia tylko w warunkach laboratoryjnych.

Czy aby na pewno? Hakerzy zapewniają, że podatne są praktycznie wszystkie terminale odczytujące pasek magnetyczny z zabezpieczeniem na PIN, które wykorzystują protokoły ZVT i Poseidon. Pierwszy z opracowanych ataków pozwala przechwycić wpisany przez ofiarę kod PIN i dane zawarte na pasku – w tym celu na terminal zostaje wysłane poprawnie wyglądające, podpisane kryptograficznie żądanie PIN-u. W praktyce wystarczy zaczekać na moment, gdy ofiara rozpoczyna swoją płatność, a następnie wysłać na terminal swój kod. Transakcja zakończy się niepowodzeniem, napastnik jednak będzie miał wszystko, czego potrzebuje, by fałszować transakcje, wyprowadzając pieniądze z konta ofiary.

r   e   k   l   a   m   a

Dlaczego jednak terminal akceptuje sfałszowane żądanie? Otóż okazało się, że wszystkie terminale testowe, udostępniane sprzedawcom, używają tego samego klucza szyfrującego dla danego operatora transakcji – i ten klucz udało się wydobyć po kilku tygodniach pracy. Mając taki klucz, można wyprowadzić atak na dowolny inny terminal danej sieci. Co najważniejsze, nie trzeba do tego mieć fizycznego kontaktu z urządzeniem, wiele takich terminali łączy się z siecią np. poprzez lokalną sieć Wi-Fi (bo inne są niedostępne), znaleziono też modele, które po prostu udostępniają publicznie swoje webowe interfejsy.

Drugi z ataków wykorzystuje problem z identyfikatorami terminali. Jako że każde urządzenie ma ten sam klucz, to każdy terminal jest w stanie udawać każdy inny z danej sieci. Jak poznać identyfikator terminala? Tak, dobrze myślicie. Wystarczy kupić jakiś drobiazg i zapłacić za niego kartą. Na rachunku dostaniemy identyfikator w jawnej formie. Nawet jeśli jednak nie udałoby się go poznać, zawsze można zgadywać, tam nie ma żadnych sum kontrolnych, numery po prostu kolejno rosną. Kto był takim geniuszem architektury systemów, tego niestety nie wiadomo.

Wskutek tych błędów, napastnik jest w stanie zdalnie podszyć się pod każdy z terminali – jak utrzymuje Nohl, w tym samym czasie, zabezpieczając swoją tożsamość przez Tora, można przeprowadzić przelewy z setek tysięcy miejsc, na dowolne konto w Niemczech – a najprawdopodobniej nie tylko w Niemczech, gdyż ZVT i Poseidon są powszechnie używane na całym naszym kontynencie.

Szczęśliwie tym razem odkrycia dokonali ludzie w białych kapeluszach, a nie w czarnych, którzy swoje odkrycie w odpowiedzialny sposób przekazali bankom i operatorom płatności. Czasu na załatanie systemu jest mało. Nohl twierdzi, że kompetentny zespół cyberprzestępców jest w stanie odtworzyć atak w ciągu kilku miesięcy. Czy jednak faktycznie coś z tym odkryciem zostanie zrobione? Niemiecka organizacja operatorów systemów płatności Deutsche Kreditwirtschaft nabrała wody w usta, twierdzi jedynie, że sprawdziła doniesienia hakerów i jej system jest bezpieczny. Jak jest w rzeczywistości, przekonamy się zapewne w pierwszych miesiącach 2016 roku. O sprawie bowiem raczej cyberprzestępcy nie zapomną, opisany atak potencjalnie jest w stanie przynieść większe zyski, niż tradycyjny skimming kart płatniczych w bankomatach, znacznie mniej przy tym rzucając się w oczy.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.