Hakerzy wiedzą, jak zdalnie wykraść PIN i dane z paska przez terminale kart

Hakerzy wiedzą, jak zdalnie wykraść PIN i dane z paska przez terminale kart

Hakerzy wiedzą, jak zdalnie wykraść PIN i dane z paska przez terminale kart
23.12.2015 11:24

Końcówka roku jest zawsze pyszna dla branży bezpieczeństwa –berliński Chaos Computer Club organizuje wówczas ChaosCommunication Congress, jedną z najciekawszych imprez związanych ztą tematyką. Już 27 grudnia znani niemieccy badacze pokazać mającoś, co może zatrząść operatorami elektronicznych płatności.Shopshiftingto technika, która ma dawać sobie radę z zabezpieczeniamipowszechnie wykorzystywanych w całej Europie terminali na PIN,pozwalając wykraść za ich pomocą dane z paska magnetycznego jak isam PIN – i w konsekwencji umożliwiając kradzież pieniędzy,przelewanych na dowolne konta.

O zagrożeniu mówią już niemieckie media. Strona internetowaprogramu telewizyjnego Tagesschau.de opublikowałapozbawiony większych szczegółów technicznych materiał oosiągnięciu Karstena Nohla i jego kolegów, którzy zdołaliwykorzystać luki w protokole komunikacyjnym terminali doniezauważonego dla ofiar „przekierowania” środków – i ogorączkowych zapewnieniach operatorów systemów płatności,zapewniających, że wszystko jest dobrze, a atak jest doprzeprowadzenia tylko w warunkach laboratoryjnych.

Czy aby na pewno? Hakerzy zapewniają, że podatne są praktyczniewszystkie terminale odczytujące pasek magnetyczny z zabezpieczeniemna PIN, które wykorzystują protokoły ZVT i Poseidon. Pierwszy zopracowanych ataków pozwala przechwycić wpisany przez ofiarę kodPIN i dane zawarte na pasku – w tym celu na terminal zostajewysłane poprawnie wyglądające, podpisane kryptograficznie żądaniePIN-u. W praktyce wystarczy zaczekać na moment, gdy ofiararozpoczyna swoją płatność, a następnie wysłać na terminal swójkod. Transakcja zakończy się niepowodzeniem, napastnik jednakbędzie miał wszystko, czego potrzebuje, by fałszować transakcje,wyprowadzając pieniądze z konta ofiary.

Dlaczego jednak terminal akceptuje sfałszowane żądanie? Otóżokazało się, że wszystkie terminale testowe, udostępnianesprzedawcom, używają tego samego klucza szyfrującego dla danegooperatora transakcji – i ten klucz udało się wydobyć po kilkutygodniach pracy. Mając taki klucz, można wyprowadzić atak nadowolny inny terminal danej sieci. Co najważniejsze, nie trzeba dotego mieć fizycznego kontaktu z urządzeniem, wiele takich terminaliłączy się z siecią np. poprzez lokalną sieć Wi-Fi (bo inne sąniedostępne), znaleziono też modele, które po prostu udostępniająpublicznie swoje webowe interfejsy.

Twoja przeglądarka nie obsługuje wideo HTML5Drugi z ataków wykorzystuje problem z identyfikatorami terminali.Jako że każde urządzenie ma ten sam klucz, to każdy terminal jestw stanie udawać każdy inny z danej sieci. Jak poznać identyfikatorterminala? Tak, dobrze myślicie. Wystarczy kupić jakiś drobiazg izapłacić za niego kartą. Na rachunku dostaniemy identyfikator wjawnej formie. Nawet jeśli jednak nie udałoby się go poznać,zawsze można zgadywać, tam nie ma żadnych sum kontrolnych, numerypo prostu kolejno rosną. Kto był takim geniuszem architekturysystemów, tego niestety nie wiadomo.

Wskutek tych błędów, napastnik jest w stanie zdalnie podszyćsię pod każdy z terminali – jak utrzymuje Nohl, w tym samymczasie, zabezpieczając swoją tożsamość przez Tora, możnaprzeprowadzić przelewy z setek tysięcy miejsc, na dowolne konto wNiemczech – a najprawdopodobniej nie tylko w Niemczech, gdyż ZVT iPoseidon są powszechnie używane na całym naszym kontynencie.

Szczęśliwie tym razem odkrycia dokonali ludzie w białychkapeluszach, a nie w czarnych, którzy swoje odkrycie wodpowiedzialny sposób przekazali bankom i operatorom płatności.Czasu na załatanie systemu jest mało. Nohl twierdzi, żekompetentny zespół cyberprzestępców jest w stanie odtworzyć atakw ciągu kilku miesięcy. Czy jednak faktycznie coś z tym odkryciemzostanie zrobione? Niemiecka organizacja operatorów systemówpłatności Deutsche Kreditwirtschaft nabrała wody w usta, twierdzijedynie, że sprawdziła doniesienia hakerów i jej system jestbezpieczny. Jak jest w rzeczywistości, przekonamy się zapewne wpierwszych miesiącach 2016 roku. O sprawie bowiem raczejcyberprzestępcy nie zapomną, opisany atak potencjalnie jest wstanie przynieść większe zyski, niż tradycyjny skimming kartpłatniczych w bankomatach, znacznie mniej przy tym rzucając się woczy.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (62)