Video: Chip unter der Haut: Bezahlen mit der Hand (Decembris 2024)
Mūsu ASV lasītājiem norēķināšanās ar kredītkarti nozīmē magnētiskās sloksnes notīrīšanu. Bet cilvēkiem lielā daļā Eiropas un citu valstu tas nozīmē, ka mikroshēmu var ievietot lasītājā un ievadīt PIN. Šis tā sauktais mikroshēmu un PIN risinājums jau sen tiek atzīts par daudz labāku par amerikāņu zvēlienu, un vairumā gadījumu tas arī ir. Tomēr ir dažas nopietnas problēmas saistībā ar shēmas ieviešanu.
Ross Andersons izklāstīja savas komandas vēsturi, pētot mikroshēmas un PIN kartes Black Hat šogad. Par sistēmu, kas paredzēta grūtāk krāpties, Andersonam bija pārsteidzoši daudz ko teikt.
Trūkumu kavalāde
Ātra mikroshēmas un PIN atsvaidzināšana: klienti iepērkoties ievieto savas kartes. Pēc tam viņi ievada savu PIN, ko apstiprina ierīces karte - kad tā darbojas, PIN nekad nevajadzētu atstāt lasītāju. Pēc tam karte sarunājas ar banku, lai apstiprinātu darījumu, un tiek veikta pārdošana. Uz papīra tas viss izklausās lieliski.
Andersons izgāja cauri vairākām neatbilstošām ievainojamībām, kuras atrada viņš un viņa komanda, kā arī citām, kuras vispirms tika novērotas savvaļā un pēc tam drošības ekspertu inženierijā.
Daudzi uzbrukumi bija vērsti uz ierīcēm, kuras tirgotāji izmantoja darījumu veikšanai, un bankomātiem. Viņa komanda atklāja, ka vairākas ierīces faktiski netika izmantotas drošības specifikācijās, kuras viņi apgalvoja, ka ievēro. Ar minimālām pūlēm viņš sacīja, ka pārdošanas laikā tās var pieskarties ierīcēm un izņemt PIN.
Citi uzbrukumi bija saistīti ar tā, ko Andersons sauca par “ļaunu elektroniku”, lasītājiem, lai iegūtu transakciju datus. Vienā gadījumā krāpnieki uzstādīja savus ļaunos izstrādājumus karšu lasītājos, pirms tos pat atdeva tirgotājiem.
Bet bija arī daudz citu uzbrukumu, piemēram, elektrisko ierīču iegulšana tieši mikroshēmās un PIN kartēs, karšu savienošana ar slēptām ierīcēm, kas ļāva zaglim autorizēt karti ar jebkuru izlases kodu, un pat uzbrukumi, kas "atkārtoja" darījumus dažādās vietās.
Tehniski pārāks, praktiski problemātisks
Es jautāju Andersonam, vai pēc visiem trūkumiem, kurus viņš ir atradis ar mikroshēmu un tapu, viņš joprojām domāja, ka tas ir pārāks par zvēlšanas kartēm. Viņš bija nepārprotams: mikroshēmas un PIN kartes ir tehniski pārākas tikai tāpēc, ka tās ir daudz grūtāk klonēt nekā zvēlšanas kartes.
Lielāka problēma ir mikroshēmas un PIN ieviešana Eiropā. Andersons skaidroja, ka, lai panāktu Eiropas tirgotāju maiņu, bankas apsolīja tirgotājiem, ka viņi būs atbildīgi par krāpnieciskām maksām. Izmantojot kartītes ar vilkšanu, tirgotājam krāpnieciska maksa tiek vienkārši atcelta. Andersons to sauca par "atbildības novirzīšanu".
Izklausās pēc laba plāna, taču realitāte bija diezgan nežēlīga. Andersons sacīja, ka krāpšanas upurus bieži vaino bankas, kas apsūdzēja viņus kaut kā atklāt PIN. Citos gadījumos bankas vienkārši mainīja savas domas un mainīja tirgotājiem maksājumus. Ārkārtējos gadījumos bankas un kredītkaršu firmas acīmredzami no apmulsuma atteicās izvirzīt apsūdzības zināmiem krāpniekiem.
Likās, ka neviens negribēja uzņemties atbildību par krāpšanos ar mikroshēmām un PIN. Andersons vaicāja: "Ja banka nemaksā par krāpšanu, kāpēc viņiem vajadzētu izdauzīt zarnu, lai saglabātu to drošu?"
Andersons arī kritizēja mikroshēmas un PIN dokumentācijas autorus par to, ka viņiem nav skaidra redzējuma un tas ļauj dokumentācijas spirālei nekontrolēt. Viņš to sauca par kopienas traģēdiju un atzīmēja, ka neviens nav solis uz priekšu, lai izveidotu atjauninātu versiju, kas faktiski varētu veikt nepieciešamās standarta drošības izmaiņas.
Braucot uz Ameriku
Mūsu ASV lasītājiem, kas ir apmierināti ar savām zvēlotajām kartēm, varētu rasties jautājums, kāpēc tas viņiem vispār būtu jāinteresē. Tam ir viens vienkāršs iemesls: mikroshēmas un PIN kartes ir gatavas ieviest šajā valstī. Andersons sacīja, ka bankas ir paredzējušas veikt pāreju līdz 2015. gadam.
Iespējams, ka šajā valstī viss nenotiek tik slikti. Pirmkārt, tikai dažas bankas izvēlas mikroshēmu un PIN shēmas, bet citas bankas izmantos čipu un parakstu kartes. Šis autentifikācijas plāns tika izmantots Singapūrā, un tas ir izstrādāts, lai nodrošinātu labāku patērētāju aizsardzību. Andersons arī atzīmēja, ka Federālo rezervju loma ASV banku nozarē piedāvā arī labāku patērētāju aizsardzību - pieņemot, ka tuvākajā nākotnē tā netiks krasi samazināta.
Viņam bija arī loma, ka Black Hat auditorija varēja spēlēt. "tas nav viens protokols; tas ir liels, izlases veida, veikls instrumentu komplekts, lai izveidotu maksājumu protokolus, " viņš teica. "Jūs varat nākt klajā ar kaut ko patiešām drošu vai ar kaut ko patiešām asiņaini šausmīgu."
Šeit ir cerība, ka mēs iegūsim bijušo.
