Biztonsági rést fedeztek fel a bank- és hitelkártyákhoz is használt EMV technológiában

2010. február 16., kedd

Tudomány és technika



További híreink tudományos témában:

{{{1}}}

Lásd még a tudomány szócikkét a Wikipédiában!
Egy tipikus EMV terminál (fotó: Michael Shanks)

A hiba kihasználásával a PIN kód ismerete nélkül is lehetséges vásárolni az ilyen típusú kártyákkal. A Ross John Anderson vezette kutatócsoport összesen hat különböző pénzintézet, nevezetesen a Bank of Scotland, a Barclaycard, a Co-operative Bank, a Halifax, a HSBC és a John Lewis rendszerét is ki tudta játszani a bolti terminálokon. Az EMV technológia szerte a világon használt, de Nagy-Britannia számára külön kényessé teszi az ügyet, hogy ott a bolti kártyás fizetések 90%-a ezen alapul.[1] A csoport a probléma felfedezését bőven a nyilvánosságra hozatal előtt, még december elején jelezte a bankszférának. Ross J. Anderson egyébként neves biztonságtechnikai szakértő, a Cambridge-i Egyetem professzora, a Microsoft Palladium nevű rendszertervének egyik fő kritikusa.

Az EMV típusú kártyákon – ellentétben a Magyarországon elterjedt mágnescsíkos megoldással – az adatokat egy chip tárolja, beleértve a PIN kódot is. A PIN beütésekor a kártyát az olvasóban kell tartani: a terminál a megadott számokat továbbítja a chipnek; ha a kód helyes, akkor a chip a 0x9000-es hexadecimális értékkel válaszol. Akárcsak nálunk, a vásárlások alkalmával a PIN megadása nem kötelező, azt bizonyos elfogadóhelyeken a vásárló aláírása is helyettesítheti.

A gond az, hogy a terminál és a chip kommunikációjába viszonylag egyszerű eszközökkel bele lehet szólni. Amit a kutatók megvalósítottak, az – technikai szakzsargonnal élve – egy középreállásos támadás. Az eredeti kártyát egy számítógép kártyaolvasójába helyezték, míg a bolti terminálba egy hamisat tettek; ez utóbbit (mármint magát a kártyát) kábeleken keresztül szintén a géphez csatlakoztatták. A terminál jeleit a hamis kártya és a számítógép révén közvetítették az eredetihez és fordítva, lehetőséget adva a kommunikáció lehallgatására. A közvetítést a PIN kód továbbításakor megszakították és a terminál felé elküldték a helyes kódot visszaigazoló hexadecimális jelet. Az eredeti kártya mindeközben azt a jelet kapta, hogy a vásárló aláírást használt PIN helyett. Az összeg ezzel levonásra került a számláról.

A csoport szerint a berendezés összeállítása csak minimális szakértelmet igényel és hozzávetőleg egy távirányító méretéig miniatürizálható. Egyik tagjuk, Dr. Steven Murdoch szerint nem lehetetlen, hogy leleményes bűnözők már építettek hasonló készülékeket, s az sem, hogy ezeket az interneten forgalmazzák. Anderson szintén arra figyelmeztetett, hogy a technikát már használhatják illetéktelenek, elvégre több ellopott kártya számláját is megcsapolták az utóbbi időkben. Hozzátette: „A bankok tévednek. Sőt: amikor azt mondják, hogy »a rendszer biztonságos«, valójában szándékosan hazudnak és megtévesztik a fogyasztókat. A rendőrségnek már rég nyomoznia kellene az ügyben. Ez a technológia egyszerűen nem megfelelő a célra.”[2]

A Which? nevű fogyasztóvédelmi szervezet szintén sürgeti a nyomozás megindítását annak fényében, hogy egy közelmúltbeli felmérésük szerint minden hetedik ember számlájáról tűnt már el pénz a tulajdonosok tudta és jóváhagyása nélkül. Az esetek mintegy felében a bankok nem térítették meg ezen károkat.

A módszer részleteit taglaló tanulmány félkész változatát időközben publikálták az interneten. A felfedezés várhatóan témája lesz a Villamosmérnökök Egyesülete[3] májusi biztonságtechnikai szimpóziumának.

A kártyakibocsátók nevében nyilatkozó Mark Bowerman kifejtette, hogy ez a fajta trükk nem használható a bankjegykiadó automatáknál. Hangsúlyozta továbbá, hogy az EMV bevezetése óta a kártyákkal való visszaélések száma csökkent, s hogy a módszert egyelőre nem használták rossz szándékkal – legalább is erre nincs bizonyíték. „A tanulmányt pedig igenis komolyan vesszük, elvégre a kártyahasználók és számláik biztonsága számunkra mindenek előtti. Egyúttal elutasítjuk a felvetést, miszerint a rendszer alkalmatlan lenne feladata ellátására.”[4] – mondta.

Lábjegyzet

  1. A UK Payments Administration adata.
  2. Az eredeti szöveg: „The banks are wrong. All the banks are lying. They are maliciously and wilfully deceiving the customer. If there was any justice then the police would be looking into this. The system is not fit for purpose.”
  3. angol nevén: Institute of Electrical and Electronics Engineers, röviden: IEEE
  4. Az eredeti szöveg: „We are taking this paper very seriously, as maintaining excellent levels of card security is paramount. However, we strongly refute the allegation that chip and PIN is broken.”

Forrás