„Biztonsági rést fedeztek fel a bank- és hitelkártyákhoz is használt EMV technológiában” változatai közötti eltérés

Tartalom törölve Tartalom hozzáadva
Xbspiro (vitalap | szerkesztései)
a tipo
Xbspiro (vitalap | szerkesztései)
a tipo
1. sor:
{{dátum|2010-02-16}}{{Tudomány és technika}}
[[Kép:Betalings terminal.jpg|thumb|balra|Egy üzletek használttipikus EMV terminál (fotó: Michael Shanks)]]
 
A hiba kihasználásával a [[w:PIN kód|PIN kód]] ismerete nélkül is lehetséges vásárolni az ilyen típusú kártyákkal. A ''Ross John Anderson'' vezette kutatócsoport összesen hat különböző pénzintézet, nevezetesen a ''Bank of Scotland'', a ''Barclaycard'', a ''Co-operative Bank'', a ''Halifax'', a ''HSBC'' és a ''John Lewis'' rendszerét is ki tudta játszani a bolti terminálokon. Az EMV technológia szerte a világon használt, de [[w:Nagy-Britanna|Nagy-Britanna]] számára külön kényessé teszi az ügyet, hogy ott a bolti kártyás fizetések 90%-a ezen alapul.<ref>A ''UK Payments Administration'' adata.</ref> A csoport a probléma felfedezését bőven a nyilvánosságra hozatal előtt, még december elején jelezte a bankszférának. Ross J. Anderson egyébként neves biztonságtechnikai szakértő, a [[w:Cambridge-i Egyetem|Cambridge-i Egyetem]] professzora, a [[w:Microsoft|Microsoft]] ''Palladium'' nevű rendszertervének egyik fő krtikusakritikusa.
 
Az EMV típusú kártyákon – ellentétben a Magyarországon elterjedt mágnescsíkos megoldással – az adatokat egy [[w:Integrált áramkör|chip]] tárolja, beleértve a PIN kódot is. A PIN beütésekor a kártyát az olvasóban kell tartani: a terminál a megadott számokat továbbítja a chipnek; ha a kód helyes, akkor a chip a '''0x9000'''-es hexadecimális értékkel válaszol. Akárcsak nálunk, a vásárlások alkalmával a PIN megadása nem kötelező, azt bizonyos elfogadóhelyeken a vásárló aláírása is helyettesítheti.
8. sor:
A gond az, hogy a terminál és a chip kommunikációjába viszonylag egyszerű eszközökkel bele lehet szólni. Amit a kutatók megvalósítottak, az – technikai szakzsargonnal élve – egy [[w:Man-in-the-middle támadás|középreállásos támadás]]. Az eredeti kártyát egy számítógép kártyaolvasójába helyezték, míg a bolti terminálba egy hamisat tettek; ez utóbbit (mármint magát a kártyát) kábeleken keresztül szintén a géphez csatlakoztatták. A terminál jeleit a hamis kártya és a számítógép révén közvetítették az eredetihez és fordítva, lehetőséget adva a kommunikáció lehallgatására. A közvetítést a PIN kód továbbításakor megszakították és a terminál felé elküldték a helyes kódot visszaigazoló hexadecimális jelet. Az eredeti kártya mindeközben azt a jelet kapta, hogy a vásárló aláírást használt PIN helyett. Az összeg ezzel levonásra került a számláról.
 
A csoport szerint a berendezés összeállítása csak minimális szakértelmet igényel és hozzávetőleg egy távirányító méretéig miniatürizálható. Egyik tagjuk, Dr. Steven Murdoch szerint nem lehetetlen, hogy leleményes bűnözők már építettek hasonló készülékeket, s az sem, hogy ezeket az interneten forgalmazzák. Anderson szintén arra figyelmeztetett, hogy a technikát már használhatják illetéktelenek, elvégre több ellopott kártya számláját is megcsapolták az utóbbi időkben. Hozzátette: „A bankok tévednek. Azt is mondhatnánk, hogy mind szándékosan hazudnak,Sőt: amikor azt mondják, hogy »a rendszer bizonságosbiztonságos«., Avalójában fogyasztókszándékosan meghazudnak vannakés tévesztvemegtévesztik általuka fogyasztókat. Ha fikarcnyi igazságérzete lenne, aA rendőrségnek már rég nyomoznia kellene az ügyben. Ez a technológia egyszerűen nem alkalmasmegfelelő arra, amirea használjákcélra.”<ref>Az eredeti szöveg: „The banks are wrong. All the banks are lying. They are maliciously and wilfully deceiving the customer. If there was any justice then the police would be looking into this. The system is not fit for purpose.”</ref>
 
A ''Which?'' nevű fogyasztóvédelmi szervezet szintén sürgeti a nyomozás megindítását annak fényében, hogy egy közelmúltbeli felmérésük szerint minden hetedik ember számlájáról tűnt már el pénz a tulajdonosok tudta és jóváhagyása nélkül. Az esetek mintegy felében a bankok nem térítették meg ezen károkat.
14. sor:
A módszer részleteit taglaló tanulmány félkész változatát időközben publikálták az interneten. A felfedezés várhatóan témája lesz a ''Villamosmérnökök Egyesülete''<ref>angol nevén: Institute of Electrical and Electronics Engineers, röviden: IEEE</ref> májusi biztonságtechnikai szimpóziumának.
 
A kártyakibocsátók nevében nyilatkozó Mark Bowerman kifejtette, hogy ez a fajta trükk nem használható a bankjegykiadó automatáknál. Hangsúlyozta továbbá, hogy az EMV bevezetése óta a kártyákkal való visszaélések száma csökkent, s hogy a módszert egyelőre nem használták rossz szándékkal – legalább is erre nincs bizonyíték. „A tanulmányt pedig igenis komolyan vesszük, elvégre a kártyahasználók és számláik biztonsága számunkra mindenek előtti. Egyúttal elutasítjuk a felvetést, hogymiszerint a rendszer alkalmatlan lenne feladata ellátására.”<ref>Az eredeti szöveg: „We are taking this paper very seriously, as maintaining excellent levels of card security is paramount. However, we strongly refute the allegation that chip and PIN is broken.”</ref> – mondta.
 
{{fordítás|en|Chip and PIN 'not fit for purpose', says Cambridge researcher|958071}}