„Biztonsági rést fedeztek fel a bank- és hitelkártyákhoz is használt EMV technológiában” változatai közötti eltérés
Tartalom törölve Tartalom hozzáadva
a tipo |
a tipo |
||
1. sor:
{{dátum|2010-02-16}}{{Tudomány és technika}}
[[Kép:Betalings terminal.jpg|thumb|balra|Egy
A hiba kihasználásával a [[w:PIN kód|PIN kód]] ismerete nélkül is lehetséges vásárolni az ilyen típusú kártyákkal. A ''Ross John Anderson'' vezette kutatócsoport összesen hat különböző pénzintézet, nevezetesen a ''Bank of Scotland'', a ''Barclaycard'', a ''Co-operative Bank'', a ''Halifax'', a ''HSBC'' és a ''John Lewis'' rendszerét is ki tudta játszani a bolti terminálokon. Az EMV technológia szerte a világon használt, de [[w:Nagy-Britanna|Nagy-Britanna]] számára külön kényessé teszi az ügyet, hogy ott a bolti kártyás fizetések 90%-a ezen alapul.<ref>A ''UK Payments Administration'' adata.</ref> A csoport a probléma felfedezését bőven a nyilvánosságra hozatal előtt, még december elején jelezte a bankszférának. Ross J. Anderson egyébként neves biztonságtechnikai szakértő, a [[w:Cambridge-i Egyetem|Cambridge-i Egyetem]] professzora, a [[w:Microsoft|Microsoft]] ''Palladium'' nevű rendszertervének egyik fő
Az EMV típusú kártyákon – ellentétben a Magyarországon elterjedt mágnescsíkos megoldással – az adatokat egy [[w:Integrált áramkör|chip]] tárolja, beleértve a PIN kódot is. A PIN beütésekor a kártyát az olvasóban kell tartani: a terminál a megadott számokat továbbítja a chipnek; ha a kód helyes, akkor a chip a '''0x9000'''-es hexadecimális értékkel válaszol. Akárcsak nálunk, a vásárlások alkalmával a PIN megadása nem kötelező, azt bizonyos elfogadóhelyeken a vásárló aláírása is helyettesítheti.
8. sor:
A gond az, hogy a terminál és a chip kommunikációjába viszonylag egyszerű eszközökkel bele lehet szólni. Amit a kutatók megvalósítottak, az – technikai szakzsargonnal élve – egy [[w:Man-in-the-middle támadás|középreállásos támadás]]. Az eredeti kártyát egy számítógép kártyaolvasójába helyezték, míg a bolti terminálba egy hamisat tettek; ez utóbbit (mármint magát a kártyát) kábeleken keresztül szintén a géphez csatlakoztatták. A terminál jeleit a hamis kártya és a számítógép révén közvetítették az eredetihez és fordítva, lehetőséget adva a kommunikáció lehallgatására. A közvetítést a PIN kód továbbításakor megszakították és a terminál felé elküldték a helyes kódot visszaigazoló hexadecimális jelet. Az eredeti kártya mindeközben azt a jelet kapta, hogy a vásárló aláírást használt PIN helyett. Az összeg ezzel levonásra került a számláról.
A csoport szerint a berendezés összeállítása csak minimális szakértelmet igényel és hozzávetőleg egy távirányító méretéig miniatürizálható. Egyik tagjuk, Dr. Steven Murdoch szerint nem lehetetlen, hogy leleményes bűnözők már építettek hasonló készülékeket, s az sem, hogy ezeket az interneten forgalmazzák. Anderson szintén arra figyelmeztetett, hogy a technikát már használhatják illetéktelenek, elvégre több ellopott kártya számláját is megcsapolták az utóbbi időkben. Hozzátette: „A bankok tévednek.
A ''Which?'' nevű fogyasztóvédelmi szervezet szintén sürgeti a nyomozás megindítását annak fényében, hogy egy közelmúltbeli felmérésük szerint minden hetedik ember számlájáról tűnt már el pénz a tulajdonosok tudta és jóváhagyása nélkül. Az esetek mintegy felében a bankok nem térítették meg ezen károkat.
14. sor:
A módszer részleteit taglaló tanulmány félkész változatát időközben publikálták az interneten. A felfedezés várhatóan témája lesz a ''Villamosmérnökök Egyesülete''<ref>angol nevén: Institute of Electrical and Electronics Engineers, röviden: IEEE</ref> májusi biztonságtechnikai szimpóziumának.
A kártyakibocsátók nevében nyilatkozó Mark Bowerman kifejtette, hogy ez a fajta trükk nem használható a bankjegykiadó automatáknál. Hangsúlyozta továbbá, hogy az EMV bevezetése óta a kártyákkal való visszaélések száma csökkent, s hogy a módszert egyelőre nem használták rossz szándékkal – legalább is erre nincs bizonyíték. „A tanulmányt pedig igenis komolyan vesszük, elvégre a kártyahasználók és számláik biztonsága számunkra mindenek előtti. Egyúttal elutasítjuk a felvetést,
{{fordítás|en|Chip and PIN 'not fit for purpose', says Cambridge researcher|958071}}
|