Показано с 1 по 3 из 3.

Найден способ обхода методов авторизации чиповых банковских карт

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Найден способ обхода методов авторизации чиповых банковских карт

    Исследователи из Кембриджского университета обнаружили фундаментальную уязвимость в протоколе EMV (Europay, MasterCard, Visa), который лежит в основе процесса авторизации дебетовых и кредитных карт, выпущенных по технологии “chip-and-PIN”.

    В итоге было создано устройство, способное перехватывать обмен данными между картой и терминалом и посылать терминалу сигнал о том, что процесс авторизации пройден. В ходе последующих испытаний устройства ученым удалось авторизовать чиповые карты шести эмитентов без необходимости ввода правильного PIN. Несмотря на то, что вводить сам четырехзначный PIN все же пришлось, терминал принимал любое сочетание цифр.

    По словам авторов работы, для создания такого устройства требуются лишь самые элементарные инженерные навыки и базовые навыки программирования.

    Дело в том, что большинство транзакций требует авторизации по PIN. Клиент вводит идентификационный номер в устройство ввода, после чего тот отсылается на карту и сравнивается со значением PIN, хранящимся в ее чипе. Если PIN-коды совпадают, карта отсылает терминалу код подтверждения правильности (0x9000), завершая тем самым процедуру проверки подлинности.

    Исследователям удалось создать устройство “man-in-the-middle”, которое считывает данные с карты и в нужное время посылает терминалу код подтверждения 0x9000, причем делает это вне зависимости от того, какой PIN был введен.

    Чтобы продемонстрировать работоспособность своей схемы, исследователи вставили подлинную чиповую карту в кард-ридер Alcor Micro, который был соединен с ноутбуком, выполняющим скрипт на языке Python. Сам ноутбук через последовательный порт был присоединен к программируемой плате Spartan-3E Starter Kit, используемой для конвертации интерфейсов банковской карты и ПК.

    Плата, в свою очередь, была соединена с интерфейсным чипом Maxim 1740, который был связан тонкими проводами с поддельной банковской картой, которую исследователи вставили в терминал.

    После того, как карта была вставлена, скрипт на ноутбуке перехватил транзакцию, подавил отправленный терминалом запрос на подтверждение PIN и выдал в ответ код подтверждения 0x9000.

    По словам авторов работы, злоумышленники могут пронести аналогичный аппаратно-программный комплекс в рюкзаке, а провода спрятать в рукаве. Это даст им возможность использовать для совершения покупок или перевода денег краденные действительные карты.

    отчет http://www.cl.cam.ac.uk/research/sec...chipbroken.pdf
    http://club-symantec.ru/forum.php

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    От это да......
    Left home for a few days and look what happens...

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.08.2009
    Адрес
    Spb
    Сообщений
    463
    Вес репутации
    98
    Может кто-нибудь помнит как Джон Коннор во втором терминаторе взломал какой-то банкомат? Прошло чуть меньше 20 лет, и это стало реальностью)

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 16.07.2012, 16:40
  2. Ответов: 0
    Последнее сообщение: 10.07.2012, 18:30
  3. Найден способ обхода защиты HDCP
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 29.11.2011, 18:10
  4. Найден способ обхода облачной защиты
    От Ilya Shabanov в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 20.01.2011, 16:40
  5. Один из методов обхода SSL все еще работает в IE, Safari и Chrome
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 01.10.2009, 15:59

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00320 seconds with 20 queries