Naujienos
Lustinėse mokėjimo kortelėse aptikta saugumo spraga suteikia galimybę įsilaužėliams naudotis pavogta kortele net nežinant jos PIN kodo.
Kembridžo universiteto (D. Britanija) kompiuterių saugumo specialistai pranešė, kad šimtai milijonų Europos šalyse naudojamų mokėjimo kortelių su integruotais lustais turi saugumo spragą, leidžiančia į pavogtą kortelę įvesti bet kokį PIN kodą ir atlikti „teisėtą“ tranzakciją. Bankai tokios įsilaužėlių operacijos net neatpažįsta kaip neteisėtos, praneša „PC World“.
Šis lustinių kortelių, kurios Europos šalyse diegiamos kaip saugesnė alternatyva JAV naudojamoms magnetinėms kortelėms, saugumo pažeidimas bus pristatytas gegužės mėnesį Kalifornijoje vyksiančioje „IEEE Symposium on Security and Privacy“ konferencijoje.
EMV spragos išnaudojimo schema ir reikiama techninė įranga.
Lustinėse kortelėse esanti mikroschema patikrina, ar įvestas PIN kodas yra teisingas, ir leidžia užbaigti tranzakciją. Kembridžo universiteto specialistų tyrimo rezultatai verčia abejoti vadinamųjų EMV standarto lustinių kortelių saugumu, teigia leidinys. Tokio tipo kreditines ir debetines korteles leidžia „Europay“, „Mastercard“ ir VISA. EMV lustines mokėjimo kortelės naudojamos daugelyje Europos šalių, prie jų ruošiamasi pereiti Kanadoje. Iš viso pasaulyje naudojama apie 730 mln. tokių kortelių.
Pasak „PC World“, Europos šalių bankai jas laiko saugesnėmis už magnetines, nes kai kuriais atvejais užkertamas kelias kortelės klonavimui.
Tačiau Kembridžo universiteto kompiuterių saugumo ekspertai aptiko spragą EMV protokole, kuri POS (point-of-sale) terminalus, kurie naudojami atsiskaitymui kortelėmis, „įtikina“, kad įvestas bet koks 4 skaitmenų PIN kodas yra teisingas.
Kompiuterių saugumo ekspertas profesorius Rossas Andersenas su savo kolega Saaru Drimeriu BBC TV laidos „Newsnight“ žurnalistams pademonstravo, kaip veikia tokia ataka. Jiems prireikė nešiojamojo kompiuterio, FPGA (field programmable gate array) plokštės, netikros mokėjimo kortelės ir tam tikros kitos papildomos įrangos, kad priverstų susimokėti už pirkinį įvedus netikrą PIN kodą 0000.
Pasak leidinio, įvairių šalių bankai apie šią EMV lustinių kortelių saugumo spragą buvo informuoti dar prieš du mėnesius. D. Britanijos asociacijos „U.K. Payments“ atstovas priminė, jog niekada nebuvo tvirtinama, kad vadinamosios „chip-and-PIN“ mokėjimo kortelės yra visiškai saugios. Atstovo teigimu, nurodyto tipo ataka „nėra tikėtina kasdieninėmis aplinkybėmis“, o tyrimo autoriai esą sugalvojo pernelyg įmantrų būdą tokiai saugumo spragai išnaudoti.
Tačiau, pasak vieno iš tyrimo autorių Steveno J. Murdocho, nors demonstruojama techninė įranga atrodo pernelyg sudėtinga ir krintanti į akis, iš tikrųjų yra labai paprasta ją pritaikyti taip, kad ji būtų kompaktiška ir praktiškai nepastebima. Pavyzdžiui, nešiojamąjį kompiuterį galima pakeisti mažyčiu mikroprocesoriumi, o FPGA plokštę – mažesniu įrenginiu. Abi mokėjimo korteles galima pritaikyti bevieliam ryšiui, todėl neprireiks naudoti laidelio. 2 psl. >
2010-04-02 00:25
kokia kajna ir iskur zinoti ar tikraj patikima...
siaulietis 2010-03-16 16:02
lyg saika to nezinojo,nu duoda,hakeriai bet ka gali siais laikais padaryti:)))
romualdas šiauliai 2010-03-04 16:46
Kvailiausia tai turėti reikalų su PZU draudimu,nes jei atėjai pas juos nutraukti...
narayan 2010-02-28 23:41
transakcijos jus transakcijos. Cia lietuva.... cia yra maxima.. jei jau vagys kaip tai gaus ta...