Saar Drimer, Steve J. Murdoch és Ross Anderson, a Cambridge Egyetem kutatói olyan eljárást fejlesztettek ki, melynek segítségével egy okoskártyaolvasó terminál percek alatt átalakítható úgy, hogy a rajta áthaladó összes kártyainformáció és PIN-kód lehallgathatóvá válik. Ráadásul a módszer gyakorlatilag bárki által könnyen és legfőképpen olcsón kivitelezhető:
A legvalószínűbb támadási forgatókönyv az, hogy egy belső munkatárs preparálja a leolvasókat, hogy így szerezze meg a vásárló okoskártyájának tartalmát és természetesen a PIN kódot (ami titkosítatlanul rohangál a készülék belsejében). Ezen információk birtokában a kártya igen rövid idő alatt klónozható. Ilyen esetre már volt is példa: múlt decemberben összesen mintegy 80.000 fonttal rövidítettek meg 1.500 embert, akik a helyi benzinkút módosított kártyaleolvasójánál fizettek.
Az APACS bankszövetség szóvivője úgy nyilatkozott, hogy az ilyen jellegű támadások előfordulási esélye igen kicsi, amiben valószínűleg igaza is van. Ross Anderson ugyanakkor arra figyelmeztet, hogy az ilyen jellegű, buta tervezésből adódó hibák nem csak banki környezetben, hanem az elektronikus szavazórendszerektől elkezdve az egészségügyi nyilvántartórendszerekik sok helyen előfordulhatnak, és ezekben a rendszerekben - bár biztonságosságuk nem minden esetben garantált - az embereknek muszáj megbízniuk.
A Register cikkét itt olvashatjátok.
"Ami eddig 25.000$-t igényelt, most megvalósítható egy gemkapocs, egy tű, egy rövid vezeték és némi kreatív gondolkodás segítségével; ezeknek a csatlakoztatása az adatvezetékhez egy kis gyakorlással néhány percet vesz igénybe. Egy nem felejtő memóriával ellátott FPGA vagy mikrokontroller könnyedén befér az Indegico PED [PED=PIN Entry Device - PIN beviteli eszköz; az Indegico az Egyesült Királyság egyik legnépszerűbb leolvasógyártója] dobozába és rögzítheti az tranzakció részleteit a felhasználó tudta nélkül. Hasonlóan egy rögzített Dione PED [Szintén népszerű eszköz] aljából egy lehallgató készülékhez vezető kábel is észrevétlen marad, hacsak a kártyatulajdonos nem vizsgálja meg nagyon alaposan a készüléket úgy, hogy tudja mit keres."
A legvalószínűbb támadási forgatókönyv az, hogy egy belső munkatárs preparálja a leolvasókat, hogy így szerezze meg a vásárló okoskártyájának tartalmát és természetesen a PIN kódot (ami titkosítatlanul rohangál a készülék belsejében). Ezen információk birtokában a kártya igen rövid idő alatt klónozható. Ilyen esetre már volt is példa: múlt decemberben összesen mintegy 80.000 fonttal rövidítettek meg 1.500 embert, akik a helyi benzinkút módosított kártyaleolvasójánál fizettek.
Az APACS bankszövetség szóvivője úgy nyilatkozott, hogy az ilyen jellegű támadások előfordulási esélye igen kicsi, amiben valószínűleg igaza is van. Ross Anderson ugyanakkor arra figyelmeztet, hogy az ilyen jellegű, buta tervezésből adódó hibák nem csak banki környezetben, hanem az elektronikus szavazórendszerektől elkezdve az egészségügyi nyilvántartórendszerekik sok helyen előfordulhatnak, és ezekben a rendszerekben - bár biztonságosságuk nem minden esetben garantált - az embereknek muszáj megbízniuk.
A Register cikkét itt olvashatjátok.
nyomasek_bobo · http://sopron.e-cafe.hu 2008.02.29. 13:35:00
eszem-faszom megáll
Jacques Ucca (törölt) 2008.02.29. 13:37:55
www.fishki.net/comment.php?id=31790
buherator · http://buhera.blog.hu 2008.02.29. 13:47:43
Ethereal 2008.02.29. 14:41:07
Ez így baromi pontatlan ám! Az okoskártya (már ha mindketten a smartcardra gondolunk) olyan jószág, aminek a belsejéből nemigen lehet kinyerni semmilyen titkos kulcsot, azonban meg lehet kérni, hogy végezze el a titkos kulccsal az általad megadott adatok dekódolását (saját memóriája és processzora van pont emiatt). A kártya"olvasó"ból tehát csak a PIN-kód kerülhet ki, ami önmagában semmire sem elég. A kártyát ugyanis még klónozni kell, ami nem könnyű, ha nem tudod, mit kell, hogy tartalmazzon a klónkártya. Kíváncsi vagyok, hogyan csinálták, mert valami nem kóser a szövegben.
buherator · http://buhera.blog.hu 2008.02.29. 15:15:23
A megfogalmazás ettől függetlenül valóban pontatlan, kösz hogy felhívtad rá a figyelmet! Én nem vagyok egy smartcardmágus, ha valakit mélyebben érdekel a dolog, az olvassa végig a belinkelt PDF-et!
andreasue (törölt) 2008.02.29. 16:25:31