Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

PinPadPwn

2012.07.31. 13:29 | detritus | 6 komment

A nemrég véget ért Blackhat konferencián mutatott be a spanyol Rafael Dominguez és a csak Nils-ként ismert német hacker (akinek bizony ismerős lehet már a neve) támadásokat főleg az USA-ban és az Egyesült Királyságban elterjedt, többféle PIN PAD típus ellen.

A PIN PAD az az eszköz, amibe kártyás fizetésnél az ember begépeli a PIN kódját, ami onnantól biztonságban van, a tranzakció végén pedig törlődik. Elvileg.

Mint az ilyen eszközök elleni támadások általában, ez is azzal kezdődött, hogy vettek maguknak az eBay-en egy-egy darabot.

Az egyik típus vizsgálata során kiderült, hogy az eszköz rendelkezik távoli adminisztrációs hozzáférési lehetőséggel és időnként kommunikál is egy szerverrel. Csakhogy eközben elfelejti autentikálni a szervert, ezért lehetőség nyílt man-in-the-middle támadásra. Ehhez természetesen azonos hálózaton kell lenni az eszközzel, de a Nils-ék felhívják a figyelmet arra, hogy wifi-s modellek is léteznek!
A terminált egy linux alapú cucc működteti, amiben persze volt egy bug. Saját programot tudtak telepíteni vagy létezőt módosítani - gondolom ez gyakorlatilag a root jogot jelenti -, innentől pedig természetesen game over.

A másik két modell érdekesebbnek tűnik, ezek ugyanis chip-and-PIN kártyák olvasására alkalmasak. A chip-and-PIN kártyák tartalmaznak egy biztonsági chipet, ami a PIN beütésekor ellenőrzi annak helyességét, valamint egy titkos kulcsot, ami validálja a kártyát a bank felé. Ez elvileg megvédi az ügyfél pénzét akkor is, ha a támadó fake kártyát gyárt és ismeri az áldozat PIN kódját.

A terminálok feletti uralom átvételére az EMV protokoll implementációjának egy stack overflow hibája adott lehetőséget. Magát a hibát egyszerűen egy preparált kártya készülékbe helyezésével lehet triggerelni, miivel azonban az eszközön csak aláírt alkalmazások futtathatók, a támadó kénytelen a memóriában tartani a kódját. Ennek persze az a hátránya, hogy minden rebootnál a kód is törlődik. Addig viszont minden bedugott kártya adatait és PIN kódját lelesi, a mentett adatokat pedig egy másik preparált kártya behelyezésével lehet kinyerni.

Nils-ék a chip-and-PIN funkciót is megkerülték és le tudták másolni a mágnescsíkot, amit ezek a kártyák is hordoznak a visszafele kompatibilitás jegyében. Ez egyszerűen úgy vihető véghez, hogy abortálják a chip-and-PIN ellenőrzést és hibára hivatkozva a mágnescsík lehúzását kérik.

A teljes kontroll bizonyítékaként - és nyilván hogy a megfelelő fun faktor is meglegyen -, az alábbi videót készítették:

Az egész történet talán legnagyobb tanulsága az, hogy hiába céleszközök, gyakorlatilag ugyanazoknak a fenyegettségeknek vannak kitéve, mint amiket más rendszereknél is megszokhattunk.

Címkék: hardver blackhat pinpad Rafael Dominguez Nils

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

detritus 2012.07.31. 21:22:30

Igazából olyat nem írnak, hogy aktívan kihasználnák, sőt, a második mondatban is csak lehetőségről beszélnek. Fura is lenne, mivel a részletek nem ismertek, pont azért, hogy a gyártónak legyen ideje javítani (ami az eszközök számát tekintve nem mostanában lesz kész).

hpapagaj 2012.08.01. 00:05:42

Szlovákiában ugyan ezek a terminálok vannak többségben.

hpapagaj 2012.08.01. 00:08:12

Egyébként ezek minden éjjel frissítik magukat, szoval ha lesz frissites az elvileg gyorsan telepul majd.

axt · http://axtaxt.wordpress.com/ 2012.08.01. 07:37:47

@detritus: Igazad van. Nem olvastam végig, csak átfutottam. Valószínűleg emiatt a mondat miatt gondoltam, hogy aktívan használják: "Ilyen átalakított bankkártyákhoz viszonylag egyszerűen hozzá lehet jutni az interneten, Kínából, vagy akár Közép-Európából is.", de most hogy újraolvasom, nyilván nem a már preparált kártyákról van szó. A cikk tényleg elég egyértelműen a blackhat-es felfedezésről beszél.

detritus 2012.08.01. 10:05:11

@axtaxt: Igen, ez a mondat nekem is szöget ütött a fejembe. Szerintem a cikk szerzője kever valamit, ez inkább a "kopasz" kártyákra vonatkozhat.