Vídeo: Mysteries and Scandals - Groucho Marx (2001) (Setembre 2024)
Per als nostres lectors nord-americans, pagar amb targeta de crèdit significa passar per una banda magnètica. Però per a persones de bona part d’Europa i d’altres països, significa inserir la targeta xip en un lector i introduir el PIN. Aquesta solució anomenada xip i PIN ha estat coneguda des de fa temps com molt superior al swipe nord-americà, i en la majoria de les formes és. Però hi ha alguns problemes seriosos sobre com s’ha implementat l’esquema.
Ross Anderson va exposar aquest any la història del seu equip sobre la investigació de xip i targetes PIN a Black Hat. Per a un sistema dissenyat per ser més difícil d’enganyar, Anderson tenia una quantitat sorprenent de dir.
Una cavalcada de falles
Una actualització ràpida en xip i PIN: els usuaris insereixen les seves targetes quan compren. A continuació, introdueixen el seu PIN, que es confirma amb la targeta al dispositiu. Quan funciona, el PIN mai no hauria de sortir del lector. A continuació, la targeta parla amb el banc per autoritzar la transacció i es fa la venda. Al paper, tot sona molt bé.
Anderson va trobar diverses vulnerabilitats diferents que ell i el seu equip van trobar, i d'altres que van ser observats en estat salvatge i després invertits per experts en seguretat.
Molts atacs es van centrar en els dispositius que els comerciants utilitzaven per realitzar transaccions i en els caixers. El seu equip va trobar que, de fet, diversos dispositius no estaven adaptats a les especificacions de seguretat que pretenien seguir. Amb un mínim d’esforç, va dir que podrien cablejar els dispositius i extreure el PIN durant una venda.
Altres atacs van consistir a instal·lar el que Anderson va anomenar "electrònica malvada" als lectors per capturar dades de transaccions. En un cas, els estafadors van instal·lar la seva mercaderia malvada als lectors de targetes abans que fins i tot els entregessin als comerciants.
Però hi va haver molts altres atacs, com incrustar electròniques directament a targetes de xip i PIN, connectar targetes a dispositius ocults que van permetre a un lladre autoritzar la targeta amb qualsevol codi aleatori i, fins i tot, atacs que van "reproduir" transaccions a diferents llocs.
Tècnicament superior, pràcticament problemàtic
Vaig preguntar-li a Anderson si, després de tots els defectes que ha trobat amb xip i passador, encara creia que era superior a les targetes. Ell era inequívoc: les targetes xip i PIN són técnicament superiors simplement perquè són molt més difícils de clonar que les targetes lliscants.
El problema més gran és el de com es va tirar el xip i el PIN a Europa. Anderson va explicar que per aconseguir que els comerciants canviessin, els bancs van prometre als comerciants que seran responsables dels càrrecs fraudulents. Amb les targetes fixes, una càrrega fraudulenta només es torna al comerciant. Anderson va anomenar això "canviar el passiu".
Sembla un bon pla, però la realitat era bastant cruel. Anderson va dir que les víctimes de fraus eren sovint culpades pels bancs, que els van acusar d’exposar d’alguna manera els seus PIN. En altres casos, els bancs simplement van canviar d'opinió i van invertir els càrrecs als comerciants. En casos extrems, els bancs i les empreses de targetes de crèdit van negar a carregar càrrecs contra estafadors coneguts, aparentment per vergonya.
Aparent, ningú no volia fer-se responsable del frau de xip i PIN. Anderson va preguntar: "si el banc no paga el frau, per què farien un budell per mantenir-lo segur?"
Anderson també va criticar els autors de la documentació de xip i PIN per no tenir una visió clara i per deixar que la documentació espiri fora de control. La va anomenar tragèdia dels béns publics i va assenyalar que ningú no ha avançat cap a l’autor d’una versió actualitzada que realment pogués fer els canvis de seguretat necessaris a l’estàndard.
Arribant a Amèrica
Els nostres lectors nord-americans, contents amb les seves targetes fixes, poden preguntar-se perquè això els hauria d’importar. Hi ha una raó senzilla: les targetes xip i PIN estan preparades per ser introduïdes en aquest país. Anderson va dir que el 2015 els bancs hauran de realitzar la transició.
Pot ser que les coses no vagin tan malament en aquest país. Per una cosa, només alguns bancs opten per esquemes de xip i PIN, mentre que d’altres bancs tiraran xip i targetes de signatura. Aquest pla d'autenticació s'ha utilitzat a Singapur i està dissenyat per proporcionar una major protecció al consumidor. Anderson també va assenyalar que el paper de la Reserva Federal en la banca nord-americana també ofereix una major protecció al consumidor, suposant que no es erosionarà dràsticament en un futur proper.
Va dir, també, que va poder jugar el públic de Black Hat. "No és un protocol únic; és una gran eina, aleatòria i astut per crear protocols de pagament", va dir. "Vostè pot trobar alguna cosa que és realment segur, o una cosa que és realment sagnant horrible".
Aquí tenim l’esperança d’obtenir el primer.
