Video: Using the Magnetic Stripe Reader with a Chip and Pin card on the PD40 (Nobyembre 2024)
Sa aming mga mambabasa sa US, ang pagbabayad gamit ang isang credit card ay nangangahulugang pag-swipe ng isang magnetic strip. Ngunit para sa mga tao sa halos lahat ng Europa at iba pang mga bansa, nangangahulugan ito na ipasok ang iyong chip card sa isang mambabasa at pagpasok ng iyong PIN. Ang tinaguriang chip at PIN solution na ito ay matagal nang nai-tout na malayo kaysa sa American swipe, at sa karamihan ng mga paraan. Ngunit may ilang mga seryosong isyu sa kung paano ipinatupad ang scheme.
Inilatag ni Ross Anderson ang kasaysayan ng kanyang koponan sa pag-iimbestiga ng chip at PIN cards sa Black Hat ngayong taon. Para sa isang sistema na idinisenyo upang maging mas mahirap manloko, si Anderson ay nagkaroon ng isang nakakagulat na halaga upang sabihin.
Isang Cavalcade of Flaws
Isang mabilis na pag-refresh sa chip at PIN: ipinasok ng mga mamimili ang kanilang mga kard kapag gumagawa ng mga pagbili. Pagkatapos ay ipinasok nila ang kanilang PIN, na kinumpirma ng card sa aparato - kapag gumagana ito, hindi dapat iwanan ng PIN ang mambabasa. Ang card pagkatapos ay nakikipag-usap sa bangko upang ma-akda ang transaksyon, at ang pagbebenta ay ginawa. Sa papel, lahat ito tunog.
Naglakad si Anderson ng ilang mga hindi katangi-tanging kahinaan na natagpuan sa kanya at sa kanyang koponan, at iba pa na unang na-obserbahan sa ligaw at pagkatapos ay baligtarin ng mga eksperto sa seguridad.
Maraming mga pag-atake na nakatuon sa mga aparato na ginamit ng mga mangangalakal upang magsagawa ng mga transaksyon, at mga ATM. Natagpuan ng kanyang koponan na maraming mga aparato ay hindi, sa katunayan, ginawa sa mga pagtutukoy sa seguridad na inaangkin nilang sundin. Sa isang minimum na pagsisikap, sinabi niya na maaari nilang i-wiretap ang mga aparato at kunin ang PIN sa panahon ng isang pagbebenta.
Ang iba pang mga pag-atake na kasangkot sa pag-install ng tinatawag na Anderson na "masamang electronics" sa mga mambabasa upang makuha ang data ng transaksyon. Sa isang kaso, na-install ng mga scammers ang kanilang mga masasamang paninda sa mga mambabasa ng card bago pa man sila mapaniwala sa mga mangangalakal.
Ngunit maraming iba pang mga pag-atake, tulad ng pag-embed ng mga electornics nang direkta sa chip at PIN card, pagkonekta ng mga card sa mga nakatagong aparato na pinapayagan ang isang magnanakaw na pahintulutan ang card gamit ang anumang random na code, at kahit na ang mga pag-atake na "nag-replay" ng mga transaksyon sa iba't ibang mga lokasyon.
Teknikal na Superior, Praktikal na May Problema
Tinanong ko si Anderson kung, pagkatapos ng lahat ng mga bahid na natagpuan niya na may chip at pin, naisip pa niya na mas mahusay ito sa mga swipe card. Siya ay hindi patas: ang mga chip at PIN card ay technically superior dahil lamang sa mga ito ay mas mahirap na ma-clone kaysa sa mga swipe card.
Ang mas malaking problema ay sa kung paano nakulong ang chip at PIN sa Europa. Ipinaliwanag ni Anderson na upang makuha ang mga negosyante ng Europa, ipinangako ng mga bangko ang mga mangangalakal na sila ang mananagot sa mga paratang na pandaraya. Sa mga swipe card, isang mapanlinlang na singil ay baligtad lamang sa mangangalakal. Tinawag ito ni Anderson na "paglilipat ng pananagutan."
Tulad ng isang mahusay na plano ngunit ang katotohanan ay medyo malupit. Sinabi ni Anderson na ang mga biktima ng pandaraya ay madalas na sinisisi ng mga bangko, na inakusahan silang ilantad ang kanilang mga PIN kahit papaano. Sa iba pang mga kaso, ang mga bangko ay simpleng nagbago ng kanilang isip at baligtarin ang mga singil sa mga mangangalakal. Sa matinding kaso, ang mga bangko at kumpanya ng credit card ay tumanggi na pindutin ang mga singil laban sa mga kilalang scammers, na tila walang kahihiyan.
Walang sinuman, tila, nais na kumuha ng responsibilidad para sa pandaraya sa chip at PIN. Tinanong ni Anderson, "kung ang bangko ay hindi nagbabayad para sa pandaraya, bakit sila mag-bust ng isang gat upang mapanatili itong ligtas?"
Pinuna rin ni Anderson ang mga may-akda ng chip at dokumentasyon ng PIN para sa hindi pagkakaroon ng isang malinaw na pangitain, at pinakawalan ang kontrol ng dokumentasyon. Tinawag niya itong isang trahedya ng mga commons, at binanggit na walang sinumang humakbang sa may-akda ng isang na-update na bersyon na maaaring gawin talaga ang mga kinakailangang pagbabago sa seguridad sa pamantayan.
Pagdating sa Amerika
Ang aming mga mambabasa ng US, nilalaman kasama ang kanilang mga swipe card, ay maaaring nagtataka kung bakit ito ay mahalaga sa kanila. Mayroong isang simpleng kadahilanan: ang mga chip at PIN card ay naka-iskedyul na ipakilala sa bansang ito. Sinabi ni Anderson na ang mga bangko ay nakatakda upang gawin ang paglipat sa taong 2015.
Ang mga bagay ay maaaring hindi masyadong napakahirap sa bansang ito. Sa isang bagay, ang ilang mga bangko lamang ang pumipili ng mga scheme ng chip at PIN, habang ang ibang mga bangko ay ilalabas ang mga chip at pirma ng kard. Ang planong pagpapatunay na ito ay ginamit sa Singapore, at dinisenyo upang magbigay ng higit na proteksyon sa consumer. Nabanggit din ni Anderson na ang papel ng Federal Reserve sa pagbabangko ng US ay nag-aalok din ng higit na proteksyon sa mga mamimili - sa pag-aakalang hindi ito mabilis na sumabog sa malapit na hinaharap.
Mayroon ding papel, aniya, na maaaring maglaro ang madla ng Black Hat. "hindi isang solong protocol; ito ay isang malaki, random, tuso toolkit upang makabuo ng mga protocol ng pagbabayad, " aniya. "Maaari ka ring magkaroon ng isang bagay na talagang ligtas, o isang bagay na talagang madugong kakila-kilabot."
Narito ang pag-asa na makuha namin ang dating.
