VIDEO: Konec bezpečnosti Vašich platebních karet? Hackeři objevili brutální chybu v bezdrátovém...

VIDEO: Konec bezpečnosti Vašich platebních karet? Hackeři objevili brutální chybu v bezdrátovém protokolu platebních terminálů! [CZ Titulky]

VIDEO: Konec bezpečnosti Vašich platebních karet? Hackeři objevili brutální chybu v bezdrátovém protokolu platebních terminálů! [CZ Titulky]

Chtěl bych upozornit všechny čtenáře AE News na velmi závažnou bezpečnostní chybu bezdrátových platebních terminálů, které jsou hojně využívány v celé Evropě, v restauracích, v hotelech, na pobočkách mobilních operátorů a všude možně. Tým bezpečnostních analytiků z Berlína odhalil brutální chybu typu “fault-by-design” v komunikačním bezdrátovém protokolu platebních terminálů bank a platebních institucí, se kterými se setkáte prakticky všude. Ochrana proti tomuto útoku spočívá jedině tak, že platební terminál připojí prodejce nebo obchodník ke své síti klasickým síťovým kabelem a zakáže bezdrátovou komunikaci terminálu s platebním serverem, ale zařízení jsou podle všeho zranitelná i po internetu, bez ohledu na způsob připojení terminálů k síti, takže co teď? Platit hotově?

point-of-sale-systems-targeted-by-new-poseidon-malware-e1427219314111.jpg
Banky nechtějí chránit klienty, dokud se chyba nezačne zneužívat v masovém měřítku!

Video, ke kterému jsem narychlo udělal titulky, ukazuje model útoku pro běžné uživatele. Jako varování je to myslím dostatečný příklad. Samotná chyba a její využití útočníkem je ve videu záměrně zrychleno, aby televize RT nemohla být z něčeho obviněna. Přestože v minulosti existovalo mnoho typů útoků na platební terminály, tato nová metoda je jiná. Využívá chybu v komunikačním designu samotného protokolu.

Exploit spočívá v podstrčení kryptografického klíče při zadávání pinu do terminálu skrze bezdrátovou síť, kterou je terminál připojený k platebnímu serveru prodejce. Útočník čeká na okamžik, kdy oběť odešle PIN z klávesnice. PIN se zakóduje kryptografickým klíčem (protipodpisem) útočníka, namísto podpisu legitimního serveru. Terminál si totiž nijak na úrovni protokolu neověřuje autoritu klíče, protože ani nemá jak. Po odeslání PINu oběti platba selže, pravý server jí odmítne, protože kryptografický klíč nesouhlasí. Ovšem útočník získá PIN a všechny údaje o kartě v pořádku, protože oběť zakryptovala informace z terminálu právě klíčem útočníka.

maxresdefault.jpg
Terminál VeriFone

Tato brutální chyba je typu “fault-by-design”, tedy je přímo součástí samotného návrhu protokolu platebních terminálů a její náprava bude znamenat přepsání celého protokolu a systému ověřování podpisových autorit. Banky se do změny protokolu nehrnou, protože to není jen tak. Každý nový protokol musí projít mnoha audity a zkouškami a jeho zavedení musí být schváleno na mnoha úrovních.

Postiženy jsou jmenovitě terminály ZVT a Poseidon, ale také Verifone, které jsou v Evropě prakticky všude. Výzkumníci zjistili, že všechny terminály používají jeden stejný master key, což je něco naprosto neuvěřitelného, jak něco takového mohlo projít bezpečnostními bankovními audity před více než 15 lety. Každý terminál se tak může chovat jako jiný terminál. To je prostě neslýchané. Více podrobností naleznete zde.

Doporučuji se vyhnout všem platebním terminálům, které nejsou připojeny k pokladně drátem. Pokud Vám prodejce dá do ruky platební terminál a nevede z něho žádný kabel, jde o bezdrátový terminál, který je zranitelný instantně, to znamená okamžitě, a to někým v okolí. Použijte k platbě zásadně hotovost v takovém případě.

-Administrator-

Print Friendly, PDF & Email
od nových od starých od palců
Upozornit na
petrs
Návštěvník
petrs

Je to nesmysl, PIN se nikam neposílá, ten neopouští platební terminál.

ogar
Návštěvník
ogar

Typicky HOAX – tento utok u nas na 99% terminalu fungovat nebude 🙂
Standardne terminal ten PINBLOCK (zasifrovany PIN) + data karty zpracovava sam a do banky komunikuje sifrovane SSL, ….

Takze tento utok je mozny tak maximalne na ten AMERICKY styl (respektive mozna mPos), kdy terminal/pinpad pouze a jenom vycte informace o karte + necha si zadat PIN a pak to posle pokladne ktera to dale preposila do sveta.

Ano, v tomto pripade, kdyby se mi podarilo do terminalu/pinpadu implantovat vlastni klic (at uz prez znalost ‘master klice’ ci jinak) a nasledne odchytnou komunikaci na server, by to mohlo fungovat ….

Cipher
Návštěvník
Cipher

Tak ten útok na zjištění PINu chápu, ale nechápu to, jak na tomto principu mohou naklonovat čipovou kartu.
Kromě toho, každá platba u čipové karty by měla mít unikátní bezpečnostní token založeném na vnitřních údajích v čipu a bez master hesla se nelze k tomu dostat.
Ano, magnetický proužek se dá zkopírovat, ale rozumný člověk si magnetický proužek poškrábe u kritické karty a používá pouze čip.
Díky chybné autentifikaci je možné online zachytit pokus o odposlech PINu a zahájit okamžitou akci — vzhledem k velkému počtu sledovacích systémů životnost háčkování v reálu bude velmi nízká díky nutnosti se dostat do blízkosti komunikace bezdrátového terminálu což zavání delším pobytem s omezeným výhledem a přistupem.

albatros
Návštěvník
albatros

No upřímně, řekněte mi jaká digitální technologie je 100% bezpečná. Žádná. A pořád tady máte jakous takous bezpečnost proti tomu co sou lidi schopný na sebe napráskat na xichtoknize. Dokonce personalisti už to běžně používaj jako další šmírovadlo. Dnešní level šmírování a NEsoukromí je 100x větší než za dob komunismu. Tenkrát pokud ste otevřeně nešli proti režimu, měli ste klid. Dneska už se nikdo nediví ani kamerám na záchodě a když vás na letišti svléknou donaha a prohmataj, tak sou lidi ještě rádi za bezpečnost. Prostě Kocourkov.

to je jedno
Návštěvník
to je jedno

To je ale celkem dobrý argument proti zavádění společnosti se 100% placením bezhotovostně! Je to tedy nepříjemné, ale je vidět, že vše zlé je taky na něco dobré.

Tomas
Návštěvník
Tomas

Me to pripada jako recyklace situace pred cca 7 lety.

Jarek*
Návštěvník
Jarek*

Nepodařilo se žádnému z idiotů, aby mi vnutil tu hovadinu na placení. Vždy jsem platil, platím a budu platit ho to vě. To, co ti zmetci udělali, není chyba, ale záměr. Nemám obavu o to, že tyto podrazy chystají idioti, to rozhodně ne. Idioti jsou na druhé straně barikády, hlupáci, co si myslí, že bankovní systém je tady pro ně. On je, ale na to, aby je okradl.

Honza
Návštěvník
Honza

Nevím, co znamená bezdrátová, ale pokud bezkontaktní, při jejímž použití se nevkládá do čtečky terminálu a nezadává se PIN kod, tak tu mi při expiraci staré karty poslali z centrály mnou používané banky. Naštvali mě a po mé žádosti o zaslání nové klasické karty tak učinili a zrušili tu zaslanou bezkontaktní. Hotovo.

Pavel
Návštěvník
Pavel

Už jsem si dávno stěžoval na bezdrátové platební karty. Pokud mi někdo ukradne peněženku tak si dokonce může bez PIN koupit cokoliv do 500 korun a to několikrát opakovat. Celková kumulativní ukradená suma může být klidně 2500Kč.

Kdybych trval na PIN při každé transakci, tak to se prý nedá nastavit.

Jenže banky ty bezdrátové karty natlačili i když to klienti nechtějí. Nebo jsou lidi ovce a nevadí jim to.

Jebatac
Návštěvník
Jebatac

Většina lidí nejsou jen ovce, ale zmrdi co si okrást snad i zaslouží za svoje vypatlané mozky, spíše nepřemýšlivé bezmozky. Takže dobře jim tak!

kopretina
Návštěvník
kopretina

Chápu, že každý nemůže mít tak nevypatlaný a přemýšlivý mozek jako Vy. To nakonec buďte rád, protože v opačném případě byste nemohl předvádět svoji inteligenci a nadhled.

Tomas
Návštěvník
Tomas

Napadlo Vas, ze to lidem vyhovuje?

Pozadejte svoji banku o vydani klasicke karty.