Compartilhar
Recomendar
Imprimir
E-mail
7 Comentários
Leia este resumo informativo, preparado pela Cascadia Labs, e saiba como fazer as perguntas certas para obter as respostas certas ao buscar referências de fornecedores de segurança de terminais.
Baixar agora
Fevereiro 12, 2010, 2:53PM
Experts descobrem como quebrar proteção de cartões de crédito com chip
Um grupo de pesquisadores desobriu uma falha significativa no sistema de segurança chip-e-PIN (senha) usado por companhias de cartão de crédito no mundo todo. A falha permite que um atacante use o cartão sem o PIN associado a ele.
Em uma operação normal, utilizando o chip e o PIN do sistema, o portador precisa digitar uma senha para autenticar a si mesmo. Mas os pesquisadores descobriram uma maneira de usar o cartão ao digitar qualquer código PIN, tornando o sistema de autenticação inútil. E de fato, devido à forma como o sistema funciona, a operação ficaria completamente legítima para o banco, o que demonstraria que a senha correta foi usada.
A falha é que quando você coloca um cartão em um terminal, uma negociação ocorre sobre como o titular do cartão deve ser autenticado: usando um PIN, uma assinatura ou nada. Esta subprotocolo em particular não é autenticado, assim você fazer o cartão "pensar" que está fazendo uma transação de chip-e-assinatura, enquanto o terminal pensa que é chip-e-PIN. O resultado é que você pode comprar coisas usando um cartão roubado e um PIN de 0000 (ou qualquer coisa que você quiser). Fizemos isso, filmando, usando cartões de vários jornalistas. As operações funcionaram e os recibos vieram com impresso "Verifcado por senha".
O ataque foi desenvolvido por um grupo de pesquisadores da Universidade de Cambridge, incluindo Ross Anderson, Steven J. Murdoch, Drimer Saar e Mike Bond. O grupo descobriu que eles eram capazes de usar o ataque online com sucesso, bem como nas operações do mundo real.
Então, o que deu errado? Em essência, existe um buraco nas especificações que criam o sistema "Chip-e-PIN". Essas especificações consistem no quadro do protocolo EMV, o sistema regras de cada cartão (Visa, MasterCard), as regras nacionais de pagamento, e os documentos produzidos por cada emissor individual descrevendo suas próprias personalizações. Cada especificação define os critérios de segurança, opções de ajustes e conjuntos de regras - mas nenhuma assume a responsabilidade por listar os controles no terminal. Como resultado, centenas de emitentes independentemente fazem a coisa errada, com a falsa garantia de que todas as bases estão cobertas a partir das especificações comuns. A especificação EMV está quebrada, e precisa de conserto.
O sistema chip-e-PIN sistema é o regime de segurança para transações de cartão de crédito dominante em vários países, e os pesquisadores disseram que precisa ser totalmente reformulado.
"Nos últimos cinco anos, milhares de usuários de cartões foram roubados e tiveram seus cartões usados por criminosos. Os bancos muitas vezes dizem a eles que a senha foi usada, então a culpa é dos clientes. Entanto, nós mostramos que é fácil de usar um cartão sem conhecer a senha - e o recibo diz que a operação foi "verificada pelo PIN", mesmo que não tenha sido ", disse Anderson, em comunicado.
Mais populares de hoje
- Cibercriminosos exploram novo bug em PDF, adverte Adobe
- Cibercrime está usando defacers no Brasil para gerar spam
- Estudo mostra que profissionais de TI são os mais vulneráveis em redes sociais
- Pesquisa: 76% dos internautas brasileiros já caíram em golpes na web
- Trocar senha e limpar cache de navegador elimina 'vírus do Twitter'
Artigos sobre segurança apresentados
Conteúdo Threatpost personalizado
 |
 |
 |
| Junte-se à nossa comunidade no Orkut | Siga-nos no | Assine a Newsletter |
Comentários
Empresas totalmente estruturadas para oferecer um "melhor servido de segurança". deixam passar um furo destes da forma mais obvia. E o pior são os bancos dizerem: muitas vezes dizem a eles que a senha foi usada, então a culpa é dos clientes, de acordo com o fim do texto.
Quebraram a segurança do cartão com chip
Mesmo que a senha correta fosse usada, isso não é prova que o autor da transação foi o dono do cartão. Qualquer um pode olhar enquanto o cliente digita a senha e memorizá-la. Depois é só clonar ou roubar o cartão - fácil - e pronto: o ladrão tem o cartão e a senha. O USO DA SENHA NÃO PROVA A AUTENTICIDADE - isso que os bancos escrevem nos contratos e obrigam seus cliettes a assinar é absurdo!
e como fazer engenharia reversa em P.E achamas uma condição e zeramos a ''Flag Z''
muito interessante ainda bem que existem pessoas que estudam isso pra ajudar empresas que muitas vezes não fazem o serviço direito!! abraços (Jaquison luis ferreira de souza)
BOBAGEM !!
-
Essa façanha é LIMITADA. Vejam bem, ele ocorre APENAS EM UMA SITUAÇÃO ESPECIFICA !!
-
A maioria dos bancos no Brasil verificam o valor do campo CVR (Card Verification Results) e isso INVIABILIZA a técnica desses caras !!!
-
E o outro camarada aih disse de olhar a senha e memorizar... Mas de que adianta ?!?!? Cartão com CHIP é IMPOSSIVEL DE CLONAR. Portanto, só vai adiantar memorizar a senha, se depois realmente eu roubar o cartão do usuário. PUTZ ! Se for roubar, então deixa de ser GOLPE e sim ASSALTO ESCANCARADO.
-
Em resumo: CLONAGEM não existe em cartão com CHIP
Em resumo: ESSA TECNICA é limitada e furada no Brasil
Em resumo: Isso é sensacionalismo, estamos seguros...
E como vc explica movimentações no cartão com chip, sem o mesmo sair do bolso?? recentemente foram efetuados saques no meu cartão com chip ( Somente eu titular tenho a senha) e ai??? estou entrando com um processo contra a instituição.
Vc está realmente seguro???? já tem quadrilha com cartão com chip!!!! e gente vendendo a tecnologia....
mais como eles descobriram este sistema se saiu de emgenheiros sobre o assunto ????
Comentar