среда, 25 марта 2009 г.

Взломанны банкоматы крупнейших банков

Троян сохранял не только магнитную полосу, но и PIN. Это позволяет создать клон карточки и обналичивать в произвольном банкомате.

http://www.securitylab.ru/news/376311.php

Сколько будет продолжаться эта эпопея с магнитными карточками? Всем на чипы!

2 комментария:

Maxus комментирует...

Серега, чипованные карты от этой заразы не спасут...

какая разница какая карта если ты подаешь команду банкомату выдать денег через штатный интерфейс? :)

Сергей Гордейчик комментирует...

Макс, не соглашусь.

В ситуации, когда у тебя на 3х субъектов взаимодействия (процессинг, банкомат, пользователь) приходится три секрета и три TCB ("надежные серверы" и HSM процессинга, HSM банкомата и чип карточки), любой более-менее грамотный инженер спроектирует тебе схему в которой без компрометации одного их этих компонентов MITM на уровне ОС или сети будет бесполезен.
С точки зрения конфиденциальности, да - проблема остается. Вряд ли кто-то будет реализовывать протоколирование транзакций и вывод выписки на экран в "железе". Но с точки зрения целостности - все можно сделать достаточно надежно.

Конечно остается ситуация с компрометацией HSM и ошибками реализации, но это на порядок более сложная задача, чем "троян для windows"

А с магниткой, когда TCB у пользователя (карты) отсутствует, и секрет настолько могучий, что его не только нельзя использовать для криптографической аутентификации, а наоборот приходится всячески защищать... Ну о чем тут говорить...