Ferenc, Olívia
-2 °C
4 °C

Biztonsági rés a bankautomatákban

2003.02.24. 12:26
Két angol kutató szerint megbízhatatlan és rosszhiszemű banki dolgozók akár egy rövid kávészünet ideje alatt is képesek lehetnek arra, hogy az ember bankkártyájának PIN-kódját a számítógépes rendszer egy eddig nem ismert hibája miatt akár 15 próbálkozás után feltörjék - írja a New Scientist. Eddig a kártyák voltak a célpontok, most inkább a banki belső szerver.
A két kutató, Mike Bond és Piotr Zielinski frissen kiadott és a New Scientist által ismertetett tanulmánya szerint felfedeztek egy rendkívül veszélyes biztonsági rést azokban a számítógépes rendszerekben, amelyeket az ATM automaták alkalmaznak a PIN-kódok ellenőrzésére. Szerintük ezzel a módszerrel akár több millió fontot is kereshetnek a tolvajok naponta.

A bankkártyánkat védő PIN kódok általában négyjegyű számokból álló kódsorozatok, de ennél lényegesen hosszabbak is lehetnek. Ha egy négyjegyű kódot szeretnénk feltörni, akkor ez átlagosan 5000 próbálkozásból sikerül. A gyakorlatban ez azért nem megvalósítható, mert az ATM automaták csak három lehetőséget adnak a próbálkozásra, mielőtt elvennék a kártyánkat és közölnék, hogy nagyon sajnálják, de nincs pénz kenyérre.

Ám ez a korlátozás csupán a tényleges tranzakciókra vonatkozik, a belső rendszer azonban egészen más módon működik. Ez azt jelenti, hogy egyes korrupt banktisztviselők a legegyszerűbb brute-force feltörő programokkal könnyedén hozzájuthatnak pénzünkhöz. A brute force - azaz nyers erő - feltörés során egyesével mennek végig a számok variáción és "egyszer csak kinyílik a zár".

Bond szerint egy 24 karakterből álló kódsort ezzel a technikával akár egy 30 perces ebédszünet alatt is képes bárki feltörni. Az ügyes tolvaj ezek után eladhatja az információt, vagy hamis másolatokat készíthet a kártyáról olyan eszközök segítségével, melyeket már lassan a sarkon lévő boltban is meg lehet venni.

Kétszáz PIN percenként

Mivel minden kártyán van egy bizonyos napi kivehető összeg, a tolvajok csak pár tízezer fontot keresnének naponta. Ám egy komplexebb megoldás révén, melyet a két angol fedezett fel, az ebédszünet alatt akár 7000 PIN-kódot is fel lehet törni egyszerre, így a kártyacsalók napi bevétele akár millió fontra is emelkedhet.

Az elterjedt nézettel ellentétben a PIN-kódokat nem tárolják egy nagy adatbázisban, hanem az ügyfél számlaszámából generálják egy bonyolult matematikai eljárás révén. A fő szerveren - ami bombabiztosan védett - csupán ezt a matematikai számítás-sorozatot futtatják. Amikor egy ATM automatát használunk és megadjuk a kódunkat, azt elküldi a szervernek azonosításra. Mivel a szerver a PIN számait hexadecimális (a 16-os számrendszer szerinti) formában generálja, egy átrendezési tábla segítségére van szükség, amely minden egyes számot átfordít a szokványos decimális formába. Ezek után tudja összehasonlítani a két számot.

A kódfeltörő szoftvert tehát itt kell elhelyezni, mivel a szerver engedélyezi, hogy a fordító táblákat módosítsák. Egy rövid telepítés után rá lehet jönni, hogy az adott PIN mely számokat nem tartalmazza. Ezzel a módszerrel körülbelül 15 próbálkozás után sikert érhetünk el.

A londoni Caplin Systems szoftvercég elnöke, Adam Hawley, aki már több banki rendszert is épített, elismerte, hogy a két kutató által megtalált biztonsági rés valóban veszélyes lehet, ám azt állítja, hogy egyáltalán nem könnyű ehhez a bizonyos banki terminálhoz hozzáférni, hiszen a bankoknak is elemi érdeke, hogy ezeket a terminálokat a legszigorúbban védjék a behatolástól.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Fergeteges Szilveszter

Fantasztikus szilveszteri vacsorával, hajnalig tartó bulikban, ismert sztárokkal töltheti el az év utolsó éjszakáját.