További Hardver cikkek
Kapcsolódók (3)
Veszélyes mobilban tárolni a bankkártya kódját
Ne írjuk be a PIN-kódot a telefonba, kössünk kártyabiztosítást és kérjünk SMS-visszajelzést a tranzakciókról.
Ne írjuk be a PIN-kódot a telefonba, kössünk kártyabiztosítást és kérjünk SMS-visszajelzést a tranzakciókról.
Két angol kutató szerint megbízhatatlan és rosszhiszemű banki dolgozók akár egy rövid kávészünet ideje alatt is képesek lehetnek arra, hogy az ember bankkártyájának PIN-kódját a számítógépes rendszer egy eddig nem ismert hibája miatt akár 15 próbálkozás után feltörjék - írja a New Scientist. Eddig a kártyák voltak a célpontok, most inkább a banki belső szerver.
A két kutató, Mike Bond és Piotr Zielinski frissen kiadott és a New Scientist által ismertetett tanulmánya szerint felfedeztek egy rendkívül veszélyes biztonsági rést azokban a számítógépes rendszerekben, amelyeket az ATM automaták alkalmaznak a PIN-kódok ellenőrzésére. Szerintük ezzel a módszerrel akár több millió fontot is kereshetnek a tolvajok naponta.
A bankkártyánkat védő PIN kódok általában négyjegyű számokból álló kódsorozatok, de ennél lényegesen hosszabbak is lehetnek. Ha egy négyjegyű kódot szeretnénk feltörni, akkor ez átlagosan 5000 próbálkozásból sikerül. A gyakorlatban ez azért nem megvalósítható, mert az ATM automaták csak három lehetőséget adnak a próbálkozásra, mielőtt elvennék a kártyánkat és közölnék, hogy nagyon sajnálják, de nincs pénz kenyérre.
Ám ez a korlátozás csupán a tényleges tranzakciókra vonatkozik, a belső rendszer azonban egészen más módon működik. Ez azt jelenti, hogy egyes korrupt banktisztviselők a legegyszerűbb brute-force feltörő programokkal könnyedén hozzájuthatnak pénzünkhöz. A brute force - azaz nyers erő - feltörés során egyesével mennek végig a számok variáción és "egyszer csak kinyílik a zár".
Bond szerint egy 24 karakterből álló kódsort ezzel a technikával akár egy 30 perces ebédszünet alatt is képes bárki feltörni. Az ügyes tolvaj ezek után eladhatja az információt, vagy hamis másolatokat készíthet a kártyáról olyan eszközök segítségével, melyeket már lassan a sarkon lévő boltban is meg lehet venni.
Kétszáz PIN percenként
Mivel minden kártyán van egy bizonyos napi kivehető összeg, a tolvajok csak pár tízezer fontot keresnének naponta. Ám egy komplexebb megoldás révén, melyet a két angol fedezett fel, az ebédszünet alatt akár 7000 PIN-kódot is fel lehet törni egyszerre, így a kártyacsalók napi bevétele akár millió fontra is emelkedhet.Az elterjedt nézettel ellentétben a PIN-kódokat nem tárolják egy nagy adatbázisban, hanem az ügyfél számlaszámából generálják egy bonyolult matematikai eljárás révén. A fő szerveren - ami bombabiztosan védett - csupán ezt a matematikai számítás-sorozatot futtatják. Amikor egy ATM automatát használunk és megadjuk a kódunkat, azt elküldi a szervernek azonosításra. Mivel a szerver a PIN számait hexadecimális (a 16-os számrendszer szerinti) formában generálja, egy átrendezési tábla segítségére van szükség, amely minden egyes számot átfordít a szokványos decimális formába. Ezek után tudja összehasonlítani a két számot.
A kódfeltörő szoftvert tehát itt kell elhelyezni, mivel a szerver engedélyezi, hogy a fordító táblákat módosítsák. Egy rövid telepítés után rá lehet jönni, hogy az adott PIN mely számokat nem tartalmazza. Ezzel a módszerrel körülbelül 15 próbálkozás után sikert érhetünk el.
A londoni Caplin Systems szoftvercég elnöke, Adam Hawley, aki már több banki rendszert is épített, elismerte, hogy a két kutató által megtalált biztonsági rés valóban veszélyes lehet, ám azt állítja, hogy egyáltalán nem könnyű ehhez a bizonyos banki terminálhoz hozzáférni, hiszen a bankoknak is elemi érdeke, hogy ezeket a terminálokat a legszigorúbban védjék a behatolástól.
Kövesse az Indexet Facebookon is!
Követem!
