?

Log in

No account? Create an account
Previous Entry Share Next Entry
2016-01

Preplay Attack on Chip and PIN

https://www.schneier.com/blog/archives/2014/05/preplay_attack_.html
Interesting research paper on a bank card chip-and-PIN vulnerability. From the blog post:
Our new paper shows that it is possible to create clone chip cards which normal bank procedures will not be able to distinguish from the real card.
When a Chip and PIN transaction is performed, the terminal requests that the card produces an authentication code for the transaction. Part of this transaction is a number that is supposed to be random, so as to stop an authentication code being generated in advance. However, there are two ways in which the protection can be bypassed: the first requires that the Chip and PIN terminal has a poorly designed random generation (which we have observed in the wild); the second requires that the Chip and PIN terminal or its communications back to the bank can be tampered with (which again, we have observed in the wild).


This entry was originally posted at http://wizzard.dreamwidth.org/373839.html. It has comment count unavailable comments. Please comment there using OpenID.

  • 1
jakobz May 20th, 2014
Я с зарплатной карточки выгребаю почти всё бабло в день ЗП, а у людей которые это не делают - регулярно крадут бабло. Можно еще переводить на другие счета, если есть что копить. Но верить в карточки эти - это надо быть совсем фанатом.

Вообще меня удивляет как люди относятся к взлому программ. Они ж на сишечке сделаны, что почти что гарантирует что вся секюрность - дырявая херня. Но нет же - опять взломали OPENSOURCE-ПРОТОКОЛ! Дети же это всё пишут, в перерыве между сайд-шутерами.

wizzard0 May 21st, 2014
> у людей которые это не делают - регулярно крадут бабло

Эээ.... Но ведь zero liability policy же.

В смысле, бабло украли не у тебя, а у банка, до тех пор, пока банк не докажет в суде, что виноват именно ты.

Поэтому у меня большинство денег на карточке, а в случае чего я просто звоню в банк и они начисляют всё обратно.

(Это работает более чем с одним банком и более чем один раз. Но зависит от законодательства страны, в которой находится банк, выпустивший карту. В Украине работает, в Европе, США и Японии вроде тоже, насчет остальных не помню)

jakobz May 21st, 2014
Ну они говорят что ты карточку переслал в Тайланд, там твой друг снял бабло, и переслал назад. Что-то типа.

И ты какими-то розовыми больно красками малюешь. Я могу свою же карту скопировать, друг в Тайланде снимет немного, а я потом тупо позвоню в банк, и мне всё вернут?

wizzard0 May 21st, 2014
> они говорят
Конечно говорят - если ты добровольно сдаешься, им это сокращает расходы! Я бы тоже говорил :)

Иначе говоря, если уж ты не хочешь бороться за свои интересы - банк и подавно этого делать не будет. Just business.

> и мне всё вернут?
Да. До тех пор, пока это дешевле проведения расследования.


Edited at 2014-05-21 01:59 am (UTC)

sergiej May 21st, 2014
пора начать больше зарабатывать :)

mbr May 21st, 2014
tampered with what?

Шнайер, конечно, умный мужик, но то, что он пишет выходя за рамки математики и алгоритмов - такая херня, честно говоря.

wizzard0 May 21st, 2014
Эээ, "X was tampered with" переводится просто как "Х было похачено". Там нет продолжения "похачено посредством Y".

А взлом POS-терминалов - это распространенная и поставленная на поток тема, см. например http://www.wired.com/2012/10/barnes-and-noble-pos-hack/

mbr May 21st, 2014
Тем более не совсем понятно, как он это планирует реализовать, если ключи и генератор случайных чисел внутри карты.

Подозреваю там банальные скиммеры, которые сосут, если карта чипованная.

wizzard0 May 21st, 2014
Поищи пейперы. Там много лулзов.

Например, раньше можно было вставить проксю, которая говорила карте, что в терминале выбрано "транзакция авторизовывается подписью", а терминалу - что карта согласна с введенным пином.

mbr May 21st, 2014
Это уже давно не работает. Все нормальные банки отшивают транзакцию, если карта чипованная.

Вплоть до того, что в прошлом месяце я не смог оплатить пиццу по терминалу курьеру, пришлось искать нечипованную карту :)

wizzard0 May 21st, 2014
> Все нормальные банки отшивают транзакцию, если карта чипованная.

Лолшто? А как тогда люди ими пользуются?

Алсо, загляни когда-нибудь в админку мерчанта (или банка, если дадут), там видов транзакций (==юзкейсов применения карт) ГОРАЗДО больше, чем ты думаешь.

Hint: одних только видов подписи есть 4 штуки, а способов проверки PIN - 3.
И это мы еще до 3d-secure не дошли :)

У меня в клиентбанке есть галочки "какие транзакции принимать", правда я там всегда выставляю "любые" :)

Также см. http://en.wikipedia.org/wiki/Transaction_Types_Over_POS_Terminal#EMV_transaction_flow

mbr May 21st, 2014
> А как тогда люди ими пользуются?

Только с помощью чипа. Магнитная полоса там только для красоты. 3d secure все нормальные банки уже давно внедрили.

wizzard0 May 21st, 2014
Перечитай мой комментарий. Там нигде нет про магнитную полосу. Использование чипа не обязывает тебя вводить PIN.

mbr May 21st, 2014
Нет ты :) Обязывает политика безопасности банка.

wizzard0 May 21st, 2014
> политика безопасности банка.

1. Бывают Offline транзакции, где банк ну никак не может отказать мерчанту в приеме карты :) За исключением Visa Electron/MC Maestro :)

2. Политика безопасности ЭПС в ряде мест имеет приоритет над политикой безопасности банка.

3. Конечно, бывают банки, карты которых нигде толком не работают :)

4. Политики Visa, MasterCard, AMEX, Carte Bleue, UnionPay и пр. ЭПС имеют местами очень существенные различия.

anonim_legion May 21st, 2014
>взлом POS-терминалов

У меня есть две знакомые лесбы, которые занимались таким: одна работала в магазина, продавала джинсы и фотографировала карточки покупателей, другая дизайнила веб-сайты, сидя дома, а также покупала на данные с карточек товары, и тут же перепродавала за полцены.

wizzard0 May 21st, 2014
Бгы.

109 May 21st, 2014
а зачем? разве кто-то не читает шнаера? :-Р

wizzard0 May 21st, 2014
У RSS нет комментов)

_winnie May 21st, 2014
Да. Я xkcd, Шнаера и кучу других известных ресурсов читаю только тогда, когда в читаемых блогах кинут ссылку.

  • 1