וִידֵאוֹ: Pink Floyd - High Hopes (Official Music Video HD) (אוֹקְטוֹבֶּר 2024)
לקוראי ארה"ב, תשלום בכרטיס אשראי פירושו החלקה של פס מגנטי. אבל עבור אנשים ברוב אירופה ומדינות אחרות זה אומר להכניס את כרטיס השבב לקורא ולהזין את מספר ה- PIN שלך. זה שנקרא פתרון שבב ו- PIN כבר מזמן הוצג כיעיל בהרבה מאשר החלקה האמריקאית, וברוב הדרכים הוא. אבל יש כמה בעיות רציניות עם יישום התוכנית.
רוס אנדרסון פירט השנה את ההיסטוריה של קבוצתו לחקירת כרטיסי שבב ומספר זיהוי אישי ב"כובע הכובע ". לגבי מערכת שתוכננה להיות קשה יותר לרמות, הייתה לאנדרסון כמות מפתיעה לומר.
מצפה של פגמים
רענון מהיר על השבב וה- PIN: הצרכנים מכניסים את הכרטיסים שלהם בעת ביצוע רכישות. לאחר מכן הם מזינים את מספר הזיהוי האישי שלהם, אשר מאושר על ידי הכרטיס במכשיר - כאשר הוא עובד, ה- PIN לעולם לא צריך לעזוב את הקורא. לאחר מכן הכרטיס משוחח עם הבנק כדי לאשר את העסקה, והמכירה מתבצעת. על הנייר, הכל נשמע נהדר.
אנדרסון עבר מספר נקודות תורפה שאינן מקוריות שנמצאו על ידיו וצוותו, ואחרות שנצפו לראשונה בטבע ואז הנדסו לאחור על ידי מומחי אבטחה.
התקפות רבות התמקדו במכשירים בהם השתמשו הסוחרים לביצוע עסקאות וכספומטים. צוותו מצא כי מספר מכשירים לא הותאמו למפרטי האבטחה שלטענתם. במינימום מאמץ, הוא אמר שהם יוכלו להתיר את המכשירים ולהאריך את ה- PIN במהלך מכירה.
התקפות אחרות כללו התקנת מה שאנדרסון כינה "אלקטרוניקה מרושעת" על הקוראים בכדי ללכוד נתוני עסקאות. באחד המקרים, הרמאים התקינו את מרכולתם הרעה בקוראי כרטיסים עוד לפני שהם נמחקו לסוחרים.
אבל היו פיגועים רבים אחרים, כמו הטמעת אלקטורניקים ישירות על גבי כרטיסי שבב ו- PIN, חיבור כרטיסים למכשירים נסתרים שאפשרו לגנב לאשר את הכרטיס בכל קוד אקראי, ואפילו התקפות ש"השמיעו מחדש "עסקאות במיקומים שונים.
מעולה מבחינה טכנית, בעייתי מעשית
שאלתי את אנדרסון אם, אחרי כל הפגמים שהוא מצא בשבב ובסיכה, הוא עדיין חשב שזה עדיף להחליק קלפים. הוא היה חד משמעי: כרטיסי שבב ו- PIN הם מעולים מבחינה טכנית פשוט מכיוון שהם הרבה יותר קשים לשיבוט מאשר החלקה של כרטיסים.
הבעיה הגדולה יותר היא באופן הפיכת השבב וה- PIN באירופה. אנדרסון הסביר כי כדי לגרום לסוחרים אירופאים לעבור, הבנקים הבטיחו לסוחרים שהם יהיו אחראים להאשמות הונאה. באמצעות כרטיסי החלקה חיוב הונאה פשוט הופך לבית העסק. אנדרסון כינה זאת "העברת האחריות".
נשמע כמו תוכנית טובה אבל המציאות הייתה אכזרית למדי. אנדרסון אמר כי נפגעים מהונאה הועלו לאשמה לעתים קרובות על ידי הבנקים, שהאשימו אותם בכך שחשפו איכשהו את מספר ה- PIN שלהם. במקרים אחרים הבנקים פשוט שינו את דעתם והפכו חיובים לסוחרים. במקרים קיצוניים, בנקים וחברות כרטיסי אשראי סירבו להגיש כתב אישום נגד רמאים ידועים, ככל הנראה מתוך מבוכה.
איש, כך נראה, לא רצה לקחת אחריות על הונאת שבבים וקודי PIN. אנדרסון שאל, "אם הבנק לא משלם עבור ההונאה, מדוע הם יתפרצו על בטן כדי לשמור עליה?"
אנדרסון גם מתח ביקורת על מחברי תיעוד השבב וה- PIN על כך שלא היה להם חזון ברור, והניח את התיעוד להתפשט משליטה. הוא כינה זאת טרגדיה של המפקח, וציין שאיש לא צעד קדימה למחבר גרסה מעודכנת שיכולה למעשה לבצע את שינויי האבטחה הדרושים בתקן.
מגיע לאמריקה
קוראינו האמריקאים, התכנים עם כרטיסי ההחלקה שלהם, עשויים לתהות מדוע זה אמור להיות חשוב להם בכלל. יש סיבה אחת פשוטה: כרטיסי שבב ו- PIN אמורים להכניס למדינה זו. אנדרסון אמר כי הבנקים מתכוונים לבצע את המעבר עד 2015.
ייתכן שהדברים לא יתנהלו כל כך גרוע במדינה הזו. ראשית, רק בנקים מסוימים בוחרים בתוכניות של שבבים ו- PIN, בעוד שבנקים אחרים יפרסו כרטיסי שבב וחתימה. תוכנית אימות זו שימשה בסינגפור, ונועדה לתת הגנה צרכנית רבה יותר. אנדרסון ציין גם שתפקידו של הפדרל ריזרב בבנקאות בארה"ב מציע גם הגנה צרכנית רבה יותר - בהנחה שהוא לא נשחק בצורה דרסטית בעתיד הקרוב.
היה גם תפקיד, הוא אמר, שהקהל של הכובע השחור יכול לשחק. "איננו פרוטוקול יחיד; זהו ערכת כלים גדולה, אקראית, ערמומית לבניית פרוטוקולי תשלום, " אמר. "אתה יכול להמציא משהו שהוא באמת מאובטח, או משהו שהוא באמת נורא עקוב מדם."
הנה מקווה שנקבל את הראשון.
