Video: Baby Shark Dance | Most Viewed Video on YouTube | PINKFONG Songs for Children (November 2024)
Voor onze Amerikaanse lezers betekent betalen met een creditcard het vegen van een magnetische strip. Maar voor mensen in een groot deel van Europa en andere landen betekent dit het plaatsen van uw chipkaart in een lezer en het invoeren van uw pincode. Deze zogenaamde chip- en PIN-oplossing wordt al lang aangeprezen als veruit superieur aan de Amerikaanse swipe, en in de meeste opzichten is dat zo. Maar er zijn enkele ernstige problemen met de uitvoering van de regeling.
Ross Anderson legde dit jaar de geschiedenis van zijn team uit voor het onderzoeken van chip- en PIN-kaarten bij Black Hat. Voor een systeem dat moeilijker vals te spelen was, had Anderson een verrassend bedrag te zeggen.
Een cavalcade van fouten
Een snelle opfriscursus op chip en pincode: consumenten plaatsen hun kaarten bij het doen van aankopen. Vervolgens voeren ze hun pincode in, wat wordt bevestigd door de kaart op het apparaat - als deze werkt, mag de pincode de lezer nooit verlaten. De kaart praat vervolgens met de bank om de transactie te autoriseren en de verkoop is voltooid. Op papier klinkt het allemaal geweldig.
Anderson liep door verschillende unieke kwetsbaarheden die hij en zijn team vonden, en anderen die voor het eerst in het wild werden waargenomen en vervolgens door beveiligingsdeskundigen werden reverse-engineered.
Veel aanvallen waren gericht op de apparaten die handelaren gebruikten om transacties uit te voeren en geldautomaten. Zijn team ontdekte dat verschillende apparaten in feite niet waren gemaakt volgens de beveiligingsspecificaties die ze beweerden te volgen. Met een minimum aan inspanning zei hij dat ze de apparaten konden aftappen en de pincode konden ophalen tijdens een verkoop.
Andere aanvallen waren het installeren van wat Anderson 'slechte elektronica' op lezers noemde om transactiegegevens vast te leggen. In één geval installeerden oplichters hun slechte waren in kaartlezers voordat ze zelfs aan handelaren werden geleverd.
Maar er waren veel andere aanvallen, zoals het rechtstreeks inbedden van electoren op chip- en PIN-kaarten, het verbinden van kaarten met verborgen apparaten waarmee een dief de kaart met willekeurige code kon autoriseren, en zelfs aanvallen die transacties op verschillende locaties "opnieuw speelden".
Technisch superieur, praktisch problematisch
Ik vroeg Anderson of hij, na alle fouten die hij met chip en pin had gevonden, nog steeds dacht dat het superieur was aan kaarten vegen. Hij was ondubbelzinnig: chip- en PIN-kaarten zijn technisch superieur, simpelweg omdat ze veel moeilijker te klonen zijn dan pasjes.
Het grotere probleem is hoe chip en PIN in Europa werden uitgerold. Anderson legde uit dat de banken handelaren zouden beloven dat ze verantwoordelijk zouden zijn voor frauduleuze kosten om Europese handelaren te laten overstappen. Met pasjes wordt een frauduleuze betaling eenvoudigweg teruggedraaid naar de handelaar. Anderson noemde dit "de aansprakelijkheid verleggen".
Klinkt als een goed plan, maar de realiteit was vrij wreed. Anderson zei dat slachtoffers van fraude vaak de schuld kregen van de banken, die hen ervan beschuldigden dat ze hun pincodes op de een of andere manier hadden blootgelegd. In andere gevallen veranderden de banken eenvoudig van gedachten en keerden de kosten aan de handelaars terug. In extreme gevallen weigerden banken en creditcardbedrijven om beschuldigingen in te dienen tegen bekende oplichters, blijkbaar uit schaamte.
Niemand, zo leek het, wilde de verantwoordelijkheid nemen voor chip- en PIN-fraude. Anderson vroeg: "Als de bank niet betaalt voor de fraude, waarom zouden ze dan een lef hebben om het veilig te houden?"
Anderson bekritiseerde ook de auteurs van de chip- en PIN-documentatie omdat ze geen duidelijk zicht hadden en de documentatie uit de hand lieten lopen. Hij noemde het een tragedie van de commons en merkte op dat niemand naar voren is gekomen om een bijgewerkte versie te schrijven die daadwerkelijk de nodige beveiligingswijzigingen in de standaard kon aanbrengen.
Naar Amerika komen
Onze Amerikaanse lezers, tevreden met hun pasjes, vragen zich misschien af waarom dit überhaupt belangrijk voor hen is. Er is één eenvoudige reden: chip- en pincodes zijn klaar om in dit land te worden geïntroduceerd. Anderson zei dat banken klaar zijn om de overgang tegen 2015 te maken.
In dit land gaat het misschien niet zo slecht. Ten eerste kiezen slechts enkele banken voor chip- en pincodes, terwijl andere banken chip- en handtekeningkaarten uitrollen. Dit authenticatieplan is in Singapore gebruikt en is ontworpen om een betere consumentenbescherming te bieden. Anderson merkte ook op dat de rol van de Federal Reserve in het Amerikaanse bankwezen ook een grotere consumentenbescherming biedt - ervan uitgaande dat het niet drastisch wordt uitgehold in de nabije toekomst.
Er was ook een rol, zei hij, die het publiek van Black Hat kon spelen. "is geen enkel protocol; het is een grote, willekeurige, handige toolkit om betalingsprotocollen te bouwen, " zei hij. "Je kunt iets verzinnen dat echt veilig is, of iets dat echt vreselijk is."
Ik hoop dat we de eerste krijgen.
