Университет отказался убирать хакерский диплом

[kurzza]

Дело было под утро делать было нечего.
Началось всё того что мы с benz-brabus'ом увидели новость на очаде.

forum.antichat.ru/thread250925.html

Университет отказался убирать хакерский диплом
Британская ассоциация эмитентов банковских карт потребовала от университета Кембриджа удалить со страницы его студента публикацию, посвященную уязвимости в карточной системе. Университет ответил отказом.
Молодой исследователь опубликовал свою дипломную работу, в которой рассказал, как можно обмануть терминал, принимающий карты с чипом. Благодаря обнаруженной уязвимости можно ввести в терминале произвольный пин-код, и при этом транзакция будет одобрена. Карточки с чипом считаются более безопасными, чем обычные карты. Платеж с такой карты можно подтвердить двумя способами: чипом и пин-кодом или чипом и подписью. Уязвимость, обнаруженная кембриджскими исследователями, заставляет карту "думать", что транзакция подтверждается подписью, а терминал - что пин-кодом. В итоге атакующий может не ставить подпись и не вводить правильный пинкод, но все равно осуществить платеж с краденой карты.
Информация о технологии взлома была опубликована научным руководителем студента еще в 2009 году. Тогда британские банкиры не отреагировали. Студенческая же публикация вызвала негодование предпринимателей. Возможно, они обратили на нее внимание потому, что студент стал героем телепередачи, где продемонстрировал эксплуатацию уязвимости.
Кембриджский университет отказал банкирам в снятии публикации. Также в своем ответе бизнесменам руководитель студента сообщил, что из всех банков только один - Barclays - предпринял действия, чтобы защититься от уязвимости.
В Великобритании большинство банков выпускает чипованные карты. В США чипованные карты практически не встречаются. В России выпуск карт с чипом начался сравнительно недавно, тем не менее такие карты предлагают многие банки - в том числе и "Сбербанк".

Включив гугл обнаружили показательное видео - youtube.com/watch?v=3MD6WEGMmag
Ну и само устройством с описание на пендосском - cl.cam.ac.uk/~osc22/scd/

Дело в том что ни я, ни benz-brabus не шарим в пайке\устройствах\мат.платах\etc, обращаемся к тем кто шарит насколько актуальна, и реальна ли реализация данного устройства?

 

[qwertyy]

делать было нечего перевел инфу отсюда сl.cam.ac.uk/~osc22/scd/)) возможно немного криво, но вроде бы понятно)
там же все описано как сделать что нужно, даже макетная плата готова, для паяльщика работы на 30 мин, только некоторые детали прийдется поискать. скачай всю инфу что есть на сайте найди компоненты, иди в ремонт телефонов, там тебе все спаяют, даже не поймут что сделали)

SCD - это девайс размером с карту, который может перехватить, просматривать и изменять данные EMV транзакции (EMV - протокол, используемый в Европе для платежей с использованием смарт карт(smartcard)). Это устройство и соответствующее программное обеспечение результат моего дипломного проекта. Основная цель SCD отображение правельной инфорации о сумме транзакции на дополнительном экране для кардхолдера, чтобы избежать мошенничества, связанное с подделкой терминала, который показывает сумму на экране, но впоследствии снимает больше. (интересно кто нибудь такое делает? прим. переводчика)

Тем не менее, в итоге выяснилось, что протокол EMV позволяет делать что угодно, что может карта или терминал. То есть, SCD может работать как карта или терминал (или даже как устройство CAP), и он может передавать, просматривать и изменять транзакцию между картой и терминалом.

Мы успешно потестили SCD со многими CAP ридерами и терминалами. Среди приложений реализовано: подтверждение запрашиваемой суммы до авторизации транзакции, лог информации транзакции, модификации PIN. Мы обнаружили NO PIN уязвимость используя SCD. Существует также французский репортаж по этому вопросу.

Аппарат состоит из микроконтроллер ATMEL AT90USB1287, с несколькими особенностями: 3 источника питания (USB, DC, батарея), ISP, JTAG и USB разъемами, 2 ISO-7816 смарткарт интерфейсов. Большая часть программ (нацелена на AVR архитектуру) написан на С, с небольшими частями на ассемблере.

Все подробности о SCD можно найти в моем дипломе.

Я даю свободный доступ ко всему программному и аппаратному обеспечению для личных и иследовательских целей. Для любых коммерческих целей, пожалуйста свяжитесь со мной. Я также хочу отметить, что код, используемый для осуществления NO PIN уязвимости не доступен, хотя я и обеспечил все функциональные возможности для любых EMV транзакций. Моя цель сделать SCD открытым для проведения исследований по EMV. Я буду обновлять программное обеспечение по мере необходимости и даже аппаратные средства могут быть изменены, поэтому любые комментарии приветствуется. Пожалуйста попробуйте и отправить мне отзыв. Если вам нужна помощь в создании девайса свяжитесь со мной.


Новости (20/12/2010): новая версия (2,2) программного обеспечения включает в себя код для терминала. SCD теперь могут быть использованы в качестве терминала.

Поддержка T = 1 протокол находится в стадии разработки.

Оговорка: я не несу ответственности за любой ущерб, вызванный использованием программного обеспечения или оборудования. Пожалуйста, используйте представленную информацию на свой страх и риск.

насколько я понял если кулхацкеры смогут найти NO PIN уязвимость можно будет налить дампы без пина или не?

 

[kurzza]

делать было нечего перевел инфу отсюда сl.cam.ac.uk/~osc22/scd/))

я в своём репертуаре, не спавший вторые сутки, туплю

 

[magazin]

д
насколько я понял если кулхацкеры смогут найти NO PIN уязвимость можно будет налить дампы без пина или не?

терминатора смотрел?
так вот там парень точно так же пластик налит)
там типо пин подбирается

 

[FreshGL]

там типо пин подбирается

устройство между картой и POS посылает посу сигнал что PIN введен правильно.

Вот кстате его работа:
hххp://www.cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf

 

[Amstrad]

Ну а что это даст? Все равно нужно шить чип родным софтом.
Или воровать у холдеров карты? Возвращение ливанской петли?