Video: CLONARE la carta di credito sulla TESSERA SANITARIA è possibile? (Novembre 2024)
Per i nostri lettori statunitensi, pagare con una carta di credito significa passare una striscia magnetica. Ma per le persone in gran parte dell'Europa e di altri paesi, significa inserire la chip card in un lettore e inserire il PIN. Questa cosiddetta soluzione chip e PIN è stata a lungo propagandata come di gran lunga superiore al colpo americano, e in molti modi lo è. Ma ci sono alcuni problemi seri su come il sistema è stato implementato.
Quest'anno Ross Anderson ha presentato la storia della sua squadra di investigatori di carte chip e PIN al Black Hat. Per un sistema progettato per essere più difficile da imbrogliare, Anderson aveva una quantità sorprendente da dire.
Una cavalcata di difetti
Un rapido aggiornamento su chip e PIN: i consumatori inseriscono le loro carte quando effettuano gli acquisti. Quindi inseriscono il loro PIN, che è confermato dalla scheda sul dispositivo: quando funziona, il PIN non deve mai lasciare il lettore. La carta quindi parla con la banca per autorizzare la transazione e la vendita viene effettuata. Sulla carta, tutto suona alla grande.
Anderson ha attraversato diverse vulnerabilità insoddisfacenti rilevate da lui e dal suo team, e altre che sono state inizialmente osservate in natura e poi invertite da esperti di sicurezza.
Molti attacchi si sono concentrati sui dispositivi utilizzati dai commercianti per effettuare transazioni e sui bancomat. Il suo team ha scoperto che diversi dispositivi, in effetti, non sono stati realizzati secondo le specifiche di sicurezza che hanno affermato di seguire. Con un minimo di sforzo, ha detto che potevano intercettare i dispositivi ed estrarre il PIN durante una vendita.
Altri attacchi riguardavano l'installazione di ciò che Anderson chiamava "elettronica malvagia" sui lettori per acquisire i dati delle transazioni. In un caso, i truffatori hanno installato le loro merci malvagie nei lettori di carte prima ancora di essere consegnato ai mercanti.
Ma ci furono molti altri attacchi, come l'incorporazione di elettrodi direttamente su chip e carte PIN, il collegamento di carte a dispositivi nascosti che consentivano a un ladro di autorizzare la carta con qualsiasi codice casuale e persino attacchi che "riproducevano" transazioni in luoghi diversi.
Tecnicamente superiore, praticamente problematico
Ho chiesto ad Anderson se, dopo tutti i difetti riscontrati con chip e pin, pensava ancora che fosse superiore alle carte magnetiche. Era inequivocabile: le carte chip e PIN sono tecnicamente superiori semplicemente perché sono molto più difficili da clonare rispetto alle carte magnetiche.
Il problema maggiore riguarda la modalità di implementazione di chip e PIN in Europa. Anderson ha spiegato che, al fine di far cambiare i commercianti europei, le banche hanno promesso ai commercianti di essere responsabili di addebiti fraudolenti. Con le carte magnetiche, un addebito fraudolento viene semplicemente invertito al commerciante. Anderson lo ha definito "spostando la responsabilità".
Sembra un buon piano ma la realtà era piuttosto crudele. Anderson ha affermato che le vittime della frode sono state spesso accusate dalle banche, che le hanno accusate di aver esposto i loro PIN in qualche modo. In altri casi, le banche hanno semplicemente cambiato idea e invertito le accuse ai commercianti. In casi estremi, le banche e le società di carte di credito hanno rifiutato di sporgere denuncia nei confronti di truffatori noti, apparentemente per imbarazzo.
A quanto pare, nessuno voleva assumersi la responsabilità di frodi relative a chip e PIN. Anderson chiese: "Se la banca non sta pagando per la frode, perché dovrebbero esplodere per tenerla al sicuro?"
Anderson ha anche criticato gli autori della documentazione su chip e PIN per non avere una visione chiara e aver lasciato la documentazione fuori controllo. Lo definì una tragedia dei beni comuni e notò che nessuno si è fatto avanti per creare una versione aggiornata che potesse effettivamente apportare le necessarie modifiche di sicurezza allo standard.
Arrivando in America
I nostri lettori statunitensi, contenti delle loro carte magnetiche, potrebbero chiedersi perché questo dovrebbe importare a tutti. C'è un semplice motivo: le carte chip e PIN sono in procinto di essere introdotte in questo paese. Anderson ha affermato che le banche sono previste per la transizione entro il 2015.
Le cose potrebbero non andare così male in questo paese. Per prima cosa, solo alcune banche stanno optando per schemi di chip e PIN, mentre altre banche implementeranno carte con chip e firma. Questo piano di autenticazione è stato utilizzato a Singapore ed è progettato per offrire una maggiore protezione del consumatore. Anderson ha anche osservato che il ruolo della Federal Reserve nelle banche statunitensi offre anche una maggiore protezione dei consumatori - supponendo che non sia drasticamente eroso nel prossimo futuro.
C'è stato anche un ruolo, ha detto, che il pubblico di Black Hat potrebbe svolgere. "non è un singolo protocollo; è un toolkit grande, casuale e astuto per costruire protocolli di pagamento", ha detto. "Puoi escogitare qualcosa di veramente sicuro, o qualcosa di veramente tremendamente orribile."
Speriamo di ottenere il primo.