27.12.10, 16:07
gepostet von web doc
Vor gut einem Jahr wurde das PIN Chip Verfahren, welches von Mastercard benutzt wird, geknackt. Diese Smartcards verfügen über einen Fehler, der es ermöglicht den PIN zu verändern. Mit einem kleinen Zwischengerät (das offiziell gebaut wurde um einen möglichen Betrug zu verhindern, in dem es auf einem unabhängigen Gerät anzeigt, welcher Betrag TATSÄCHLICH abgebucht wird) kann man einfach 0000 als PIN eingeben und die Zahlung wird authorisiert. Krasskrass. Vor allem wenn man bedenkt, dass das Gerät mit einem kleinen Amtel realisiert wurde unter 100 Euro kostet :-D . Das Zwischengerät wurde von Omar Choudary im Rahmen seiner Master Thesis gebaut. gepostet von web doc
Jetzt wirds richtig peinlich: Die brit. Vereinigung der Bänker hat nun der Camebridge Uni geschrieben, sie solle doch bitte von den Webseiten entfernen. LOL... der Fehler der Karten war seit einem Jahr bekannt und anstatt ihn zu fixen, glaubt man das Problem mit Zensur lösen zu können... Entsprechend belustigend ist dann auch der Antwortbrief des Professors:
Hier ein paar Auszüge: ( http://www.cl.cam.ac.uk/~rja14/Papers/ukca.pdf )
Second, you seem to think that we might censor a student’s thesis, which is lawful and already in the public domain, simply because a powerful interest finds it inconvenient. This shows a deep misconception of what universities are and how we work. Cambridge is the University of Erasmus, of Newton, and of Darwin; censoring writings that offend the powerful is offensive to our deepest values.
Third, Omar’s thesis does not contain any new information on the No-PIN vulnerability. That was discovered by Steven Murdoch, Saar Drimer and me in 2009, disclosed responsibly to the industry, and published in February this year.
Fourth, he did not make available the source code for the No-PIN attack. Steven Murdoch, Saar Drimer and I did that in our research paper earlier this year. Omar did not include that code in his thesis.
You complain that our work may undermine public confidence in the payments system. What will support public confidence in the payments system is evidence that the banks are frank and honest in admitting its weaknesses when they are exposed, and diligent in effecting the necessary remedies. Your letter shows that, instead, your member banks do their lamentable best to deprecate the work of those outside their cosy club, and indeed to censor it. Nonetheless, I am delighted to note your firm statement that the attack will no longer work and pleased that the industry has been finally been able to deal with this security issue, albeit some considerable time after the original disclosure back in 2009.
Yours sincerely,
Ross Anderson
kommentare anschauen (abgeben derzeit deaktiviert)
( 2849 mal angeschaut )
| Permalink