Michał B.

Michał B. Ekspert ds.
Płatności Mobilnych

Temat: "Chip and Pin is Broken"

Witam,

Pewnie już wszyscy znają temat, ale na wszelki wypadek podaję linki:

http://www.cl.cam.ac.uk/research/security/banking/nopi...

http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/0...

Co Państwo sądzą o sprawie? Według mnie potencjalna skala jest bardzo mała ale luka ewidentnie jest i trzeba coś z nią zrobić. Pytanie tylko po czyjej stronie?
Tomasz Stasiak

Tomasz Stasiak Software Development
Team Manager, MCX
Systems

Temat: "Chip and Pin is Broken"

O ile pamiętam, w którymś kraju (UK?) PIN offline jest dość popularny. Zatem, ryzyko w tym kraju jest stosunkowo duże.
W innych krajach ryzyko jest zależne od tego, czy SDA/DDA/CDA potrafią wykryć podmianę listy CVM (nie pamiętam).
Michał B.

Michał B. Ekspert ds.
Płatności Mobilnych

Temat: "Chip and Pin is Broken"

PIN Offline jest u nas podstawową metodą weryfikacji w POS, tak samo jak w UK (w każdym razie u wszystkich większych akceptantów). Różnica jest tylko taka, że u nich nie ma wsparcia dla PIN Online więc wycięcie tego pierwszego to dla nich masowy powrót do podpisu.

Metody autentykacji karty nie mają tu nic do rzeczy, przy omawianej technice ataku nie stanowią żadnego zabezpieczenia w świetle obowiązującej implementacji standardu.

Jedyne słuszne wydaje mi się zabezpieczenie i autentykacja transmisji pomiędzy kartą a terminalem. To nie jest mój obszar więc jestem ciekaw czy to w ogóle możliwe.
Tomasz Stasiak

Tomasz Stasiak Software Development
Team Manager, MCX
Systems

Temat: "Chip and Pin is Broken"

Oczywiście, polskie POSy zgodne z EMV muszą obsłużyć karty z Offline PINem. Problem jest raczej na płaszczyśnie issuingu, bo w Polsce jeśli jest PIN, to jest to raczej PIN Online, czyli niepodatny na ten atak, natomiast w UK jest to PIN Offline.
Karta sama zgłasza terminalowi, jakie metody weryfikacji wspiera i w jakiej kolejności (priorytety). Gdyby atakujący potrafił zgłosić terminalowi, że ma użyć zamiast Online PINu - PINu offline, można by teoretycznie uczynić daną kartę podatną na ten atak. Z tym, że jeśli SDA itp. potrafią wykryć podmianę tagu z CVM List, to atak ten jest niemożliwy. Dlatego wspomniałem o metodach weryfikacji, bo one mają dla polskiego rynku znaczenie kluczowe w tym kontekście. Nie pamiętam dokładnie, czy metody te rzeczywiście sprawdzają autentyczność listy CVM. Jeśli nie, to my też mamy w Polsce problem.
Zabezpieczenie transmisji jest możliwe, ale prawdopodobnie wymaga wywrócenia do góry nogami standardu EMV, recertyfikacji urządzeń akceptanckich itd.
Michał B.

Michał B. Ekspert ds.
Płatności Mobilnych

Temat: "Chip and Pin is Broken"

To chyba o jakieś innej metodzie ataku Pan pisze, w tej którą zastosowali Panowie z Cambridge nie było żadnej podmiany czegokolwiek w CVM. SDA/DDA jest w takim przypadku bezużyteczne(nie wiem jak z CDA, musiałbym sprawdzić).

Podstawową metodą weryfikacji w Polsce po stronie karty jest PIN Offline, w każdym razie nie spotkałem się dotychczas z inną konfiguracją, narzucają to zresztą same organizacje płatnicze. Zgadzam się równocześnie, że gdyby priorytety poprzestawiać zniwelowałoby to ryzyko takich oszustów, tyle że nie zadziałałoby to w przypadku transakcji w pełni offline'owych.Michał B. edytował(a) ten post dnia 15.02.10 o godzinie 14:45
Tomasz Stasiak

Tomasz Stasiak Software Development
Team Manager, MCX
Systems

Temat: "Chip and Pin is Broken"

Miałem na myśli rozszerzenie tego ataku o podmianę listy akceptowanych metod weryfikacji cardholdera. Zgadzam się, że w podstawowej wersji ataku xDA jest bezużyteczne.

Z tego co wiem, nawet w kartach wydawanych przez banki grupy BRE, PIN Online bywa główną metodą weryfikacji cardholdera - jest tak na przykład w mojej kredytówce Radość Życia z mBanku.

Transakcje offline w Polsce są mało powszechne, głównie ze względu na wyzerowane floor limity u większości agentów rozliczeniowych.

Jeśli okaże się, że można oszukać terminal co do metody weryfikacji cardholdera, to teoretycznie i elektronicznie najbezpieczniejszy pozostanie podpis.
Michał B.

Michał B. Ekspert ds.
Płatności Mobilnych

Temat: "Chip and Pin is Broken"

Tomasz Stasiak:
Z tego co wiem, nawet w kartach wydawanych przez banki grupy
BRE, PIN Online bywa główną metodą weryfikacji cardholdera - jest tak na przykład w mojej kredytówce Radość Życia z mBanku.

Na naszych kartach PIN Offline był na początku zablokowany ze względu na internetowy model zarządzania PIN przez posiadacza i brak skutecznego mechanizmu do zdalnego wgrania go na kartę.
To się już jednak zmieniło, wystarczy teraz uruchomić ponownie transakcję zmiany PIN w serwisie transakcyjnym ponownie i np. ustanowic jeszcze raz ten sam PIN.
Niezależnie od tego, PIN Offline był zawsze ustawiony jako podstawowa metodą weryfikacji.
Transakcje offline w Polsce są mało powszechne, głównie ze względu na wyzerowane floor limity u większości agentów rozliczeniowych.

Zgadza się, ale pod tym względem zaczyna się trochę zmieniać. Kilka razy zdarzyło mi się już dokonać transakcji poniżej 10 PLN, która poszła w całosci offline.
Jeśli okaże się, że można oszukać terminal co do metody weryfikacji cardholdera, to teoretycznie i elektronicznie najbezpieczniejszy pozostanie podpis.

Raczej PIN Online. Patent z Cambridge działa bowiem na zasadzie: terminal "myśli", że karta poprawnie zweryfikowała podany PIN, karta , że terminal nie jest w stanie PINu dostarczyć więc transakcja idzie z podpisem -> Bank interpretuje transakcję jako zatwierdzaną podpisem -> a na paragonie ze sklepu widnieje "PIN Verified". Pełna dezinformacja.
Tomasz Stasiak

Tomasz Stasiak Software Development
Team Manager, MCX
Systems

Temat: "Chip and Pin is Broken"

Na naszych kartach PIN Offline był na początku zablokowany ze względu na internetowy model zarządzania PIN przez posiadacza i brak skutecznego mechanizmu do zdalnego wgrania go na kartę.
To się już jednak zmieniło, wystarczy teraz uruchomić ponownie transakcję zmiany PIN w serwisie transakcyjnym ponownie i np. ustanowic jeszcze raz ten sam PIN.
Niezależnie od tego, PIN Offline był zawsze ustawiony jako podstawowa metodą weryfikacji.
Faktycznie, z tego co pamiętam, tak było na debetówce do eKonta.
Raczej PIN Online. Patent z Cambridge działa bowiem na zasadzie: terminal "myśli", że karta poprawnie zweryfikowała podany PIN, karta , że terminal nie jest w stanie PINu dostarczyć więc transakcja idzie z podpisem -> Bank interpretuje transakcję jako zatwierdzaną podpisem -> a na paragonie ze sklepu widnieje "PIN Verified". Pełna dezinformacja.
Faktycznie, mea culpa. Przy odpowiedniej konfiguracji karty (zupełny brak PINu offline) PIN online będzie bezpieczny. Ale dla Brytyjczyków chyba taka opcja nie istnieje...

Poziom zagrożenia na naszym rynku zależy teraz od szczegółów w personalizacji już wydanych kart. Pewne konfiguracje będą bardziej, inne mniej narażone na atak tego typu.Tomasz Stasiak edytował(a) ten post dnia 15.02.10 o godzinie 16:27
Michał Głuchowski

Michał Głuchowski Konsultant EMV,
Wincor Nixdorf

Temat: "Chip and Pin is Broken"

Witam,

Faktycznie, temat zrobił się bardzo "medialny" i sporo było spekulacji, z których zdecydowana większość demonizuje ten problem. Nie ma co ukrywać, że on istnieje, ale nie sądzę, by zespół z Cambridge wniósł akurat za wiele, gdyż jest to znana "właściwość" systemu. Postawione przez autorów tezy są bardzo odważne i trafiają na podatny grunt, choć rzetelność tego materiału pozostawia sporo do życzenia. Osobiście, trudno było mi się oprzeć wrażeniu, że bardziej pochłonęła autorów beletrystyka niż badania. Jestem gorącym zwolennikiem prac nad rozwojem EMV i zaangażowania środowiska akademickiego. Prace powinny być stonowane i dobrze przygotowane przed publikacją, bo w przeciwnym wypadku sprowadzają się jedynie do taniej sensacji.

Dla jasności przypomnę, na czym polegał atak:
- pomiędzy kartę a terminal wstawiona zostaje trzecia strona - może ona podsłuchiwać komunikację oraz zmieniać jej przebieg
- podczas transakcji z weryfikacją kodu PIN przez kartę (PIN offline) atakujący odsyła terminalowi Status Word 90 00, przez co urządzenie uznaje PIN offline za zweryfikowany poprawnie
- do karty nie trafia rozkaz weryfikacji PIN

Ograniczenia:
- atak dotyczy transakcji offline dla kart kradzionych - transakcje online mogą być odrzucane na podstawie analizy CVR i CVMR - transakcje muszą być na niewielkie kwoty, a mimo to istnieje ryzyko losowego wybrania transakcji do realizacji online
- niezbędna jest możliwość samoobsługi przez klienta lub zmowa z akceptantem (łatwe do wykrycie dla większej liczby transakcji)
- wybraną metodą uwierzytelnienia posiadacza karty musi być PIN offline - karta musi posiadać go na pierwszym miejscu na liście, lub terminal nie wspierać innych metod a karta wspiera PIN offline
- PIN offline nie powinien być zablokowany (teoretycznie zablokowany PIN nie jest przeszkodą, gdyż podmienić można także wartość PIN try counter, ale w praktyce karty z zablokowanym PINem będą żądały autoryzacji online)
- karta musi nie sprawdzać CVMR lub TCAP (w połączeniu z TVR i CVM List w karcie równie jednoznacznie wskazuje metodę)

Niektóre specyfikacje kartowe dostarczają rozwiązania tego konkretnego problemu już od kilku ładnych lat, co pozwala wydawcom takie transakcje np. odrzucać offline (na podstawie analizy CVR w procesie zarządzania ryzykiem w karcie).
Ewentualne straty z tego tytułu można też ograniczyć poprzez odpowiednie sterowanie licznikami offline karty, by ryzyko było akceptowalne.
Wykrycie opisywanego oszustwa nie jest trudne, jeśli wydawca odbiera i weryfikuje dane EMV w clearingu. Chargeback raczej nie wchodzi w grę, bo karta generuje TC.

Na marginesie:
Uwierzytelnienie danych karty (niezależnie od metody) jest całkowicie osobnym procesem od weryfikacji PINu (z małym zastrzeżeniem - zdolność do weryfikacji PIN w postaci szyfrowanej zależy od zdolności karty do wykonywania kryptografii asymetrycznej, która jest niezbędna także do DDA/CDA oraz możliwe jest korzystanie z jednej pary kluczy do obu operacji).
Podmiana CVM List nie jest opłacalna, ponieważ zawsze jest to obiekt podpisywany (wymaganie nie pochodzi ze standardu EMV, a specyfikacji poszczególnych organizacji płatniczych). W najlepszym przypadku zakończy się to autoryzacją online. Prawdopodobnym rezultatem transakcji będzie odmowa.

konto usunięte

Temat: "Chip and Pin is Broken"

BTW - rynek brytyjski jest dość specyficzny...

Po pierwsze - nie EMV a "chip and pin". Czemu - bo na początku wdrożenia EMV, był sam "chip". Anglicy nie byli w stanie spamiętać PINu, więc przez długi czas wszystko chodziło tylko na podpisie... Offline PIN wdrożono całkiem niedawno. Online PINu pewnie nigdy nie będą mieli poza bankomatami. Apacs chyba nawet nie przewiduje online PINu, z tego co pamiętam.

Do tego dochodzi zwyczaj wkładania karty chipowej samemu (u nas w Lidlach np. też w ten sposób PIN pady są instalowane - żeby klient mógł sam włożyć do niego kartę).
I jeszcze terminale do self-checkout'u w sklepach. Tam już nikt nie widzi co się wkłada.

Kolejna ciekawostka - enciphered offline PIN to dla nich raczej egzotyka. Ciekawe kiedy ktoś to wykorzysta ;) "Pożyczenie" karty i PIN pozyskany przez podsłuchanie komunikacji karta-terminal - to będzie killer... A że to jest możliwe, udowodniono już w jUKeju kilka razy. Pewnej dużej firmie "poprawiono" terminale. Ludzie podawali się za serwis. Połączenie techniki z socjotechniką :P

W ogóle "rynek" oszustw kartowych jest u nich trochę bardziej zaawansowany. Mieli np. skopiowane karty (SDA...), które uwalały transakcję jeśli terminal chciał iść na online.

A to co odkryli Panowie z Cambridge to taki tam... phish and chips :P
Tomasz Stasiak

Tomasz Stasiak Software Development
Team Manager, MCX
Systems

Temat: "Chip and Pin is Broken"

Podmiana CVM List nie jest opłacalna, ponieważ zawsze jest to obiekt podpisywany (wymaganie nie pochodzi ze standardu

Właśnie takiej informacji szukałem. W tym świetle i w obliczu możliwości wykrycia oszustwa przez wystawcę (zerowe floor limity), atak tego typu na terenie Polski wydaje się raczej mało prawdopodobny, nawet na kartach z "obudzonym" PINem offline. Zobaczymy co z tego wyjdzie w praktyce :)

konto usunięte

Temat: "Chip and Pin is Broken"

Tomasz Stasiak:
Podmiana CVM List nie jest opłacalna, ponieważ zawsze jest to obiekt podpisywany (wymaganie nie pochodzi ze standardu

Właśnie takiej informacji szukałem. W tym świetle i w obliczu możliwości wykrycia oszustwa przez wystawcę (zerowe floor limity), atak tego typu na terenie Polski wydaje się raczej mało prawdopodobny, nawet na kartach z "obudzonym" PINem offline. Zobaczymy co z tego wyjdzie w praktyce :)

Nie tędy droga. Na wcześniejszą emeryturę tą metodą się nie zarobi, nawet w Anglii. Tutaj na większą skalę wykorzystano inne cechy systemu: http://business.timesonline.co.uk/tol/business/law/art...
Tomasz Stasiak

Tomasz Stasiak Software Development
Team Manager, MCX
Systems

Temat: "Chip and Pin is Broken"

Nie tędy droga. Na wcześniejszą emeryturę tą metodą się nie zarobi, nawet w Anglii. Tutaj na większą skalę wykorzystano inne cechy systemu: http://business.timesonline.co.uk/tol/business/law/art...

O ile dobrze zrozumiałem, to wygląda to na atak podobny do typowego skimmingu w bankomacie. Chyba, że coś przeoczyłem?

konto usunięte

Temat: "Chip and Pin is Broken"

Skimming, skimming. Dopóki jest pasek magnetyczny, można kombinować.

PIN pady które "poprawiono" były zainstalowane właśnie ze względu na EMV :P
Wojciech G.

Wojciech G. Specjalista EMV,
TUKCA(APACS),
Mastercard/VISA, ISO
8583,...

Temat: "Chip and Pin is Broken"

Kilka pór roku później...

Może jako podsumowanie tematu dodam tylko że Mastercardowy MChip 4 który opublikowano ok 2000 roku miał już mechanizmy dedykowane temu właśnie atakowi.
Jak mówił człowiek z MC po prostu nie chcieli tego "rozdmuchiwać".

W.

konto usunięte

Temat: "Chip and Pin is Broken"

I znowu kolejna "rewelacja":
http://dev.inversepath.com/download/emv/emv_2011.pdf

Generalnie nic nowego. Tylko trochę praktycznych "porad" jak sobie zrobić "skimmer" dla kart chipowych (ale prędzej do terminala niż do bankomatu).

Następna dyskusja:

Ebook: The Automatic Millio...




Wyślij zaproszenie do