2010-12-30 Chip&PIN (или системата за всичките ни дебитни карти) е счупена

by Vasil Kolev

Лекция, която директно засяга неща, които ползваме всекидневно – “Chip and PIN is broken”, т.е. всичките дебитни карти, които се използват в момента из България. Интересно за гледане, накратко – има огромни дупки в цялата система и измамите не са нещо особено сложно, а банките и свързаните с тях учреждения отричат до последно, че нещо лошо е възможно да се случи.

На моменти не ми е ясно как изобщо някой може да прави система, която да има такива елементарни проблеми, например да не се подписва цялата транзакция, да се вярва за PIN-а само на терминала и т.н..

Mirror-нал съм записът при мен.

Едно полезно следствие от тази лекция е, че за едно количество измами банките не могат да се измъкват и да казват “системата е защитена, проблемът е във вас (крайния клиент)”. Не мога и да не цитирам отговорът на един от професорите от Cambridge на изискването да бъдат махнати материалите от един сайт на университета, понеже дават информация за атаката (въпреки, че банките са били предупредени бая месеци преди това):

Second, you seem to think that we might censor a student’s thesis, which is lawful and already in the public domain, simply because a powerful interest finds it inconvenient. This shows a deep misconception of what universities are and how we work. Cambridge is the University of Erasmus, of Newton, and of Darwin; censoring writings that offend the powerful is offensive to our deepest values.

Tags:

4 Responses to “2010-12-30 Chip&PIN (или системата за всичките ни дебитни карти) е счупена”

  1. lilia Says:

    При официална проверка е констатирано че няма никаква повреда при банковите карти.Системата за пренос на средства и извършване на плащания е нормално работеща.Контакта на четеца с чипа на картата е перфектен и не се налага цензура, която да хаква писанията.Погледнато технически ,четеца в устройството има програма за аварийно приспособяване и посредством дистанционно е възможно да се приближи до моментното състояние на чипа.Същото се наблюдава и от страна на чипа към четеца.Изводите са налице-изградената перфектна с любов синхронизация и от двете страни е защитена от хакерски намеси и няма нужда да бъде преработвана.Напасването посредством обич е пълноценно в два аспекта най-малко.Положените усилия са на необходимото ниво и това може само да радва поддържащия екип.Успешно е защитена системата от намеса на странични фактори-като работа в сърдечната област от други оператори.Това дава сигурност и надеждност за успешно прикачване на системите една към друга, без опасност от измамни тегления на средства .

  2. Vasil Kolev Says:

    @lilia, това даже не е особено смешно :)

  3. Боян Says:

    @lilia Марш, в леглото. ;-)

  4. пейо Says:

    Темата за неразрешените платежни операции е огромна, но само за да знаете, че (новият) ЗПУПС промени значително положението с доказването на съгласието на клиента. Знанието и ползването на ПИН кода не е достатъчно доказателство, че няма злоупотреба или не е налице измама. Най-важен по темата е чл. 56 ЗПУПС:

    Чл. 56. (1) Когато ползвателят на платежна услуга твърди, че не е разрешавал изпълнението на платежна операция или че е налице неточно изпълнена платежна операция, доставчикът на платежната услуга носи доказателствената тежест при установяване автентичността на платежната операция, нейното точно регистриране, осчетоводяването, както и за това, че операцията не е засегната от техническа повреда или друг недостатък.

    (2) Установяването на автентичността е процедура, която позволява на доставчика на платежна услуга да провери правомерното използване на конкретен платежен инструмент, включително неговите персонализирани защитни характеристики. Използването на конкретен платежен инструмент се определя от правилата и процедурите на доставчика на платежни услуги по изпълнение на съответната платежна операция.

    (3) Когато ползвателят на платежна услуга твърди, че не е разрешавал платежна операция, регистрираното от доставчика на платежни услуги използване на платежен инструмент не е достатъчно доказателство, че платежната операция е била разрешена от платеца или че платецът е действал чрез измама, или че умишлено или при груба небрежност не е изпълнил някое от задълженията си по чл. 53.

Leave a Reply