segunda-feira, 15 de fevereiro de 2010

Quebra de protecção nos Cartões de Crédito com Chip


Um grupo de pesquisadores da Universidade de Cambridge, descobriu uma falha grave no sistema de segurança nos cartões Multibanco que utilizam o sistema Chip-e-PIN (Senha e Chip) usado por muitas empresas de cartões de crédito do mundo inteiro. A falha permite que um atacante use o cartão sem o PIN a ele associado.
Numa operação normal, utilizando o chip e o PIN do sistema, o utilizador precisa de digitar uma senha para autenticar a sua entrada no sistema. Mas os pesquisadores descobriram uma maneira de usar o cartão ao digitar qualquer código PIN, tornando o sistema de autenticação inútil. E de facto, devido à forma como o sistema funciona, a operação seria completamente legítima para o banco, revelando que a senha correcta foi usada.
A falha acontece quando o utilizador coloca um cartão num terminal ATM, ocorre então uma negociação sobre como o titular do cartão deve ser autenticado: usando um PIN, uma assinatura ou nada. Este sub-protocolo em particular não é autenticado, assim o utilizador faz o cartão "pensar" que está a iniciar uma transacção de chip-e-assinatura, enquanto que o terminal pensa que a transacção é chip-e-PIN. O resultado é que o utilizador poderá comprar coisas usando um cartão roubado e um PIN de 0000 (ou qualquer coisa que quiser). Fizemos isso, filmando, usando cartões de vários jornalistas. As operações funcionaram e os recibos vieram com impresso "Verificado por senha".
O ataque foi desenvolvido por um grupo de pesquisadores da Universidade de Cambridge, incluindo Ross Anderson, Steven J. Murdoch, Drimer Saar e Mike Bond. O grupo descobriu que eles eram capazes de utilizar o ataque online com sucesso, bem como nas operações do mundo real.
Então, o está errado? Essencialmente, existe um buraco na segurança das especificações que criam o sistema "Chip-e-PIN". Essas especificações consistem no quadro do protocolo EMV, o sistema regras de cada cartão (Visa, MasterCard), as regras nacionais de pagamento e os documentos produzidos por cada emissor individual descrevendo as suas próprias personalizações. Cada especificação define os critérios de segurança, opções de ajuste e conjunto de regras, mas nenhuma assume a responsabilidade por criar uma lista dos controlos no terminal.
Daí resulta que, centenas de empresas que emitem cartões independentemente, estão a faze-lo, de forma errada, porque acreditam na falsa garantia de que todas as bases estão cobertas a partir das especificações comuns. A especificação EMV está quebrada, e precisa de conserto. O sistema chip-e-PIN, é o sistema de segurança para transacções de cartão de crédito dominante em vários países sendo que este estudo veio demonstrar o que os investigadores já sustentavam, que o sistema precisa ser totalmente reformulado.
"Nos últimos cinco anos, milhares de utilizadores de cartões foram roubados sendo os seus cartões usados por criminosos. Os bancos muitas vezes dizem-lhes que a senha correcta foi a utilizada, então a culpa deve ser dos clientes, que de algum modo deixaram que lhes descobrissem a senha ou PIN. No entanto, nós demonstramos que é fácil usar um cartão sem conhecer a senha, sendo que o recibo diz que a operação foi "verificada pelo PIN", mesmo que não tenha sido ", afirmou um dos investigadores, num comunicado à imprensa.

in,BBC (clique em BBC, para ver a notícia original)

@protejainternet

Nenhum comentário:

Postar um comentário