15.04.2003 НовостиДеннис ФишерДва исследователя из Кембриджского университета обнаружили в применяемых банками аппаратурных блоках защиты (HSM) уязвимость, которая позволяет в среднем за 15 попыток установить PIN кредитки.Злоумышленники пользуются слабостью криптографической модели, действующей во многих HSM при шифровании, хранении и извлечении PIN. Система, установленная в ряде старых банкоматов, считывает номер клиентского счета, закодированного на магнитной полоске кредитной карты. Затем ПО шифрует номер счета с помощью секретного ключа DES (Data Encryption Standard). Далее этот зашифрованный номер преобразуется в шестнадцатеричную форму с удержанием первой четверки цифр.Вслед за тем полученные цифры пропускаются через таблицу десятичного преобразования, где преобразуются в формат, применяемый в цифровых клавиатурах банкоматов. Манипулируя содержимым этой таблицы, взломщик в несколько приемов разгадывает PIN. В статье авторов исследования описано несколько схем, с помощью которых осведомленный злоумышленник за полчаса может раскрыть до 7000 клиентских PIN.В работе Майка Бонда и Петра Зелинского делается вывод, что в данном случае традиционные способы защиты, например системы обнаружения вторжений, практически бесполезны. Правда, большинство банкоматов блокирует действия пользователя после трех неудачных попыток ввести PIN-код, а банк при этом получает автоматическое предупреждение.Однако, указывают авторы, если мошенник работает в банке, он в состоянии раскрыть PIN без сигнала тревоги ...
читать далее.
