การ์ดชิพและพินปลอดภัยกว่าการรูดบัตร

สำหรับผู้อ่านในสหรัฐอเมริกาการชำระเงินด้วยบัตรเครดิตหมายถึงการรูดแถบแม่เหล็ก แต่สำหรับผู้คนในยุโรปและประเทศอื่น ๆ มันหมายถึงการใส่ชิปการ์ดของคุณลงในเครื่องอ่านและป้อน PIN ของคุณ ชิปและ PIN ที่เรียกว่าโซลูชันนี้ได้รับการขนานนามว่ายอดเยี่ยมกว่าการกวาดแบบอเมริกันมาเป็นเวลานานและในหลาย ๆ วิธี แต่มีบางประเด็นที่ร้ายแรงเกี่ยวกับวิธีการใช้งานของโครงการ

Ross Anderson ได้จัดทำประวัติทีมของเขาในการตรวจสอบชิปและบัตร PIN ที่ Black Hat ในปีนี้ สำหรับระบบที่ออกแบบให้ยากต่อการโกงแอนเดอร์สันก็มีจำนวนที่น่าประหลาดใจ

ขบวนแห่ของข้อบกพร่อง

ทบทวนอย่างรวดเร็วเกี่ยวกับชิปและ PIN: ผู้บริโภคใส่การ์ดของพวกเขาเมื่อทำการซื้อ จากนั้นพวกเขาป้อน PIN ซึ่งได้รับการยืนยันจากการ์ดในอุปกรณ์ - เมื่อใช้งานได้ PIN จะไม่ออกจากเครื่องอ่าน จากนั้นบัตรจะพูดคุยกับธนาคารเพื่อทำการอนุมัติธุรกรรมและทำการขาย บนกระดาษทุกอย่างฟังดูดี

แอนเดอร์สันเดินผ่านช่องโหว่ที่ไม่ฉลาดหลายครั้งที่เขาและทีมของเขาพบและคนอื่น ๆ ที่ถูกพบเห็นเป็นครั้งแรกในป่าแล้วกลับทำการออกแบบโดยผู้เชี่ยวชาญด้านความปลอดภัย

การโจมตีจำนวนมากมุ่งเน้นไปที่อุปกรณ์ที่พ่อค้าใช้ในการทำธุรกรรมและตู้เอทีเอ็ม ทีมของเขาพบว่าอุปกรณ์หลายชิ้นนั้นไม่ได้ทำตามข้อกำหนดด้านความปลอดภัยที่พวกเขาอ้างว่าทำตาม ด้วยความพยายามขั้นต่ำเขากล่าวว่าพวกเขาสามารถดักฟังอุปกรณ์และดึง PIN ระหว่างการขายได้

การโจมตีอื่น ๆ ที่เกี่ยวข้องกับการติดตั้งสิ่งที่แอนเดอร์สันเรียกว่า "อุปกรณ์อิเล็กทรอนิกส์ที่ชั่วร้าย" ลงบนเครื่องอ่านเพื่อบันทึกข้อมูลธุรกรรม ในกรณีหนึ่ง scammers ติดตั้งเครื่องชั่วของพวกเขาลงในเครื่องอ่านบัตรก่อนที่พวกเขาจะ delievered กับพ่อค้า

แต่มีการโจมตีอื่น ๆ อีกมากมายเช่นการฝัง electornics ลงบนชิปและการ์ด PIN โดยตรงการเชื่อมต่อการ์ดไปยังอุปกรณ์ที่ซ่อนอยู่ซึ่งอนุญาตให้ขโมยอนุญาตให้ใช้บัตรด้วยรหัสแบบสุ่มใด ๆ

เหนือกว่าทางเทคนิคปัญหาที่เกิดขึ้นจริง

ฉันถามแอนเดอร์สันว่าหลังจากพบข้อบกพร่องทั้งหมดด้วยชิปและเข็มแล้วเขาก็ยังคิดว่ามันดีกว่าการปัดไพ่ เขาไม่มีความชัดเจน: ชิปและการ์ด PIN มีความเหนือชั้นทางเทคนิคเพียงเพราะมันยากกว่าการโคลนนิ่งมากกว่าการรูดบัตร

ปัญหาที่ใหญ่กว่าคือการที่ชิปและ PIN ได้รับการเผยแพร่ในยุโรป แอนเดอร์สันอธิบายว่าเพื่อให้พ่อค้าชาวยุโรปเปลี่ยนไปธนาคารได้ให้สัญญากับร้านค้าว่าพวกเขาจะต้องรับผิดชอบค่าใช้จ่ายที่ฉ้อโกง ด้วยบัตรรูดเพียงแค่มีการฉ้อโกงค่าใช้จ่ายจะถูกส่งกลับไปยังผู้ค้า Anderson เรียกสิ่งนี้ว่า

ฟังดูเหมือนแผนดี แต่ความจริงก็โหดร้ายมาก แอนเดอร์สันกล่าวว่าผู้ที่ตกเป็นเหยื่อของการฉ้อโกงถูกตำหนิบ่อยครั้งโดยธนาคารซึ่งกล่าวหาว่าพวกเขาเปิดเผยรหัส PIN อย่างใด ในกรณีอื่นธนาคารเพียงแค่เปลี่ยนความคิดและโอนกลับค่าใช้จ่ายให้กับพ่อค้า ในกรณีที่รุนแรงธนาคารและ บริษัท บัตรเครดิตปฏิเสธที่จะเรียกเก็บเงินกับผู้หลอกลวงที่รู้จักกันดี

ดูเหมือนจะไม่มีใครอยากรับผิดชอบต่อการฉ้อโกงชิปและ PIN แอนเดอร์สันถามว่า "ถ้าธนาคารไม่จ่ายเงินให้กับการฉ้อโกงทำไมพวกเขาถึงตกใจที่ต้องรักษาความปลอดภัย"

แอนเดอร์สันวิพากษ์วิจารณ์ผู้เขียนของชิปและเอกสาร PIN ที่ไม่ได้มีวิสัยทัศน์ที่ชัดเจนและปล่อยให้เอกสารไม่สามารถควบคุมได้ เขาเรียกมันว่าโศกนาฏกรรมของสาธารณะและตั้งข้อสังเกตว่าไม่มีใครก้าวไปข้างหน้าเพื่อเขียนเวอร์ชันอัปเดตที่สามารถทำการเปลี่ยนแปลงด้านความปลอดภัยที่จำเป็นตามมาตรฐานได้

มาอเมริกา

ผู้อ่านชาวสหรัฐอเมริกาของเราเนื้อหาที่ใช้รูดบัตรอาจสงสัยว่าทำไมเรื่องนี้ถึงมีความสำคัญกับพวกเขาเลย มีเหตุผลง่ายๆข้อหนึ่ง: บัตรชิปและ PIN ได้รับการเตรียมพร้อมที่จะเปิดตัวในประเทศนี้ แอนเดอร์สันกล่าวว่าธนาคารต่าง ๆ จะทำการเปลี่ยนแปลงภายในปี 2558

สิ่งต่างๆอาจไม่ได้แย่นักในประเทศนี้ สิ่งหนึ่งที่มีเพียงธนาคารบางแห่งเท่านั้นที่เลือกใช้รูปแบบชิปและ PIN ในขณะที่ธนาคารอื่น ๆ จะเปิดตัวชิปและลายเซ็นการ์ด แผนการรับรองความถูกต้องนี้ใช้ในสิงคโปร์และได้รับการออกแบบมาเพื่อให้การคุ้มครองผู้บริโภคมากขึ้น แอนเดอร์สันยังกล่าวอีกว่าบทบาทของธนาคารกลางสหรัฐในธนาคารสหรัฐยังให้ความคุ้มครองผู้บริโภคมากขึ้นด้วยโดยสมมติว่าจะไม่มีการกัดเซาะอย่างรุนแรงในอนาคตอันใกล้

นอกจากนี้ยังมีบทบาทที่เขากล่าวด้วยว่าผู้ชม Black Hat สามารถเล่นได้ “ ไม่ใช่โปรโตคอลเดียว แต่เป็นชุดเครื่องมือที่มีขนาดใหญ่และสุ่มเพื่อสร้างโปรโตคอลการชำระเงิน” เขากล่าว "คุณสามารถสร้างสิ่งที่ปลอดภัยจริง ๆ หรือสิ่งที่น่ากลัวมาก"

นี่คือความหวังที่เราจะได้เป็นอดีต