ビデオ: La Voz De WNY (十一月 2024)
米国の読者にとって、クレジットカードで支払うとは、磁気ストリップをスワイプすることを意味します。 しかし、ヨーロッパや他の国の多くの人々にとっては、チップカードをリーダーに挿入してPINを入力することを意味します。 このいわゆるチップとPINのソリューションは、アメリカのスワイプよりもはるかに優れていると長らく宣伝されてきましたが、ほとんどの場合はそうです。 ただし、このスキームの実装方法には重大な問題がいくつかあります。
ロス・アンダーソンは、今年のブラックハットでのチップとPINカードの調査のチームの歴史を発表しました。 不正行為がしにくいように設計されたシステムの場合、アンダーソンには驚くべき量がありました。
傷のCa
チップとPINのクイックリフレッシャー:消費者は購入時にカードを挿入します。 次に、PINを入力します。PINはデバイスのカードで確認されます。PINが機能する場合、PINがリーダーから離れることはありません。 その後、カードは銀行と話し合い、取引を承認し、販売が行われます。 紙の上では、それはすべて素晴らしいですね。
アンダーソンは、彼と彼のチームによって発見されたいくつかのユニークな脆弱性、および最初に実地で観察され、その後セキュリティ専門家によってリバースエンジニアリングされたその他の脆弱性を通り抜けました。
多くの攻撃は、商人がトランザクションを実行するために使用したデバイスとATMに焦点を合わせました。 彼のチームは、実際には、いくつかのデバイスが従うと主張したセキュリティ仕様に準拠していないことを発見しました。 最小限の労力で、販売中にデバイスを盗聴し、PINを抽出できると彼は言いました。
その他の攻撃では、アンダーソンが「邪悪な電子機器」と呼ぶものをリーダーにインストールして、トランザクションデータをキャプチャしました。 あるケースでは、詐欺師は商人に配達される前に邪悪な製品をカードリーダーにインストールしました。
しかし、他の多くの攻撃がありました。たとえば、電子カードをチップカードやPINカードに直接埋め込み、カードを隠しデバイスに接続して、泥棒が任意のコードでカードを承認したり、別の場所でトランザクションを「リプレイ」したりする攻撃です。
技術的に優れており、実際に問題がある
私はアンダーソンに、チップとピンで見つかったすべての欠陥の後、スワイプカードよりも優れているとまだ思っているかどうか尋ねました。 彼は明確でした。チップカードとPINカードは、スワイプカードよりも複製がはるかに難しいという理由だけで技術的に優れています。
より大きな問題は、チップとPINがヨーロッパでどのように展開されたかです。 アンダーソンは、ヨーロッパの商人を切り替えるために、銀行は商人に詐欺罪の責任を負うと約束したと説明した。 スワイプカードを使用すると、不正な請求は単に商人に取り消されます。 アンダーソンはこれを「責任のシフト」と呼んだ。
良い計画のように聞こえますが、現実は非常に残酷でした。 アンダーソンは、詐欺の犠牲者はしばしば銀行によって非難され、銀行は何らかの形で彼らのPINを公開したと非難したと述べた。 他の場合には、銀行は単に考えを変え、商人への請求を取り消すだけでした。 極端な場合、銀行やクレジットカード会社は、明らかに恥ずかしさから、既知の詐欺師に対する告発を拒否しました。
誰も、チップとPIN詐欺の責任を取ることを望んでいないようでした。 アンダーソンは、「銀行が詐欺の代金を払っていないなら、なぜ彼らはそれを安全に保つために腸をつぶすのですか?」と尋ねました。
アンダーソンはまた、明確なビジョンを持っていないためにチップとPINドキュメントの作者を批判し、ドキュメントを制御不能にさせました。 彼はそれをコモンズの悲劇と呼び、標準に必要なセキュリティの変更を実際に行うことができる更新されたバージョンを作成するために誰も前進していないことに注意しました。
アメリカに来る
スワイプカードに満足している米国の読者は、なぜこれが重要なのか疑問に思っているかもしれません。 1つの簡単な理由があります:チップとPINカードがこの国に導入される準備ができています。 アンダーソン氏は、銀行は2015年までに移行する予定だと述べた。
この国では物事がそれほどうまくいかないかもしれません。 1つには、チップとPINスキームを選択している銀行はわずかですが、他の銀行はチップカードと署名カードを展開しています。 この認証計画はシンガポールで使用されており、消費者保護を強化するように設計されています。 アンダーソンはまた、米国の銀行業における連邦準備制度の役割は、消費者保護を高めることにも注目していることを指摘しています。近い将来、劇的に浸食されないと仮定しています。
ブラックハットの聴衆が演じることができるという役割もあったと彼は言った。 「単一のプロトコルではなく、支払いプロトコルを構築するための、大きくてランダムな、craftなツールキットです」と彼は言いました。 「本当に安全なもの、または本当に血まみれのひどいものを考え出すことができます。」
前者が得られることを期待しています。