wow esto si que es muy alarmante, me imagino que debieron tener algun permiso por que si no de seguro lo acusan de algun tipo de fraude.

Que tal?

Las Chip and Pin son explotadas "in the wild". Yo no se, pero puede ser que "in the wild" ya hayan dado con este tipo de explotacion incluso antes que los de la Uni de Cambridge (que por cierto, no me cae tan lejos! )

El problema es que tienes que llevar el "material" encima (en el video una mochila) y no puedes separar tu mano de la tarjeta. Hay contextos en los cuales eso no es idoneo. En el video se ve al tipo introduciendo la tarjeta en la base del terminal. Ahora, a veces tienes que introducirla en la parte superior, dando algo mas "el cante".

De todas maneras este tipo de ataques se dan de nuevo porque no se verifica la identidad del Server; en este caso el Server seria la propia tarjeta y el cliente el terminal (terminal = aparatito que hay en los comercios para pagar con tarjeta ).
Y, que ocurre cuando no se identifica la identidad del Server?? (pregunta del millon!):

PUES QUE SE PUEDEN LLEVAR A CABO ATQUES MITM (Man In the Middle), como este. Asi pues, el terminal actua de cliente, requiriendo a la tarjeta cierta "info" y siguiendo ciertos Protocolos y en un momento dado, el atacante, al no haber sido autenticada la tarjeta(Server) por parte del terminal (Cliente), introducira cierta info que le dara como resultado una verificacion del user valida.

NOTA: yo creo que cuando sacamos dinero del cajero nosotros somos los clientes y el cajero (mas el systema de authenticacion..) es el Server. Por ello que no "podamos" hacerlo en cajeros, digo yo..

Que ocurre? Pues que como digo la tarjeta (AKA Server) no se autentifica, en el mometo de validar el PIN la tarjeta/material (en el video en la mochila) introduce el code en hexa "0x9000" que es el que dice "exito en la verificacion del usuario". Asi pues, esa respuesta no viene de la tarjeta introducida si no del ataque MiTM con el "material" que tiene el tipo en la espalda. Y por que se pudo dar esa respuesta falsa? Pues porque no se autentico en un principio al Server (tarjeta).

Cuando digo la "verificacion del usuario" es porque en la tarjeta hay programados diferentes tipos de verificacion del user como PIN, o no autenticacion .. que es uno de los puntos clave en esta situacion.

E decir, lo que ocurre en el momento de autenticar al user es que (ante se autentica a la tarjeta, y despues de autenticar al user se autentica la transaccion):
el terminal le manda al Server (tarjeta) el PIN (ya que fue el metodo que se negocio, internamente entre la terminal y la tarjeta) pero no guarda un track de el metodo mandado, solo espera un respuesta con exito (hexa 0x9000). El Server (tarjeta) no sabe cual fue el metodo de autenticacion que decidio finalmente tomar el terminal ( no auth, PIN, ...) asi que lo que ocurre es que el ataque MiTM manda en ese instante un code "0x9000" al terminal.

Al terminal no haber autenticado al Server (tarjeta) y al no trackear si se introdujo PIN o no, simplemente que se le manda un code "0x9000" de exito da la autenticacion por valida sin saber que el user nunca introdujo un PIN valido. Asi pues, podemos introducir el PIN que queramos, ya que no importa. Lo que importa es que mandemos ese code "0x9000" a la terminal en el momento adecuado.

La tarjeta vera que el terminal ha reconocido la autenticacion como valida, y cree que fue porque la misma terminal creyo conveniente el usar una autenticacion de "Non-Pin verification". Asi pues todo lo ue viene despues dependera de si hay fondos suficientes en la cuenta y de si el banco autoriza (a estas alturas no tiene por que evitarlo..) la transaccion.

Bueno esto es para mas o menos ponernos en contexto para aquel que quiera. Es mi explicacion segun lo que he deducido/leido. Esta resumida y explicada a mi modo.


Saludos.


Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

Este es un blog de un experto que destripa los estándares y dice por qué lo han podido hacer. Es más, descubre una pequeña trampa del vídeo:


http://digitaldebateblogs.typepad.com/digital_money/2010/02/positive-thinking.html
 

Entonces es opcional, segun se dice en el Blog, de la entidad bancaria el hacer comprobacion del CVR (comprobacion de la tarjeta de si se ha comprobado el PIN, que en el ataque es que NO) y el el resultado del CVM (donde iria la comprobacion del terminal donde indica que el PIN tuvo exito /* tras mandar al atacante el "0x9000" */).

Entonces la entidad bancaria puede evitar este ataque comprobando los resultados del CVR y del CVM... pero sera asi de facil? Por que siendo esto tan "basico" para la seguridad de la transaccion no ha sido activado (al menos en Uk) en el protocolo EMV (Europay Mastercard Visa) ??

La verdad es que decir que las Chip and Pin (como se llaman en Uk) y el protocolo EMV esta "roto" me parece una asercion un tanto fuerte dado al complicado aparente funcionamiento del mismo. Pero por lo que se ve, EMV trabaja dentro de otro standard que es el fomato en el que se mandan los "mensajes", el ISO8583. Como dicen hay un campo dentro de ese standar (el 22) que dice si se introdujo PIN o no (imagino que citado por el CVR de la tarjeta, y es un campo mandatorio a mandar). Asi pues, si se compara este campo final 22, que dice que no se introdujo PIN, con el resultado del terminal CVM (este campo es el opcional!) /***MODIFIED ***/ QUE DICE QUE SI hubo PIN, se podria cancelar la operacion dado que no concordarian.

Como es que la Uni de Cambridge ha dejado pasar esto por alto, haciendo un estudio formal??

Bueno habra que leer un poco mas digo yo  

Saludos..