elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección.


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Avanzado (Moderadores: ANELKAOS, toxeek)
| | |-+  Investigadores bypassean pago con tarjetas de crédito/débito
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Investigadores bypassean pago con tarjetas de crédito/débito  (Leído 4,603 veces)
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.219


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Investigadores bypassean pago con tarjetas de crédito/débito
« en: 15 Febrero 2010, 15:53 »

Resumiendo:

Unos investigadores de Cambridge han construido un ataque con el que al ir a pagar con una tarjeta EMV (las que te piden el pin para autorizar) engañe al terminal.
Al terminal le dice que va a pagar con pin y al banco que va a pagar con firma, con lo que el banco no verifica el pin y tú metes un pin, el que quieras,y el terminal piensa que es válido


+ info:
http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html
« Última modificación: 15 Febrero 2010, 15:57 por kamsky » En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
Micah Genji

Desconectado Desconectado

Mensajes: 52


learn more to life


Ver Perfil
Re: Investigadores bypassean pago con tarjetas de crédito/débito
« Respuesta #1 en: 15 Febrero 2010, 16:58 »

wow esto si que es muy alarmante, me imagino que debieron tener algun permiso por que si no de seguro lo acusan de algun tipo de fraude.
En línea

Only two things are infinite, the universe and human stupidity, and I'm not sure about the former : A.E
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.219


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Investigadores bypassean pago con tarjetas de crédito/débito
« Respuesta #2 en: 15 Febrero 2010, 19:07 »

"Unos investigadores de Cambridge"...  :¬¬
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
toxeek
The "Tricky" ..
Moderador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: Investigadores bypassean pago con tarjetas de crédito/débito
« Respuesta #3 en: 15 Febrero 2010, 19:31 »

Que tal?

Las Chip and Pin son explotadas "in the wild". Yo no se, pero puede ser que "in the wild" ya hayan dado con este tipo de explotacion incluso antes que los de la Uni de Cambridge (que por cierto, no me cae tan lejos! :D)

El problema es que tienes que llevar el "material" encima (en el video una mochila) y no puedes separar tu mano de la tarjeta. Hay contextos en los cuales eso no es idoneo. En el video se ve al tipo introduciendo la tarjeta en la base del terminal. Ahora, a veces tienes que introducirla en la parte superior, dando algo mas "el cante".

De todas maneras este tipo de ataques se dan de nuevo porque no se verifica la identidad del Server; en este caso el Server seria la propia tarjeta y el cliente el terminal (terminal = aparatito que hay en los comercios para pagar con tarjeta :D).
Y, que ocurre cuando no se identifica la identidad del Server?? (pregunta del millon!):

PUES QUE SE PUEDEN LLEVAR A CABO ATQUES MITM (Man In the Middle), como este. Asi pues, el terminal actua de cliente, requiriendo a la tarjeta cierta "info" y siguiendo ciertos Protocolos y en un momento dado, el atacante, al no haber sido autenticada la tarjeta(Server) por parte del terminal (Cliente), introducira cierta info que le dara como resultado una verificacion del user valida.

NOTA: yo creo que cuando sacamos dinero del cajero nosotros somos los clientes y el cajero (mas el systema de authenticacion..) es el Server. Por ello que no "podamos" hacerlo en cajeros, digo yo..

Que ocurre? Pues que como digo la tarjeta (AKA Server) no se autentifica, en el mometo de validar el PIN la tarjeta/material (en el video en la mochila) introduce el code en hexa "0x9000" que es el que dice "exito en la verificacion del usuario". Asi pues, esa respuesta no viene de la tarjeta introducida si no del ataque MiTM con el "material" que tiene el tipo en la espalda. Y por que se pudo dar esa respuesta falsa? Pues porque no se autentico en un principio al Server (tarjeta).

Cuando digo la "verificacion del usuario" es porque en la tarjeta hay programados diferentes tipos de verificacion del user como PIN, o no autenticacion .. que es uno de los puntos clave en esta situacion.

E decir, lo que ocurre en el momento de autenticar al user es que (ante se autentica a la tarjeta, y despues de autenticar al user se autentica la transaccion):
el terminal le manda al Server (tarjeta) el PIN (ya que fue el metodo que se negocio, internamente entre la terminal y la tarjeta) pero no guarda un track de el metodo mandado, solo espera un respuesta con exito (hexa 0x9000). El Server (tarjeta) no sabe cual fue el metodo de autenticacion que decidio finalmente tomar el terminal ( no auth, PIN, ...) asi que lo que ocurre es que el ataque MiTM manda en ese instante un code "0x9000" al terminal.

Al terminal no haber autenticado al Server (tarjeta) y al no trackear si se introdujo PIN o no, simplemente que se le manda un code "0x9000" de exito da la autenticacion por valida sin saber que el user nunca introdujo un PIN valido. Asi pues, podemos introducir el PIN que queramos, ya que no importa. Lo que importa es que mandemos ese code "0x9000" a la terminal en el momento adecuado.

La tarjeta vera que el terminal ha reconocido la autenticacion como valida, y cree que fue porque la misma terminal creyo conveniente el usar una autenticacion de "Non-Pin verification". Asi pues todo lo ue viene despues dependera de si hay fondos suficientes en la cuenta y de si el banco autoriza (a estas alturas no tiene por que evitarlo..) la transaccion.

Bueno esto es para mas o menos ponernos en contexto para aquel que quiera. Es mi explicacion segun lo que he deducido/leido. Esta resumida y explicada a mi modo.


Saludos.


Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.
« Última modificación: 15 Febrero 2010, 19:33 por averno » En línea

"La envidia es una declaración de inferioridad"
Napoleón.
Baquinjam Palas

Desconectado Desconectado

Mensajes: 159


Ver Perfil
Re: Investigadores bypassean pago con tarjetas de crédito/débito
« Respuesta #4 en: 16 Febrero 2010, 17:38 »

Aqui lo teneis mas detallado, pero en la practica es inviable ir por la calle con tanta parafernalia.

http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

Saludos.
En línea

kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.219


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Investigadores bypassean pago con tarjetas de crédito/débito
« Respuesta #5 en: 16 Febrero 2010, 18:59 »

Este es un blog de un experto que destripa los estándares y dice por qué lo han podido hacer. Es más, descubre una pequeña trampa del vídeo:


http://digitaldebateblogs.typepad.com/digital_money/2010/02/positive-thinking.html
 
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
toxeek
The "Tricky" ..
Moderador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: Investigadores bypassean pago con tarjetas de crédito/débito
« Respuesta #6 en: 16 Febrero 2010, 19:02 »


Aha... voy a leer eso tb ahora kamsky.

Lo de que no se autentica al Server no es del todo asi como voy leyendo. Mas que no se autentique al Server es que no se autentica el VERIFY del PIN, ya que la tarjeta es lo primero que se autentica..

Saludos.
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
toxeek
The "Tricky" ..
Moderador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: Investigadores bypassean pago con tarjetas de crédito/débito
« Respuesta #7 en: 16 Febrero 2010, 19:36 »

Entonces es opcional, segun se dice en el Blog, de la entidad bancaria el hacer comprobacion del CVR (comprobacion de la tarjeta de si se ha comprobado el PIN, que en el ataque es que NO) y el el resultado del CVM (donde iria la comprobacion del terminal donde indica que el PIN tuvo exito /* tras mandar al atacante el "0x9000" */).

Entonces la entidad bancaria puede evitar este ataque comprobando los resultados del CVR y del CVM... pero sera asi de facil? Por que siendo esto tan "basico" para la seguridad de la transaccion no ha sido activado (al menos en Uk) en el protocolo EMV (Europay Mastercard Visa) ??

La verdad es que decir que las Chip and Pin (como se llaman en Uk) y el protocolo EMV esta "roto" me parece una asercion un tanto fuerte dado al complicado aparente funcionamiento del mismo. Pero por lo que se ve, EMV trabaja dentro de otro standard que es el fomato en el que se mandan los "mensajes", el ISO8583. Como dicen hay un campo dentro de ese standar (el 22) que dice si se introdujo PIN o no (imagino que citado por el CVR de la tarjeta, y es un campo mandatorio a mandar). Asi pues, si se compara este campo final 22, que dice que no se introdujo PIN, con el resultado del terminal CVM (este campo es el opcional!) /***MODIFIED ***/ QUE DICE QUE SI hubo PIN, se podria cancelar la operacion dado que no concordarian.

Como es que la Uni de Cambridge ha dejado pasar esto por alto, haciendo un estudio formal??

Bueno habra que leer un poco mas digo yo  ;D

Saludos..
« Última modificación: 16 Febrero 2010, 20:11 por averno » En línea

"La envidia es una declaración de inferioridad"
Napoleón.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines