Wired News - Francoski raziskovalci so predstavili praktično uporabo enega izmed načinov zlorabe plačilnih kartic, na katerega so raziskovalci iz Cambridgea teoretično opozorili že leta 2010. Tedaj so EMVCo in banke odmahnili z roko, da je v praksi ranljivost nemogoče zlorabiti. Francoski zlikovci so jih hitro demantirali in že v letih 2011-2012 začeli zlorabljati ranljivost. Danes je ta že odpravljena, zato so francoski raziskovalci z École Normale Supérieure v članku predstavili podrobnosti.

Za uspešno izvedbo transakcije moramo pri uporabi novih kartic s čipom vnesti pravilen PIN. Terminal preveri vneseni PIN tako, da čipu na kartici pošlje PIN, ta pa potem preveri, ali se njegova zgoščena vrednost ujema s tisto, ki je shranjena v čipu. Tako se PIN ne prenaša po zunanjih omrežjih, hkrati pa iz čipa ni mogoče izluščiti PIN-a. Gre pa nekoliko...

Slo-Tech - Višje sodišče je potrdilo prvostopenjsko sodbo, s katero je okrajno sodišče lani razsodilo, da mora NLB komitentu vrniti pet tisoč evrov, ki so mu jih neznani storilci ukradli z zlorabo spletne banke.

Gre za spor iz leta 2009, ki se je začel, ko je komitent na bankomatu opazil, da je stanje na njegovem računu negativno. Ugotovil je, da so neznani storilci z njegovega računa nakazali 5150 na neznan bančni račun, zaradi česar je takoj blokiral spletno banko, kaznivo dejanje prijavil policiji in od banke zahteval povrnitev škode. Tu pa se je zapletlo, ker je banka trdila, da je uporabnik za zlorabo kriv sam in do povračila škode ni upravičen.

Komitent je namreč podatke o...

ZDNet - Iranski bančni sistem je luknjičast, je ugotovil Khosrow Zarefarid, ki je bil svoj čas menedžer v podjetju Eniak, ki je za iranski trg izdelovalo in nameščalo POS-terminale ter vzdrževalo klirinški sistem Shetab. Že lani je namreč odkril veliko luknjo v sistemu, ki omogoča nepooblaščen dostop do sistema, o čemer je po lastnih navedbah obvestil centralno banko. Naletel je na gluha ušesa, zato je poskusil še enkrat, to pot s priponko s podatki o tisoč bančnih računih. Ker se odgovorni še vedno niso odzvali, je vdrl v sistem, pridobil podatke o treh milijonih bančnih računov, številkah kartic in ustreznih PIN-številkah ter jih objavil na svojem blogu. Končno je dobil pozornost.

To je poskrbelo za enega največjih računalniških...

SC Magazine - Domiselnost tatov kar noče poznati meja. Skupina avstralskih nepridipravov je potem, ko so s trojancem uspešno pridobili prijavne podatke za spletno banko lokalnega poslovneža, z malo socialnega inženiringa dobila njegovo mobilno številko in jo po krajšem telefonskem klicu na avstralski Vodafone prenesla na svoj telefonski aparat. Nato so si naklikali 45 tisoč avstralskih dolarjev preko nakupa v trgovini s pohištvom. Banka je transakcijo sicer zaznala kot sumljivo, vendar imetnika računa niso uspeli priklicati, ker je med kontaktnimi podatki navedel (ironija) svojo mobilno številko.

Napad se je zgodil letos junija, poslovnež pa je zanj zvedel šele...

The Register - Ruski razvijalci online banking trojanca SpyEye so pripravili še Android različico Spitmo, namenjeno kraji enkratne potrditvene kode (TAN, transaction authentication number), ki jo uporabnik spletnega bančništva prejme po SMS-u in z njo potrdi transakcijo. Banke so namreč že pred leti posredi visokih stroškov z zlorabami uvedle dvofaktorsko avtorizacijo transakcij, tako da so zlikovci poleg računalnika (certifikat, geslo) za krajo denarja z bančnih računov morali kontrolirati tudi uporabnikov mobilni telefon. Druga možnost so majhni kalkulatorčki enkratnih kod, a tudi mimo tega se da priti, npr. z malo socialnega inženiringa in pošiljanjem okuženih XLS datotek delavcem pri RSA Security, ki je eden izmed večjih proizvajalcev teh kalkulatorčkov.

SpyEye mora biti najprej nameščen na...

The New York Times - Medtem ko po spletu še vedno odmeva napad na Citigroup, še zlasti zaradi neverjetne varnostne luknje, je banka po zahtevku generalnega tožilca iz Connecticuta razkrila nekoliko več informacij.

Vdor so zabeležili 10. maja, nakar so nemudoma zagnali preiskavo in odpravo ranljivosti. Do 24. maja so ugotovili, da so napadalci dobili imena, številke bančnih računov in...

Financial Times - Ameriška banka Citigroup je priznala, da so hekerji že maja pridobili dostop do osebnih in bančnih podatkov nekaterih komitentov. V ZDA ima Citigroup 21 milijonov komitentov, prizadetih pa naj bi jih bil približno odstotek.

Napaden je bil Citi Account Online, ki vsebuje osnovne informacije, med katerimi so imena, številke računov in elektronski naslovi. Podatke o...

Slo-Tech -

Raziskovalci pri podjetju F-Secure poročajo o novem, tehnično dovršenem napadu na uporabnike spletnega bančništva. V normalnih okoliščinah se uporabnik prijavi v spletno banko kar z uporabniškim imenom in geslom, ko pa želi opraviti transakcijo, jo rabi posebej avtorizirati z vpisom posebne številke (mTAN), ki jo v ta namen obliki SMS-a prejme na svoj mobilni telefon. Ta sistem dvojnega preverjanja preprečuje, da bi napadalec zgolj z prestrezanjem uporabniškega imena in gesla (npr. s keyloggerjem) spraznil račun.

Napad poteka v več fazah. Najprej rabijo lopovi na spletno stran banke nastaviti opozorilo, da je uporabnikovo digitalno potrdilo poteklo in da rabi dobiti novega (nič od tega seveda ni res). Opozorilo...

The Register - Prijavljanje v računalniške sisteme z uporabniškim imenom in geslom počasi ne zadostuje več, saj ju lahko nepridipravi na več različnih načinov odtujijo in s tem postavijo lastnika v težaven položaj. Ena izmed rešitev te zagate je dodatna uporaba tako imenovanih enkratnih gesel, ki jih generira tretja naprava ali pa jih uporabnik od strežnika prejme po drugi komunikacijski poti (recimo na mobilni telefon), brez katerih prijava ni mogoča. Da bi odpravili potrebo po tretji napravi, je Intel to tehnologijo vgradil v prihajajoče procesorje Sandy Bridge.

Skupaj z Vascom in Symantecom so razvili Intel Identity Protection Technology. Gre za poseben generator...

Slashdot - Letos februarja je bilo na BBC-ju javno razkrito, da je trenutni sistem ugotavljanja istovetnosti uporabnika plačilne kartice luknjičav. Ker se pravilnost vnesenega PIN-a preverja proti kartici in ne proti centralni bazi podatkov v banki, je moč pretentati POS-terminal in z uporabo lažne kartice doseči, da se transakcije sprovede z vnosom poljubne kombinacije namesto PIN-a. Banke v desetih mesecih niso storile ničesar.

Podiplomski študent Omar S. Choudary na Cambridgeu je pripravil magistrsko nalogo The Smart Card Detective:
a hand-held EMV interceptor in jo tudi objavil na fakultetnih straneh. V njej je raziskal pomanjkljivost in...

ZDNet - Pretekli teden smo poročali, da so raziskovalci s Cambridgea odkrili napako v sistemu avtentikacije plačil z bančnimi karticami, saj je mogoče z napadom MITM ukaniti terminal in zaobiti potrebo po vnosu pravilnega PIN-a. Kot poroča ZDNet UK, EMVCo, ki postavlja standarde za kartično poslovanje in je v solasti American Express, JCB, MasterCard in Vise, je napovedal, da bodo članek in napada preučili in ocenili potrebne spremembe. Prav tako bodo incident preiskali v podjetjih, ki skrbijo za plačilne sisteme. Tako je MasterCard že potrdil, da standard EMV redno preverjajo in da bodo v sodelovanju z drugimi podjetji poskrbeli, da bo poslovanje varno. Profesor Ross Anderson iz Cambridgea...

BBC - Bančne kartice so v zadnjem času dobile lične zlatorjave čipe, ki pri plačilu preko terminala POS zahtevajo vnos PIN-a za avtorizacijo plačila. Kot pravi Bruce Schneier, je že dlje časa znano, da gre bolj za prelaganje odgovornosti in ne za nobeno pravo varnost. Zdaj so to demonstrirali še raziskovalci z angleškega Cambridgea, ki od leta 2004 bdijo nad sistemom in odkrivajo pomanjkljivosti.

V članku Chip and PIN is broken so opisali (izjava za javnost, pogosto zastavljena vprašanja), kako lahko z napadom s posrednikom (man-in-the-middle attack) pretentamo sistem v avtorizacijo, ne da bi sploh vnesli PIN. Normalna transakcija poteka takole. Uporabnik vtipka PIN v terminal, ta preveri njegovo veljavnost na čipu pametne kartice, ki odgovori z da ali ne,...

Wired News - Joe Grand,Jake Appelbaum in Chris Tarnovsky so se pred časom lotili analize parkirnih avtomatov v San Franciscu ter v treh dneh ugotovili kako je mogoče "brezplačno" neomejeno parkirati.

V avtomatih je parkirnino mogoče plačati s tim. pametno kartico, le-te pa niso digitalno podpisane. Še več, edina avtentikacija uporabnika oz. kartice je opravljena tako, da kartica avtomatu pošlje potrditev, da je geslo pravo oziroma da limit na kartici ni prekoračen. Z nekaj spretnosti je tako mogoče limit na kartici poljubno dvigniti oziroma kartico prilagoditi tako, da se nikoli ne izprazni.

Omenjene...

CNET News - Precej pogosta trditev, ki pa po besedah Carla Andersona, uslužbenca IBMa, zdaj drži. Anderson se ukvarja s snovanjem strežniških sistemov in meni, da bo zakon veljal le še generacijo ali dve za najhitrejše modele procesorjev. Slednji vsebujejo vedno več in več jeder ter predpomnilnika, zato bo zakon lahko veljal. A za vsakodnevna opravila večina uporabnikov ne potrebuje toliko jeder in predpomnilnika, zaradi česar se bo hitrost večanja zmanjšala. Problem je tudi v ceni razvoja čipov in postavljanja in vzdrževanja tovarn za izdelavo teh čipov. Eksponentna rast enostavno ni več ekonomična, sploh v teh kriznih časih.

Anderson za prihodnost stavi na 3D čipe (kjer so plasti tranzistorjev naložene ena na drugo), optične povezave v sistemih ter računanje z grafičnimi pospeševalniki, ki je trenutno že precej popularno, na tem področju pa sta močna AMD s svojo grafično divizijo ATi in nVidia, še letos pa naj bi se jima pridružil tudi Intel z Larrabeejem.

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...

Slo-Tech - Skupina raziskovalcev iz dedected.org se je pred kratkim lotila varnostne analize Digital Enhanced Cordless Telecommunications (DECT) standarda, te dni pa so na CCC konferenci v Berlinu predstavili svoje ugotovitve.

DECT je protokol, ki se uporablja za zaščito brezžičnih komunikacij pred prisluškovanjem. Uporablja se pri domačih brezžičnih telefonih, pri otroških telefonih (baby phone), sistemih za odpiranje vrat, klicih v sili, brezžičnih čitalcih bančnih kartic, itd. DECT omogoča avtentikacijo bazne postaje in terminalov ter šifriran prenos podatkov.

Vendar pa so raziskovalci ugotovili, da je varnost DECT protokola mogoče razbiti s pomočjo navadnega računalnika z operacijskim sistemom Linux ter kartico ComOnAir za 23 EUR. S pomočjo prirejenega gonilnika so raziskovalci uspeli na precej enostaven način prisluškovati različnim DECT sistemom, pravijo pa, da bo podpora za prestrezanje DECT komunikacijam vgrajena že v naslednjo različico popularnega programa za analizo omrežij

Slo-Tech - Kot ste verjetno opazili, so nekatere slovenske banke v zadnjem času storitvi elektronskega bančništva dodale nov varnostnih element -- varnostno geslo. Glavna ideja tovrstne zaščite je, da geslo naključno poklikate na zaslonu in zato običajni keyloggerji ne morejo ugotoviti, kaj točno ste storili.

Odlična poteza -- leta 2005.

Konec leta 2008 pa na trgu obstajajo namenski trojanski konji, katerih glavni namen je kraja denarja. Tako na primer NetHell, Limbo, Zeus, WSNPoem ter zBot poleg prestrezanja relevantnih podatkov v HTTP(s) zahtevkih (GET/POST) -- gesla, kraje elektronskih ključev (bančni certifikat iz varne shrambe) omogočajo tudi shranjevanje uporabnikovih klikov po bančnih straneh skupaj z zaslonskimi slikami objektov, ki jih je uporabnik dejansko kliknil.

Na ta način v Sloveniji ponovno uvajamo dodatni varnostni mehanizem, ki pomaga samo ljudem, ki ga ne potrebujejo. Če imate popoln nadzor nad vašim računalnikom, potem certifikat in geslo popolnoma zadoščata. Če nadzora...

The Register - Visa se je z štirimi evropskimi bankami dogovorila, da bodo preizkusili novo generacijo kreditnih kartic, ki je namenjena zajezitvi internetnih zlorab. Britanska podružnica Bank of America, Corner Bank iz Švice, izraelski Cal in IW Bank iz Italije bodo 500 oz. 3000 komitentom izdali nove kartice. Te bodo imele na zadnji strani vgrajeno številčnico, s katero bodo uporabniki vnesli PIN, kartica pa bo izpisala kodo za enkratno uporabo. Podobni sistem so že v uporabi za dostop do npr. elektronskega bančništva, le da se kalkulator za izračun enkratne dostopne kode ne nahaja na kartici, temveč je ločena enota.

Na ta način izdajatelji želijo preprečiti napade, v katerih so...

Schneier.com - Raziskovalci Cambridge University (Saar Drimer, Steven J. Murdoch in znani profesor Ross Anderson) so ugotovili, da dve znani napravi za plačevanje s pametnimi bančnimi karticami (tim PIN Entry Device) Ingenico i3300 in Dione Xtreme ne omogočata zadostne zaščite bančnih kartic z čipom.

Problem je v tem, da transakcija med bančno kartico z čipom in napravo za vnos PIN kode ni šifrirana. To omogoča prestrezanje komunikacije, na podlagi česar napadalec lahko izdela kopijo kartice (na magnetni kartici). Kljub temu, da naprave za vnos PIN kode ne onemogočajo takšnega prestrezanja, so bile certificirane in se še vedno uporabljajo. Oprema za napad stane le nekaj sto britanskih funtov, izvesti pa ga je mogoče na razmeroma enostaven način.

Kljub temu, da naj bi nove kartice za avtentikacijo transakcije uporabljale tehnologijo iCVV (ki izvaja avtentikacijo plačila s pomočjo digitalnega certifikata v čipu kartice), tudi novejše kartice (v Britaniji izdane februarja letos) še vedno...

Slo-Tech - Steven J. Murdoch in George Danezis iz University of Cambridge sta pred kratkim objavila članek z naslovom Low-Cost Traffic Analysis of Tor.

Kot pove že naslov, gre za varnostno analizo anonimizacijskega omrežja Tor. Avtorja v članku opisujeta uspešen napad na anonimizacijsko omrežje s pomočjo tehnike analize prometa.

Kot vemo, omrežje Tor deluje tako, da promet uporabnika šifrira in ga naključno preusmerja po omrežju do izstopne točke. S tem naj bi dosegli anonimizacijo uporabnika, saj je sledenje prometa med točkami v Tor omrežju izredno težko izvedljivo. Oziroma - vsaj tako so bili avtorji prepričani do pred kratkim.

Avtorja sta namreč novembra 2004 izvedla eksperiment, v okviru katerega sta ugotovila, da je mogoče uporabnika izslediti do vstopne točke v Tor omrežje. S tem pa se stopnja anonimizacije bistveno zmanjša. Prav tako sta z analizo prometa ugotovila, da je mogoče sicer nepovezane podatkovne poti posameznega uporabnika povezati med seboj.

Tehniko analize prometa...

Slo-Tech - Konec marca 2004 je začel veljati Zakon o spremembah in dopolnitvah zakona o plačilnem prometu (ZPlaP-B). Branje tega zakona je vse prej kot dolgočasno opravilo, kajti 20 člen določa, da so "podatki o transakcijskih računih javni in dostopni na spletni strani Banke Slovenije".

V skladu s 40. členom tega istega zakona se je to zgodilo tik pred volitvami, prvega oktobra 2004, kar pomeni, da si po novem s pomočjo iskalnika na spletnih straneh Banke Slovenije lahko ogledate številke transakcijskih računov svojih sosedov, ali pa tudi znanih politikov.

Poleg imena in priimka ter številke računa, je na spletni strani Banke Slovenije prikazan tudi kraj bivanja ter kje je račun odprt, zanimiva pa zna biti tudi "Evidenca o neporavnanih obveznostih".

Seveda pa je na voljo tudi evidenca transakcijskih računov pravnih oseb, kjer si lahko ogledate nekaj podrobnosti o transakcijskih računih političnih strank in podjetij, za razliko od podatkov za fizične osebe, pa si je te podatke mogoče...

Slashdot - Na CNN je možno zaslediti članek, ki opisuje novo tehnologijo, ki omogoča prepoznavo govora z analizo ustnih mišic. To bi moralo izredno olajšati pogovore med šolskimi urami :D.