Il chip-e-PIN ha impedito la violazione dell'obiettivo?

Question

Il chip-e-PIN ha impedito la violazione dell'obiettivo?

#1 da (7 voti)
#2 da (2 voti)

2

Come tutti sappiamo, Target è stato violato e gli hacker hanno rubato molti numeri di carte di credito. Obiettivo è ora sostenere il chip-and-PIN, come un modo per fornire una maggiore sicurezza per le carte di credito. Questo mi fa meravigliare. Se il chip-and-PIN fosse stato installato, avrebbe prevenuto la violazione? Oppure l'attacco sarebbe stato ancora possibile (semplicemente costringendo gli aggressori a spostare leggermente i loro metodi)? Questo è solo PR o il chip-e-PIN ha fatto una differenza significativa rispetto al tipo di attacco visto nella violazione Target?

Ricorda che, nella violazione dell'obiettivo, gli aggressori sono stati in grado di compromettere i terminali point-of-sale di Target: non solo uno di loro, ma tutti loro. Il chip-e-PIN è sicuro in quel modello di minaccia, in cui l'attaccante controlla i terminali del punto di vendita?

Dipende se le carte di credito contengono sia un chip che un magstripe (per retrocompatibilità con i sistemi legacy), o se contengono solo il chip (e nessuna retrocompatibilità)? La mia impressione è che il modo in cui questo viene implementato è: in primo luogo abbiamo carte di credito che supportano sia chip-and-PIN che un magstripe legacy; quindi, dopo un certo periodo di tempo, quando i terminali chip-e-PIN sono sufficientemente distribuiti, le società delle carte di credito potrebbero iniziare a fornire carte di credito con solo il chip, ma non il magstripe. Ciò influisce sull'analisi? Per esempio, è la risposta che se le carte di credito avessero sia il chip che il magstripe, allora un terminale di punto di vendita compromesso può rubare il numero di carta di credito e CVV dal magstripe e poi clonare la carta, ma se le carte di credito avevano solo un chip, quindi non potevano?

e-commerce credit-card smartcard magnetic-stripe-card emv

posta D.W. 24.05.2014 - 04:40

fonte

2 risposte

Leggi altre domande sui tag e-commerce credit-card smartcard magnetic-stripe-card emv

Utilizza un nome utente e l'autenticazione a due fattori per smart card? Notazione crittografica

score 7 · Answer 1

Dipende da cosa intendi per "prevenuto".

EMV viene utilizzato solo per le transazioni in cui sono presenti sia la carta che il titolare della carta; non è stato progettato per migliorare la sicurezza delle transazioni non presenti (CNP) . Ciò ha alcune implicazioni su ciò che un utente malintenzionato può fare con i dati della carta di credito rubati.

Transazioni fisiche

Se tutti i commercianti e le carte utilizzavano EMV esclusivamente oggi, i dati di magstripe rubati sarebbero inutili per le transazioni fisiche - non ci sarebbe semplicemente alcuna possibilità di usare un magstripe clonato.

Le transazioni EMV sono attive nel senso che esiste una "conversazione" tra il chip della carta e la banca emittente, mediata dal terminale. Fondamentalmente, la banca chiede alla carta di firmare i dettagli della transazione usando una chiave crittografica che non lascia mai la carta. Si presume che la copia di una carta EMV sia impossibile. (Le carte Magstripe sono passive in quanto chiunque conosce il contenuto della banda magnetica è in grado di autorizzare transazioni, è banale creare un duplicato di tale carta.)

Sfortunatamente, l'EMV è diffuso, ma non è ancora ubiquitario; Finché sul pianeta ci sarà un solo bancomat o mercantile rimasto in un unico stato, le carte continueranno ad essere dotate di una striscia magnetica, e lo skimming continuerà ad essere un problema.

Transazioni remote (CNP)

Il problema è che i dettagli della carta di credito sulla banda magnetica possono essere utilizzati anche per le transazioni CNP in alcuni casi. Le transazioni CNP di solito richiedono il numero della carta, il nome del titolare della carta e la data di scadenza; tutti questi valori sono memorizzati anche sulla banda magnetica. Per risolvere questo problema, le reti di carte hanno progettato il CVC2 / CVV2 ; un numero che viene stampato sulla carta, ma non incluso nei dati della striscia magnetica.

Tuttavia, non tutti i commercianti usano questo valore - ad esempio, Amazon (almeno nel mio paese) non lo richiede. Pertanto, qualcuno che esegue un attacco di skimming della carta sarebbe in grado di utilizzare i dettagli della carta catturata per effettuare acquisti fradulati presso qualsiasi commerciante online o telefonico / per corrispondenza che non richieda il CVC2 / CVV2.

score 2 · Answer 2

Non sembra così.

Citazione dell'articolo di Brian Krebs The Target Breach, By the Numbers (enfasi mia):

0 – The number of customer cards that Chip-and-PIN-enabled terminals would have been able to stop the bad guys from stealing had Target put the technology in place prior to the breach (without end-to-end encryption of card data, the card numbers and expiration dates can still be stolen and used in online transactions).