כנראה שדי קל. במאמר מעניין של עומר ברקמן ואודליה משה אוסטרובסקי* (שלא התעמקתי מספיק כדי להבין את כולו) "The Unbearable Lightness of PIN Cracking", הם מסבירים כיצד ניתן לחלץ קודים אישיים (PIN) מתוך Encrypted PIN Blocks (זה הנתון המוצפן שמועבר על ידי הכספומט לבנק לצורך אימות הקוד האישי בעת משיכת כסף) על ידי ניצול פונקציות מובנות ב-financial PIN processing API. המתקפות דורשות גישה ל-HSM או לרכיב שיש לו גישה (לוגית) ל-HSM, כך שבהחלט נדרש פה סיוע מבפנים. אך מאחר ו(כמו שהכותבים מציינים) מנפיקי כרטיסי אשראי (בנקים או חברות אשראי) עובדים גם מול גופים חיצוניים (בנקים וזכיינים אחרים), הרי שאין לכך משמעות רבה, כיוון שיש צורך בגישה לאחד הרכיבים בדרך. בשום שלב לא מפוענחים מפתחות ההצפנה המשמשים בתהליך וזה בהחלט מאמר יפה.
נתון נוסף שכדאי לדעת הוא שהחולשות הללו נכונות לכל מערך ATM בעולם ולכל HSM וכדי לפתור את הבעיה צריך לבצע שינוי תשתיתי ביקום (מה שכנראה לא יקרה בזמן הקרוב).
המאמר מדגיש בצורה יפה את עקרון החוליה החלשה בשרשרת.
ברוס שנייר (המקור לידיעה) טוען כי פנה למחברים והם אמרו לו שהעבירו את הנתון לחברות האשראי הגדולות ולבנקים, אך לא קיבלו התייחסות.
בבלוג זה
בכל הבלוגים
