Paweł Goleń, blog

Udając się do bankomatu zabiera się ze sobą dwie rzeczy: kartę bankomatową oraz PIN. Teoretycznie karta jest rzeczą materialną, PIN jest natomiast informacją. Z informacją problem jest taki, że można ją dowolnie powielać o czym pierwotny jej "właściciel" wcale nie musi wiedzieć. W chwili, gdy ktoś podglądnie PIN (i nie ważne jak to zrobi, zaglądając przez ramię, montując w bankomacie kamerę, oglądając klawiaturę za pomocą kamery termowizyjnej czy, jak w przypadku najnowszej metody, przez sieć elektryczną) nie odzywają się syreny alarmowe, a (jeszcze nie) okradziona w ten sposób osoba nie czuje żadnej straty. Dalej zna swój PIN, nie ma natomiast pojęcia, że już nie jest jedyną osobą, która zna ten sekret.

Posiadanie PIN to jednak nie wszystko. Trzeba "mieć" jeszcze kartę, która teoretycznie jest rzeczą materialną i łatwiej zauważyć jej brak. Tak jednak nie jest, bo ważna jest nie tyle sama karta, co informacja na niej zapisana. Informacja, którą w przypadku kart wykorzystujących pasek magnetyczny, stosunkowo łatwo skopiować. Tu znowu osoba, z której karty informacja jest skopiowana, nic na ten temat nie wie.

Przyszła ofiara żyje sobie nadal w nieświadomości przekonana, że pieniądze na koncie są bezpieczne. Wcale nie jest tak, że atak (kradzież pieniędzy) ma miejsce natychmiast po uzyskaniu niezbędnych do tego danych. Czas, jaki upłynie między "powieleniem informacji" a jej wykorzystaniem w niecnych celach może być długi i w międzyczasie ofiara może zapomnieć "ryzykowne zachowania" typu płacenie kartą w "egzotycznych" krajach.

Ja też nie mogę mieć pewności, że moje karty nie zostały sklonowane. Pewnym sposobem minimalizowania potencjalnych strat może być ustawienie limitów transakcyjnych, nie zawsze jest to jednak możliwe. Zresztą jest jeszcze cały oddzielny wątek odpowiedzialności za fraudy kartowe, którego rozwijać tu nie będę.

Zademonstrowany sposób na poznanie PIN w zasadzie nie wnosi nic nowego do omawianej sytuacji. Sam w sobie też nie jest nowatorskim pomysłem (np. dyskusja pod wpisem Data Leakage Through Power Lines). To, co się zmienia to dostępność technologii pozwalającej na skuteczne przeprowadzenie tego typu ataków. Inna sprawa, że mój pierwszy PC (jeszcze 286) tak siał, że jego pracę można było "słyszeć" w radio w sąsiednim pokoju.

Wracając do tematu bankomatów, moim zdaniem właściwą drogą jest maksymalne utrudnienie kopiowania informacji z karty. Tak, by rzeczywiście doszło do warunku "coś co masz", by istotna była fizyczna karta. Oczywiście istotna tak naprawdę będzie nadal informacja na niej zapisana, ale sposób jej skopiowania powinien być trudny. Nie jest to jakiś dziwny wymysł, przecież powstał standard EMV, problemem jest wciąż jednak dość niska jego adopcja. Tu trzeba zwrócić uwagę, że rozwiązanie hybrydowe, czyli karta chipowa posiadająca na wszelki wypadek pasek magnetyczny, jest półśrodkiem. Po prostu możliwy jest skuteczny fallback do mniej bezpiecznego rozwiązania, czyli owego nieszczęsnego paska właśnie. Mówię tu o hybrydowych kartach, bo hybrydowe bankomaty czy terminale płatnicze same w sobie nie są problemem jeśli karta uniemożliwia skorzystanie z paska (w sposób najprostszy i najskuteczniejszy - poprzez jego brak).

Skoro już o kartach, to żadna z posiadanych przeze mnie kart (nie mam ich jednak wiele) nie jest kartą EMV. Niektóre banki wciąż nie wydają kart EMV. Trochę niepewnie czuję się płacąc tymi kartami w sklepach. Do wykonania transakcji wymagany jest tylko mój podpis. Nie pamiętam ile już lat płacę głównie kartami, przez ten cały czas jedynie raz zostałem poproszony o okazanie dodatkowego dokumentu z uwagi na wątpliwości pani co do mojego podpisu. W większości przypadków transakcja jest autoryzowana przez sprzedawcę zanim dostanę do ręki długopis i mam szansę się podpisać. Nie wiem jakie są wasze doświadczenia w tym temacie, dla mnie autoryzacja operacji przy pomocy podpisu jest fikcją...