Forskere aflurer chipkort med en papirclips og en tynd ledning

Forskere fra universitetet i Cambridge har for åben skærm på tv-kanalen BBC2 afsløret, at to af Englands mest almindelige betalingskort-terminaler kan aflures med forholdsvis enkle midler.

Forskerne brugte en bøjet papirclips, en nål og en tynd ledning. Desuden købte de to af hver type terminal på brugtmarkedet for cirka 100 kroner stykket.

Begge modeller er godkendt af Visa, som dermed garanterer, at det vil kræve mange timers arbejde eller udstyr til mindst 125.000 kroner at kompromittere datasikkerheden.

Papirclipsen med ledning var nok til at knække sikkerheden i en model Ingenico i3300, som ellers burde være "tamperproof", dvs. sikret mod pilfingre. Tamperproof betyder i dette tilfælde, at apparatet holder op med at virke eller giver elektronisk alarm, hvis nogen prøver at åbne det eller bore huller i det.

Men forskerne puttede blot den bøjede clips ind gennem et af monteringshullerne, som er i konstruktionen i forvejen. Derved fik de adgang til en forbindelse, som bruges i kommunikationen mellem terminalen og kundens chipkort. Og da denne kommunikation ikke er krypteret, kunne de nemt aflæse pinkoden på et på et kreditkort, der tilhørte BBC2's journalist.

Indgrebet blev udført på undersiden, så det er nemt at skjule fidusen, hvis man er kriminel.

Med den nu afslørede information fra kortet samt den rette pinkode kunne forskerne nemt fremstille et gammeldags kreditkort med en magnetstribe, altså uden chip. Dette kort vil kunne bruges i kontantautomater i en række lande.

Forskernes rædselsscenarium er, at en bruger pludselig ser på sit kontoudtog, at der er trukket 100.000 kroner til jetoner i et casino i Macau.

Den anden terminal, Dione Xtreme, er slet ikke tamperproof. Så her borede forskerne et lille hul, stak en stor nål ned i hullet og ned i et fladkabel og fik derved adgang til den ukrypterede kommunikation.

Forskerne mener ikke, at de leverer en gratis forbryder-opskrift til kriminelle miljøer. De fortæller blot offentligheden, hvad forbryderne allerede ved.

Den går ikke her

Ingen af de to terminaler findes i Danmark, oplyser PBS. Og herhjemme er sikkerhedsniveauet højere end i udlandet. Blandt andet er pinkode-kommunikationen krypteret og online.

»Man skal ikke sige, at noget ikke kan lade sig gøre. Men vi har endnu ikke set en chipterminal, hvor det er lykkedes at bryde sikkerheden,« siger PBS' pressechef, Søren Winge.

Han tilføjer, at danske pengeautomater ikke accepterer magnetstriben alene længere.

Alligevel kan det godt lade sig gøre, at en dansker med et dansk kreditkort får afluret sin pinkode i en pengeautomat i udlandet.

»Men situationen med casinoet i Macau er ikke sandsynlig. For alle banker i Danmark har outsourcet onlinekontrollen til PBS. Det giver os en enestående mulighed for at have overblik. Og hvis et kreditkort det ene øjeblik bliver brugt i Valby og en time efter bruges i Kina, så går der en alarm herinde,« fortæller Søren Winge.

Dokumentation

Pressemeddelelse fra University of Cambridge
TV-udsendelsen fra Newsnight BBC2

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Det siger nok lidt om vores image som faggruppe når man i denne type artikeler altid bruger betegnelsen "forsker". Men mon der her er tale om decideret forskning? Det lyder snarrer som lidt ingeniørarbejde :-)

Mvh Morten

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten