PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Британские ученые обнаружили две уязвимости в реализации технологии Chip-and-PIN

Бреши позволяют предсказать генерируемый для подтверждения транзакции код или заменить его на собственный.

Исследователи из Кембриджского университета обнаружили две критические уязвимости в реализации технологии Chip-and-PIN в банковской платежной системе EMV. Бреши позволяют «клонировать» карты таким образом, что банки будут просто неспособны распознать подделку.

Платежные карты содержат чип, который позволяет реализовать протокол аутентификации, требующий от терминала или банкомата генерации одноразового «непредсказуемого» номера для проведения каждой отдельной транзакции.

«Платежный терминал выполняет протокол EMV с чипом, который обменивается данными по определенной транзакции, запечатанными зашифрованным кодом аутентичности сообщения (МАС)», - пишут исследователи, подчеркивающие, что в ходе этого процесса используется симметричный ключ, сохраненный на карте.

По данным экспертов, некоторые банкоматы некачественно генерируют случайные числа, которые можно легко предсказать. Это, в свою очередь, приводит к тому, что злоумышленники могут с легкостью вычислить код аутентификации, необходимый для снятия наличных в будущем.

Такие атаки «ничем не отличаются от копирования карт с точки зрения журналов, находящихся в распоряжении банков-эмитентов». Их можно осуществлять, даже если отсутствует возможность физически клонировать карту, уверены эксперты.

Еще одна уязвимость заключается в некорректной реализации протокола, что позволяет вредоносному ПО пробираться на банкомат или терминал. В таком случае злоумышленник может просто заменить случайный номер придуманным им числом.

Отметим, что о наличии двух брешей представителей банковской системы уведомили еще в 2012 году, однако разработкой исправления пока занялись только для первой.

Источник: securitylab.ru

mastercard | visa | в мире
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 









Партнеры