Banku datorsistēmu nepilnību dēļ mantkārīgs bankas darbinieks var uzminēt kredītkaršu lietotāju PIN kodu 15 mēģinājumos, norāda britu datorzinātnieki no Kembridžas universitātes.
Banku datorsistēmu nepilnību dēļ mantkārīgs bankas darbinieks var uzminēt kredītkaršu lietotāju PIN kodu 15 mēģinājumos, norāda britu datorzinātnieki no Kembridžas universitātes.
Maiks Bonds un Pjotrs Zieļinskis atklājuši, ka problēma slēpjas pašās tehnoloģijās, kas pārbauda PIN kodus bankomātu operāciju laikā.
Lai uzminētu četru ciparu PIN kodu, parasti būtu vajadzīgs vidēji 5000 mēģinājumu. Praktiski šādu iespēju nevar izmantot, jo bankomāta programma atļauj tikai trīs reizes ievadīt PIN kodu. Tomēr programma neļauj turpināt koda minējumus tikai pie bankomāta.
Šāds ierobežojums neattiecas uz cilvēkiem, kas analīzi var veikt no sistēmas iekšienes, un mantkārīgs bankas darbinieks var ar ļoti vienkāršām programmām turpināt minējumus, lai pakāpeniski atklātu visus PIN ciparus.
Izmantojot šo tehniku, 30 minūšu pusdienu pauzes laikā iespējams viegli iegūt 24 PIN kodus, norādīja M.Bonds. Bankas darbinieks tad var vai nu šo informāciju pārdot, vai arī izgatavot viltotas kartes.
Tēriņu ierobežojumu dēļ personas pēc šādas shēmas varētu iegūt desmit tūkstošus sterliņu mārciņu dienā. Tomēr kāda cita tehnika, kuru atklāja M.Bonds un P.Zieļinskis, ļauj iegūt 7000 PIN kodu 30 minūšu laikā un nodrošināt ienākumus vairāku miljonu sterliņu mārciņu apmērā.
PIN kodi netiek uzglabāti kādā datubāzē, bet pastāv kā klienta konta numura matemātiska funkcija. Lai nodrošinātu, ka neviens cits, izņemot klientu, nezina PIN kodu, matemātiskā funkcija uzglabāta atsevišķā datorā, kas saukts par datoru drošības moduli (HSM). Kad tiek veikts darījums, PIN kods tiek nosūtīts uz HSM pārbaudei. Tā kā HMS rada PIN kodu 16 ciparu kombinācijā, katrai pārbaudes reizei jāpievieno papildu kombinācija, lai pārveidotu 16 ciparu PIN kodu daudz mazākā skaitlī salīdzināšanai. Šajā posmā iespējams atklāt, kuri cipari veido PIN kodu. M.Bonds norāda, ka tad iespējams uzminēt PIN kodu 15 mēģinājumos.
«Visa sistēma balstās uz to, ka neviens cits, izņemot klientu, nezina PIN kodu,» uzsvēra M.Bonds. Ja no konta pazūd nauda, tad bankas parasti uzskata, ka tā ir klienta vaina, jo ir pārliecinātas, ka to sistēmas ir drošas.
