miércoles, 1 de septiembre de 2010

Tarjetas de crédito y débito

Resulta que cuando estuve en el Asegur@IT 7 el pasado marzo, uno de los compas comentó la misma anterior al evento sobre un ataque muy curioso. El ataque que nos comentaba era un MITM relacionado con tarjetas de pago.

¿En qué consistía el ataque? Bueno. La verdad, no contó mucho porque simplemente fue un comentario que hizo al salir del local donde cenamos, tanto el equipo perteneciente al evento como algunos asistentes. La idea, en resumen, es engañar al terminal haciéndole creer que se ha introducido el PIN de la tarjeta correctamente, cuando no realmente no es así, y a la tarjeta se le dice que no hay que introducir ninguna contraseña. Bueno. ¿Y cuáles son los detalles? Los detalles los da la Universidad de Cambridge, en un documento que me tengo que leer.

También hay un vídeo de la BBC, un tanto sensacionalista, en el que entrevistan al equipo de la investigación y muestran una demo en la cafetería de la universidad.

Aún así, es importante remarcar que, mientras que buscaba datos sobre este tema en concreto, el mismo sitio donde he encontrado estos enlaces, hay otro en el que remarcan que hacen un poco de trampa.

Una de estas trampas es que parece ser que en fotograma de la demo de la BBC, se paga con una tarjeta VISA, pero, parece ser (que no lo acabo de ver), el ticket muestra que se ha usado una MasterCard (Según he visto en el primer comentario, de uno de los autores de la investigación, hicieron varias pruebas para distintas grabaciones en distintos ángulos. No tiene desperdicio leérselo).

El otro truco parece ser que radica en el protocolo que están usando. Según he podido entender, el protocolo que se emplea en estas transacciones, establece que los resultados relativos a la tarjeta se guardan en un dato llamado CVR, y es obligatorio enviarlo. El terminal indicará en su CVM que el PIN es correcto. el problema está en que el CVM no es obligatorio, es optativo. Si se enviaran los dos, al compararlos, habría algo que no cuadraría, y la transacción junto al ataque acabarían sin más.

Ya se. No he contado mucho al respecto. Sólo he contado lo que he llegado a entender de lo que he leído.

Pero, aún hay otra cosa que quisiera contar con respecto a las tarjetas de pago. Y es que, buscando información sobre lo comentado arriba, me he encontrado con otra cosa muy curiosa.

Ya sabemos que muchas veces, cuando se va a comprar algo por Internet, nos piden datos de la tarjeta. En principio, deberían de ser datos de tipo (o nivel) 2. Es decir, comúnmente lo que se dice como "algo que tenemos". Porque haría falta la tarjeta para saber los datos que nos piden, que suelen ser el número completo, la fecha de caducidad, y, últimamente, los dígitos de seguridad que están en la parte trasera de la tarjeta (algunos piden 4 números, otros piden 3). Pero, ¿realmente se necesita la tarjeta? Con tal de sabérselo de que alguien lo haya apuntado, ya la hemos liado.

Bueno, pues parece ser que se está ideando un sistema para convertir nuestra tarjeta en una especie de token. Así,

No hay comentarios:

Publicar un comentario