La banca intenta ocultar una vulnerabilidad en las smartcard

Omar Choudary, un estudiante inglés, ha descubierto un ataque contra las smartcard, las tarjetas con chip que están sustituyendo a las tarjetas de crédito clásicas. La banca ha respondido exigiéndole que retire su trabajo.

Cuando enchufamos una smartcard a un ordenador o a un cajero automático se establece entre ambos una comunicación cifrada y autentificada, lo que hace imposible que un atacante pueda interceptar la comunicación con la tarjeta para falsificar transacciones.

Sin embargo, en la práctica el protocolo no es tan seguro como parece. Choudary ha descubierto un bug en la negociación inicial, donde la smartcard y el sistema establecen el protocolo de autentificación que utilizarán, que puede ser mediante certificado digital o PIN, bug que permite autentificarla tarjeta sin necesidad de especificar ningún pin.

La consecuencia práctica es que es posible utilizar una tarjeta robada sin necesidad de conocer su pin.

La respuesta de la banca no se ha hecho esperar: Han exigido a Choudary que retire este trabajo, que está publicado en Internet, a lo que el estudiante se ha negado. Hay que aclarar que, aunque Choudary habla de la vulnerabilidad, no proporciona detalles de como explotarla.

Página personal de Omar Choudary: http://www.cl.cam.ac.uk/~osc22/

Trabajo sobre el bug «No PIN»: http://www.cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf

Related Posts Plugin for WordPress, Blogger...
Widget By Best Accounting Services