Jak wynika z raportu Verizon Business cytowanego przez Wired, przestępcy specjalizujący się w kartach płatniczych zaczęli wykorzystywać nieco bardziej zaawansowane techniki niż skimming i phishing. Nie jest to chyba specjalna niespodzianka, skoro atak, który to umożliwia jest znany od 2003 roku.
Wpis na blogu Wired jest dość enigmatyczny. Wspomina coś o “łamaniu kodów PIN”, ale po dwukrotnej lekturze nie byłem w stanie dojść do jednoznacznego wniosku o co chodzi. Dopiero odnalezienie pochodzącej z 2003 roku publikacji UCAM-CL-TR-560 “Decimalisation table attacks for PIN cracking” autorstwa Mike Bonda i Piotra Zielińskiego (nasi tu byli!) sporo wyjaśniło.
Publikacja Bonda i Zielińskiego opisuje atak, który może być wykorzystany do bardzo efektywnego łamania metody haszowania (szyfrowania) kodów PIN zapisywanych na kartach z paskiem magnetycznym oraz przechowywanych w systemach bankowych (mniej więcej tak, jak zaszyfrowane hasła w systemach uniksowych czy LMHASH/NTHASH).
Z raportu Verizon wynika, że dopiero w ubiegłym roku zaczęto tę technikę wykorzystywać masowo do odzyskiwania kodów PIN znajdowanych na zeskimmowanych kartach oraz jakoś pozyskanych z systemów bankowych. Blog Wired dość mętnie pisze o roli HSMów w tym procederze.
Jak wynika z pracy Bonda i Zielińskiego (str. 8, rozdział 3.3), część systemów bankowych umożliwia “testową” weryfikację kodów PIN. Nie miałem czasu zagłębiać się w szczegółowy mechanizm, ale wygląda to tak, jakby uzyskanie nielegelnego dostępu do API wystawianego przez banki różnym podmiotom (sklepy, centra autoryzacji) umożliwiało pozyskanie skrótu, który następnie można złamać opisanymi technikami.
Z pewnością pomocne będą komentarze osób siedzących w systemach bankowych (do których ja nie należę). Cały czas jednak proszę pamiętać o jednym - ten atak jest znany od 2003 roku, a o tym jak bezpiecznie haszować hasła wiemy co najmniej od pierwszej wersji PKCS#5 (środek lat 90-tych). Nie należy się więc specjalnie ekscytować technicznym zaawansowaniem złodziei, którzy dopiero po pięciu latach byli w stanie zastosować w praktyce publicznie znany atak.
Mechanizm haszowania PIN w metodzie IBM:
http://publib.boulder.ibm.com/infocenter/zos/v1r9/index.jsp?topic=/com.ibm.zos.r9.csfb400/csfb4z80541.htm
Publikacja UCAM-CL-TR-560 “Decimalisation table attacks for PIN cracking”, Mike Bond, Piotra Zieliński, 2003:
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-560.pdf
Raport Verizon:
http://www.verizonbusiness.com/about/news/displaynews.xml?newsid=25282&mode=vzlong