臺大電機教授示範無線竄改悠遊卡金額
文/黃彥棻 (記者) 2010-09-01
Mifare的晶片卡安全性遭到挑戰,除悠遊卡外,也有晶片卡專家揭露晶片金融卡使用Web ATM設計瑕疵帶來的風險,連超商的Kiosk機臺都可透過PDF漏洞入侵
重 點
● 包括晶片金融卡、悠遊卡等安全產品的安全性遭質疑
● 網路ATM傳輸過程採明碼傳輸,徒增安全風險
● 駭客利用PDF漏洞入侵超商Kiosk機臺
在日前舉辦的第六屆臺灣駭客年會(HIT 2010)中,揭露許多採用NXP公司推出的Mifare卡的產品的安全性風險。
舉 例而言,就像是臺大電機系團隊便將發表的論文,以錄影方式,實作如何將悠遊卡透過Sniffer-Based(監聽封包)的方式,竄改悠遊卡的資料。另 外,也由於臺灣最普遍使用的晶片金融卡,進行網路ATM轉帳的過程並未加密,採用明碼傳輸,都讓相關產品的安全性遭遇極大的挑戰。
近期也有許多駭客都利用Flash的漏洞發動零時差攻擊(0 Day Attack),在臺灣駭客年會上,便有演講者分享如何透過Flash漏洞,入侵便利超商的Kiosk。
透過設備監聽方式,可竄改悠遊卡餘額
在2008年荷蘭曾有論文透過逆向工程的方式,破解NXP推出的、目前全球使用超過100萬張卡的Mifare晶片卡,臺灣大學電機系教授鄭振牟團隊則實作出Mifare的破解方式。
鄭振牟說,目前Mifare卡的攻擊方式,除了荷蘭論文提出的PCD-Based(非接觸式IC讀卡器)的攻擊手法,臺大團隊則使用改進過的 Sniffer-Based(監聽封包)的攻擊手法攻擊Mifare卡。
他表示,透過從國外購得的Sniffer監聽設備,在悠遊卡與加值機進行資料讀取時,透過監聽封包取得相關的卡片資料,便可藉此進一步更改悠遊卡中的餘額資料。
在駭客年會中,臺大團隊則將一張實際的悠遊卡,從正100多元,將餘額更改成為負五百多元。
鄭 振牟表示,目前這樣的Sniffer攻擊手法,因為可以即時讀取卡片和加值機的卡片資料,能夠在比較短的時間內,就完成更改悠遊卡的餘額。但他也說,這樣 的攻擊手法前提,就是必須能夠監聽到悠遊卡的卡片資料,才能夠進行資料竄改。因此,目前這樣的攻擊手法,時間雖然較短,仍只能是單張的卡片資料竄改,而非 大量的悠遊卡資料竄改。
鄭振牟表示,對於捷運公司而言,防護的方式很簡單,只要能夠在系統後端設備進行防堵措施,例如,偵測卡片是否有異常,資料讀取過程中,不要流洩出足夠的資訊可供人利用竄改,便可以確保悠遊卡的安全性。
晶片金融卡使用Web ATM時,採明碼傳輸
臺灣為了遏止詐騙集團複製並盜刷磁條的提款卡,自2003年9月15日 開始發行晶片金融卡,並於2006年3月1日 取消磁條金融卡跨行交易的服務,迄今臺灣晶片金融卡發行量已經超過4,400萬張,也是世界上晶片金融卡普及率最高的國家之一。
雖 然晶片金融卡的設計是為了更安全的銀行交易,並採用點對點的安全設計,但是,全宏科技研發處系統安全部部經理倪萬昇表示,晶片金融卡在設計上有一些安全性 的盲點,例如,晶片金融卡A卡或B卡的密碼長度只有48位元,相較於3DES的112或168位元密碼長度,或者是AES 128、192或256位元的長度,晶片金融卡的密碼只需要時間夠長就足以破解。
也因為晶片金融卡上儲存的資料包含:帳戶名稱、銀行帳 號、使用者PIN碼、銀行認證碼,並支援DES、3DES的加密演算法,對於可確保交易的唯一性,防止重送攻擊(Replay Attack)的IC卡交易序號,其所產生的交易認證碼(Transaction Authentication Code,簡稱TAC),則可以進一步做到確保交易資訊的正確性,並能辨識來源為何;而相關的硬體設備,也都通過EAL 4+的安全性認證。
曾 經揭露晶片金融卡在網路ATM轉帳交易上使用漏洞的竹科工程師Jim,他在臺灣駭客年會上也表示,晶片金融卡端末設備的驗證碼,雖然已經將過短的密碼改為 8碼 ,他認為,根據銀行公會規範的14條晶片金融卡網路開發事項中,銀行認為只要網站採用SSL傳輸就夠安全,但事實上,晶片金融卡在元件應設計存取卡片的限 定提款卡程式,才夠安全。至於支援熱插拔技術,主要是限制只能輸入一次密碼,但Jim表示,這其實可以透過虛擬設備,不需要熱插拔就可以直接略過這道認證 手續。
倪萬昇指出,這些晶片金融卡在使用與傳輸資料的過程中,最大的風險就是認證使用者PIN碼時,其實是明碼傳輸的,當認證PIN碼 後,則可產生多次的TAC,而後端銀行伺服器則沒有提供必要的資訊給晶片金融卡作為產生TAC之用。交易資訊雖然都由後端銀行伺服器決定,除了隨機性並具 有唯一性,但是當駭客使用中間人攻擊(Man In The Middle,簡稱MITM)手法時,交易轉帳過程中的資料,都可能提前遭到駭客竄改。
目 前晶片金融卡使用上最大的風險就是網路ATM的使用,倪萬昇認為,解決銀行使用晶片金融卡的風險,除了將整個ATM(尤其是Web ATM)的流程跟應用請專家檢視,並且所有的銀行都必須同步進行外,在Web ATM的應用應該加上雙重確認機制,例如簡訊OTP等密碼確認機制。他說,銀行轉帳都有10或17元的手續費,確認安全性的簡訊費用,相較而言並不多,這 是做不做而不是花不花錢的問題。
由於Web ATM的漏洞有一半是因為ATM卡本身設計並不安全,在不安全的設備裝置上使用會有風險,另外一半則是銀行過度小看Web ATM造成的風險。倪萬昇表示,如果後端銀行伺服器沒有提供必要的資訊給晶片金融卡作為產生TAC,駭客攻擊只要能夠隨機增加一個亂數來確認交易資料的唯 一性就可以了。
Jim指出,由於晶片金融卡傳輸中並沒有加密,因為設備不支援動態密碼,加上TAC機制有問題,一旦遇到一些 Active X的漏洞,都可能增加資料傳輸時的風險。他建議,相關單位若能選擇較為安全的Fire & Forget的動態密碼,將可提升相關的安全性。
也因為目前悠遊卡的攻擊手法仍不是大規模的攻擊方式,側面得知,悠遊卡公司並不擔心悠遊卡的安全機制遭到破解,反而是,晶片金融卡在網路ATM的使用上,已經存在既有的設計瑕疵,銀行公會也積極探詢解決方式,降低因為系統設計帶來的持卡人風險。
PDF漏洞入侵便利商店Kiosk
此次駭客年會的重頭戲之一就是示範如何透過PDF的Flash漏洞,讓便利超商的Kiosk機器遭到攻擊。
主 講者Zha0表示,由於便利超商現有的Kiosk都是微軟介面,機臺在設計上,都會隱藏微軟系統的開關機選項,讓人無法在機臺的螢幕上進行操作。看不到並 不意味著功能不存在,加上部分超商允許使用USB隨身碟進行資料讀取和列印,只要隨身碟中的PDF文件,具有待修補的漏洞,駭客便可利用該漏洞,入侵該臺 Kiosk系統。
透過主講者Zha0的示範,他在USB隨身碟中,存放一個具有漏洞的PDF文件,當他利用PDF的漏洞進入該臺Kiosk系統中並重新開機後,他取得該Kiosk機臺的主控權,並將原本機臺的顯示畫面置換成該隨身碟中的圖檔。
這個圖檔將原本機臺的螢幕畫面其中的一項服務顯示,修改成為「0 Day漏洞販賣」,這樣的示範也獲得現場熱烈掌聲。不過,Zha0表示,這樣的示範只是突顯出這類的Kiosk具有的風險,其實和一般的電腦是一樣的,相關的安全性控制與漏洞修補,都不可忽略。
根據記者實地勘查,由於多數超商的Kiosk都將金流部分交由當店的櫃臺服務人員,雖然無法迴避Kiosk原本就有的系統風險,但這樣的金流切割作法,則將金流的風險降到最低。文⊙黃彥棻
在 VEMMA 真的沒有失敗的問題,只有時間以及你是不是真的 "全心投入" 唷~
您要對自己的未來說「Yes」或「No」呢?
VeMMA一個改變您一生的機會,請您一定要好好把握!
VEMMA維瑪居家創業系統~免推銷、易上手!
名人推薦:
- 【秘密】作者 包柏.普克特(Bob Proctor)強烈推薦
- 【窮爸爸富爸爸】 作者 羅勃特.T.清崎 公開推薦
如果您尋找的是...
- 一個正當合法的網路事業
- 一個永續經營的職涯規畫
- 一個可靠正派的大型企業
- 一個真正在家工作的經營模式
- 一個踏實有成就感的網路賺錢方法
- 一個不用出門就能進行的完整教育訓練
- 一個全力幫助您降低挫折感的簡易工作模式
那麼,現在就免費試用Vemmabuilder90 天!
試用Vemmabuilder簡單三步驟:
1. 輕鬆免費報名試用
2. 仔細看Email收到的信件內容,若未收到請確認垃圾信件夾
3. 仔細看Vemmabuilder網站及部落格內容,主動聯繫,積極深入了解
在VEMMA,真的沒有失敗的問題,只有時間的問題,以及您是不是真的"全心投入"喔~
進源誠摯邀請您親身來體驗Vemmabuilder90天,請您以開放的心再給網路事業一個機會,也給自己一個在家工作、月入6~12萬的機會!
加入Vemmabulider後歡迎與我們聯絡,讓我們引導您使用系統!
請放心,進源絕不向您推銷任何東西!
如有任何問題,歡迎與我們聯絡:
SKYPE:kelvinlim5107
E-mail:limjieyi48@yahoo.com
手機:+60166876001
留言列表
vemma 公司 (4)