Mentre gli Stati Uniti si preparano a convertirsi al modello di transazioni per carta di credito basato su chip e pin, l'Europa sfrutta felicemente questo metodo considerato generalmente più sicuro ormai da anni. Ma era solo una questione di tempo prima che qualcuno ne scovasse i difetti.Il telegiornale tedesco Tagesschau ha annunciato che durante un talk che si terrà a fine mese all'interno del programma del Chaos Communication Congress, un team di ricercatori renderà noti i dettagli di una serie di vulnerabilità e scelte progettuali inadeguate scoperte nei terminali di pagamento diffusi in Europa. Queste falle potrebbero consentire ad hacker vari di rubare il codice PIN di una vittima e trasferire denaro su un qualsiasi altro conto bancario. C'è grande preoccupazione intorno alla possibilità che questi difetti possano affliggere anche i sistemi di altri paesi europei.
Pubblicità
Karsten Nohl, uno dei ricercatori al lavoro sul caso, ha concesso un'intervista telefonica a Motherboard spiegando che probabilmente un gruppo particolarmente motivato di criminali potrebbe riprodurre gli attacchi da loro sperimentati solamente "in un paio di mesi".Nohl ha detto che "Fondamentalmente qualsiasi carta con una banda magnetica e un codice PIN associato può rivelarsi vulnerabile a questo genere di attacchi."
"Questa è la prima volta che ci imbattiamo in un difetto talmente diffuso che potrebbe causare gravissime conseguenze senza che abbiamo ancora capito come eliminarlo"
Il team che include Nohl, Fabian Bräunlein e Philipp Maier, ha testato i terminali di cinque processori di pagamento diversi. I processori di pagamento sono le più grandi compagnie che forniscono terminali ai commercianti e che spesso mantengono anche le infrastrutture necessarie per le transazioni.I terminali su cui sono stati condotti i test fanno riferimento a due reti diverse, entrambi sfruttano lo stesso software di back-end. "Essendo l'unico software utilizzato per questo scopo in Germania, i difetti potrebbe riguardare tutte le reti," ha spiegato Nohl.Nohl e Bräunlein proveranno a sferrare diversi tipi di attacchi e ad analizzare i danni che causeranno ai due protocolli utilizzati dai terminali di pagamento: ZVT e Poseidon. I protocolli sono essenzialmente i vari linguaggi che i dispositivi utilizzano per comunicare tra loro.
Pubblicità
Il primo tipo di attacco sfrutterà le debolezze del ZVT e dovrebbe consentire ad un ipotetico hacker di impadronirsi del codice PIN inserito dalla vittima designata insieme ai dati memorizzati sulla banda magnetica della carta. Il metodo consiste nell'invio di un messaggio apparentemente regolare al terminale, richiedendo alla vittima di inserire il proprio PIN. L'hacker a quel punto dovrebbe attendere semplicemente che la vittima avvii una transazione così da inviare i propri comandi maligni. La transazione originale non sarà portata a buon termine però l'hacker otterrebbe i dati della banda magnetica e il codice PIN.
I ricercatori hanno potuto realizzare l'attacco estraendo la chiave utilizzata per firmare i messaggi dai terminali messi sotto test, facendo l'incredibile scoperta che ogni singolo terminale fornito dallo stesso processore di pagamento utilizza la stessa chiave."Non è stato facile scoprire la chiave: ci sono volute un paio di settimane di lavoro. Ma dal momento che la chiave è unica a livello di sistema, basta compiere questo genere di sforzo una sola volta," ha spiegato Nohl. In altre parole, basta che un hacker ottenga la chiave quell'unica volta per lanciare attacchi contro qualsiasi altro terminale che sfrutta lo stesso processore di pagamento.Nohl ha spiegato che un hacker non deve per forza "essere connesso fisicamente con il terminale" per inviare all'utente il messaggio che richiede di inserire il proprio codice PIN, basta che si colleghi alla stessa rete a cui è connessa la macchina.
Pubblicità
"In un albergo, spesso si riesce ad accedere ai terminali attraverso la rete wifi locale," ha aggiunto Nohl. Inoltre, sfruttando questa debolezza, una certa quantità di terminali possono essere manipolati in remoto: le interfacce di circa 200 di questi sono esposte agli attacchi."Quasi tutti i terminali utilizzano ZVT," ha detto Nohl, stimando che circa il 90 per cento dei terminali tedeschi potrebbe essere vulnerabile.Il secondo tipo di attacco oltre ad essere potenzialmente più grave "mette in discussione l'intera progettazione del sistema," ha spiegato Nohl.
"Basta che un hacker ottenga la chiave quell'unica volta per lanciare attacchi contro qualsiasi altro terminale che sfrutta lo stesso processore di pagamento."
Ogni terminale ha un ID univoco. "Dal momento che tutti i terminali usano la stessa chiave, qualsiasi terminale può fingersi un altro", ha detto Nohl. Tutto ciò che un utente malintenzionato deve conoscere è l'ID del terminale della macchina che desidera attaccare e alcuni dettagli facilmente ottenibili sul back-end del sistema di pagamento.Ma, sorprendentemente, l'ID si trova su ogni promemoria stampato da un terminale e in ogni caso sarebbe molto facile da indovinare dato che viene assegnato in maniera progressiva."Mi sembra una scelta di progettazione assurda," ha sottolineato Nohl.Secondo Nohl, TeleCash, uno dei principali processori di pagamento in Germania, "in questo momento ha circa 200.000 terminali collegati al suo sistema."
Pubblicità
"Possiamo fingere di mandare messaggi da ognuno di questi terminali a distanza, attraverso Tor." In questo modo, "siamo in grado allo stesso di spostare denaro da centinaia di migliaia di terminali, a qualsiasi conto bancario in Germania quasi in maniera immediata."TeleCash non ha risposto alle nostre richieste di commentare la notizia. Nohl ha poi spiegato che "tutti i processori di pagamento utilizzano Poseidon", il secondo protocollo che presenta dei problemi.Nohl ha detto che questi difetti potrebbero interessare anche i terminali situati al di fuori della Germania, perché utilizzano protocolli simili per comunicare.Nel 2012, Nohl e altri ricercatori hanno scoperto altri problemi dei terminali di pagamento europei ormai in parte risolti, ma per quanto riguarda le ultime scoperte, "non sappiamo ancora come porvi rimedio" dichiara Nohl.Nohl non pensa che le ultime falle messe in luce da loro siano necessariamente più gravi di quelle scoperte in passato. "Ma questa è la prima volta che ci imbattiamo in un difetto talmente diffuso che potrebbe causare gravissime conseguenze senza che abbiamo ancora capito come eliminarlo," ha detto il ricercatore.I ricercatori hanno comunque informato le banche tedesche delle loro scoperte, a tal proposito, Nohl ha dichiarato "stiamo ancora attraversando la fase di "divulgazione responsabile" delle vulnerabilità."Indipendentemente da ciò, se adottato da criminali professionisti, il metodo di attacco sperimentato dal team potrebbe facilmente risultare più redditizio del più tradizionale skimming delle carte. Attualmente, la maggior parte delle truffe avviene "modificando fisicamente gli sportelli ATM uno alla volta in maniera piuttosto redditizia," ha spiegato Nohl. "Ma questo è un settore criminale popolato da persone molto determinate."Aggiornamento: SecondoTagesschau, l'organizzazione bancaria tedesca Deutsche Kreditwirtschaft ha detto di aver esaminato i risultati della ricerca dichiarando che al contrario di quanto riportato, il loro sistema è sicuro. L'organizzazione sostiene che l'attacco sperimentato dai ricercatori di Berlino possa funzionare solo in condizioni di laboratorio e che quindi non implica conseguenze per i possessori di carte. L'Organizzazione del commercio elettronico BECN ha invece sottolineato di aver preso sul serio le ricerche del team infatti esegue regolarmente l'aggiornamento dei software di ogni singolo operatore.
