Prim Hírek

Két cambridge-i diák, Richard Clayton és Mike Bond ismertették a nézőkkel, amit a riportot követő napon a honlapjukra feltett szövegben részletesebben le is írnak. Birtokukban van az a technológia, algoritmus és program, amivel a világ minden nyílt kulcsú infrastruktúrát használó bankja, tehát bármelyik bank, amelyik ATM-et üzemeltet, vagy lehetővé teszi ügyfelei számára az elektronikus távoli számlakezelést, továbbá egyéb nagy cégek, biztosítók és sok hadiipari hivatal és cég titkai rövid idejű munkával, egy rossz szándékú bennfentes által megismerhetők. Ezek a cégek mind az IBM 4758 titkosító processzort használják. Az alábbi ábrán ez a kártya látható. A külső alkatrészek az üzemfenntartó áramforrás részei. Bár részleteket nem közölnek, megemlítik, hogy más, hasonló architektúrákba is be tudnak hatolni, így a VISA világ egésze veszélybe kerülhet.

A két fiatalembernek már komoly neve van a tudományos világban. Az adott téma elméletével foglalkozó cikkeiket több elismert tudományos folyóirat is publikálta. A riport és a honlap célzottan az ügyfelek PIN kódjainak megismerési lehetőségét mondja el.

Érdemes szó szerint idézni néhány bekezdést a honlapról.

„Képesek vagyunk, némi lelemény és nyers processzormunka felhasználásával rábírni az IBM 4758-at használó ’Common Cryptographic Architecture (CCA)’ nevű ATM szoftvert, hogy kiadja nekünk minden DES és 3DES kulcsát. Amire mindösszesen szükségünk van:

mintegy 20 perc folyamatos hozzáférés az eszközhöz,

képesség a Combine_Key_Parts engedély használatára,

egy, üzletben kapható, 995 dolláros Altera FPGA Evaluation Board,

kb. két nap „feltörési idő”...

Amíg az IBM ki nem javítja a CCA szoftvert, hogy megelőzze a támadást, addig a bankok sebezhetők maradnak minden olyan bűnös szándékú osztályvezetőjük számára, akinek a tinédzser gyereke rendelkezik 995 dollárral és néhány órával, hogy megismételje a munkánkat.”

A DES kulcs 64 bites, azaz 2 az 56-odon kulcs generálható általa a 3DES 112 bites, vagyis a generálható kulcsok száma a DES-nek 2 az 56-odon szorosa.

Az eljárás segítségével egyértelmű megfeleltetéssel feltárható akárhány százezer bankkártya 16 jegyű száma és 4 jegyű PIN kódja.

A két diák már egy éve küzd azért, az IBM-nek és a bankoknak megküldött tanulmányukkal, hogy elérjék, tegyenek valamit a biztonság növeléséért, hiszen félő, hogy amire ők rájöttek, arra előbb-utóbb bűnözők is rátalálnak. Miután az ügyfeleik bizalomvesztésétől félő bankok nem reagáltak kellő intézkedéssel a vészjelzésekre, a „feltalálók” nem látták más módját az intézkedésnek, mint kiállni a nyilvánosság elé.

Végül álljon itt – kommentár nélkül – egy újabb idézet az IBM nyilvános közleményéből.

„A normális banki gyakorlat és ügymenet meggátolja minden ilyen támadás lehetőségét. Ez a tudományos dolgozat laboratóriumi körülmények közötti munkán alapul. A valódi világban nagyon sok olyan fizikai védelem és utasítás van, ami arra irányul, hogy egy ilyen támadás ne lehessen sikeres.”