国内女人喷潮完整视频,国产边打电话边被躁视频,色妞www精品免费视频,在线成人看片黄a免费看

金卡生活 2016-10-19 09:24

1.事件描述

2016年8月3日BlackHat大會(huì)（“黑帽”安全技術(shù)大會(huì)）上，支付技術(shù)公司NCR的計(jì)算機(jī)安全研究人員Nir Valtman和Patrick Watson聲稱，發(fā)現(xiàn)美國在磁條卡升級(jí)至芯片卡之后存在一個(gè)漏洞，并在會(huì)上演示了如何劫持零售POS交易，包括使用了EMV標(biāo)準(zhǔn)芯片卡的交易。此后，他們還向與會(huì)者提供了一些在現(xiàn)實(shí)生活中如何避免此類事件的提示。

兩位研究人員表示，通過簡(jiǎn)單修改幾個(gè)POS終端設(shè)備中的文件，或者操縱其通信協(xié)議，即可繞過當(dāng)前技術(shù)對(duì)POS終端中POI（points of interaction）的保護(hù)進(jìn)行攻擊。他們展示了幾種攻擊POI，主要指密碼鍵盤PIN Pad的方法，此類攻擊主要是通過重寫磁條碼，使它看起來像是一個(gè)非芯片卡，繼而采取一直以來針對(duì)磁條卡的攻擊方式對(duì)芯片卡攻擊。

2.攻擊原理

兩位研究人員發(fā)現(xiàn)，由POS終端的典型支付數(shù)據(jù)流可以看出，當(dāng)前終端內(nèi)存在對(duì)POI的弱認(rèn)證問題，交易數(shù)據(jù)不經(jīng)過加密（如下圖）。因此，可以通過在商戶的POS終端插入一個(gè)發(fā)起中間人攻擊的軟件shim，完成對(duì)POI系統(tǒng)的攻擊。

鑒于此，他們現(xiàn)場(chǎng)演示了通過在POS終端植入shim軟件，可以完成對(duì)POI的幾種攻擊方式：

方式一，由shim對(duì)POS終端的POI發(fā)起被動(dòng)中間人攻擊，可以捕獲銀行卡的磁道數(shù)據(jù)或者EMV Tag。通過修改捕獲的磁道數(shù)據(jù)，并以此數(shù)據(jù)制作一張新的卡片，使其表明此卡是磁條卡而沒有芯片，繞過了EMV的“芯片+PIN”保護(hù)模式的防偽造優(yōu)勢(shì)。我們知道，當(dāng)前芯片卡里還包含一個(gè)磁條，但是，磁條會(huì)通過某些標(biāo)志位，告訴支付設(shè)備去使用芯片而不使用磁條。

攻擊原理如下圖：

shim軟件獲取到EMV磁道數(shù)據(jù)如下圖：

通過修改圖中磁道信息的褐色部分“201”中第一個(gè)數(shù)據(jù)位為“1”，即可使卡片表明自身為磁條卡，繼而進(jìn)行刷磁條卡交易。

方式二，同方式一，首先對(duì)POS終端的POI發(fā)起被動(dòng)中間人攻擊，獲取卡片磁道信息，然后對(duì)POI發(fā)起主動(dòng)中間人攻擊，無需入侵POI系統(tǒng)，僅通過簡(jiǎn)單修改相應(yīng)的文件而使POI設(shè)備向持卡人要求輸入CVV2。

通過中間人攻擊獲取CVV2方法如下圖：

方式三，同方式一，首先對(duì)POS終端的POI發(fā)起被動(dòng)中間人攻擊，獲取卡片磁道信息，然后對(duì)POI發(fā)起主動(dòng)中間人攻擊，無需入侵POI系統(tǒng)，僅通過簡(jiǎn)單修改相應(yīng)的文件而使POI設(shè)備向持卡人要求重新輸入PIN，進(jìn)而獲取到卡片的PIN碼。為了更好地、隱蔽地實(shí)施攻擊，攻擊者可以通過向POI實(shí)施屏幕注入而覆蓋掉“重新輸入密碼”的屏顯提示，而持卡人往往因無法辨別其真實(shí)性而泄露PIN碼。

通過中間人攻擊獲取PIN方法如下圖：

屏幕注入獲取PIN碼示例：

此外，兩位研究人員還給出了其他幾種可能的攻擊方法設(shè)想，如在POS終端直接插入skimmer竊取卡片信息、直接入侵POI系統(tǒng)獲取交易信息等。

3.防范措施

會(huì)上，兩位研究員給出了相應(yīng)的防范措施建議。

對(duì)于供應(yīng)商和商戶來說，應(yīng)對(duì)支付應(yīng)用使用P2PE（點(diǎn)對(duì)點(diǎn)加密），包括：僅使用基于硬件的信息加密；利用強(qiáng)加密算法，如AES；防止遠(yuǎn)程固件降級(jí)至基于軟件的加密；僅允許供應(yīng)商對(duì)經(jīng)過制造商官方簽名的屏顯文件進(jìn)行升級(jí)；支付應(yīng)用中離線交易數(shù)據(jù)的加密。

若支付應(yīng)用中的POI不支持P2PE，商戶應(yīng)該要求他們的供應(yīng)商至少使用TLS（或SSLv3）協(xié)議加密，或者將對(duì)POI的所有請(qǐng)求消息都進(jìn)行簽名。

對(duì)于顧客來說，應(yīng)注意從不重新輸入PIN；警惕異常的提示；應(yīng)該更傾向于使用基于APP的支付系統(tǒng)，而不是直接使用卡片進(jìn)行支付。

4.安全性分析

攻擊者能夠?qū)崿F(xiàn)對(duì)POI系統(tǒng)的攻破，主要原因在于以下兩點(diǎn)：

一是主要的支付終端機(jī)器制造商都宣稱他們給零售商的機(jī)器提供了點(diǎn)對(duì)點(diǎn)加密，但是，這取決于零售商和他們的合作伙伴是否打開它。目前，零售商專注于保護(hù)支持他們的支付系統(tǒng)的網(wǎng)絡(luò)，而忽略了安全問題，這使得持卡人的卡和支付終端之間的交易數(shù)據(jù)是未進(jìn)行加密的，任何侵入系統(tǒng)的黑客都可直接讀取到靜態(tài)交易數(shù)據(jù)明文，這些數(shù)據(jù)中就包括持卡人EMV卡/磁條卡的磁道數(shù)據(jù)。

二是以直接讀取到EMV芯片卡的卡片信息。

基于上述兩個(gè)因素，攻擊者可以繞過EMV對(duì)芯片卡的保護(hù)，較為輕易地獲取到EMV卡信息，并進(jìn)一步通過其他手段騙取持卡人的PIN碼或CVV2等重要信息。

5.三點(diǎn)分析擊破偽命題

經(jīng)過我們分析，認(rèn)為此種攻擊方法具有局限性，并不一定能夠真正實(shí)現(xiàn)卡片的盜刷，主要體現(xiàn)在以下三點(diǎn)：

一是此類攻擊中的“方式一”只在離線設(shè)備上起作用，即只能用于離線交易。離線終端不連接網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)雙向認(rèn)證，僅進(jìn)行單向認(rèn)證。原因是離線終端不連接網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)認(rèn)證，而是隔一段時(shí)間進(jìn)行批量認(rèn)證。美國沒有離線設(shè)備，但在一些國家仍可以見到，因此，此種攻擊受場(chǎng)景限制而較難實(shí)現(xiàn)。

二是此類攻擊依賴于磁條信息而不是EMV芯片，在不支持刷磁條卡或者不支持降級(jí)的交易設(shè)備上，無法實(shí)現(xiàn)盜刷卡行為。

三是僅通過改變磁條中的數(shù)據(jù)可能會(huì)欺騙到交易終端，但在后端，系統(tǒng)將拒絕交易。這是因?yàn)楣粽卟东@到的信息為靜態(tài)卡交易信息，沒有用到EMV系統(tǒng)，以整個(gè)付款流程來看，EMV系統(tǒng)中存在著一定的措施來減輕這類攻擊，能夠保證僅僅從芯片卡中讀取信息，而不足以創(chuàng)建一個(gè)有效的磁條卡。

可以設(shè)想攻擊者的盜刷場(chǎng)景為：在非離線交易下，攻擊者利用植入shim軟件的POS終端實(shí)現(xiàn)對(duì)EMV芯片卡的信息盜用，進(jìn)而進(jìn)行卡盜刷，然而由于EMV后臺(tái)系統(tǒng)對(duì)此筆交易認(rèn)證不通過，最終將導(dǎo)致交易失敗。由此可見，持卡人在非離線交易場(chǎng)景下，無需過度擔(dān)心芯片卡的安全問題，新一代芯片卡系統(tǒng)會(huì)做相應(yīng)的風(fēng)險(xiǎn)管理措施以保障持卡人的交易安全。

6.安全建議

持卡人在持EMV標(biāo)準(zhǔn)芯片卡進(jìn)行POS交易時(shí)，當(dāng)然希望交易是安全可信賴的，經(jīng)過作者對(duì)此類攻擊方式的解讀與分析，可知此類攻擊在現(xiàn)實(shí)生活中很難實(shí)現(xiàn)。但是，我們注意到，由于POS終端內(nèi)部存在對(duì)POI的弱認(rèn)證問題，交易數(shù)據(jù)不經(jīng)過加密，因此造成了持卡人芯片卡與交易數(shù)據(jù)泄露的風(fēng)險(xiǎn)，這是需要引起注意的一個(gè)問題。此外，在POS終端布放的環(huán)節(jié)中，存在零售商可能不打開點(diǎn)對(duì)點(diǎn)加密功能的問題，因此加強(qiáng)對(duì)零售商及其合作伙伴的監(jiān)控管理也是必要的。我們還注意到，離線交易可能會(huì)為不法分子提供理想的盜刷環(huán)境，商家要盡可能避免使用離線交易，對(duì)于顧客來說，在離線交易場(chǎng)景下要額外注意個(gè)人芯片卡相關(guān)信息（包括CVV2碼、PIN碼等）的安全。

作者供職于中國銀聯(lián)電子支付研究院