Tempi duri per gli standard che l’industria ha eletto a baluardo difensivo delle comunicazioni e delle interconnessioni digitali. Dopo il crack del Trusted Platform Module di Infineon presentato alla conferenza Black Hat , stavolta tocca alle smartcard con microchip appartenenti allo standard EMV mordere la polvere a opera dei ricercatori della Cambridge University. Che lamentano i difetti di design del sistema , ma incassano lo scetticismo dell’industria che minimizza la portata dell’evento.
Usate per portare a termine miliardi di prelievi, transazioni e compravendite elettroniche in tutto il mondo, le schede EMV (da consorzio Europay, MasterCard e VISA che ha dato origine allo standard) sono conosciute nel Regno Unito con il nome Chip and PIN e il professore di Cambridge Ross Anderson ha sostenuto appunto che “il sistema Chip and PIN è stato fondamentalmente battuto”.
Il tipo di attacco ideato dai ricercatori (che si sono concentrati sulle carte di credito emesse da sei istituti diversi) ha permesso loro di ingannare il lettore di carte obbligandolo ad autenticare la transazione, anche se in nessuno dei casi era stato inserito un codice PIN valido. Si tratta di un attacco di tipo “man-in-the-middle” che secondo gli autori ha richiesto abilità di ingegnerizzazione e programmazione elementari , assieme a componentistica di basso costo e facilmente acquistabile.
Anderson e colleghi hanno approfittato di una falla strutturale del processo di autenticazione dello standard EMV, un processo che – hanno scoperto gli scienziati inglesi – nella maggior parte dei casi impone la verifica del codice PIN contenuto nel microchip della scheda con la sua digitazione da parte dell’utente-cliente. Il problema risiede nel fatto che, una volta verificato il PIN, il suddetto chip invia al terminale sempre lo stesso codice “0x9000” in conferma dell’avvenuta verifica per favorire il completamento della transizione.
Usando un laptop, una scheda autentica inserita nel lettore integrato, una fasulla da inserire nel terminale (POS, ATM o quant’altro) e una scheda FPGA per l’interfacciamento della smart card fasulla e il PC, i ricercatori hanno implementato uno script in Python che, una volta inserita la scheda fasulla nel lettore connesso al PC, si è preso in carica la transazione sopprimendo la richiesta di verifica del PIN e trasmettendo il codice 0x9000 al terminale completando così l’autenticazione .
Per gli esperti della Cambridge University un simile trucco (replicabile con dispositivi poco ingombranti, economici e ideali da portarsi in giro in uno zaino da spalla) rappresenta un autentico “game over” per l’iniziativa Chip and PIN del governo britannico e per l’intero sistema di sicurezza messo a guardia del commercio elettronico. Ma la Payments Administration inglese, che rappresenta gli interessi delle società delle carte di credito, dice che nonostante la serietà dello studio di Cambridge non esistono prove di attacchi reali alle smart card, a cui andrebbe attribuito anche il merito di aver fatto calare drasticamente le frodi finanziarie negli ultimi due anni.
Alfonso Maruccia