Znajdź zawartość

Podczas konferencji Black Hat, która odbywa się w Los Angeles, dwóch włoskich specjalistów ds. bezpieczeństwa - Andrea Barisani i Daniele Bianco - pokazało, w jaki sposób można podsłuchiwać klawiatury na złączu PS/2. Ich technika umożliwia rejestrowanie wciśniętych klawiszy na... wtyczce od prądu. Barisani poinformował, że dzięki temu byli w stanie podsłuchiwać zainstalowane we Włoszech bankomaty i zdobyć numery PIN osób z nich korzystających. Nie potrzebowali do tego celu kamery, ani żadnych innych metod podsłuchowych. Przestępcy kradnący numery PIN zwykle używali do tego celu przerobionego czytnika kart, który dostarczał im informacji zapisanych na pasku magnetycznym, oraz miniaturowej kamery rejestrującej wciskane klawisze. Teraz kamera nie będzie już potrzebna.

Visa pracuje nad nową generacją kart kredytowych, które będą samodzielnie generowały hasła jednorazowe. Karty powstają we współpracy z australijską firmą Emue Technologies. Wiadomo, że będą one wyposażone w procesor, klawiaturę i wyświetlacz. Zasilająca kartę bateria zapewnia trzyletnią pracę. Po wpisaniu przez użytkownika numer PIN wbudowany w kartę procesor wygeneruje i wyświetli hasło jednorazowe o długości do 8 znaków. Visa PIN Card, bo tak będzie nazywała się nowa karta, ma być "krokiem milowym w ochronie przed defraudacjami". Będzie ona szczególnie przydatna w miejscach, w których dokonuje się transakcji bez pośrednictwa czytników kart, np. podczas zakupów online czy zamawianiu towarów przez telefon. To właśnie możliwość korzystania z kart bez używania czytników spowodowała gwałtowny wzrost przypadków defraudacji. Obecnie wystarczy ukraść kartę by bez przeszkód dokonywać np. zakupów w Internecie. W przypadku Visa PIN Card złodziej będzie musiał znać też numer PIN, by z niej skorzystać. Nie wiadomo, kiedy nowe karty trafią na rynek. Można przypuszczać, że na ich pojawienie się nie trzeba będzie długo czekać, gdyż projekt pilotażowy testujący karty ma rozpocząć się wkrótce.

Aby nawiązać bezpieczne połączenie między dwoma urządzeniami, nie potrzebajuż kryptografii kwantowej ani długich i skomplikowanych haseł. Okazujesię bowiem, że nowoczesne urządzenia przenośne można uwierzytelniać napodstawie... potrząsania. Autorami nietypowej metody autoryzacji są Rene Mayrhofer i Hans Gellersen z brytyjskiego Lancaster University. Ich pomysł bazuje na wykorzystaniu miernika przeciążeń, wbudowanego w niektóre zaawansowane telefony komórkowe. Aby sparować dwie komórki za pomocą interfejsu Bluetooth, wystarczy je razem . Po takim zabiegu, akcelerometry znajdujące się w obu urządzeniach zarejestrują unikatowy wzór, pozwalający na jednoznaczną identyfikację telefonów, a co za tym idzie – na nawiązanie połączenia. Wymiana danych jest dodatkowo chroniona przed podsłuchem za pomocą silnych algorytmów szyfrujących. Zdaniem Mayrhofera i Gellersena, opracowany przez nich sposób nawiązywania połączeń jest znacznie prostszy i bardziej naturalny od wybierania urządzeń z listy i wpisywania numerów PIN. Dodatkową zaletą jest zwiększone bezpieczeństwo, ponieważ większość kodów PIN to fabrycznie ustawiane cztery zera, niestanowiące żadnego zabezpieczenia przed niepożądanym połączeniem. W przyszłości podobną metodą mogą być np. potwierdzane transakcje elektroniczne (choć wizja supermarketów z kupującymi, którzy machają portfelami przy kasach, to już chyba nadmiar optymizmu). A jak sparować telefon z czymś cięższym, np. drukarką laserową? Naukowcy pomyśleli również o takiej sytuacji – wtedy wystarczyć powinno stuknięcie komórką o większe urządzenie, a do autoryzacji mają posłużyć odczyty z akcelerometru oraz zapis odgłosu uderzenia.