ב-Online
 
 
 
 
 
 
 
 
איך לפרוץ לכספומט בחמישה עשר שלבים פשוטים 
 
 פעולה זו אינה חוקית, כרטיסך נשאר אצלנו, אנחנו נחגוג עליו   
 
מערכת חיים ברשת

מדעני מחשב בריטים גילו שיטה שמאפשרת לעובדי בנקים לגנוב לנו את הכסף בקלות שלא תיאמן

 
 
 
 
 
 
 
 
 
עובד בנק מושחת יכול לנחש את המספר הסודי של כרטיס הכספומט שלך תוך חמישה עשר ניסיונות בלבד, בשל רגישות במערכות המחשבים של הבנקים, כך טוענים מדעני מחשב מאוניברסיטת קיימברידג' באנגליה. כך מפרסם היום הניו-סיינטיסט.

מייק בונד ופיוטר זיילינסקי מאוניברסיטת קיימברידג' פרסמו את ממצאיהם בדו"ח טכני על גבי האינטרנט, בו הם מתארים פרצה בחומרת מערכות המחשב של הבנקים, אשר משמשות לזיהוי מספרי ה-PIN (הקוד הסודי) של העברות כספים הנערכות בכספומטים (ATM). ניצול של הפרצה יכול להניב לפורץ סכומים נאים של מיליוני ליש"ט ליום.

על מנת לנחש נכונה את ארבע הספרות המרכיבות את הקוד הסודי, נדרשים בממוצע 5,000 ניסיונות. כיוון שמכשירי הכספומט "בולעים" את הכרטיס לאחר שלושה ניסיונות בלבד.

אולם "בליעת הכרטיס" רלוונטית אך ורק לפעולות המתבצעות במכשיר עצמו, ולא לניסיונות הנערכים ע"י עובדי הבנק מבפנים. משמעות הדבר היא שעובדים מושחתים (או האקרים) יכולים באמצעות תוכנות ממש פשוטות לבצע פעולות ניחוש ללא ההגבלה, ובתוך זמן קצר יחסית, להעלות בידם את המספר הנכון.

בעזרת טכניקה זו יכול מישהו בקלות להשיג כעשרים וארבעה מספרים סודיים במהלך הפסקת צוהריים בת שלושים דקות, אמר בונד. העובד יכול למכור את המידע או להכין לו כרטיס אשראי מזויף, בציוד אותו ניתן להשיגו בצורה חוקית תמורת כמה מאות ליש"ט.


אבל למה להסתפק במועט?

בשל הגבלת סכומי המשיכה על כרטיסים אישיים, טריק שכזה יכול להניב לפורץ רק כמה עשרות אלפי ליש"ט ליום. אולם החוקרים גילו כי שימוש בטכניקה אחרת, סבוכה קצת יותר, יכולה להניב 7,000 מספרים סודיים בשלושים דקות, מה שמעמיד את פוטנציאל הגניבה על כמה מיליוני ליש"ט ביום עבודה פורה אחד.

בניגוד למה שמקובל לחשוב, המספרים הסודיים אינם מאופסנים במאגר נתונים במחשב מרכזי כלשהו, אלא קיימים אך ורק כפונקציה מתמטית הנגזרת ממספר החשבון של הלקוח. על מנת לוודא שאיש למעט הלקוח אינו יודע את המספר הסודי, הפונקציה שמחוללת את המספר נמצאת במחשב בודד, חסין התעסקויות, המכונה מודולת חומרת אבטחה (HSM).

כאשר עסקת הכספומט מבוצעת, המספר הסודי נשלח ל-HSM לשם וידוא. כיוון שה-HSM מחולל את המספר באופן הקסדצימלי, מצרפת המערכת לכל שאילתא, טבלת עיון לפענוח הערך ההקסדצימלי לערכים מספריים מוכרים יותר, על מנת ליצור בסיס השוואתי.

אולם כיוון שהמערכת מאפשרת לנסות מספר טבלאות שונות, קיימת האפשרות לערוך מספר ניסיונות שמאפשרים ללקט רמזים אילו מספרים מרכיבים את הקוד. לאחר שיש ברשות העובד את ארבעת המספרים, הוא פשוט צריך לשחק עימם עד שהם מסתדרים בסדר הנכון. פעולה שלוקחת כחמישה עשר ניסיונות בממוצע.

מומחי אבטחה הגדירו את הפרצה כבעייתית, אולם הדגישו כי על מנת לנצל את הפרצה הזו, צריך העובד להיות בעל אישור גישה ברמה גבוהה יחסית.
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by