L'allarme lanciato dai ricercatori dell'Università di Cambridge: le soluzioni basate su microchip sono vulnerabili. Il problema in un protocollo

Fonte: ComputerWorld (IDG News Service)

Centinaia di milioni di carte di pagamento in Europa hanno una falla che potrebbe consentire ai criminali in possesso di una carta rubata di inserire un PIN casuale per completare una transazione. L'allarme arriva dai ricercatori della Università di Cambridge le cui scoperte verranno illustrate nel dettaglio in occasione del IEEE Symposium on Security and Privacy che si terrà in California a maggio, facendo sorgere nuovi dubbi sulla effettiva sicurezza delle carte con tecnologia on chip-and-PIN o EMV. Queste contengono un microchip che verifica la correttezza del PIN per poter completare la transazione. Le banche europee hanno accolto il sistema come più sicuro rispetto ad altri che non sfruttano i chip. Ma i ricercatori di Cambridge hanno scoperto una debolezza nel complicato protocollo EMV che permette l'esecuzione di un attacco man-in-the-middle. Essenzialmente si tratta di indurre il terminale POS (point-of-sale) a credere di aver ricevuto un PIN corretto indipendentemente da quanto viene effettivamente digitato.
 
La carta alla fine pensa che la transazione sia stata autorizzata da una firma. In alcuni casi i terminali point-of-sale possono di fatto avere problemi a riconnettersi alla banca che ha rilasciato una carta consentendo in ogni caso la chiusura di una transazione qualora completata tramite firma. L'attacco richiede una elevata conoscenza del sistema chip-and-PIN e dell'hardware esterno utilizzato come dimostrato dai ricercatori in occasione del programma Newsnight trasmesso sulla BBC. Ciononostante, "questa falla è realmente esplosiva", ha commentato Ross Anderson, professor of security engineering, nel corso di Newsnight, illustrando, insieme al suo collega Saar Drimer, un attacco avvenuto presso la caffetteria dell'ateneo.

In pratica il professore indossava uno zainetto contenente un laptop e una scheda FPGA (field programmable gate array). Una carta fittizia è stata inserita nel dispositivo point-of-sale, collegato alla carta rubata. Alla fine la transazione è stata autorizzata pur inserendo come PIN le cifre sbagliate "0000". Il settore bancario è già stato avvisato dai ricercatori circa la possibilità di attacco anche se esponenti del settore ritengono che in ogni caso non sia molto plausibile da portare a termine nel quotidiano, in quanto ritenuto piuttosto arzigogolato.
 
I ricercatori di Cambridge sono già stati in passato molto critici verso la tecnologia chip-and-PIN, individuando diversi problemi tecnici con la specifica e criticando anche la mancanza di trasparenza che ha portato al suo sviluppo. Inoltre hanno evidenziato anche il fatto che le banche tendono a ritenere i clienti responsabili di perdite nell'ambito di transazioni avvenute tramite PIN, anche se questi sostengono che nessun'altro ne era a conoscenza: "Finora le banche si sono rifiutate di rifondere queste vittime poiché sostengono una carta non può essere usata senza il PIN corretto", si legge nel documento intitolato 'Chip and PIN is Broken'. "Questo documento mostra che la loro affermazione è falsa". Nel mondo  sono in uso circa 730 milioni di carte chip-and-PIN, adottate nella maggior parte dei Paesi europei.