Etkilenenler için hoş olmayan bir senaryo: cüzdan gitti – ya da genellikle banka kartı olarak adlandırılan kart bir yerlerde ortalıkta bırakıldı. Daha sonra kartlarının mümkün olduğu kadar çabuk bloke edilmesini istiyorlar ama bu o kadar kolay değil. Engelleme acil durum numarası olarak adlandırılan numara nispeten iyi bilinmektedir: 116 116’yı arayarak veya engelleme uygulamasını kullanarak bu numaraya ulaşabilirsiniz. Ancak acil çağrı ilişkilendirmesini engellemek her türlü kart kullanımını engellemez. Ancak yalnızca bankaların ve tasarruf bankalarının yardımıyla gerçekleştirilen prosedürler – özellikle çevrimiçi ödemeler, para çekme ve terminallerde PIN ödemeleri. Ancak derneğin engelleme dosyasına karşı her türlü kullanım yetkilendirilmemektedir.
Reklamcılık
Örneğin, düşük maliyetleri nedeniyle perakendeciler arasında hâlâ popüler olan imzalı elektronik otomatik ödeme prosedürü bloke edilmiyor; yalnızca perakendeciler için daha pahalı olan PIN tabanlı ödeme çeşidi engelleniyor. Otomatik ödemenin mümkün olmadığından emin olmak için ikinci bir sistemde bloke edilmesi gerekir: KUNO. Bunun açılımı “Polis dışı organizasyon yapılarını kullanarak nakit dışı ödeme işlemlerinde suçla mücadele etmek” anlamına geliyor. Alman kredi kuruluşları tarafından verilen Giro kartları, perakende satış noktalarının büyük çoğunluğunda otomatik ödeme işlemleri için de bloke edilebiliyor. KUNO polis tarafından engellendi, bu nedenle Girocard sahiplerinin kayıp durumunda polis karakoluna gitmesi kesinlikle mantıklı.
Peki ya kilitleme sisteminin kendisi güvenli değilse? Geçen yıl, Berlin güvenlik danışmanı Tim Philipp Schäfers web sitesindeki KUNO sistemini BT güvenlik açıklarına karşı kontrol etti. Cumartesi öğleden sonra 37. Kaos İletişim Kongresi’nde (37C3) yaptığı konuşmada, özellikle KUNO portalının web altyapısında daha yakından incelendiğinde ne gibi sorunlar bulduğunu anlattı.
Sonsuz tahmine izin verilir
Etkilenenler için self-servis alanındaki diğer sorunların yanı sıra, kötülük yapanlar için de fırsatlarla karşılaştı. Erişim yalnızca iki özellik gerektirir: Her kartın üzerinde yazılı olan IBAN ve beş haneli blokaj onay numarası. Ancak burada tahmin girişimlerinin sınırı yoktu; engelleme onay numarasını bulmak için kolayca otomatikleştirilmiş bir saldırı vektörü.
Self servis alanında, tamamen doğru bir şekilde bloke edilen kartların blokesini kaldırmak mümkün oldu. Kart dolandırıcıları, nispeten az bir çabayla, etkilenenlerin kartlarıyla elektronik otomatik ödeme (ELV) işlemine devam etmek için meşru blokajları tersine çevirebilirdi. Hamburg’daki güvenlik araştırmacısı Schäfers, bu güvenlik açıklarının istismar edilip edilmediğini belirtmedi.
KUNO sistemi, EuroHandelsinstitut’tan doğan Köln’deki EHI Perakende Enstitüsü tarafından destekleniyor ve perakendecilere yardımcı olması amaçlanan çözümleri sürekli olarak geliştiriyor. Schäfers, güvenlik açısından kritik yorumlarını ele almasından dolayı enstitüyü açıkça övdü; örneğin, bir ücret sınırı getirildi, yani self-servis sorgulara bir sınır getirildi. Güvenlik araştırmacısı bulgularını bu amaç için özel olarak tasarlanmış bir web sitesinde yayınlar.
(tiw)
Haberin Sonu
Reklamcılık
Örneğin, düşük maliyetleri nedeniyle perakendeciler arasında hâlâ popüler olan imzalı elektronik otomatik ödeme prosedürü bloke edilmiyor; yalnızca perakendeciler için daha pahalı olan PIN tabanlı ödeme çeşidi engelleniyor. Otomatik ödemenin mümkün olmadığından emin olmak için ikinci bir sistemde bloke edilmesi gerekir: KUNO. Bunun açılımı “Polis dışı organizasyon yapılarını kullanarak nakit dışı ödeme işlemlerinde suçla mücadele etmek” anlamına geliyor. Alman kredi kuruluşları tarafından verilen Giro kartları, perakende satış noktalarının büyük çoğunluğunda otomatik ödeme işlemleri için de bloke edilebiliyor. KUNO polis tarafından engellendi, bu nedenle Girocard sahiplerinin kayıp durumunda polis karakoluna gitmesi kesinlikle mantıklı.
Peki ya kilitleme sisteminin kendisi güvenli değilse? Geçen yıl, Berlin güvenlik danışmanı Tim Philipp Schäfers web sitesindeki KUNO sistemini BT güvenlik açıklarına karşı kontrol etti. Cumartesi öğleden sonra 37. Kaos İletişim Kongresi’nde (37C3) yaptığı konuşmada, özellikle KUNO portalının web altyapısında daha yakından incelendiğinde ne gibi sorunlar bulduğunu anlattı.
Sonsuz tahmine izin verilir
Etkilenenler için self-servis alanındaki diğer sorunların yanı sıra, kötülük yapanlar için de fırsatlarla karşılaştı. Erişim yalnızca iki özellik gerektirir: Her kartın üzerinde yazılı olan IBAN ve beş haneli blokaj onay numarası. Ancak burada tahmin girişimlerinin sınırı yoktu; engelleme onay numarasını bulmak için kolayca otomatikleştirilmiş bir saldırı vektörü.
Self servis alanında, tamamen doğru bir şekilde bloke edilen kartların blokesini kaldırmak mümkün oldu. Kart dolandırıcıları, nispeten az bir çabayla, etkilenenlerin kartlarıyla elektronik otomatik ödeme (ELV) işlemine devam etmek için meşru blokajları tersine çevirebilirdi. Hamburg’daki güvenlik araştırmacısı Schäfers, bu güvenlik açıklarının istismar edilip edilmediğini belirtmedi.
KUNO sistemi, EuroHandelsinstitut’tan doğan Köln’deki EHI Perakende Enstitüsü tarafından destekleniyor ve perakendecilere yardımcı olması amaçlanan çözümleri sürekli olarak geliştiriyor. Schäfers, güvenlik açısından kritik yorumlarını ele almasından dolayı enstitüyü açıkça övdü; örneğin, bir ücret sınırı getirildi, yani self-servis sorgulara bir sınır getirildi. Güvenlik araştırmacısı bulgularını bu amaç için özel olarak tasarlanmış bir web sitesinde yayınlar.
(tiw)
Haberin Sonu