Cambridge University Hack…
Det var just en snygg lösning på hur man kan använda någons kort utan pinkoden. Det värsta var ju att de kunde bevisa att det fungerade i praktiken, detta ställer nya frågor runt hur man använder tekniken för att läsa information ut smarta kort. För det är fortfarande så att själva kortet är säker och är det nedlåst så kan du bara få svar från det. Men med denna teknik så kan man själv hantera en attack form som kallas ”Man in the middle”, det innebär att man kan gå förbi säkerhets protokoll som skall säkerställa att kommunikationen mellan kort och transaktions system är pålitlig och information är korrekt.
Om man nu skall lyssna lite på sin paranoia (vilket jag gör) så kan man applicera detta även på E-legitimation som är sparat på kort och då ställer man sig frågan om hur långt kan man gå? För E-legitimation på kort funkar precis på samma sätt oberoende om man har sex siffror eller mera eller om man kör lösenordsfraser. Som exempel skulle jag kunna ta någon inloggnings kort och med hjälp av Cambridges hårdvara, få tillgång till t.ex. en bank, myndighets eller varför inte Militär och Polis hemliga data. Det bästa av allt är att jag automatiskt får en målvakt som får ta smällen för han eller hon behöver inte ens veta att de har blivit av med kortet, efter som jag kan ha lånat det under en rast eller lunch.
Som sagt det är inte bara banktransaktioner som ligger löst till i detta problem med smartkort, utan hela möjligheten att verifiera vem som gör vad i våra digitala system. Det känns inte som om att man skall göra om grunden som utgörs av kortet, utan se till att kommunikationen säkerställs hela vägen ner till kortet så att man inte kan manipulera data på vägen. men vi skall inte måla fan på väggen och sluta med smartkort, för trotts allt är de extremt mycket säkrare än vad magnetkort och RFID är.
Jag tror att man löser detta, det är bara frågan om hur lång tid det tar och hur man hanterar dem som råkar illa ut. Det kanske också är så att vi måste byta ut den hemliga delen hos användaren och inte förlita oss på att en fyrställig sifferkod är tillräkligt…
Länk till en bra förklaring över hur detta fungerar: http://www.engadget.com/2010/02/15/cambridge-university-finds-credit-card-security-flaw-uses-the-m/
