PIN-y wysokiego ryzyka

Nieuczciwy pracownik banku może odgadnąć numer PIN dla karty bankomatowej po zaledwie 15 próbach – informują naukowcy z Uniwersytetu Cambridge.

Numery PIN, chroniące dostęp do zasobów konta bankowego, składają się z czterech cyfr. Aby je odgadnąć, potrzeba średnio 5 tys. prób. Biorąc pod uwagę, że bankomaty pozwalają z reguły tylko na 3 błędne próby, a później blokują kartę, rozwiązanie wydaje się bezpieczne. Jednak dwaj doktoranci z Cambridge: Mike Bond i Piotr Zieliński (absolwent Politechniki Poznańskiej) przygotowali raport demaskujący słabość bankowych systemów komputerowych. Okazuje się, że pracownicy banku mogą zdobyć cudzy numer PIN w stosunkowo łatwy sposób, ponieważ wewnętrzne transakcje nie mają ograniczenia dotyczącego liczby prób wyboru kodu.

Z tego powodu przy użyciu prostych programów komputerowych pracownik banku może metodą siłową testować wszystkie możliwe kombinacje liczbowe. Z testów przeprowadzonych przez Mike’a Bonda wynika, że w ten sposób w ciągu 30-minutowej przerwy na lunch, można uzyskać 24 numery PIN. Jednak nowa technika, którą Bond odkrył razem z Polakiem – Piotrem Zielińskim – pozwala uzyskać w ciągu pół godziny niebagatelną liczbę 7 tys. PIN-ów.

Wbrew obiegowym opiniom, numery PIN nie znajdują się w bazach danych, lecz za pomocą funkcji matematycznej są wyliczane z numeru konta. Wzór funkcji jest przechowywany w komputerze nazywanym sprzętowym modułem bezpieczeństwa (hardware security module – HSM). Podczas transakcji, PIN każdorazowo jest przesyłany do HSM w celu weryfikacji. Do każdego takiego zapytania dołączana jest tabela, na podstawie której operujący na zapisie dziesiętnym bankomat „tłumaczy” dane z zapisu szesnastkowego. Pracownik banku może dowolną ilość razy modyfikować taką tabelę i na tej podstawie ustalić, które z ciągu liczb należą do kodu PIN. Jedyna trudność, jaką później musi obejść nieuczciwy pracownik banku, to ustawienie liczb we właściwej kolejności. A to zajmuje przeciętnie 15 prób.

Oczywiście, aby wykonać takie operacje, osoba zatrudniona w banku musi posiadać dość wysoki poziom uprawnień. Jednak eksperci są zgodni – doktoranci z Cambridge odkryli poważną lukę w bezpieczeństwie systemu bankowego. I to lukę bardzo „nieprzyjemną” dla klientów. System bankowy opiera się na założeniu, że osoba która zna PIN, jest właścicielem konta. Jeśli PIN wpadnie w niepowołane ręce, trudno udowodnić bankowi że wina leży po jego stronie i domagać się zwrotu pieniędzy.