news center

自动取款机易受黑客攻击

自动取款机易受黑客攻击

作者:督娇  时间:2019-01-26 04:13:01  人气:

作者:Duncan Graham-Rowe剑桥的计算机科学家表示,由于银行的计算机系统存在缺陷,腐败的银行员工可以在15次尝试中猜出你的密码在剑桥大学的Mike Bond和Piotr Zielinski在线技术报告中公布他们的发现,描述了用于验证ATM取款机交易中PIN码的计算机硬件系统的弱点他们说,它可以用来为小偷每天产生数百万英镑这四位数通常需要平均5000次尝试才能正确猜测在实践中,这不是一个选项,因为ATM中的软件只允许您在锁定之前进行三次错误尝试然而,这种“锁定”仅适用于ATM交易,而不适用于银行员工在内部进行的尝试这意味着腐败的员工可以使用非常简单的程序来执行暴力攻击,不断猜测每个可能的PIN码,直到它得到正确的PIN码邦德说,使用这种技术,有人可以在30分钟的午休时间内轻松获得24个密码然后,雇员可以出售这些信息,或者使用高街上可用的设备制作假卡,这些设备的成本为几百英镑邦德说,由于个人卡的支出限制,这种技巧每天只会产生数十万英镑但邦德和齐林斯基发现的另一种更复杂的技术,可以在30分钟内收获7000个PIN,并将潜在的战利品提升到数百万英镑与普遍看法相反,PIN号码不存储在数据库中,而是作为客户帐号的数学函数存在为了确保客户以外的任何人都不知道该PIN,生成它的数学函数存储在称为硬件安全模块(HSM)的防篡改独立计算机中当执行ATM交易时,PIN被发送到HSM以进行验证由于HSM以十六进制形式生成PIN,因此每个查询都必须包含一个查找表,以将十六进制PIN转换为更熟悉的十进制数进行比较但是因为系统允许您继续尝试不同的查找表,您可以继续修改它以收集有关哪些数字是PIN的线索然后,这只是一个重新jigging它们的问题,直到它们按正确的顺序邦德说,平均而言,这需要15次尝试总部位于伦敦的软件公司Caplin Systems的亚当霍利说,这确实是一个弱点,他曾经曾经设计过这样的银行软件 “这将是一个问题,”他说 “但你仍然需要有相对较高的访问权限才能到达那里”也许,邦德说,但这种弱点引发了严重的责任问题,因为账户中的钱确实丢失了 “除了知道密码的客户外,整个系统都不依赖于任何人,”他说如果钱丢失,银行倾向于认为客户有过错,