terça-feira, outubro 14, 2008

Verde, código, vai-se...

Alguns leitores de cartões de crédito e débito fabricados na China vêm com um brinde. Uma placa de rede wireless que se liga periodicamente a servidores no Paquistão e deposita lá a informação dos PIN e números de cartão usados naquele leitor. Pelas centenas de leitores alterados que já foram encontrados no Reino Unido, Irlanda, Holanda, Bélgica e Dinamarca, estima-se que o negócio já tenha rendido entre cinquenta a cem milhões de dólares.

A coisa está bem feita. Os leitores provavelmente são alterados na fábrica ou logo após a produção e a alteração não é visível sem os abrir. A única diferença é que são cerca de 100g mais pesados que os leitores sem brinde. Também têm uma programação sofisticada. Cada vez que depositam a informação nos servidores paquistaneses podem receber instruções acerca dos tipos de cartão a interceptar e a frequência com que armazenam e enviam os dados. Isto permite ir alterando o comportamento dos leitores para dificultar a sua detecção.

Infelizmente, as notícias não explicam como os aparelhos se ligam ao Paquistão. Se for pela rede móvel têm que ter SIM registados com alguma operadora e pagos por alguém. Se for pela rede dos pagamentos algo está muito errado com a segurança do sistema. Seja como for, o ataque apenas é possível porque a comunicação entre o leitor e o cartão não é cifrada. Ou seja, porque o sistema está mal feito de raiz.

Mais detalhes no Telegraph (e aqui) e no Wall Street Journal. Via Schneier on Security.

Editado a 15-10 para tirei o plural ao acrónimo SIM. Hoje deu-me para ser contra o plural nos acrónimos.

10 comentários:

  1. antónio parente14/10/08, 23:19

    Este artigo é serviço público. Obrigado, Ludwig.

    ResponderEliminar
  2. António Parente:


    Olhe que os outros artigos também são serviço público

    ResponderEliminar
  3. "Editado a 15-10 para tirei o plural ao acrónimo SIM. Hoje deu-me para ser contra o plural nos acrónimos."

    Ludi,

    Que mau feitio, coitadinhos dos acrónimos!

    Bom relativamente ao post, o meu cartão não vale muito a pena copiarem, está estoiradinho sempre :)

    beijos

    ResponderEliminar
  4. António,
    sim, são, mas mais do departamento «higiene mental» :-)

    Ludi,
    pois, a julgar pelo acumular de notícias do género (na Alemanha os dados dos utentes do serviço de telemóvel da Deutsche Telekom estavam tão bem seguros, que foram roubals 30 milhões, inlcuindo contas bancárias/ na Grã-Bretanha voltaram a "perder-se" os dados de não sei quantos soldados, etc) ficamos sem saber o que fazer para nos protegermos da incompetência de muitos e da energia criminosa de alguns. Todas as sugestões serão bem-vindas.
    Cristy

    ResponderEliminar
  5. António,

    Nem por coincidencia no nome, poderia estar mais de acordo consigo.

    Ludwig,

    No caso destas cópias, suponho que o "copyright" não adiantasse. Parece que no Paquistão estão de acordo com a tua visão da facilidade de cópia digital.

    Cristy,

    Nesses casos o problema é pior. Estamos a falar do roubo de bases de dados. Para isto acontecer, é necessário quebrar mais do que um nivel de segurança, o que torna o caso ainda mais grave.

    ResponderEliminar
  6. Cristy,

    «ficamos sem saber o que fazer para nos protegermos da incompetência de muitos e da energia criminosa de alguns. Todas as sugestões serão bem-vindas.»

    Quanto às bases de dados com informação confidencial, o que temos que fazer é limitar a recolha e compilação desses dados. Muitos são recolhidos só porque os podem recolher.

    Por exemplo, agora quando faço login no ZON da netcabo para ver os emails por net ou assim há uma mensagem que me diz para actualizar os meus dados. Esses dados incluem data de nascimento, habilitações literárias e situação profissional, coisas que a netcabo não precisa de saber para nada. Escusado será dizer, bem podem esperar sentados que eu "actualize" os meus dados. Mas há gente que o fará, e devia ser proibida a recolha de informação que não fosse estritamente necessária ao contracto que a netcabo celebra com os clientes.

    ResponderEliminar
  7. António,

    «No caso destas cópias, suponho que o "copyright" não adiantasse. Parece que no Paquistão estão de acordo com a tua visão da facilidade de cópia digital.»

    A facilidade de copiar informação digital não é uma visão minha. É um facto. Copiar bits é trivial.

    Quanto ao copyright, não tem nada a ver. Se eu escrever um número num papel, guardá-lo cá em casa e não quiser que o vejam estou no meu direito. Deve ser ilegal entrar cá em casa e revistar-me as gavetas para bisbilhotar.

    Mas isso não me faz dono desse número. Essa é a diferença fundamental. Se eu decidir publicar esse número não há razão nenhuma para que depois possa exigir que uns têm acesso a ele mas outros não. O número é, e sempre foi, de todos.

    E neste caso particular o que eles estão a roubar não é o número. É o dinheiro.

    ResponderEliminar
  8. Ludwig,

    Não sei porquê essa diferença entre o dinheiro da tua conta que sai de lá, mas, que o banco acaba por assumir, dado ser responsável pelo erro, e o dinheiro do autor e restantes contribuites da obra, que não chega a entrar, mas, que ninguém assume?

    ResponderEliminar
  9. António,

    É a diferença entre o meu direito de usar o meu dinheiro como quiser ou obrigar-te a ti a pagar-me por algo que obtiveste de outra pessoa.

    Em termos mais concretos, eu tirar-te cinco euros do bolso é roubar. Eu copiar um CD que o meu irmão comprou e não te pagar cinco euros não é roubar. Não te estou a tirar nada.

    ResponderEliminar
  10. António,

    Isto é uma coisa que já falei várias vezes. Tu tens direito ao que é teu (por definição). Se o dinheiro é teu, não to devo tirar. Se gravaste uma música e a guardas não é legitimo ir a tua casa copiá-la e publicá-la, etc.

    Mas tu só tens o direito de exigir remuneração a quem ta prometeu num acordo mútuo e voluntário. Se me queres vender um CD e eu prometo pagar-te tenho a obrigação de cumprir o que prometi. Mas o meu irmão não tem nada a ver com isso, e se ele copiar o CD que eu te comprei não te deve nada. Nem te tira algo teu nem falta a um compromisso voluntário de te pagar por alguma coisa.

    ResponderEliminar

Se quiser filtrar algum ou alguns comentadores consulte este post.