terça-feira, outubro 14, 2008

Verde, código, vai-se...

Alguns leitores de cartões de crédito e débito fabricados na China vêm com um brinde. Uma placa de rede wireless que se liga periodicamente a servidores no Paquistão e deposita lá a informação dos PIN e números de cartão usados naquele leitor. Pelas centenas de leitores alterados que já foram encontrados no Reino Unido, Irlanda, Holanda, Bélgica e Dinamarca, estima-se que o negócio já tenha rendido entre cinquenta a cem milhões de dólares.

A coisa está bem feita. Os leitores provavelmente são alterados na fábrica ou logo após a produção e a alteração não é visível sem os abrir. A única diferença é que são cerca de 100g mais pesados que os leitores sem brinde. Também têm uma programação sofisticada. Cada vez que depositam a informação nos servidores paquistaneses podem receber instruções acerca dos tipos de cartão a interceptar e a frequência com que armazenam e enviam os dados. Isto permite ir alterando o comportamento dos leitores para dificultar a sua detecção.

Infelizmente, as notícias não explicam como os aparelhos se ligam ao Paquistão. Se for pela rede móvel têm que ter SIM registados com alguma operadora e pagos por alguém. Se for pela rede dos pagamentos algo está muito errado com a segurança do sistema. Seja como for, o ataque apenas é possível porque a comunicação entre o leitor e o cartão não é cifrada. Ou seja, porque o sistema está mal feito de raiz.

Mais detalhes no Telegraph (e aqui) e no Wall Street Journal. Via Schneier on Security.

Editado a 15-10 para tirei o plural ao acrónimo SIM. Hoje deu-me para ser contra o plural nos acrónimos.

11 comentários:

  1. Este artigo é serviço público. Obrigado, Ludwig.

    ResponderEliminar
  2. António Parente:


    Olhe que os outros artigos também são serviço público

    ResponderEliminar
  3. "Editado a 15-10 para tirei o plural ao acrónimo SIM. Hoje deu-me para ser contra o plural nos acrónimos."

    Ludi,

    Que mau feitio, coitadinhos dos acrónimos!

    Bom relativamente ao post, o meu cartão não vale muito a pena copiarem, está estoiradinho sempre :)

    beijos

    ResponderEliminar
  4. António,
    sim, são, mas mais do departamento «higiene mental» :-)

    Ludi,
    pois, a julgar pelo acumular de notícias do género (na Alemanha os dados dos utentes do serviço de telemóvel da Deutsche Telekom estavam tão bem seguros, que foram roubals 30 milhões, inlcuindo contas bancárias/ na Grã-Bretanha voltaram a "perder-se" os dados de não sei quantos soldados, etc) ficamos sem saber o que fazer para nos protegermos da incompetência de muitos e da energia criminosa de alguns. Todas as sugestões serão bem-vindas.
    Cristy

    ResponderEliminar
  5. António,

    Nem por coincidencia no nome, poderia estar mais de acordo consigo.

    Ludwig,

    No caso destas cópias, suponho que o "copyright" não adiantasse. Parece que no Paquistão estão de acordo com a tua visão da facilidade de cópia digital.

    Cristy,

    Nesses casos o problema é pior. Estamos a falar do roubo de bases de dados. Para isto acontecer, é necessário quebrar mais do que um nivel de segurança, o que torna o caso ainda mais grave.

    ResponderEliminar
  6. Cristy,

    «ficamos sem saber o que fazer para nos protegermos da incompetência de muitos e da energia criminosa de alguns. Todas as sugestões serão bem-vindas.»

    Quanto às bases de dados com informação confidencial, o que temos que fazer é limitar a recolha e compilação desses dados. Muitos são recolhidos só porque os podem recolher.

    Por exemplo, agora quando faço login no ZON da netcabo para ver os emails por net ou assim há uma mensagem que me diz para actualizar os meus dados. Esses dados incluem data de nascimento, habilitações literárias e situação profissional, coisas que a netcabo não precisa de saber para nada. Escusado será dizer, bem podem esperar sentados que eu "actualize" os meus dados. Mas há gente que o fará, e devia ser proibida a recolha de informação que não fosse estritamente necessária ao contracto que a netcabo celebra com os clientes.

    ResponderEliminar
  7. António,

    «No caso destas cópias, suponho que o "copyright" não adiantasse. Parece que no Paquistão estão de acordo com a tua visão da facilidade de cópia digital.»

    A facilidade de copiar informação digital não é uma visão minha. É um facto. Copiar bits é trivial.

    Quanto ao copyright, não tem nada a ver. Se eu escrever um número num papel, guardá-lo cá em casa e não quiser que o vejam estou no meu direito. Deve ser ilegal entrar cá em casa e revistar-me as gavetas para bisbilhotar.

    Mas isso não me faz dono desse número. Essa é a diferença fundamental. Se eu decidir publicar esse número não há razão nenhuma para que depois possa exigir que uns têm acesso a ele mas outros não. O número é, e sempre foi, de todos.

    E neste caso particular o que eles estão a roubar não é o número. É o dinheiro.

    ResponderEliminar
  8. Ludwig,

    Não sei porquê essa diferença entre o dinheiro da tua conta que sai de lá, mas, que o banco acaba por assumir, dado ser responsável pelo erro, e o dinheiro do autor e restantes contribuites da obra, que não chega a entrar, mas, que ninguém assume?

    ResponderEliminar
  9. António,

    É a diferença entre o meu direito de usar o meu dinheiro como quiser ou obrigar-te a ti a pagar-me por algo que obtiveste de outra pessoa.

    Em termos mais concretos, eu tirar-te cinco euros do bolso é roubar. Eu copiar um CD que o meu irmão comprou e não te pagar cinco euros não é roubar. Não te estou a tirar nada.

    ResponderEliminar
  10. António,

    Isto é uma coisa que já falei várias vezes. Tu tens direito ao que é teu (por definição). Se o dinheiro é teu, não to devo tirar. Se gravaste uma música e a guardas não é legitimo ir a tua casa copiá-la e publicá-la, etc.

    Mas tu só tens o direito de exigir remuneração a quem ta prometeu num acordo mútuo e voluntário. Se me queres vender um CD e eu prometo pagar-te tenho a obrigação de cumprir o que prometi. Mas o meu irmão não tem nada a ver com isso, e se ele copiar o CD que eu te comprei não te deve nada. Nem te tira algo teu nem falta a um compromisso voluntário de te pagar por alguma coisa.

    ResponderEliminar
  11. Eu estou aqui para testar como meu vírus Herpes foi curado por DR LEWIS.

    Sou Catherine Peterliu, do Texas, EUA. Eu estive em um relacionamento com um cara e fizemos sexo desprotegido pela primeira vez e em um dia eu tive um grande galo na dobra da minha coxa e vagina. depois de alguns dias, começou a doer mais e mais. Eu disse a ele para tirar uma foto para mim, e parecia feridas abertas, como insetos estavam mordendo minha pele ou algo assim. Então eu fui ao pronto-socorro e eles disseram herpes genital. Eu estava muuuuito deprimido. meu namorado e eu chorei. ele chorou por mim, mas ele não tinha ideia de que ele também tinha. no dia seguinte, a mesma coisa acontece com ele. Nesse ponto, achamos que dei a ele porque fui o primeiro a mostrar os sintomas. A próxima fase que passei foi depressão. Neste ponto, tudo que fiz foi dormir e chorar. Eu senti como se minha vida tivesse acabado. Eu sabia que nunca poderia me casar, me sentia sujo e inútil. Eu estava deprimido por cerca de dois meses. Eu lutei pensamentos de suicídio e foi um incômodo para realizar minhas tarefas diárias. Então eu comecei a me perguntar se haveria um remédio para essa doença, o que me levou a visitar muitos hospitais, e nada de bom saiu disso, até que eu li o testemunho online de uma pessoa que dizia que eles foram curados com a ajuda de Dr. LEWIS Feitiço, desta doença que o mundo considera incurável e lágrimas rolaram pelo meu rosto. Esse testemunho de pessoas despertou em mim uma esperança que me levou a entrar em contato com o Dr. Lewis. Então ele nos assegurou que nós vamos ficar bem, depois de nos reunirmos com os requerimentos necessários, ele nos mandou um pacote e nos deu um guia de instruções sobre como usá-lo, o que fizemos, depois de 7 dias usando o remédio, o herpes. estava totalmente curado. Então eu e meu namorado fomos e fizemos o teste para cada DST no livro e cada teste retornou NEGATIVO, também voltamos para o hospital, e foi confirmado NEGATIVO. Estou postando meu testemunho para ajudar alguém que está sofrendo dessa doença. Não hesite em entrar em contato com o Dr. LEWIS via e-mail: Lewis7temple@gmail.com ou ligue para ele em +2347067468416
    ELE TAMBÉM TEM CURA À SEGUINTE DOENÇA:
    HPV
    HERPES GENITAL
    TRICOMONOSE
    CLAMÍDIA
    HIV
    GONORRÉIA
    HBV
    SÍFILIS
    CÂNCER
    ALARGAMENTO DO PÊNIS
    BOOBS ALARGAMENTO.

    ResponderEliminar

Se quiser filtrar algum ou alguns comentadores consulte este post.