Blog

Tutte le banche ci hanno più o meno gentilmente sostituito il bancomat vecchio e malandato che aveva solo la banda magnetica con quello nuovo e raggiante con il microchip.

Il motivo addotto dalle banche è che la carta col microchip è più sicura del vecchio bancomat con la banda magnetica

Questa rappresenta l'ennesima bufala raccontata dalle banche i propri clienti e spiego il perchè.

  1. L'utilizzo della banda magnetica del vostro bancomat o del chip dipende essenzialmente dal software dell'ATM o del POS che può preferire il microchip ma accettare anche la banda magnetica. A chi non è successo di veder strisciare sul pos il nuovo bancomat come con il vecchio?
  2. I bancomat o le carte di credito con microchip hanno ancora la banda magnetica, banda che che la banca continua ad utilizzare inserendovi il il PAN della carta e altri dati come era  sul vostro vecchio bancomat.

Queste scelte garantiscono alla bancai che, anche nel caso in cui il microchip non fosse utilizzabile, (problemii dei lettori pos, microchip schiacciato etc.. ) l'utente possa utilizzare comunque lo strumento di pagamento che ha in mano; e lo può fare dal momento che sulla banda magnetica ci sono tutti i dati necessari per poter effettuare una transazione

Sarà possibile clonare un bancomat di nuova generazione  almeno fino a quando:
- le banche non smetteranno di utilizzare la banda magnetica
- i software di pos e atm non accetteranno transazioni con banda magnetica

Se l'esame forense di un pc può fornire molte informazioni, l'esame di un cellulare rischia di darcene molte di più.

Mediante indagini di tipo Mobile Forensics è possibile infatti  conoscere e documentare:

- Le telefonate in ingresso e uscita,la loro durata, le chiamate non risposte o gli squlli tipici degli stalker (gli operatori telefonici non registrano le telfontae non risposte o i semplici squlli tipici dello stalker)

- Tabulati degli sms e mms
- Contenuto degli sms e mms anche cancellati (gli operatori non hanno il contenuto degli sms/mms)
- Cronologia della navigazione web
- Malware che hanno agito sul telefono
- Registrazioni di conversazioni telefoniche
- Foto e video, e quando il telefono rispone di un sistma gps anche le coordinate del luogo dove è stata scattata la foto e i riferimenti temporali
- Percorsi seguiti con navigatori satellitari installati in un celluare,  con relativi riferimenti temporali

 

 Non è forse il vostro telefono il più affidabile testimone di ciò che avete fatto? sicuramente ricorda avvenimenti che voi non ricordavate

Molti di noi utilizzano il token otp per generare il codice di accesso per il proprio homebanking, pochi immaginano la presenza di menù e infomazioni varie. Proviamo a dare uno sguardo più approfondito al nostro token, per praticità utilizzerò quello che mi fornisce la mia banca, un modello Vasco Digipass and Go, brandizzato dalla banca.
Premendo il pulsante presente sul token si genera il codice di accesso per l'homebanking, se teniamo premuto il pulsante dopo qualche secondo compare un menù con 3 voci
SECONDS
BATTERY
ID


In corrispondenza di ognuna di queste  si pussono vedere i seguenti dati:

SECONDS->SEC FT xxxxxxxxxx (numero di 10 cifre che cambia nella sola parte finale)

BATTERY-> xx (numero di due cifre; fra una prova e l’altra rimane costante)
ID ->dp xxxxxxxxxx (numero di 10 cifre che rimane costante)

Presumibilmente i dati sono riconducibili ai seguenti

SECONDS->SEC FT xxxxxxxxxx Potrebbe trattarsi del clock del dispositivo , la sigla fa pensare a Seconds Floating Time
BATTERY-> xx  questa è certamente il livello di carica della batteria incorporata
ID ->dp xxxxxxxxxx questa è l’ID della chiave di tratta di un modello nel caso in esame, digipass, identificato dalla sigla dp, e il numero di 10 cifre è il seriale.

Ora indipendentemente dal modello di otp time o event based  quello che desta la mia attenzione e, da esperto di sicurezza, la mia preoccupazione è il fatto che questi dati (sec ft xxxxxxxxxx e dp xxxxxxxxxx )a cui tutti possono avere accesso, siano utilizzati per la generazione della sequenza token. Se questi dati rappresentassero un input per la generazione della sequenza otp si potrebbe interpolando un gran numero di rilevazioni approssimare l’algoritmo di generazione dei token e "indovinare" le password generabili da un token.

Un'altro aspetto estremamente interessante è nascosto nella parte posteriore del token dove sotto l'etichetta sono presenti 6 fori di cui non comprendo l’utilità. Infatti se fossero per evitare l'accumuolo di umidità sul circuito non dovrebbero essere tappati dall'etichetta; mi viene quindi da pensare che  possano essere una porta di accesso al circuito stampato della chiave.
Non provate ad aprire il vostro token perchè si autodistruggerà e non potrete più usarlo per l'accesso all'homebanking tantomeno per fare le vostre indagini. Non so se i token sono protetti come le smartcard da scansioni a raggi x che ne rilevino la struttura; magari in una prossima puntata trovando un'apparecchiatura adeguata faccio questa verifica.