Uniwersytet Cambridge nie poddał się naciskom bankowców

Tu obok, pod tekstem Autor wykrecnumer.pl postanowił dobrowolnie poddać się karze..., zastanawiamy się, jak wiarygodne mogą być bilingi i inne informacje zbierane przez przedsiębiorstwa telekomunikacyjne. Dodać do tego można chyba informacje o publikacji badacza z Cambridge, który podważa bezpieczeństwo (wiarygodność) zabezpieczeń kart chipowych zabezpieczanych PIN-em. Ponoć bankowcy chcieli zablokować publikację wyników badań, z których wynika, że PIN można "ominąć".

O tych badaniach oraz o próbie wpłynięcia na publikację wyników, można przeczytać w tekście Wyborczej: Kod PIN nie zawsze chroni przed oszustami. Bliższe informacje źródłowe przynosi publikacja w Cambridge News: Banks’ attempt to ‘censor’ thesis. Badaczem (doktorantem), o którego chodzi, jest Omar Choudary. Władze uczelni nie poddały się naciskom The UK Cards Association i pracę opublikowano. Praca jest dostępna w internecie: The Smart Card Detective: a hand-held EMV interceptor (PDF).

Do oszukania systemu wystarczyło niewielkie urządzenie (które można schować w rękawie, a którego koszt wyprodukowania oceniono na 20 funtów). Dzięki niemu wkładając kartę do czytnika w sklepie można "autoryzować" transakcje nie znając prawidłowego kodu PIN. Sposób działania tego urządzenia został opisany w pracy doktoranta.

Bankowcy uznali, że publikacja tak wielu szczegółów dotyczących możliwości "oszukania" systemu wpłynie na zaufanie do niego. Sam list bankowców również jest dostępny online (PDF).

Naukowcy pracujący w uczelni uznali, że działania środowiska bankowego były próbą cenzurowania nauki. Bankowcom odpowiedział (PDF) prof. Ross Anderson:

(...)
Second, you seem to think that we might censor a student’s thesis, which is lawful and already in the public domain, simply because a powerful interest finds it inconvenient. This shows a deep misconception of what universities are and how we work. Cambridge is the University of Erasmus, of Newton, and of Darwin; censoring writings that offend the powerful is offensive to our deepest values. Thus even though the decision to put the thesis online was Omar’s, we have no choice but to back him. That would hold even if we did not agree with the material! Accordingly I have authorised the thesis to be issued as a Computer Laboratory Technical Report. This will make it easier for people to find and to cite, and will ensure that its presence on our web site is permanent.

O zamieszaniu związanym z pracą Omara Choudary przeczytaj również w następujących tekstach:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Wyjasnic mozna jako

Wyjasnic mozna jako ciekawostke, ze wymieniona w artykule praca dyplomowa jest na stopien Master of Philosophy (M.Phil.), ktory nie ma u nas odpowiednika. Jest to podyplomowy stopien pomiedzy MSc (mgr) a PhD (dr), na ktory trzeba sobie zapracowac studiujac i prowadzac badania naukowe zazwyczaj przez 2 lata, a jako, ze w 3 lata mozna zrobic PhD, wiec najczesciej wiekszosc osob wybiera stduia doktoranckie (PhD), ale jesli z jakis powodow nie uda sie zebrac materialu na PhD wowczas mozna "zdegradowac" sie i zamiast tego zlozyc prace na MPhil, czesto (np. z powodow finansowych) jest tez tak, ze najpierw wybiera sie studiowanie na stopien Mphil, a pozniej, po jakims czasie mozna sie przerejstrowac na studiowanie na PhD i czas (badania) jakie pierwotnie poswiecono na studiowanie na stopien Mphil bedzie wliczony do pracy doktorskiej (PhD).

Akurat jednak o Camrbridge wikipedia podaje: http://en.wikipedia.org/wiki/Master_of_Philosophy
ze uczelnia ta ma programy studiow Mphil w ktorych nawet w 9-12 miesiecy mozna otrzymac ten stopien.

Na stronie w/w profesora

Na stronie w/w profesora mozna zobaczyc inny ciekawy temat -plan zastapienia 47 milionow licznikow gazu i elektrycznosci na takie, ktore mozna zdalnie wylaczyc:

"Who controls the off switch? describes the strategic vulnerability created by the plan to replace 47m gas and electricity meters with ‘smart meters’ that can be switched off remotely. On the security economics of electricity metering looks more broadly at what's likely to go wrong with smart metering projects; it appeared at WEIS 2010 (coverage on CNET and Ecoseed). Finally, Key Management for Substations: Symmetric Keys, Public Keys or No Keys? debunks the proposal to mandate public-key crypto in electricity substations."
http://www.cl.cam.ac.uk/~rja14/

Ciekawe jak by to (test tej

Ciekawe jak by to (test tej metody w sklepie) wygladalo z punktu widzenia naszego prawa:

Fifth, you say ‘Concern was expressed to us by the police that the student was allowed to falsify a transaction in a shop in Cambridge without first warning the merchant’. I fail to understand the basis for this. The banks in France had claimed (as you did) that their systems were secure; a French TV programme wished to discredit this claim (as Newsnight discredited yours); and I understand that Omar did a No-PIN transaction on the card of a French journalist with the journalist’s consent and on camera.
At no time was there any intent to commit fraud; the journalist’s account was debited in due course in accordance with his mandate and the merchant was paid. It is perfectly clear that no transaction was falsified in any material sense. I would not consider such an experiment to require a reference to our ethics committee. By that time the Newsnight programme had appeared and the No-PIN attack was entirely in the public domain. The French television programme was clearly in the public interest, as it made it more difficult for banks in France to defraud their customers by claiming that their systems were secure when they were not.

Ten komentarz uscisla pare

Ten komentarz uscisla pare rzeczy w jezyku polskim:

http://forum.gazeta.pl/forum/w,30,120331560,120356738,Kolejny_skretynialy_pismak_i_nie_lepsze_forum_.html

aczkolwiek podaje niescisla date i tworcow odkrycia luki, bo z wymienionego w artykule listu w/w profesora wynika, ze on wraz z dwoma wspolautorami odkryli, opisali i opublikowali te luke juz w 2009 r.

Trochę informacji

Trochę informacji technicznych tutaj: Karty kredytowe z chipem podatne na atak.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>