Uniwersytet Cambridge nie poddał się naciskom bankowców
Tu obok, pod tekstem Autor wykrecnumer.pl postanowił dobrowolnie poddać się karze..., zastanawiamy się, jak wiarygodne mogą być bilingi i inne informacje zbierane przez przedsiębiorstwa telekomunikacyjne. Dodać do tego można chyba informacje o publikacji badacza z Cambridge, który podważa bezpieczeństwo (wiarygodność) zabezpieczeń kart chipowych zabezpieczanych PIN-em. Ponoć bankowcy chcieli zablokować publikację wyników badań, z których wynika, że PIN można "ominąć".
O tych badaniach oraz o próbie wpłynięcia na publikację wyników, można przeczytać w tekście Wyborczej: Kod PIN nie zawsze chroni przed oszustami. Bliższe informacje źródłowe przynosi publikacja w Cambridge News: Banks’ attempt to ‘censor’ thesis. Badaczem (doktorantem), o którego chodzi, jest Omar Choudary. Władze uczelni nie poddały się naciskom The UK Cards Association i pracę opublikowano. Praca jest dostępna w internecie: The Smart Card Detective: a hand-held EMV interceptor (PDF).
Do oszukania systemu wystarczyło niewielkie urządzenie (które można schować w rękawie, a którego koszt wyprodukowania oceniono na 20 funtów). Dzięki niemu wkładając kartę do czytnika w sklepie można "autoryzować" transakcje nie znając prawidłowego kodu PIN. Sposób działania tego urządzenia został opisany w pracy doktoranta.
Bankowcy uznali, że publikacja tak wielu szczegółów dotyczących możliwości "oszukania" systemu wpłynie na zaufanie do niego. Sam list bankowców również jest dostępny online (PDF).
Naukowcy pracujący w uczelni uznali, że działania środowiska bankowego były próbą cenzurowania nauki. Bankowcom odpowiedział (PDF) prof. Ross Anderson:
(...)
Second, you seem to think that we might censor a student’s thesis, which is lawful and already in the public domain, simply because a powerful interest finds it inconvenient. This shows a deep misconception of what universities are and how we work. Cambridge is the University of Erasmus, of Newton, and of Darwin; censoring writings that offend the powerful is offensive to our deepest values. Thus even though the decision to put the thesis online was Omar’s, we have no choice but to back him. That would hold even if we did not agree with the material! Accordingly I have authorised the thesis to be issued as a Computer Laboratory Technical Report. This will make it easier for people to find and to cite, and will ensure that its presence on our web site is permanent.
O zamieszaniu związanym z pracą Omara Choudary przeczytaj również w następujących tekstach:
- Bank lobby warns Cambridge over IT security thesis
- Cambridge Defends Student’s Thesis When Banks Ask to Have It Censored
- Bankers fail to censor thesis exposing loophole in bank card security
- Cambridge boffins rebuff banking industry take down request NO-PIN down
- Cambridge University fights censorship attempts by UK card payment establishment
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Wyjasnic mozna jako
Wyjasnic mozna jako ciekawostke, ze wymieniona w artykule praca dyplomowa jest na stopien Master of Philosophy (M.Phil.), ktory nie ma u nas odpowiednika. Jest to podyplomowy stopien pomiedzy MSc (mgr) a PhD (dr), na ktory trzeba sobie zapracowac studiujac i prowadzac badania naukowe zazwyczaj przez 2 lata, a jako, ze w 3 lata mozna zrobic PhD, wiec najczesciej wiekszosc osob wybiera stduia doktoranckie (PhD), ale jesli z jakis powodow nie uda sie zebrac materialu na PhD wowczas mozna "zdegradowac" sie i zamiast tego zlozyc prace na MPhil, czesto (np. z powodow finansowych) jest tez tak, ze najpierw wybiera sie studiowanie na stopien Mphil, a pozniej, po jakims czasie mozna sie przerejstrowac na studiowanie na PhD i czas (badania) jakie pierwotnie poswiecono na studiowanie na stopien Mphil bedzie wliczony do pracy doktorskiej (PhD).
Akurat jednak o Camrbridge wikipedia podaje: http://en.wikipedia.org/wiki/Master_of_Philosophy
ze uczelnia ta ma programy studiow Mphil w ktorych nawet w 9-12 miesiecy mozna otrzymac ten stopien.
Na stronie w/w profesora
Na stronie w/w profesora mozna zobaczyc inny ciekawy temat -plan zastapienia 47 milionow licznikow gazu i elektrycznosci na takie, ktore mozna zdalnie wylaczyc:
"Who controls the off switch? describes the strategic vulnerability created by the plan to replace 47m gas and electricity meters with ‘smart meters’ that can be switched off remotely. On the security economics of electricity metering looks more broadly at what's likely to go wrong with smart metering projects; it appeared at WEIS 2010 (coverage on CNET and Ecoseed). Finally, Key Management for Substations: Symmetric Keys, Public Keys or No Keys? debunks the proposal to mandate public-key crypto in electricity substations."
http://www.cl.cam.ac.uk/~rja14/
Ciekawe jak by to (test tej
Ciekawe jak by to (test tej metody w sklepie) wygladalo z punktu widzenia naszego prawa:
Ten komentarz uscisla pare
Ten komentarz uscisla pare rzeczy w jezyku polskim:
http://forum.gazeta.pl/forum/w,30,120331560,120356738,Kolejny_skretynialy_pismak_i_nie_lepsze_forum_.html
aczkolwiek podaje niescisla date i tworcow odkrycia luki, bo z wymienionego w artykule listu w/w profesora wynika, ze on wraz z dwoma wspolautorami odkryli, opisali i opublikowali te luke juz w 2009 r.
Trochę informacji
Trochę informacji technicznych tutaj: Karty kredytowe z chipem podatne na atak.