Video: Made to Stick by Dan & Chip Heath: Animated Book Summary (Desember 2024)
Bagi pembaca AS kami, membayar dengan kartu kredit berarti menggesek strip magnetik. Tetapi bagi orang-orang di sebagian besar Eropa dan negara-negara lain, itu berarti memasukkan kartu chip Anda ke pembaca dan memasukkan PIN Anda. Solusi chip dan PIN yang disebut ini telah lama disebut-sebut jauh lebih unggul daripada swipe Amerika, dan dalam banyak hal itu. Tetapi ada beberapa masalah serius dengan bagaimana skema tersebut diimplementasikan.
Ross Anderson merinci sejarah timnya dalam menyelidiki kartu chip dan PIN di Black Hat tahun ini. Untuk sistem yang dirancang agar lebih sulit untuk curang, Anderson memiliki jumlah yang mengejutkan untuk dikatakan.
Kavaleri Cacat
Penyegaran cepat pada chip dan PIN: konsumen memasukkan kartu mereka saat melakukan pembelian. Mereka kemudian memasukkan PIN mereka, yang dikonfirmasi oleh kartu pada perangkat - ketika berfungsi, PIN tidak boleh meninggalkan pembaca. Kartu kemudian berbicara dengan bank untuk mengautorisasi transaksi, dan penjualan dilakukan. Di atas kertas, semuanya terdengar hebat.
Anderson berjalan melalui beberapa kerentanan tidak ditemukan yang ditemukan olehnya dan timnya, dan lainnya yang pertama kali diamati di alam liar dan kemudian direkayasa balik oleh para pakar keamanan.
Banyak serangan yang berfokus pada perangkat yang digunakan pedagang untuk melakukan transaksi, dan ATM. Timnya menemukan bahwa beberapa perangkat, pada kenyataannya, tidak dibuat untuk spesifikasi keamanan yang mereka klaim ikuti. Dengan sedikit usaha, dia mengatakan mereka bisa menyadap perangkat dan mengekstrak PIN selama penjualan.
Serangan lain melibatkan pemasangan apa yang disebut Anderson "elektronik jahat" pada pembaca untuk mengambil data transaksi. Dalam satu kasus, scammer memasang barang jahat mereka ke pembaca kartu sebelum mereka bahkan dikirim ke pedagang.
Tetapi ada banyak serangan lain, seperti menanamkan electornics langsung ke chip dan kartu PIN, menghubungkan kartu ke perangkat tersembunyi yang memungkinkan pencuri untuk mengotorisasi kartu dengan kode acak, dan bahkan serangan yang "memutar ulang" transaksi di lokasi yang berbeda.
Unggul Secara Teknis, Praktis Bermasalah
Saya bertanya kepada Anderson apakah, setelah semua kekurangan yang dia temukan dengan chip dan pin, dia masih berpikir itu lebih baik daripada menggesek kartu. Dia sangat tegas: kartu chip dan PIN secara teknis lebih unggul hanya karena mereka jauh lebih sulit untuk dikloning daripada kartu gesek.
Masalah yang lebih besar adalah bagaimana chip dan PIN diluncurkan di Eropa. Anderson menjelaskan bahwa untuk membuat pedagang Eropa beralih, bank menjanjikan pedagang bahwa mereka akan bertanggung jawab atas tuduhan penipuan. Dengan kartu gesek, biaya penipuan hanya dibalikkan ke pedagang. Anderson menyebut ini "menggeser tanggung jawab."
Kedengarannya seperti rencana yang bagus tetapi kenyataannya cukup kejam. Anderson mengatakan bahwa korban penipuan sering disalahkan oleh bank, yang menuduh mereka mengekspos PIN mereka. Dalam kasus lain, bank hanya mengubah pikiran mereka dan membalikkan biaya kepada pedagang. Dalam kasus-kasus ekstrem, bank dan perusahaan kartu kredit menolak untuk mengajukan tuntutan terhadap scammers yang diketahui, tampaknya karena malu.
Tampaknya tidak ada yang mau bertanggung jawab atas penipuan chip dan PIN. Anderson bertanya, "jika bank tidak membayar penipuan, mengapa mereka berani untuk mengamankannya?"
Anderson juga mengkritik penulis chip dan dokumentasi PIN karena tidak memiliki visi yang jelas, dan membiarkan dokumentasi lepas kendali. Dia menyebutnya sebagai tragedi milik bersama, dan mencatat bahwa tidak ada yang melangkah maju untuk membuat versi terbaru yang benar-benar dapat membuat perubahan keamanan yang diperlukan untuk standar.
Datang ke Amerika
Pembaca AS kami, konten dengan kartu gesek mereka, mungkin bertanya-tanya mengapa ini penting bagi mereka sama sekali. Ada satu alasan sederhana: kartu chip dan PIN siap diperkenalkan ke negara ini. Anderson mengatakan bahwa bank akan melakukan transisi pada tahun 2015.
Mungkin hal-hal tidak berjalan dengan buruk di negara ini. Untuk satu hal, hanya beberapa bank yang memilih skema chip dan PIN, sementara bank lain akan meluncurkan kartu chip dan tanda tangan. Rencana otentikasi ini telah digunakan di Singapura, dan dirancang untuk memberikan perlindungan konsumen yang lebih besar. Anderson juga mencatat bahwa peran Federal Reserve dalam perbankan AS juga menawarkan perlindungan konsumen yang lebih besar - dengan asumsi itu tidak terkikis secara drastis dalam waktu dekat.
Ada juga peran, katanya, yang bisa dimainkan oleh penonton Black Hat. "Bukan protokol tunggal; ini adalah toolkit besar, acak, dan licik untuk membangun protokol pembayaran, " katanya. "Kamu bisa menghasilkan sesuatu yang benar-benar aman, atau sesuatu yang benar-benar mengerikan."
Inilah harapan kita mendapatkan yang pertama.