英国のカード関連業界団体、ケンブリッジ大学の学生論文を検閲しようとするも阻止される 13
ストーリー by kazekiri
出てしまったものは 部門より
出てしまったものは 部門より
danceman 曰く、
英国のクレジット/デビッドカード等のカード関連業界の団体であるUK Cards Associationが、ケンブリッジ大学に対して、Omar Choudary氏の「No-PIN攻撃」に関する論文の掲載を取りやめるよう訴えていたが、きっぱり断られたとのこと(The H)。
同氏の論文はEMV規格のICチップを採用したカードに、どんな暗証番号でも認証させる方法を説明しており、UK Cards Associationはケンブリッジ大学に対してオンライン上の論文掲載をやめるよう訴えていた。しかし、同大学のRoss Anderson氏は「権力層の意にそぐわないことを理由に検閲行為を行うことは我々の真意に反する」とし、訴えに応じない姿勢を表明したとのこと。「No-PIN攻撃」は2009年に発表、詳しくは2010年2月にウェブ掲載されていた。
Anderson氏は自身のブログで、以前は「No-PIN攻撃」に脆弱性をみせたバークレイズ銀行のカードが、その後の対応で攻撃をかわせるようになったことを取り上げ、「一年かかったけど、せめてバグを直すことができたじゃないか」と綴っている。
検閲? (スコア:1)
欧米の事情はよく知らないけど Google 検閲エンジン擁護者とかは本件は擁護しないのかな。
「政府機関以外による確認作業は検閲ではない」って。
[Q][W][E][R][T][Y]
ケブンッリジ だがいく (スコア:0)
Re:ケブンッリジ だがいく (スコア:3, 参考になる)
リンク先より引用:
カードと端末の間でMITMして、端末機側には「正しく認証されました!」って言って、カード側には「署名(多分電子署名じゃなくて手で書く署名)認証に切り替えるよ!」って言う。で、その後の取引処理を進める、という感じみたいですね。認証されたことを意味する応答が何らかのチャレンジレスポンスになっておらず、0x9000固定だったとのこと。
Re:ケブンッリジ だがいく (スコア:2, 参考になる)
開発中の案件にて、とってもよく似た脆弱性があるのに気づいたんだけ
ど、予算と日程と偉い人からの指摘却下によりそのままになってるんだ
よな~。ま、ハックしたって誰にも大した利益にならないから大丈夫だ
ろうけど。
結局、製造に入る前の検証が甘かったからなんだけど、前工程って時間
とお金ってくれないんだよね~。
しかも、後工程でどんどん追加変更されちゃうし。
#問題が起きたときにはその時の偉い人はいないことがおおいってのも
また問題。
Re: (スコア:0)
Re: (スコア:0)
> ISO 9000sって、そのような際に元のエラい人に首をくくらせるためにあるのでは?
んなもん、役にたたんです。
・偉い人が率先してISO9000(正確には自分たちで決めている品質保証体系)を
無視して行動している。もっと偉い人は「ちゃんと守ってね(はぁと)」って
言うだけだし。
・さすがに品質記録を持ち出して全面対決するほどの顕在化した問題はそうそう
おきない。
Re: (スコア:0)
ISOって元請け視線からみると、そういう下請けの技術屋さんやラインの諸々を下請けのエラい人を通じて上からコントロールできるようにするツールですから、諦めて下さい。
国内で手を突っ込んでくるのは大手数社しかないですが、ヨーロッパ系列に足を踏み入れると歩留の高さ、トレーサビリティの確かさと製品および品質改善のロードマップその他もろもろ品質管理体制までベンチマーキングの対象にされて導入前から導入後、導入後も定期的に監視対象に置かれたりするそれなりにえぐいシステムに変わります。
その代わりに見返りもちゃんと出るので何ヶ所も突っ込むと経営者も意味がわかってくるんですけどね。
Re: (スコア:0)
キャッシュカードもそうだけど、クレジットカードって客を信用(credit)するんじゃなくて攻撃者の善意を信用(credit)してるんですね。
そこらじゅう穴だらけ。
もう一から規格作り直したほうがいいんじゃないかと。
学問のぉ~、進展はぁ~、早い~ (スコア:0)
どこぞの馬の骨がチョロッと考えて思いつくようなものは、すでに出尽くしていると考えていただいて結構。
Re: (スコア:0)
デビッ「ト」カード (スコア:0)
T/O
さすがケンブリッジ大学 (スコア:0)
気骨がありますね。
エライ!
一方日本は (スコア:0)
となるのを恐れて、大学教授らは研究を避けた。