995美元黑掉你的银行

清风客

来自剑桥大学的研究员发现，通过一个由IBM公司制作的通用加密处理器中的一个漏洞，就能黑掉全世界的银行并获取个人身份号码。
这个有问题的加密处理器，IBM 4758，位于所有现金机器的末端，并混杂所有人们输入进去的个人身份号码，同时这个程序也在另一个终端分析出这些号码。
它使用了一个最低为64位的加密技术，符合美国数据标准的工厂检验计划，140-1的第四级水平，并且被认为即使在物理方法下也是无法破解的。但是问题并不存在于加密器，二在于它使用的软件－－公共加密体系（CCA），这个软件是连同4758免费出售的。
CCA软件在作任何的安全改编之前，都需要两个或者更多的人组合他们的访问权限。这样作，人们就认为仅当两个高层的银行雇员共谋作案的时候，程序才会被破解。
然而，剑桥的研究员－－Michael Bond和Richard Clayton－－发现他们能够使得4758自己将加密密码发送过来（这些密码仅储存在加密器中），只要它是通过一个3DES（三倍数据加密标准安全）来加密的。
你所需要知道的就是这个“输出密码”的值。这样，通过“一个熟练的技巧和一般的处理能力”，你就能获得一个加密器的密码，并从那时起，你便能防伪通过它发送的任何信息了－－这可能是成百上千个带有他们相关的个人身份号码的卡片数字。
唯一的问题就是获得对于银行电脑系统的足够高级别的访问权。这并不简单，但是也不是不可能的。
Messrs Bond和Clayton承认他们需要在一个控制器中20分钟来获得信息，然后用两天的时间来攻克它。你所需要的就是一些常识和一个标准的995美元Altera FPGA赋值板。
这看起来很可能会发生，并且使用4758的银行如果要升级系统的话，将要承受巨大的开销。