Un român a pus băncile pe jar

• El a creat un dispozitiv prin care arată că fraudarea cardurilor este o joacă de copil

Se numeşte Omar Choudary şi are numai 27 de ani. Cetăţean român, născut din mamă româncă şi tată pakis-tanez, dintotdeauna pasionat de cercetare, Omar a reuşit să dea peste cap sistemul bancar din Anglia, la numai un an după ce a câştigat o bursă la Universitatea din Cambridge.

După disputele purtate cu bancherii imediat după Crăciun, Omar Choudary a acceptat să acorde ziarului "BURSA" un interviu în care ne-a povestit cum le-a demonstrat băncilor că softurile pe care le folosesc sunt vulnerabile.

Cercetătorii de la Universitatea Cambridge au avertizat băncile, în noiembrie 2009, că trebuie să-şi "upgradeze" softurile, după ce mai mulţi clienţi s-au plâns că, după ce li s-au furat cardurile, le-au dispărut banii de pe acestea, semn că cineva a avut acces la codul PIN.

Răspunsul lor a venit sec, spune Omar Choudary: "Problema descrisă de dumneavoastră este majoră, însă un astfel de dispozitiv de fraudare este greu de realizat".

Colegii lui Omar de la Cambridge au demonstrat < atacul > într-o înregis-trare trimisă la BBC, în februarie 2010, folosindu-se de un laptop conectat la o placă electronică FPGA şi un emulator de card (o bucată de plastic de forma unui card).

Tânărul a hotărât să-şi facă lucrarea de masterat pe acest subiect. A finalizat proiectul la sfârşitul lunii iunie 2010, după şapte luni de cercetare. A reuşit să creeze un dispozitiv cât palma de mic, în care se inserează cardul autentic, alături de un card din plastic, se tastează un PIN la întâmplare şi tranzacţia este efectuată.

După ce băncile îşi vor actualiza softurile şi vor înlătura eroarea din sistem, posesorii de carduri vor putea folosi aparatul într-un scop benefic, spune Omar.

El ne-a explicat: < Dispozitivul, pe care l-am denumit Smart Card Detective, îţi dă posibilitatea să vezi cât vei plăti, înainte de a autoriza tranzacţia. În prezent, întâi introduci cardul în terminal, apoi plăteşti 100 de lei, de exemplu, într-un magazin. În acel moment, tu nu ştii dacă au fost debitaţi 100 de lei sau mai mult de pe cardul tău. Nu poţi decât să soliciţi, ulterior, informaţii despre cont, la un bancomat. Dacă terminalul a fost măsluit, ai pierdut banii.

Pe când, dacă foloseşti un asemenea dispozitiv, autorizezi dinainte suma pe care vrei să o plăteşti şi poţi vedea, pe loc, câţi bani mai ai pe card.

Chiar am descoperit cititoare de carduri măsluite. Principalul scop pentru care am creat acest aparat a fost protejarea utilizatorilor împotriva unor terminale măsluite".

După ce a finalizat proiectul, Omar i-a ajutat pe jurnaliştii de la postul francez Canal Plus să facă un reportaj incognito într-un magazin, unde a reuşit să facă cumpărături cu un card ce nu-i aparţine, tastând un PIN la întâmplare.

"Am folosit aparatul creat de mine pentru a arăta că există o breşă de securitate în sistemul bancar din Anglia şi din restul Europei. Am aflat că breşa a existat şi în Franţa, Norvegia şi în câteva bănci din Germania. Cele mai multe teste le-am făcut în Anglia".

• "Nu am testat dispozitivul în România"

Deocamdată, nu se ştie dacă programele folosite de băncile de la noi prezintă eroarea descrisă de Omar, care ne-a spus că aparatul nu a fost încă testat în România.

În Anglia, unii bancheri şi-au rezolvat deja problema.

"Ne bucurăm să auzim că unele bănci şi-au rezolvat problema, după cum susţin. Însă ştim de cel puţin o bancă din Anglia la care eroarea încă persistă în sistemul de securitate. Nu suntem convinşi că toate băncile şi-au rezolvat problema.

Urmează să facem mai multe teste în perioada următoare", a precizat tânărul, care a fost invitat să participe la o conferinţă în Budapesta, în 13-14 aprilie 2011.

"O să prezint acolo mai multe dintre studiile Universităţii Cambridge. Am înţeles că vor fi prezente mai multe bănci din sud-estul Europei. Bănuiesc că va participa şi partea română", a completat Omar.

Reprezentanţii Universităţii Cambridge i-au atenţionat nu doar pe bancherii din Anglia că există o eroare în sistemul lor de operare, ci au emis un avertisment şi la nivel internaţional, către organizaţia European Mastercard and Visa (EMV Co).

"Această organizaţie a înfiinţat sistemul "CHIP and PIN", care acum s-a răspândit în toată Europa, în Canada, iar America are gânduri de preluare. Ideea este ca această problemă să fie rezolvată la nivel internaţional", a concluzionat Omar.

• Şi-a postat lucrarea pe propriul site

Pentru că nu intră în politica Universităţii Cambridge să-şi ascundă rezultatele cercetării, aceasta l-a încurajat pe Omar să-şi posteze lucrarea pe propriul site.

El ne-a declarat: "Toate informaţiile despre dispozitiv sunt disponibile pe Internet, pe pagina mea. Aici pot fi găsite toate instrucţiunile care ajută la construirea acestui aparat".

De aici şi până la un adevărat război mediatic cu băncile nu a fost decât un pas. În urmă cu aproximativ o lună, UK Cards Association, care reprezintă interesele celor mai mari bănci din Anglia, a cerut Universităţii din Cambridge să retragă informaţiile de pe internet, considerate prea periculoase pentru securitatea sistemului bancar.

Omar ne-a explicat: "Scrisoarea reprezentanţilor UK Cards Association a ajuns la noi în 20 decembrie anul trecut. Supăraţi, aceştia ne-au cerut să retragem lucrarea de pe Internet, pentru că nivelul detaliilor oferite depăşeşte limita de siguranţă pentru sistemul bancar. Însă Universitatea m-a susţinut, argumentând că nu poate renunţa la publicarea lucrărilor sale. Niciodată nu s-a întâmplat acest lucru. Băncile au fost avertizate acum un an să-şi rezolve problema, dar s-au culcat pe o ureche. Le recomandăm să-şi rezolve problemele de securitate".

Omar ne-a spus că, dacă vreo bancă sau altă companie ar vrea să producă dispozitivul în masă, pentru a fi folosit în scopuri benefice, atunci un singur exemplar ar costa în jur de 20 de euro.

• Eroarea poate fi rezolvată uşor de bănci

Băncile pot să rezolve foarte uşor problema securităţii cardurilor, susţine Omar Choudary.

El ne-a explicat: "Programul care rulează în computerul băncii trebuie modificat un pic, astfel încât să facă o verificare în plus, atunci când autorizează o tranzacţie. Schimbarea pe care o propunem nu este una majoră. Când plătim cu cardul, terminalul trimite băncii toate detaliile, ca să verifice dacă există fonduri disponibile în contul respectiv, de pildă. Asta se întâmplă în spate. Problema este că banca autorizează tranzacţia fără să facă verificări complete, atunci când este introdus un PIN la întâmplare".

Iar dispozitivul creat de Omar demonstrează că verificările sunt incomplete. Gadgetul interferează cu tranzacţia, "o modifică un pic, astfel încât terminalul să creadă că PIN-ul a fost introdus corect, când, de fapt, el a fost tastat la întâmplare", ne-a explicat tânărul, adăugând: "Terminalul o să creadă că PIN-ul este valid, iar cardul nu va avea nicio idee că i s-a cerut vreodată PIN-ul. În loc să fie introdus cardul autentic în bancomat, este introdus un emulator (o bucată de plastic de dimensiunea unui card), care este conectat la dispozitiv. Cardul original va fi introdus în aparat. Când este tastat un PIN oarecare, în loc ca cererea de autentificare să fie trimisă mai departe, în softul băncii, tranzacţia este autorizată."

• Respins de Fundaţia Ion Raţiu, îmbrăţişat de Universitatea din Cambridge şi de Google

Omar Choudary a crescut în Spania, până la vârsta de 13 ani, după care a venit, împreună cu familia, în România.

În 2008, a absolvit Facultatea de Automatică şi Calculatoare din cadrul Universităţii Politehnica Bucureşti. După ce, în vara lui 2010, a terminat masteratul la Universitatea Cambridge, Omar a primit de la Google o bursă completă pentru doctorat (care include şcolarizarea, întreţinerea, bani pentru conferinţe şi echipamente), în valoare de 25.000 de lire pe an. Doctoratul, pe care îl face tot în Anglia, durează 4 ani.

Înainte să câştige două burse la Cambridge pentru un an (2009-2010), una de şcolarizare - în valoare de aproximativ 5.500 de lire, şi alta de 3.000 de lire, pentru a se întreţine, imediat după ce a terminat facultatea în România, Omar a apelat la fundaţia Ion Raţiu din Anglia, care le oferea studeţilor români aflaţi pentru prima dată în această ţară o bursă.

"Nici măcar nu mi-au răspuns la e-mailuri. M-a deranjat foarte tare. Am presupus că m-au ignorat din cauza numelui meu mai ciudat, că nu mă cheamă Popescu sau Ionescu. Nu mi s-a părut deloc drăguţ să nu-mi răspundă, indiferent de ce veste aveau pentru mine, de acceptare sau respingere. M-am zbătut să le trimit multe aplicaţii şi referinţe de la profesori", ne-a spus Omar.

Nici măcar faptul că a câştigat, în 2006, împreună cu trei colegi de la Politehnică, un concurs organizat de "Microsoft" în SUA, nu a contat pentru fundaţia amintită, spune el, adăugând: "La acea ediţie a concursului organizat de Microsoft au participat circa 2.000 de studenţi, grupaţi în echipe, fiecare reprezentându-şi facultatea. Noi am câştigat locul întâi, cu proiectul "Forest Watcher", care rezolva problema furturilor ilegale de lemn din pădure şi a incendiilor. Am venit cu o soluţie de senzori, amplasaţi din 100 în 100 de metri în pădure, care monitorizează temperatura, umiditatea şi sunetul. Aceste informaţii, care ajung la unitatea principală, sunt transmise prin bluetooth, de la un senzor la altul, astfel că nu este nevoie de fire.

La unitatea principală sunt analizaţi aceşti parametri şi un algoritm de detecţie depistează dacă există vreo drujbă în pădure sau dacă temperatura prea ridicată indică un incendiu. Am introdus senzorul de umiditate pentru că ne-am dat seama că incendiile intervin atunci când umiditatea este foarte scăzută, iar lemnele foarte uscate. Noi am creat doar un prototip, nu am ajuns în stadiul de implementare a acestui sistem de senzori".

Timp de un an, din 2008 până în vara lui 2009, Omar a lucrat pentru un institut de cercetare în informatică din Franţa.

"Acolo, m-am ocupat de un proiect pentru depistarea gravurilor din peşteri, vechi de mii de ani, care erau aproape şterse, greu de surprins cu ochiul liber. Cu ajutorul telefonului mobil, peste peretele peşterii era suprapusă o imagine cu o gravură. Astfel ţi-era mult mai uşor să vezi unde sunt gravurile şi ce reprezintă ele".

Omar este convins că, după ce-şi termină doctoratul, îl aşteaptă multe oportunităţi de angajare în străinătate: "După ce, împreună cu echipa mea, am câştigat concursul organizat de Microsoft, doi dintre colegii mei au rămas în America, captaţi de companie. Eu am refuzat oferta, pentru că voiam să-mi fac doctoratul în Europa. Şanse de angajare pentru mine sunt şi la Google. Sunt multe companii care caută studenţi la Cambridge, de aceea nu cred că sunt probleme să-mi găsesc un job".

Cu toate acestea, Omar spune că nu a renunţat nicio clipă la gândul de a se întoarce în România, chiar dacă şansele de afirmare sunt mai mari în afară.