• El a creat un dispozitiv prin care arată că fraudarea cardurilor este o joacă de copil
Se numeşte Omar Choudary şi are numai 27 de ani. Cetăţean român, născut din mamă româncă şi tată pakis-tanez, dintotdeauna pasionat de cercetare, Omar a reuşit să dea peste cap sistemul bancar din Anglia, la numai un an după ce a câştigat o bursă la Universitatea din Cambridge.
După disputele purtate cu bancherii imediat după Crăciun, Omar Choudary a acceptat să acorde ziarului "BURSA" un interviu în care ne-a povestit cum le-a demonstrat băncilor că softurile pe care le folosesc sunt vulnerabile.
Cercetătorii de la Universitatea Cambridge au avertizat băncile, în noiembrie 2009, că trebuie să-şi "upgradeze" softurile, după ce mai mulţi clienţi s-au plâns că, după ce li s-au furat cardurile, le-au dispărut banii de pe acestea, semn că cineva a avut acces la codul PIN.
Răspunsul lor a venit sec, spune Omar Choudary: "Problema descrisă de dumneavoastră este majoră, însă un astfel de dispozitiv de fraudare este greu de realizat".
Colegii lui Omar de la Cambridge au demonstrat < atacul > într-o înregis-trare trimisă la BBC, în februarie 2010, folosindu-se de un laptop conectat la o placă electronică FPGA şi un emulator de card (o bucată de plastic de forma unui card).
Tânărul a hotărât să-şi facă lucrarea de masterat pe acest subiect. A finalizat proiectul la sfârşitul lunii iunie 2010, după şapte luni de cercetare. A reuşit să creeze un dispozitiv cât palma de mic, în care se inserează cardul autentic, alături de un card din plastic, se tastează un PIN la întâmplare şi tranzacţia este efectuată.
După ce băncile îşi vor actualiza softurile şi vor înlătura eroarea din sistem, posesorii de carduri vor putea folosi aparatul într-un scop benefic, spune Omar.
El ne-a explicat: < Dispozitivul, pe care l-am denumit Smart Card Detective, îţi dă posibilitatea să vezi cât vei plăti, înainte de a autoriza tranzacţia. În prezent, întâi introduci cardul în terminal, apoi plăteşti 100 de lei, de exemplu, într-un magazin. În acel moment, tu nu ştii dacă au fost debitaţi 100 de lei sau mai mult de pe cardul tău. Nu poţi decât să soliciţi, ulterior, informaţii despre cont, la un bancomat. Dacă terminalul a fost măsluit, ai pierdut banii.
Pe când, dacă foloseşti un asemenea dispozitiv, autorizezi dinainte suma pe care vrei să o plăteşti şi poţi vedea, pe loc, câţi bani mai ai pe card.
Chiar am descoperit cititoare de carduri măsluite. Principalul scop pentru care am creat acest aparat a fost protejarea utilizatorilor împotriva unor terminale măsluite".
După ce a finalizat proiectul, Omar i-a ajutat pe jurnaliştii de la postul francez Canal Plus să facă un reportaj incognito într-un magazin, unde a reuşit să facă cumpărături cu un card ce nu-i aparţine, tastând un PIN la întâmplare.
"Am folosit aparatul creat de mine pentru a arăta că există o breşă de securitate în sistemul bancar din Anglia şi din restul Europei. Am aflat că breşa a existat şi în Franţa, Norvegia şi în câteva bănci din Germania. Cele mai multe teste le-am făcut în Anglia".
• "Nu am testat dispozitivul în România"
Deocamdată, nu se ştie dacă programele folosite de băncile de la noi prezintă eroarea descrisă de Omar, care ne-a spus că aparatul nu a fost încă testat în România.
În Anglia, unii bancheri şi-au rezolvat deja problema.
"Ne bucurăm să auzim că unele bănci şi-au rezolvat problema, după cum susţin. Însă ştim de cel puţin o bancă din Anglia la care eroarea încă persistă în sistemul de securitate. Nu suntem convinşi că toate băncile şi-au rezolvat problema.
Urmează să facem mai multe teste în perioada următoare", a precizat tânărul, care a fost invitat să participe la o conferinţă în Budapesta, în 13-14 aprilie 2011.
"O să prezint acolo mai multe dintre studiile Universităţii Cambridge. Am înţeles că vor fi prezente mai multe bănci din sud-estul Europei. Bănuiesc că va participa şi partea română", a completat Omar.
Reprezentanţii Universităţii Cambridge i-au atenţionat nu doar pe bancherii din Anglia că există o eroare în sistemul lor de operare, ci au emis un avertisment şi la nivel internaţional, către organizaţia European Mastercard and Visa (EMV Co).
"Această organizaţie a înfiinţat sistemul "CHIP and PIN", care acum s-a răspândit în toată Europa, în Canada, iar America are gânduri de preluare. Ideea este ca această problemă să fie rezolvată la nivel internaţional", a concluzionat Omar.
• Şi-a postat lucrarea pe propriul site
Pentru că nu intră în politica Universităţii Cambridge să-şi ascundă rezultatele cercetării, aceasta l-a încurajat pe Omar să-şi posteze lucrarea pe propriul site.
El ne-a declarat: "Toate informaţiile despre dispozitiv sunt disponibile pe Internet, pe pagina mea. Aici pot fi găsite toate instrucţiunile care ajută la construirea acestui aparat".
De aici şi până la un adevărat război mediatic cu băncile nu a fost decât un pas. În urmă cu aproximativ o lună, UK Cards Association, care reprezintă interesele celor mai mari bănci din Anglia, a cerut Universităţii din Cambridge să retragă informaţiile de pe internet, considerate prea periculoase pentru securitatea sistemului bancar.
Omar ne-a explicat: "Scrisoarea reprezentanţilor UK Cards Association a ajuns la noi în 20 decembrie anul trecut. Supăraţi, aceştia ne-au cerut să retragem lucrarea de pe Internet, pentru că nivelul detaliilor oferite depăşeşte limita de siguranţă pentru sistemul bancar. Însă Universitatea m-a susţinut, argumentând că nu poate renunţa la publicarea lucrărilor sale. Niciodată nu s-a întâmplat acest lucru. Băncile au fost avertizate acum un an să-şi rezolve problema, dar s-au culcat pe o ureche. Le recomandăm să-şi rezolve problemele de securitate".
Omar ne-a spus că, dacă vreo bancă sau altă companie ar vrea să producă dispozitivul în masă, pentru a fi folosit în scopuri benefice, atunci un singur exemplar ar costa în jur de 20 de euro.
• Eroarea poate fi rezolvată uşor de bănci
Băncile pot să rezolve foarte uşor problema securităţii cardurilor, susţine Omar Choudary.
El ne-a explicat: "Programul care rulează în computerul băncii trebuie modificat un pic, astfel încât să facă o verificare în plus, atunci când autorizează o tranzacţie. Schimbarea pe care o propunem nu este una majoră. Când plătim cu cardul, terminalul trimite băncii toate detaliile, ca să verifice dacă există fonduri disponibile în contul respectiv, de pildă. Asta se întâmplă în spate. Problema este că banca autorizează tranzacţia fără să facă verificări complete, atunci când este introdus un PIN la întâmplare".
Iar dispozitivul creat de Omar demonstrează că verificările sunt incomplete. Gadgetul interferează cu tranzacţia, "o modifică un pic, astfel încât terminalul să creadă că PIN-ul a fost introdus corect, când, de fapt, el a fost tastat la întâmplare", ne-a explicat tânărul, adăugând: "Terminalul o să creadă că PIN-ul este valid, iar cardul nu va avea nicio idee că i s-a cerut vreodată PIN-ul. În loc să fie introdus cardul autentic în bancomat, este introdus un emulator (o bucată de plastic de dimensiunea unui card), care este conectat la dispozitiv. Cardul original va fi introdus în aparat. Când este tastat un PIN oarecare, în loc ca cererea de autentificare să fie trimisă mai departe, în softul băncii, tranzacţia este autorizată."
• Respins de Fundaţia Ion Raţiu, îmbrăţişat de Universitatea din Cambridge şi de Google
Omar Choudary a crescut în Spania, până la vârsta de 13 ani, după care a venit, împreună cu familia, în România.
În 2008, a absolvit Facultatea de Automatică şi Calculatoare din cadrul Universităţii Politehnica Bucureşti. După ce, în vara lui 2010, a terminat masteratul la Universitatea Cambridge, Omar a primit de la Google o bursă completă pentru doctorat (care include şcolarizarea, întreţinerea, bani pentru conferinţe şi echipamente), în valoare de 25.000 de lire pe an. Doctoratul, pe care îl face tot în Anglia, durează 4 ani.
Înainte să câştige două burse la Cambridge pentru un an (2009-2010), una de şcolarizare - în valoare de aproximativ 5.500 de lire, şi alta de 3.000 de lire, pentru a se întreţine, imediat după ce a terminat facultatea în România, Omar a apelat la fundaţia Ion Raţiu din Anglia, care le oferea studeţilor români aflaţi pentru prima dată în această ţară o bursă.
"Nici măcar nu mi-au răspuns la e-mailuri. M-a deranjat foarte tare. Am presupus că m-au ignorat din cauza numelui meu mai ciudat, că nu mă cheamă Popescu sau Ionescu. Nu mi s-a părut deloc drăguţ să nu-mi răspundă, indiferent de ce veste aveau pentru mine, de acceptare sau respingere. M-am zbătut să le trimit multe aplicaţii şi referinţe de la profesori", ne-a spus Omar.
Nici măcar faptul că a câştigat, în 2006, împreună cu trei colegi de la Politehnică, un concurs organizat de "Microsoft" în SUA, nu a contat pentru fundaţia amintită, spune el, adăugând: "La acea ediţie a concursului organizat de Microsoft au participat circa 2.000 de studenţi, grupaţi în echipe, fiecare reprezentându-şi facultatea. Noi am câştigat locul întâi, cu proiectul "Forest Watcher", care rezolva problema furturilor ilegale de lemn din pădure şi a incendiilor. Am venit cu o soluţie de senzori, amplasaţi din 100 în 100 de metri în pădure, care monitorizează temperatura, umiditatea şi sunetul. Aceste informaţii, care ajung la unitatea principală, sunt transmise prin bluetooth, de la un senzor la altul, astfel că nu este nevoie de fire.
La unitatea principală sunt analizaţi aceşti parametri şi un algoritm de detecţie depistează dacă există vreo drujbă în pădure sau dacă temperatura prea ridicată indică un incendiu. Am introdus senzorul de umiditate pentru că ne-am dat seama că incendiile intervin atunci când umiditatea este foarte scăzută, iar lemnele foarte uscate. Noi am creat doar un prototip, nu am ajuns în stadiul de implementare a acestui sistem de senzori".
Timp de un an, din 2008 până în vara lui 2009, Omar a lucrat pentru un institut de cercetare în informatică din Franţa.
"Acolo, m-am ocupat de un proiect pentru depistarea gravurilor din peşteri, vechi de mii de ani, care erau aproape şterse, greu de surprins cu ochiul liber. Cu ajutorul telefonului mobil, peste peretele peşterii era suprapusă o imagine cu o gravură. Astfel ţi-era mult mai uşor să vezi unde sunt gravurile şi ce reprezintă ele".
Omar este convins că, după ce-şi termină doctoratul, îl aşteaptă multe oportunităţi de angajare în străinătate: "După ce, împreună cu echipa mea, am câştigat concursul organizat de Microsoft, doi dintre colegii mei au rămas în America, captaţi de companie. Eu am refuzat oferta, pentru că voiam să-mi fac doctoratul în Europa. Şanse de angajare pentru mine sunt şi la Google. Sunt multe companii care caută studenţi la Cambridge, de aceea nu cred că sunt probleme să-mi găsesc un job".
Cu toate acestea, Omar spune că nu a renunţat nicio clipă la gândul de a se întoarce în România, chiar dacă şansele de afirmare sunt mai mari în afară.
1. Excelent!
(mesaj trimis de Marian în data de 17.01.2011, 08:52)
Felicitările mele, dragă Omar, şi felicitări redacţiei pentru articol. Sper ca munca ta să continue, sprijinită, şi nu blocată de bănci.
Reportajul de pe site-ul tău m-a încântat şi îl recomand tuturor pentru o imagine completă a fragilităţii sistemului.
Toate cele bune,
Marian
2. Felicitari
(mesaj trimis de Bogdan Musat în data de 17.01.2011, 14:24)
Felicitari, cei care il cunosc pe Omar ii cunosc talentul si munca pe care o depune pentru a-si indeplini scopul. Acum, sa vedem daca se va adeveri ultima fraza, cea cu intoarcerea in Romania, nu ca tara asta nu ar avea nevoie de el...
3. sangele apa nu se face
(mesaj trimis de Kasai romanul în data de 18.01.2011, 15:47)
Omar romanul, ca toti romanii, trebuie sa aiba si el o preocupare. Si despre ce sa se preocupe? De siguranta portofelelor noastre, a banilor de pe card, a masinii din fata blocului si a ceasului de la mana. Hotul tot hot ramane si daca ajunge la Oxford. Asta, la Cambridge, il doare sa gasesca cum se fura banii de pe carduri.
Acum, eu nu ma leg de inteligenta omului. Sunt convins ca e peste medie. Ma dezamageste desuetudinea orientarii lui. De exemplu, stim toti ca un ceas se poate fura, dar nu ni-l legam de piele cu cercei. Si un geam la casa se paote sparge, dar nu le zidim, nici nu le blindam. Si o masina se poate fura, si un om poate fi ucis. Dar lumea mizeaza pe faptul ca 99% dintre oameni sunt corecti. Altfel am trai intr-o lume paranoica. Dar Omar romanul, in loc sa se apuca la shale bombei ca sa-i faca nod, se apuca sa studieze cum pot ciordi unii de pe carduri. Si dupa ce afla, anunta public, sa fie sigur de ecou. A ameninta pe cineva ca ii poti sparge capul e mai putin decent decat daca il ameninti ca ii spargi parola de mail?
3.1. Kasai romanul? (răspuns la opinia nr. 3)
(mesaj trimis de Omar în data de 18.01.2011, 17:06)
Nu stiu cine esti "Kasai romanul", dar imi pare rau pentru impresia pe care ti-ai creat-o despre munca mea sau a colegilor mei din Cambridge. Mie mi s-a parut ca a fost clar articolul atunci cand a mentionat ca acest dispozitiv a fost creat in primul rand ca o aparare impotriva unor posibile infractiuni. Nu are rost sa dau mai multe explicatii, dar te-as ruga pe tine si oricine mai are de comentat, sa cititi cu atentie orice inainte sa dezbateti.
Multumesc Marian si Bogdan pentru felicitari.
O zi buna.
3.2. Kasai romanul, prost! (răspuns la opinia nr. 3)
(mesaj trimis de Andrei în data de 18.01.2011, 23:58)
Kasai romanule, daca ai avea macar un neuron ai putea sa ti-l faci nod si sa te spanzuri cu el! Inteligenta lui e peste medie, in schimb a ta este inchipuita. "desuetudinea orientarii lui" - e clar ca n-ai priceput nimic, dar macar stii niste cuvinte. De cand este furtul un subiect desuet? Daca ar fi fost asa, nu cred ca The Guardian, BBC-ul si UK Cards Association si-ar mai fi batut capul cu el... Eu zic sa mizezi in continuare ca 99% dintre oameni sunt corecti! Tu si cealalta "lume" sunteti exact motivul pentru care niste baieti o duc foarte bine din furat. Partea buna e ca tot gratie voua el este platit niste mii de lire ca sa faca cercetare. Macar data viitoare cand mizezi si o sa te trezesti fara bani in cont, n-o sa-ti reprosezi ca ai fost paranoic. Imi place ca la final ai incercat si o glumita cu iz rasist, vorba ta, kasai romanul! Dar aveti un lucru in comun: ecoul. Doar ca la tine e intre urechi.