Articol publicat pe site-ul BURSA On Line, ediția din 17.01.2011
Un român a pus băncile pe jar
Omar Choudary: "Am folosit dispozitivul creat de mine ca să arăt că există o breșă de securitate în sistemul bancar din Anglia și din restul Europei, în țări precum Franța, Norvegia și Germania".
      El a creat un dispozitiv prin care arată că fraudarea cardurilor este o joacă de copil

     Se numește Omar Choudary și are numai 27 de ani. Cetățean român, născut din mamă româncă și tată pakis-tanez, dintotdeauna pasionat de cercetare, Omar a reușit să dea peste cap sistemul bancar din Anglia, la numai un an după ce a câștigat o bursă la Universitatea din Cambridge.

     După disputele purtate cu bancherii imediat după Crăciun, Omar Choudary a acceptat să acorde ziarului "BURSA" un interviu în care ne-a povestit cum le-a demonstrat băncilor că softurile pe care le folosesc sunt vulnerabile.

     Cercetătorii de la Universitatea Cambridge au avertizat băncile, în noiembrie 2009, că trebuie să-și "upgradeze" softurile, după ce mai mulți clienți s-au plâns că, după ce li s-au furat cardurile, le-au dispărut banii de pe acestea, semn că cineva a avut acces la codul PIN.

     Răspunsul lor a venit sec, spune Omar Choudary: "Problema descrisă de dumneavoastră este majoră, însă un astfel de dispozitiv de fraudare este greu de realizat".

     Colegii lui Omar de la Cambridge au demonstrat < atacul > într-o înregis-trare trimisă la BBC, în februarie 2010, folosindu-se de un laptop conectat la o placă electronică FPGA și un emulator de card (o bucată de plastic de forma unui card).

     Tânărul a hotărât să-și facă lucrarea de masterat pe acest subiect. A finalizat proiectul la sfârșitul lunii iunie 2010, după șapte luni de cercetare. A reușit să creeze un dispozitiv cât palma de mic, în care se inserează cardul autentic, alături de un card din plastic, se tastează un PIN la întâmplare și tranzacția este efectuată.

     După ce băncile își vor actualiza softurile și vor înlătura eroarea din sistem, posesorii de carduri vor putea folosi aparatul într-un scop benefic, spune Omar.

     El ne-a explicat: < Dispozitivul, pe care l-am denumit Smart Card Detective, îți dă posibilitatea să vezi cât vei plăti, înainte de a autoriza tranzacția. În prezent, întâi introduci cardul în terminal, apoi plătești 100 de lei, de exemplu, într-un magazin. În acel moment, tu nu știi dacă au fost debitați 100 de lei sau mai mult de pe cardul tău. Nu poți decât să soliciți, ulterior, informații despre cont, la un bancomat. Dacă terminalul a fost măsluit, ai pierdut banii.

     Pe când, dacă folosești un asemenea dispozitiv, autorizezi dinainte suma pe care vrei să o plătești și poți vedea, pe loc, câți bani mai ai pe card.

     Chiar am descoperit cititoare de carduri măsluite. Principalul scop pentru care am creat acest aparat a fost protejarea utilizatorilor împotriva unor terminale măsluite".

     După ce a finalizat proiectul, Omar i-a ajutat pe jurnaliștii de la postul francez Canal Plus să facă un reportaj incognito într-un magazin, unde a reușit să facă cumpărături cu un card ce nu-i aparține, tastând un PIN la întâmplare.

     "Am folosit aparatul creat de mine pentru a arăta că există o breșă de securitate în sistemul bancar din Anglia și din restul Europei. Am aflat că breșa a existat și în Franța, Norvegia și în câteva bănci din Germania. Cele mai multe teste le-am făcut în Anglia".

      "Nu am testat dispozitivul în România"

     Deocamdată, nu se știe dacă programele folosite de băncile de la noi prezintă eroarea descrisă de Omar, care ne-a spus că aparatul nu a fost încă testat în România.

     În Anglia, unii bancheri și-au rezolvat deja problema.

     "Ne bucurăm să auzim că unele bănci și-au rezolvat problema, după cum susțin. Însă știm de cel puțin o bancă din Anglia la care eroarea încă persistă în sistemul de securitate. Nu suntem convinși că toate băncile și-au rezolvat problema.

     Urmează să facem mai multe teste în perioada următoare", a precizat tânărul, care a fost invitat să participe la o conferință în Budapesta, în 13-14 aprilie 2011.

     "O să prezint acolo mai multe dintre studiile Universității Cambridge. Am înțeles că vor fi prezente mai multe bănci din sud-estul Europei. Bănuiesc că va participa și partea română", a completat Omar.

     Reprezentanții Universității Cambridge i-au atenționat nu doar pe bancherii din Anglia că există o eroare în sistemul lor de operare, ci au emis un avertisment și la nivel internațional, către organizația European Mastercard and Visa (EMV Co).

     "Această organizație a înființat sistemul "CHIP and PIN", care acum s-a răspândit în toată Europa, în Canada, iar America are gânduri de preluare. Ideea este ca această problemă să fie rezolvată la nivel internațional", a concluzionat Omar.

      Și-a postat lucrarea pe propriul site

     Pentru că nu intră în politica Universității Cambridge să-și ascundă rezultatele cercetării, aceasta l-a încurajat pe Omar să-și posteze lucrarea pe propriul site.

     El ne-a declarat: "Toate informațiile despre dispozitiv sunt disponibile pe Internet, pe pagina mea. Aici pot fi găsite toate instrucțiunile care ajută la construirea acestui aparat".

     De aici și până la un adevărat război mediatic cu băncile nu a fost decât un pas. În urmă cu aproximativ o lună, UK Cards Association, care reprezintă interesele celor mai mari bănci din Anglia, a cerut Universității din Cambridge să retragă informațiile de pe internet, considerate prea periculoase pentru securitatea sistemului bancar.

     Omar ne-a explicat: "Scrisoarea reprezentanților UK Cards Association a ajuns la noi în 20 decembrie anul trecut. Supărați, aceștia ne-au cerut să retragem lucrarea de pe Internet, pentru că nivelul detaliilor oferite depășește limita de siguranță pentru sistemul bancar. Însă Universitatea m-a susținut, argumentând că nu poate renunța la publicarea lucrărilor sale. Niciodată nu s-a întâmplat acest lucru. Băncile au fost avertizate acum un an să-și rezolve problema, dar s-au culcat pe o ureche. Le recomandăm să-și rezolve problemele de securitate".

     Omar ne-a spus că, dacă vreo bancă sau altă companie ar vrea să producă dispozitivul în masă, pentru a fi folosit în scopuri benefice, atunci un singur exemplar ar costa în jur de 20 de euro.

      Eroarea poate fi rezolvată ușor de bănci

     Băncile pot să rezolve foarte ușor problema securității cardurilor, susține Omar Choudary.

     El ne-a explicat: "Programul care rulează în computerul băncii trebuie modificat un pic, astfel încât să facă o verificare în plus, atunci când autorizează o tranzacție. Schimbarea pe care o propunem nu este una majoră. Când plătim cu cardul, terminalul trimite băncii toate detaliile, ca să verifice dacă există fonduri disponibile în contul respectiv, de pildă. Asta se întâmplă în spate. Problema este că banca autorizează tranzacția fără să facă verificări complete, atunci când este introdus un PIN la întâmplare".

     Iar dispozitivul creat de Omar demonstrează că verificările sunt incomplete. Gadgetul interferează cu tranzacția, "o modifică un pic, astfel încât terminalul să creadă că PIN-ul a fost introdus corect, când, de fapt, el a fost tastat la întâmplare", ne-a explicat tânărul, adăugând: "Terminalul o să creadă că PIN-ul este valid, iar cardul nu va avea nicio idee că i s-a cerut vreodată PIN-ul. În loc să fie introdus cardul autentic în bancomat, este introdus un emulator (o bucată de plastic de dimensiunea unui card), care este conectat la dispozitiv. Cardul original va fi introdus în aparat. Când este tastat un PIN oarecare, în loc ca cererea de autentificare să fie trimisă mai departe, în softul băncii, tranzacția este autorizată."

      Respins de Fundația Ion Rațiu, îmbrățișat de Universitatea din Cambridge și de Google

     Omar Choudary a crescut în Spania, până la vârsta de 13 ani, după care a venit, împreună cu familia, în România.

     În 2008, a absolvit Facultatea de Automatică și Calculatoare din cadrul Universității Politehnica București. După ce, în vara lui 2010, a terminat masteratul la Universitatea Cambridge, Omar a primit de la Google o bursă completă pentru doctorat (care include școlarizarea, întreținerea, bani pentru conferințe și echipamente), în valoare de 25.000 de lire pe an. Doctoratul, pe care îl face tot în Anglia, durează 4 ani.

     Înainte să câștige două burse la Cambridge pentru un an (2009-2010), una de școlarizare - în valoare de aproximativ 5.500 de lire, și alta de 3.000 de lire, pentru a se întreține, imediat după ce a terminat facultatea în România, Omar a apelat la fundația Ion Rațiu din Anglia, care le oferea studeților români aflați pentru prima dată în această țară o bursă.

     "Nici măcar nu mi-au răspuns la e-mailuri. M-a deranjat foarte tare. Am presupus că m-au ignorat din cauza numelui meu mai ciudat, că nu mă cheamă Popescu sau Ionescu. Nu mi s-a părut deloc drăguț să nu-mi răspundă, indiferent de ce veste aveau pentru mine, de acceptare sau respingere. M-am zbătut să le trimit multe aplicații și referințe de la profesori", ne-a spus Omar.

     Nici măcar faptul că a câștigat, în 2006, împreună cu trei colegi de la Politehnică, un concurs organizat de "Microsoft" în SUA, nu a contat pentru fundația amintită, spune el, adăugând: "La acea ediție a concursului organizat de Microsoft au participat circa 2.000 de studenți, grupați în echipe, fiecare reprezentându-și facultatea. Noi am câștigat locul întâi, cu proiectul "Forest Watcher", care rezolva problema furturilor ilegale de lemn din pădure și a incendiilor. Am venit cu o soluție de senzori, amplasați din 100 în 100 de metri în pădure, care monitorizează temperatura, umiditatea și sunetul. Aceste informații, care ajung la unitatea principală, sunt transmise prin bluetooth, de la un senzor la altul, astfel că nu este nevoie de fire.

     La unitatea principală sunt analizați acești parametri și un algoritm de detecție depistează dacă există vreo drujbă în pădure sau dacă temperatura prea ridicată indică un incendiu. Am introdus senzorul de umiditate pentru că ne-am dat seama că incendiile intervin atunci când umiditatea este foarte scăzută, iar lemnele foarte uscate. Noi am creat doar un prototip, nu am ajuns în stadiul de implementare a acestui sistem de senzori".

     Timp de un an, din 2008 până în vara lui 2009, Omar a lucrat pentru un institut de cercetare în informatică din Franța.

     "Acolo, m-am ocupat de un proiect pentru depistarea gravurilor din peșteri, vechi de mii de ani, care erau aproape șterse, greu de surprins cu ochiul liber. Cu ajutorul telefonului mobil, peste peretele peșterii era suprapusă o imagine cu o gravură. Astfel ți-era mult mai ușor să vezi unde sunt gravurile și ce reprezintă ele".

     Omar este convins că, după ce-și termină doctoratul, îl așteaptă multe oportunități de angajare în străinătate: "După ce, împreună cu echipa mea, am câștigat concursul organizat de Microsoft, doi dintre colegii mei au rămas în America, captați de companie. Eu am refuzat oferta, pentru că voiam să-mi fac doctoratul în Europa. Șanse de angajare pentru mine sunt și la Google. Sunt multe companii care caută studenți la Cambridge, de aceea nu cred că sunt probleme să-mi găsesc un job".

     Cu toate acestea, Omar spune că nu a renunțat nicio clipă la gândul de a se întoarce în România, chiar dacă șansele de afirmare sunt mai mari în afară. 
Viviani Mirică
 

 

.