Группа исследователей из компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой
технологии платежных карт Chip & PIN. Такого рода
гибридные контактные карточки, совмещающие в
пластиковом корпусе микросхему и магнитную полоску, уже получили широкое распространение в Британии, Австрии и Бельгии, а многие другие государства планируют заменить ими безнадежно устаревшие карточки с одинокой магнитной полоской. Строго говоря, кембриджские специалисты показали ненадежность не столько карт, сколько терминалов,
использующихся в торговых точках и банках для обработки транзакций и верификации карты, - так
называемых PED (PIN entry devices - устройства
ввода персонального идентификатора).
Саар Дример, Стивен Мердок и Росс Андерсон
(Saar Drimer, Steven J. Murdoch, Ross Anderson) на
примере двух самых распространенных в Великобритании моделей PED - Ingenico i3300 и Dione
Xtreme - продемонстрировали, сколь плохо защищены данные о карте и ее владельце. Разработанная
ими техника взлома носит название tapping attack
("атака через отвод") и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство
для записи отводимого сигнала. Плюс, конечно, знания и умение весь этот "реквизит" собрать, воткнуть
и подключить куда следует.
С помощью столь нехитрого инструментария исследователи сумели записать процедуру обмена
данными между картой и процессором PED, ничуть
не потревожив устройства защиты, вмонтированные
в терминал. Перехваченный поток данных сразу позволяет установить PIN карты, поскольку британские
банки выбрали технологию подешевле и не стали
встраивать в чип средства, которые бы шифровали
информацию, курсирующую между картой и PED.
Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN-кода. Ради
того, чтобы обеспечить обратную совместимость со
старыми картами, терминалы считывают данные не
только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить
иглу-отвод к каналу обмена между картой и процессором, то он получает возможность записать все
данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN-кодом
это дает возможность легко изготовить фальшивую
карту и с ее помощью снимать деньги со счета в
банкоматах зарубежных стран, еще не перешедших
на Chip & PIN. Более того, подобные банкоматы коегде остались и в провинциальных районах Британии.
Особой критики, по мнению исследователей, заслуживает в высшей степени непрозрачный,
ущербный по своей сути процесс сертификации и
оценки безопасности устройств PED, отвечающих за
защиту важных данных. Транснациональный гигант
Visa и британская платежная ассоциация APACS,
признав оба устройства безопасными и официально
санкционировав их широчайшее распространение,
проглядели серьезнейшие уязвимости, выявленные
кембриджской командой. Более того, при выдаче
сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемому
подлогом. Было объявлено, что устройства PED прошли "оценку на соответствие Common Criteria", то
есть международному набору стандартов для систем
безопасности, принятому в Великобритании, США и
других странах НАТО. На Туманном Альбионе выдачей сертификатов о соответствии Common Criteria
(СС) ведает правительственная спецслужба GCHQ,
аналог американского АНБ. Однако в GCHQ сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC.
Тут-то и выяснилось, что "оценка на соответствие
CC" и "сертификация" - две большие разницы.
Результаты тестирования на предмет сертификации
положено открыто публиковать, а Visa и APACS категорически отказываются предоставить кому-либо
отчет об оценке безопасности терминалов. Более того, засекречены и сами инстанции, проводившие эту
оценку. В ответах же исследователям, которые еще в
ноябре прошлого года предупредили об уязвимости
все заинтересованные стороны - APACS, Visa, изготовителей PED, - серьезность угрозы намеренно
приуменьшается.
Реакция Visa, например, выглядит так: "В академической статье Кембриджа мы не увидели ничего
такого, чего не знали раньше, и ничего такого, что
представляло бы угрозу для безопасности карт в
реальном мире". Представители же Ingenico, одного
из изготовителей PED, выразились не столь высокомерно, но в том же ключе: "Метод, описанный в университетской статье, требует специальных знаний и
сопряжен с техническими трудностями. По этой причине он невоспроизводим в широких масштабах и не
учитывает тот мониторинг мошенничества, что применяется в индустрии"...
Один из членов кембриджской команды, профессор Росс Андерсон, сражается с порочным подходом банков и индустрии к безопасности уже два десятка лет. По поводу последней работы он говорит
так: "Уроки, которые мы здесь получаем, вовсе не
ограничиваются банкингом. В самых разных областях, от машин для голосования до автоматизированных систем учета медицинских данных, постоянно
появляется одна и та же комбинация из глупых ошибок, фиктивных сертификаций и препятствующих
исследованиям властей. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых
открыто публикуются и проверяются независимой
экспертизой".
Стоит ли пояснять, какая из препирающихся сторон больше права. Жаль только, что далеко не в
каждой стране есть Кембриджи и Андерсоны.
версия для печати
другие статьи автора
оставить комментарий (0) 
