Лаборатория и жизнь

(Октябрь 2008)

Продолжение реального техно-триллера, начало см. тут.

lab-n-life

В области безопасности платежных карт случился очередной гранд-скандал. Обнаружено, что некая международная группа преступников, используя лучшие достижения высоких технологий, сумела внедрить хитрую шпионскую закладку во множество терминалов-считывателей PED (PIN entry devices) для новых Chip-n-Pin-карточек.

На такие более безопасные карты, совмещающие в себе чип и магнитную полоску, уже массово перешли многие страны Западной Европы. А соответствующие терминалы-считыватели ныне работают в тысячах касс больших и мелких магазинов.

Выявленная в части таких устройств шпионская закладка не менее 9 месяцев позволяла преступникам похищать с банковских счетов граждан деньги на общую сумму порядка 100 миллионов долларов (лишь по самым грубым оценкам, в действительности может и больше).

Технология этого изощренного преступления сама по себе весьма любопытна. Но не менее интересно также то, что ровно год назад, в октябре-ноябре 2007, серьезнейшая слабость в защите данных, обрабатываемых терминалами-считывателями PED, была своевременно обнаружена.

Выявившие дыру специалисты из лаборатории компьютерной безопасности Кембриджского университета настойчиво пытались заранее предупредить все заинтересованные инстанции о том, что в схемах терминалов PED есть участок, где содержательные данные о карточках покупателей проходят в открытом, незашифрованном виде. Поэтому подсоединившийся к такому тракту злоумышленник может похитить все реквизиты карты, включая PIN-код доступа, и изготовить эффективный клон (см. «Скрепка и булавка»).

В ответ на свои предупреждения исследователи получили из инстанций стандартные отписки, трактующие их работу как далекие от жизни «лабораторные эксперименты». Надменная же отповедь от компании Visa содержала буквально такие слова: «В академической статье Кембриджа мы не увидели ничего такого, чего не знали раньше, и ничего такого, что представляло бы угрозу для безопасности карт в реальном мире»…

Так что имеется сильнейший элемент иронии в той картине, которая открылась ныне вместе с выявлением закладок в PED. Картине, которая воочию продемонстрировала самым умным и то, о чем они понятия не имели раньше, и то, как выглядят реальные угрозы для защиты данных в сегодняшнем мире.

Рассказ о технологии всей этой остроумной и сложной затеи начать, вероятно, следует с того, что сами организаторы преступления пока еще не пойманы. Поэтому существенных деталей в картине явно недостает.

Например, по сию пору неизвестно, где именно удалось наладить встраивание закладки в PED-терминалы – непосредственно в процессе сборки на фабрике в Китае, или же где-то на складах перед отправкой получателю. В любом случае, закладка внедрялась очень качественно, никаких внешних следов на корпусе или упаковке не оставалось, поэтому получатели терминалов не имели ни малейших сомнений в «чистоте» своих аппаратов.

Собственно закладка представляет собой три электронных схемы на печатных платах, которые упакованы в плоский металлический корпус отдельного модуля-карты. Этот модуль аккуратно прикреплен к днищу системной платы PED и подключен отводом к тому самому участку платы, где данные со считываемых карт проходят в открытом виде перед попаданием в физически защищенный криптомодуль терминала.

Первая схема закладки предназначена для копирования всех реквизитов карты и ее PIN-кода доступа. Вторая схема шифрует снятую информацию и хранит ее в собственном буфере памяти. Третья же схема представляет собой миниатюрный сотовый телефон, который в определенные моменты времени передает собранные данные из буфера на единый сервер, управляющий всей сетью закладок и находящийся в городе Лахор, Пакистан.

Похищенные данные использовались для изготовления карточек-клонов с магнитной полосой, вполне пригодных для покупок или снятия наличных в банкоматах тех стран, где еще не перешли на Chip-n-Pin (вроде США или Пакистана). Но существенно, что делалось это все чрезвычайно аккуратно и продуманно.

Частота звонков серверу от закладок существенно зависела от количества похищенных карт и от оплачиваемых карточками сумм. Поэтому звонки могли быть и раз в день, и реже раза в неделю.

Кроме того, сервер мог разнообразно регулировать работу каждой закладки после очередного опустошения буфера. Например, давать команды типа: «Теперь копировать каждую десятую карту» или «Теперь пять карт Visa Platinum».

Наконец, все похищаемые реквизиты не сразу запускались преступниками в дело, а поначалу «мариновались» по меньшей мере месяца два, чтобы максимально затруднить выявление мест похищения.

Понятно, что при таких условиях выявить сам факт существования столь изощренной закладки было чрезвычайно непросто. Хотя наиболее существенные подробности об этой истории по-прежнему хранятся в тайне, известно, что первыми начали выявлять неладное в терминалах специалисты MasterCard.

Один из обокраденных клиентов этой компании был абсолютно на 100% уверен, что использовал свою карточку MasterCard исключительно в одном-единственном месте – магазинчике провинциальной Британии. И, более того, мог это убедительно доказать.

А поскольку мошеннические изъятия по той же карте проходили из-за рубежа, следствию не оставалось ничего другого, как поподробнее изучить PED-терминал в магазинчике. И обнаружить там нечто в высшей степени необычное…

Коль скоро внешним осмотром, без вскрытия терминалов обнаружить модуль закладки невозможно, то самым простым способом для выявления шпиона стало взвешивание считывателей карточек на весах. Отличие массы аппарата от стандартной на 3-4 унции стало главным признаком для выявления скомпрометированных устройств.

Поэтому все последние месяцы по городам и весям Европы колесили группы инспекторов, занятых тщательным взвешиванием имеющихся в кассах магазинов PED-терминалов. На сегодняшний день в пяти, по меньшей мере странах – Бельгии, Великобритании, Дании, Голландии, Ирландии – обнаружено свыше сотни таких закладок, исправно звонивших на сервер хозяев в Лахор.

Точка же в этой истории еще не поставлена.

(Озадачивающий финал истории следует)