платежные карты

2 сентября, 20152 сентября, 2015

Наличные 2.0 ?

(Август 2007)

Бесконтактные платежные карточки и проблемы с их безопасностью.

К карточкам бесконтактных платежей ныне как бы само собой понемногу приклеивается название «наличные 2.0». С одной стороны, для подобного термина имеются основания, коль скоро небольшие оплаты наличными деньгами действительно начинают все чаще заменять поднесением платежной смарт-карты или мобильника с RFID-чипом к окошку ридера в транспортном турникете, торговом автомате или кассовом терминале магазина.

Но с другой стороны, подобная подмена понятий не совсем корректна, поскольку важнейшие свойства наличных денег — их анонимность и неотслеживаемость платежей — в широко внедряемых ныне системах бесконтактной оплаты не предусмотрены. Ибо так называемые «наличные 2.0» при ближайшем рассмотрении ничем принципиальным не отличаются от обычных кредитных или дебетовых карточек, жестко привязанных к конкретным людям и к их банковским счетам.

С коммерческой точки зрения, вообще говоря, никакой потребности в персональной привязке платежных смарт-карт к конкретным людям нет. А вот с точки зрения безопасности, как считают многие независимые эксперты, бесконтактные платежные карты на основе RFID, чипов радиочастотной идентификации, не только тащат за собой тяжкое наследие неважно защищенных кредитных карточек с магнитной полоской, но и порождают кучу новых проблем.

Однако индустрия карточных платежей, энергично пытающаяся внедрять новую технологию, с подобными воззрениями категорически не согласна и пытается убедить людей в обратном — что их бесконтактная система якобы даже более безопасна, чем традиционная. Для того чтобы понять аргументы сторон и оценить их убедительность, понадобится рассмотреть проблему в ее историческом контексте и хотя бы в минимальных технических подробностях.

Читать «Наличные 2.0 ?» далее

12 апреля, 201516 апреля, 2015

Инженерия Науки

(Апрель 2014)

О том, что инакомыслящие — также известные как хакеры — крайне полезны в области укрепления инфобезопасности, наслышаны, наверное, все. А вот идея о том, что подобная категория людей жизненно необходима еще и для развития науки, пока что звучит довольно редко. (Текст весьма большой и разветвленный, предупреждение на всякий случай.)

= 1 =

В марте нынешнего (2014) года имели место два почти синхронных события – на первый взгляд, абсолютно никак друг с другом не связанных и примечательных просто сами по себе.

Но в действительности, как известно (т.е. о чем ныне в курсе уже практически все, кто не в танке), любые события этого мира так или иначе находятся между собой в тесных или не очень тесных, но взаимосвязях. Выявление же глубоких, однако пока что не очевидных связей, соответственно, позволяет обнаружить и некие скрытые до поры тенденции развития. А значит – более аккуратно прогнозировать будущее. Ну а кому не интересно, что ожидает нас в будущем?

Короче говоря, речь идет о таких двух событиях.

Читать «Инженерия Науки» далее

25 марта, 201425 марта, 2014

Карты, деньги, дежавю

(Ноябрь 2012)

На криптографической конференции CHES 2012, в сентябре этого года проходившей в г. Лувен, Бельгия, была представлена работа о серьезных слабостях, выявленных учеными-исследователями в системе банковских платежных карт EMV, в народе более известных как «Чип-и-ПИН».

На CHES 2012 (название конференции можно расшифровать как «Криптографические встроенные системы и аппаратура») доклад об очередной компрометации EMV сделал Стивен Мердок – как представитель целой исследовательской команды из Компьютерной лаборатории Кембриджского университета.

Эту знаменитую в кругах инфобезопасности лабораторию с середины 1990-х годов возглавляет профессор Росс Андерсон – не только очень авторитетный криптограф-практик вообще, но и неустанный критик, в частности, банковских систем защиты информации. Выявлением всевозможных слабостей в этих системах (плюс конструктивными предложениями по их усилению, естественно) Андерсон и его соратники занимаются вот уже около четверти века.

Новейшая их аналитическая работа, посвященная очередным уязвимостям в системе платежных чип-карт EMV, сфокусирована на таких мошеннических манипуляциях с техникой, которые по своему итоговому эффекту эквивалентны клонированию. Имеет смысл этот момент подчеркнуть: речь идет не о физическом изготовлении клона карты, а о махинациях, оставляющих в лог-файлах платежных систем такие следы, которые оставляет за собой либо полный клон карты, либо вообще оригинал.

Принимая во внимание тот факт, что технология EMV была специально разработана в конце 1990-х годов для того, чтобы эффективно противостоять клонированию традиционных банковских карт с магнитной полоской, можно представить, сколь серьезного внимания общества должны заслуживать нынешние открытия кембриджских ученых.

Читать «Карты, деньги, дежавю» далее

13 июля, 201311 августа, 2013

Лаборатория и жизнь

(Октябрь 2008)

Продолжение реального техно-триллера, начало см. тут.

В области безопасности платежных карт случился очередной гранд-скандал. Обнаружено, что некая международная группа преступников, используя лучшие достижения высоких технологий, сумела внедрить хитрую шпионскую закладку во множество терминалов-считывателей PED (PIN entry devices) для новых Chip-n-Pin-карточек.

На такие более безопасные карты, совмещающие в себе чип и магнитную полоску, уже массово перешли многие страны Западной Европы. А соответствующие терминалы-считыватели ныне работают в тысячах касс больших и мелких магазинов.

Выявленная в части таких устройств шпионская закладка не менее 9 месяцев позволяла преступникам похищать с банковских счетов граждан деньги на общую сумму порядка 100 миллионов долларов (лишь по самым грубым оценкам, в действительности может и больше).

Технология этого изощренного преступления сама по себе весьма любопытна. Но не менее интересно также то, что ровно год назад, в октябре-ноябре 2007, серьезнейшая слабость в защите данных, обрабатываемых терминалами-считывателями PED, была своевременно обнаружена. Читать «Лаборатория и жизнь» далее

13 июля, 201313 марта, 2014

Скрепка и булавка

(Февраль 2008)

Группа исследователей из Компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт «Chip & PIN» [www.cl.cam.ac.uk/techreports/UCAM-CL-TR-711.pdf ].

Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже широко введены в странах вроде Британии, Австрии, Бельгии, а в еще большем количестве государств планируются к повсеместному внедрению на смену безнадежно устаревшим карточкам с магнитной полоской.

Строго говоря, кембриджскими специалистами ныне скомпрометированы не столько карты, благодаря добавлению чипа существенно прибавившие в безопасности, а скорее аппараты-терминалы, используемые в торговых точках и в банках для обработки транзакций и верификации карты – так называемые PED или «устройства ввода персонального идентификатора» (PIN Entry Devices).

Аспирант Саар Дример и два его более старших коллеги, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson), на примере двух наиболее популярных в Великобритании моделей PED – Ingenico i3300 и Dione Xtreme – наглядно показали, сколь ненадежно там защищены обрабатываемые данные о карте и ее владельце.

Разработанная учеными-компьютерщиками техника взлома носит название tapping attack («атака через отвод») и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение все это хозяйство собрать, воткнуть и подключить туда, куда надо. Читать «Скрепка и булавка» далее