Архив метки: Chip-n-Pin

Инженерия Науки

 (Апрель 2014)

О том, что инакомыслящие — также известные как хакеры — крайне полезны в области укрепления инфобезопасности, наслышаны, наверное, все. А вот идея о том, что подобная категория людей жизненно необходима еще и для развития науки, пока что звучит довольно редко. (Текст весьма большой и разветвленный, предупреждение на всякий случай.)

MechanicsCogs

= 1 =

В марте нынешнего (2014) года имели место два почти синхронных события – на первый взгляд, абсолютно никак друг с другом не связанных и примечательных просто сами по себе.

Но в действительности, как известно (т.е. о чем ныне в курсе уже практически все, кто не в танке), любые события этого мира так или иначе находятся между собой в тесных или не очень тесных, но взаимосвязях. Выявление же глубоких, однако пока что не очевидных связей, соответственно, позволяет обнаружить и некие скрытые до поры тенденции развития. А значит – более аккуратно прогнозировать будущее. Ну а кому не интересно, что ожидает нас в будущем?

Короче говоря, речь идет о таких двух событиях.

Читать далее Инженерия Науки

Карты, деньги, дежавю

(Ноябрь 2012)

На криптографической конференции CHES 2012, в сентябре этого года проходившей в г. Лувен, Бельгия, была представлена работа о серьезных слабостях, выявленных учеными-исследователями в системе банковских платежных карт EMV, в народе более известных как «Чип-и-ПИН».

emv-card

На CHES 2012 (название конференции можно расшифровать как «Криптографические встроенные системы и аппаратура») доклад об очередной компрометации EMV сделал Стивен Мердок – как представитель целой исследовательской команды из Компьютерной лаборатории Кембриджского университета.

Эту знаменитую в кругах инфобезопасности лабораторию с середины 1990-х годов возглавляет профессор Росс Андерсон – не только очень авторитетный криптограф-практик вообще, но и неустанный критик, в частности, банковских систем защиты информации. Выявлением всевозможных слабостей в этих системах (плюс конструктивными предложениями по их усилению, естественно) Андерсон и его соратники занимаются вот уже около четверти века.

Новейшая их аналитическая работа, посвященная очередным уязвимостям в системе платежных чип-карт EMV, сфокусирована на таких мошеннических манипуляциях с техникой, которые по своему итоговому эффекту эквивалентны клонированию. Имеет смысл этот момент подчеркнуть: речь идет не о физическом изготовлении клона карты, а о махинациях, оставляющих в лог-файлах платежных систем такие следы, которые оставляет за собой либо полный клон карты, либо вообще оригинал.

Принимая во внимание тот факт, что технология EMV была специально разработана в конце 1990-х годов для того, чтобы эффективно противостоять клонированию традиционных банковских карт с магнитной полоской, можно представить, сколь серьезного внимания общества должны заслуживать нынешние открытия кембриджских ученых.

Читать далее Карты, деньги, дежавю

UNUS MUNDUS

(Ноябрь 2008)

Окончание странной истории про массовую компрометацию платежных терминалов для карт Chip-and-Pin. Начало см. тут и тут.

Movie-Image

Латинское словосочетание «unus mundus» – т.е. один или, эквивалентно, единый мир – берет начало в трудах врача и алхимика XVI века Герхарда Дорна, полагавшего, что тайны мира и человека могут быть постигнуты лишь объединением души и тела в одно неразрывное целое.

В середине XX века эту же концепцию вновь пустили в научный обиход два больших ученых, Вольфганг Паули и Карл Густав Юнг, когда совместно пытались объединить парадоксальную физику невидимого микромира и не менее загадочную природу коллективного бессознательного (см. «Сны Вольфганга П«).

В данной статье идея unus mundus, впрочем, привлекается с куда менее скромными целями – просто в качестве мощной метафоры, символизирующей тесную и часто незамечаемую связь явлений и процессов в политике или экономике. Процессов, которые обычно кажутся совершенно независимыми друг от друга, однако именно в своих невидимых взаимосвязях существенно влияющих на события в мире.

Иллюстрировать эти идеи лучше всего яркими примерами из текущей жизни. Недавно, скажем, были сообщения о скандале с массовой компрометацией считывателей для кредитных карт типа Chip-and-Pin.

Техническая продвинутость позволила злоумышленникам похитить многие десятки, а может и сотни миллионов долларов с банковских счетов людей в Западной Европе. Но в истории этой остались совершенно неясными два весьма важных момента.

Во-первых, зачем информация вообще была запущена в прессу до того, как поймали злоумышленников? Ведь установленный сервер преступников, копивший похищаемые реквизиты карт, находился в пакистанском городе Лахор, а Пакистан – это вполне цивилизованная страна, сотрудничающая с международными правоохранительными органами типа Интерпола.

И во-вторых, почему эту информацию, касающуюся в первую очередь Европы, запустил в мировую прессу некто Джоэл Бреннер (Joel Brenner), директор национальной контрразведки США? Читать далее UNUS MUNDUS

Лаборатория и жизнь

(Октябрь 2008)

Продолжение реального техно-триллера, начало см. тут.

lab-n-life

В области безопасности платежных карт случился очередной гранд-скандал. Обнаружено, что некая международная группа преступников, используя лучшие достижения высоких технологий, сумела внедрить хитрую шпионскую закладку во множество терминалов-считывателей PED (PIN entry devices) для новых Chip-n-Pin-карточек.

На такие более безопасные карты, совмещающие в себе чип и магнитную полоску, уже массово перешли многие страны Западной Европы. А соответствующие терминалы-считыватели ныне работают в тысячах касс больших и мелких магазинов.

Выявленная в части таких устройств шпионская закладка не менее 9 месяцев позволяла преступникам похищать с банковских счетов граждан деньги на общую сумму порядка 100 миллионов долларов (лишь по самым грубым оценкам, в действительности может и больше).

Технология этого изощренного преступления сама по себе весьма любопытна. Но не менее интересно также то, что ровно год назад, в октябре-ноябре 2007, серьезнейшая слабость в защите данных, обрабатываемых терминалами-считывателями PED, была своевременно обнаружена. Читать далее Лаборатория и жизнь

Скрепка и булавка

(Февраль 2008)

needles-n-pins

Группа исследователей из Компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт «Chip & PIN» [www.cl.cam.ac.uk/techreports/UCAM-CL-TR-711.pdf ].

Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже широко введены в странах вроде Британии, Австрии, Бельгии, а в еще большем количестве государств планируются к повсеместному внедрению на смену безнадежно устаревшим карточкам с магнитной полоской.

Строго говоря, кембриджскими специалистами ныне скомпрометированы не столько карты, благодаря добавлению чипа существенно прибавившие в безопасности, а скорее аппараты-терминалы, используемые в торговых точках и в банках для обработки транзакций и верификации карты – так называемые PED или «устройства ввода персонального идентификатора» (PIN Entry Devices).

Аспирант Саар Дример и два его более старших коллеги, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson), на примере двух наиболее популярных в Великобритании моделей PED – Ingenico i3300 и Dione Xtreme – наглядно показали, сколь ненадежно там защищены обрабатываемые данные о карте и ее владельце.

Разработанная учеными-компьютерщиками техника взлома носит название tapping attack («атака через отвод») и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение все это хозяйство собрать, воткнуть и подключить туда, куда надо. Читать далее Скрепка и булавка