Відео: rytp баÑбоÑÐºÐ¸Ð½Ñ Ð±ÐµÐ· маÑа VIDEOMEGA RU (Листопад 2024)
Нашим американським читачам оплата кредитною карткою означає промахування магнітною смужкою. Але для людей у більшості країн Європи та інших країн це означає вставити свою чип-карту в зчитувач і ввести свій PIN-код. Це так зване рішення мікросхем та PIN давно вважається набагато кращим за американське перенесення, і в більшості способів воно є. Але є кілька серйозних питань щодо того, як реалізована схема.
Росс Андерсон виклав історію своєї команди щодо дослідження чіпів та PIN-карт у Black Hat цього року. Про систему, розроблену як важче обдурити, Андерсон мав сказати дивовижну суму.
Кавалькада вад
Швидке оновлення чіпа та PIN-коду: споживачі вставляють свої картки під час здійснення покупок. Потім вони вводять свій PIN-код, який підтверджується карткою на пристрої - коли він працює, PIN-код ніколи не повинен залишати читача. Потім картка розмовляє з банком для авторизації транзакції, і продаж здійснюється. На папері все це чудово звучить.
Андерсон пройшов через кілька невразливих уразливостей, виявлених ним та його командою та іншими, які спочатку спостерігалися в дикій природі, а потім реверсивно розроблені експертами з безпеки.
Багато атак були зосереджені на пристроях, якими торговці користувалися для здійснення транзакцій, та банкоматах. Його команда встановила, що декілька пристроїв насправді не були виконані з технічними умовами безпеки, яких вони стверджують, що вони відповідають. Поклавши мінімум зусиль, він сказав, що вони можуть підслухати пристрої та отримати PIN-код під час продажу.
Інші атаки включали встановлення того, що Андерсон назвав на зчитувачі "злою електронікою" для збору даних про транзакції. В одному випадку шахраї встановили свої злі вироби у читачі карт, перш ніж вони навіть були віддані торговцям.
Але було чимало інших атак, наприклад, вставлення електоніків безпосередньо на чіп та PIN-карти, підключення карток до прихованих пристроїв, що дозволяло злодію авторизувати карту з будь-яким випадковим кодом і навіть напади, які "повторювали" транзакції в різних місцях.
Технічно вищий, практично проблематичний
Я запитав Андерсона, чи не вважає він, що після всіх недоліків, які він виявив із чіпом та шпилькою, він краще, ніж картка пальцем. Він був однозначним: чіпові та PIN-картки технічно перевершені просто тому, що їх клонувати набагато складніше, ніж проведіть картками.
Більша проблема полягає в тому, як мікросхема та PIN були розгорнуті в Європі. Андерсон пояснив, що для того, щоб змусити європейських торговців перейти, банки пообіцяли торговцям, що вони будуть відповідати за шахрайські збори. За допомогою пальних карт комерційний заряд просто повертається продавцю. Андерсон назвав це "перекладом відповідальності".
Звучить як хороший план, але реальність була досить жорстокою. Андерсон зазначив, що жертви шахрайства часто звинувачують у банках, які звинувачують їх у тому, що вони якось виставляли свої ПІН-коди. В інших випадках банки просто передумали і скасували кошти торговцям. У крайньому випадку банки та компанії з кредитними картками відмовились пред'являти звинувачення проти відомих аферистів, очевидно, зніяковіло.
Ніхто, здавалося, не хотів брати на себе відповідальність за шахрайство з чіпами та PIN-кодами. Андерсон запитав: "Якщо банк не платить за шахрайство, то чому б вони розбили кишку, щоб зберегти це?"
Андерсон також розкритикував авторів документації з чіпами та PIN-кодами за те, що вони не мають чіткого бачення, і за те, що документація не вийшла з-під контролю. Він назвав це трагедією загального користування та зазначив, що ніхто не виступив із автором оновленої версії, яка фактично могла б внести необхідні зміни до стандарту безпеки.
Їдемо до Америки
Наші американські читачі, задоволені своїми пальчиковими картками, можуть задатися питанням, чому це взагалі має значення для них. Є одна проста причина: мікросхеми та PIN-карти готові до введення в цю країну. Андерсон сказав, що банки готові здійснити перехід до 2015 року.
У цій країні все може не так погано. З одного боку, лише деякі банки вибирають схеми чіпів та PIN-кодів, а інші банки розгортають чіп-карти та підписи. Цей план аутентифікації використовувався в Сінгапурі та розроблений для забезпечення більшого захисту споживачів. Андерсон також зазначив, що роль Федеральної резервної системи в банківській справі в США також пропонує більш високий захист споживачів - припускаючи, що це не буде різко зірвано найближчим часом.
Він також відзначив, що аудиторія Чорного капелюха могла зіграти. "Це не єдиний протокол; це великий, випадковий, хитрий інструментарій для складання платіжних протоколів", - сказав він. "Ви можете або придумати щось справді безпечне, або щось справді криваво жахливе".
Ось сподіваємось, що ми отримаємо перше.