Видео: ДвернаÑ? охота (Выломаные двери) (Септември 2024)
За нашите читатели в САЩ плащането с кредитна карта означава прекарване на магнитна лента. Но за хора в голяма част от Европа и други страни това означава да поставите чип картата си в четец и да въведете своя ПИН код. Това така наречено чип и ПИН решение отдавна е обявено за много по-превъзходно на американския плъзгане и в повечето отношения е така. Но има някои сериозни проблеми с това как схемата е била изпълнена.
Рос Андерсън изложи историята на своя екип за разследване на чип и ПИН карти в Black Hat тази година. За система, проектирана да бъде по-трудна за измама, Андерсън имаше учудващо количество да каже.
Кавалкада на недостатъците
Бързо опресняване на чип и ПИН: потребителите вмъкват картите си, когато правят покупки. След това те въвеждат своя ПИН код, което се потвърждава от картата на устройството - когато работи, ПИН кодът никога не трябва да напуска четеца. След това картата разговаря с банката, за да разреши транзакцията и продажбата се извършва. На хартия всичко звучи страхотно.
Андерсън премина през няколко неопределени уязвимости, открити от него и неговия екип и други, които първо бяха наблюдавани в природата и след това разработени от експерти по сигурността.
Много атаки бяха фокусирани върху устройствата, които търговците използваха за извършване на транзакции, и банкомати. Екипът му открил, че няколко устройства всъщност не са направени според спецификациите за сигурност, за които твърдят, че следват. С минимални усилия той каза, че могат да подслушват устройствата и да извличат ПИН по време на продажба.
Други атаки включваха инсталирането на това, което Андерсън нарече „нечестива електроника“ върху читателите, за да улавя данни за транзакциите. В един случай измамниците монтирали злите си изделия в четци на карти, преди те дори да бъдат предадени на търговците.
Но имаше много други атаки, като например вграждане на electornics директно върху чип и ПИН карти, свързване на карти със скрити устройства, които позволяват на крадец да разреши картата с произволен код и дори атаки, които „преиграват“ транзакции на различни места.
Технически превъзходен, практически проблем
Попитах Андерсън дали след всички недостатъци, които е открил с чип и пин, все още смята, че е по-добър от прекарването на карти. Той беше недвусмислен: чип и ПИН картите са технически превъзходни, просто защото те са много по-трудни за клониране от прекарване на карти.
По-големият проблем е в това как чип и ПИН бяха внедрени в Европа. Андерсън обясни, че за да накарат европейските търговци да преминат, банките обещаха на търговците, че ще носят отговорност за фалшиви такси. С плъзгащи се карти, фалшивият заряд просто се връща на търговеца. Андерсън нарече това „прехвърляне на отговорността“.
Звучи като добър план, но реалността беше доста жестока. Андерсън заяви, че жертвите на измама често са обвинявани от банките, които ги обвиняват, че са изложили някакво своите ПИН кодове. В други случаи банките просто промениха мнението си и обърнаха такси към търговците. В краен случай банките и компаниите с кредитни карти отказаха да повдигнат обвинения срещу известни измамници, очевидно от неудобство.
Никой, изглежда, не искаше да поеме отговорност за измама с чипове и ПИН. Андерсън попита, "ако банката не плаща за измамата, защо биха пробили черва, за да я запазят?"
Андерсън също разкритикува авторите на документацията за чипове и ПИН за това, че нямат ясна визия, и остави документацията да се спира извън контрол. Той нарече това трагедия на общините и отбеляза, че никой не е пристъпил към създаването на актуализирана версия, която всъщност може да направи необходимите промени в сигурността на стандарта.
Отивам в Америка
Нашите читатели в САЩ, доволни от своите прекарващи карти, може би се чудят защо това изобщо трябва да има значение за тях. Има една проста причина: чип и ПИН карти са готови да бъдат въведени в тази страна. Андерсън каза, че банките са готови да направят прехода до 2015 г.
Нещата може да не отидат толкова зле в тази страна. От една страна, само някои банки избират схеми за чипове и ПИН, докато други банки ще разгърнат карти с чип и подпис. Този план за удостоверяване е използван в Сингапур и е предназначен да осигури по-голяма защита на потребителите. Андерсън също така отбеляза, че ролята на Федералния резерв в банковото дело в САЩ също предлага по-голяма защита на потребителите - ако приемем, че не е драстично ерозирала в близко бъдеще.
Имаше и роля, според него, публиката на Черната шапка може да играе. "не е единен протокол; това е голям, случаен, хитър инструментариум за изграждане на протоколи за плащане", каза той. "Можете или да измислите нещо, което е наистина сигурно, или нещо, което наистина е кърваво ужасно."
Ето с надежда, че ще получим първата.
