Видео: 5 НОВЫХ ЛАЙФХАКОВ С КОНСТРУКТОРОМ LEGO 4K (Октября 2024)
Для наших американских читателей оплата кредитной картой означает считывание магнитной полосы. Но для людей в большинстве стран Европы и других стран это означает вставку вашей чип-карты в считыватель и ввод PIN-кода. Это так называемое решение для чипов и ПИН-кодов уже давно рекламируется как превосходящее американское сканирование, и в большинстве случаев так оно и есть. Но есть некоторые серьезные проблемы с тем, как схема была реализована.
Росс Андерсон изложил историю своей команды по исследованию чиповых и PIN-карт в Black Hat в этом году. Для системы, разработанной так, чтобы ее было сложнее обмануть, у Андерсона было неожиданное количество слов.
Кавалькада недостатков
Быстрое обновление чипа и PIN-кода: покупатели вставляют свои карты при совершении покупок. Затем они вводят свой ПИН-код, который подтверждается картой на устройстве - когда он работает, ПИН-код никогда не должен покидать устройство считывания. Затем карта обращается к банку для авторизации транзакции, и продажа осуществляется. На бумаге все это звучит великолепно.
Андерсон прошел через несколько уникальных уязвимостей, обнаруженных им и его командой, а также другими, которые сначала были обнаружены в дикой природе, а затем отработаны экспертами по безопасности.
Многие атаки были направлены на устройства, которые продавцы использовали для проведения транзакций, и банкоматы. Его команда обнаружила, что на самом деле несколько устройств не были изготовлены в соответствии со спецификациями безопасности, которые, по их утверждениям, должны были соблюдаться. С минимальными усилиями он сказал, что они могут прослушивать устройства и извлекать PIN-код во время продажи.
Другие атаки включали установку так называемой «злой электроники» Андерсона на считыватели для сбора данных транзакций. В одном случае мошенники установили свои злые товары в устройства для чтения карт еще до того, как их доставили торговцам.
Но было много других атак, таких как встраивание электротехники непосредственно в карты с чипами и PIN-кодами, подключение карт к скрытым устройствам, позволяющим вору авторизовать карту любым случайным кодом, и даже атаки, которые «воспроизводили» транзакции в разных местах.
Технически превосходный, практически проблемный
Я спросил Андерсона, если после всех недостатков, которые он обнаружил с помощью чипа и булавки, он все еще думал, что это лучше, чем считывание карт. Он был недвусмысленен: чиповые и пин-карты технически превосходят просто потому, что их клонировать гораздо сложнее, чем считывание карт.
Большая проблема заключается в том, как чип и PIN-код были развернуты в Европе. Андерсон объяснил, что для того, чтобы заставить европейских торговцев переключиться, банки пообещали торговцам, что они будут нести ответственность за мошеннические платежи. При использовании карт с размахом мошеннический платеж просто возвращается продавцу. Андерсон назвал это «перекладыванием ответственности».
Звучит как хороший план, но реальность была довольно жестокой. Андерсон сказал, что банки часто обвиняют жертв мошенничества, которые обвиняют их в том, что они каким-то образом раскрывают свои PIN-коды. В других случаях банки просто передумали и отменили платежи торговцам. В крайних случаях банки и компании, выпускающие кредитные карты, отказывались выдвигать обвинения против известных мошенников, очевидно из-за смущения.
Казалось, никто не хотел брать на себя ответственность за мошенничество с использованием чипов и ПИН-кодов. Андерсон спросил: «Если банк не платит за мошенничество, зачем ему пытаться защитить его?»
Андерсон также раскритиковал авторов документации на чип и ПИН за то, что они не имели четкого видения и не позволили документации выйти из-под контроля. Он назвал это трагедией общего достояния и отметил, что никто не сделал шаг вперед, чтобы создать обновленную версию, которая могла бы реально внести необходимые изменения в стандарт безопасности.
Прибытие в Америку
Наши читатели из США, довольствуясь своими карточками, могут задаться вопросом, почему это им вообще важно. Есть одна простая причина: чип и PIN-карты могут быть введены в этой стране. Андерсон сказал, что банки намерены осуществить переход к 2015 году.
В этой стране, возможно, не все так плохо. С одной стороны, только некоторые банки выбирают схемы с чипами и PIN-кодами, в то время как другие банки будут выпускать карты с чипами и подписью. Этот план аутентификации использовался в Сингапуре и предназначен для обеспечения большей защиты потребителей. Андерсон также отметил, что роль Федеральной резервной системы в банковской сфере США также обеспечивает более надежную защиту потребителей - при условии, что в ближайшем будущем она не будет существенно разрушена.
По его словам, была также роль, которую могла сыграть аудитория Black Hat. «Это не единый протокол, это большой, случайный и хитрый инструментарий для создания платежных протоколов», - сказал он. «Вы можете придумать что-то действительно безопасное или что-то действительно ужасное».
Надеюсь, мы получим первое.
