Игла и скрепка

Группа исследователей из компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт Chip & PIN. Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже получили широкое распространение в Британии, Австрии и Бельгии, а многие другие государства планируют заменить ими безнадежно устаревшие карточки с одинокой магнитной полоской.

Группа исследователей из компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт Chip & PIN. Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже получили широкое распространение в Британии, Австрии и Бельгии, а многие другие государства планируют заменить ими безнадежно устаревшие карточки с одинокой магнитной полоской. Строго говоря, кембриджские специалисты показали ненадежность не столько карт, сколько терминалов, использующихся в торговых точках и банках для обработки транзакций и верификации карты, - так называемых PED (PIN entry devices - устройства ввода персонального идентификатора).

Саар Дример, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson) на примере двух самых распространенных в Великобритании моделей PED - Ingenico i3300 и Dione Xtreme - продемонстрировали, сколь плохо защищены данные о карте и ее владельце. Разработанная ими техника взлома носит название tapping attack ("атака через отвод") и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение весь этот "реквизит" собрать, воткнуть и подключить куда следует.

С помощью столь нехитрого инструментария исследователи сумели записать процедуру обмена данными между картой и процессором PED, ничуть не потревожив устройства защиты, вмонтированные в терминал. Перехваченный поток данных сразу позволяет установить PIN карты, поскольку британские банки выбрали технологию подешевле и не стали встраивать в чип средства, которые бы шифровали информацию, курсирующую между картой и PED.

Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN-кода. Ради того, чтобы обеспечить обратную совместимость со старыми картами, терминалы считывают данные не только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить иглу-отвод к каналу обмена между картой и процессором, то он получает возможность записать все данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN-кодом это дает возможность легко изготовить фальшивую карту и с ее помощью снимать деньги со счета в банкоматах зарубежных стран, еще не перешедших на Chip & PIN. Более того, подобные банкоматы кое-где остались и в провинциальных районах Британии.

Особой критики, по мнению исследователей, заслуживает в высшей степени непрозрачный, ущербный по своей сути процесс сертификации и оценки безопасности устройств PED, отвечающих за защиту важных данных. Транснациональный гигант Visa и британская платежная ассоциация APACS, признав оба устройства безопасными и официально санкционировав их широчайшее распространение, проглядели серьезнейшие уязвимости, выявленные кембриджской командой. Более того, при выдаче сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемому подлогом. Было объявлено, что устройства PED прошли "оценку на соответствие Common Criteria", то есть международному набору стандартов для систем безопасности, принятому в Великобритании, США и других странах НАТО. На Туманном Альбионе выдачей сертификатов о соответствии Common Criteria (СС) ведает правительственная спецслужба GCHQ, аналог американского АНБ. Однако в GCHQ сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC.
Тут-то и выяснилось, что "оценка на соответствие CC" и "сертификация" - две большие разницы. Результаты тестирования на предмет сертификации положено открыто публиковать, а Visa и APACS категорически отказываются предоставить кому-либо отчет об оценке безопасности терминалов. Более того, засекречены и сами инстанции, проводившие эту оценку. В ответах же исследователям, которые еще в ноябре прошлого года предупредили об уязвимости все заинтересованные стороны - APACS, Visa, изготовителей PED, - серьезность угрозы намеренно приуменьшается.

Реакция Visa, например, выглядит так: "В академической статье Кембриджа мы не увидели ничего такого, чего не знали раньше, и ничего такого, что представляло бы угрозу для безопасности карт в реальном мире". Представители же Ingenico, одного из изготовителей PED, выразились не столь высокомерно, но в том же ключе: "Метод, описанный в университетской статье, требует специальных знаний и сопряжен с техническими трудностями. По этой причине он невоспроизводим в широких масштабах и не учитывает тот мониторинг мошенничества, что применяется в индустрии"…

Один из членов кембриджской команды, профессор Росс Андерсон, сражается с порочным подходом банков и индустрии к безопасности уже два десятка лет. По поводу последней работы он говорит так: "Уроки, которые мы здесь получаем, вовсе не ограничиваются банкингом. В самых разных областях, от машин для голосования до автоматизированных систем учета медицинских данных, постоянно появляется одна и та же комбинация из глупых ошибок, фиктивных сертификаций и препятствующих исследованиям властей. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых открыто публикуются и проверяются независимой экспертизой".

Стоит ли пояснять, какая из препирающихся сторон больше права. Жаль только, что далеко не в каждой стране есть Кембриджи и Андерсоны.