Ученые обнаружили уязвимость платежных карт с чипами
A
AlexLenin
http://soft.mail.ru/pressrl_page.php?id=37009
Исследователи из Кембриджского университета (Великобритания) обнаружили фундаментальную уязвимость в так называемых «чипованных» платежных картах. Оказалось, что дебетовые и кредитные банковские карты, использующие протокол EMV (Europay, MasterCard, Visa), можно использовать в некоторых транзакциях без действительного PIN-кода, что открывает перед мошенниками богатые возможности для преступлений.
Как показало исследование, существует возможность создать устройство, которое может перехватывать и изменять поток данных между картой и платежным терминалом. Такое устройство может обмануть терминал и провести платеж без ввода PIN-кода. Ученым удалось провести платежи без PIN-кода с карточками шести эмитентов, в том числе Barclaycard, Co-operative Bank, Halifax, Bank of Scotland, HSBC и John Lewis.
Ученые пока не раскрывают всех подробностей атаки, однако известно, что для проведения мошеннической операции достаточно поместить украденную карту в серийный считыватель карт, который умещается в рюкзаке. Перехваченные данные с украденной карты с помощью специальных программ помещаются на фальшивую карту, которая затем вставляется в платежный терминал. Фальшивая карта подает на терминал специальный сигнал, в результате чего терминал считает, что введен корректный PIN-код, хотя мошенникам совсем необязательно знать этот код – транзакция будет считаться проверенной.
Раньше чиповые карты считались гораздо более защищенными, чем карты с магнитной полосой. Нынешнее открытие ученых из Кембриджа под руководством профессора Росса Андерсона (Ross Anderson) показывает, что даже эти карты не могут считаться неуязвимыми, несмотря на проверку секретного PIN-кода. Подробнее об исследовании новой уязвимости можно прочитать в опубликованной авторами статье.
Исследователи из Кембриджского университета (Великобритания) обнаружили фундаментальную уязвимость в так называемых «чипованных» платежных картах. Оказалось, что дебетовые и кредитные банковские карты, использующие протокол EMV (Europay, MasterCard, Visa), можно использовать в некоторых транзакциях без действительного PIN-кода, что открывает перед мошенниками богатые возможности для преступлений.
Как показало исследование, существует возможность создать устройство, которое может перехватывать и изменять поток данных между картой и платежным терминалом. Такое устройство может обмануть терминал и провести платеж без ввода PIN-кода. Ученым удалось провести платежи без PIN-кода с карточками шести эмитентов, в том числе Barclaycard, Co-operative Bank, Halifax, Bank of Scotland, HSBC и John Lewis.
Ученые пока не раскрывают всех подробностей атаки, однако известно, что для проведения мошеннической операции достаточно поместить украденную карту в серийный считыватель карт, который умещается в рюкзаке. Перехваченные данные с украденной карты с помощью специальных программ помещаются на фальшивую карту, которая затем вставляется в платежный терминал. Фальшивая карта подает на терминал специальный сигнал, в результате чего терминал считает, что введен корректный PIN-код, хотя мошенникам совсем необязательно знать этот код – транзакция будет считаться проверенной.
Раньше чиповые карты считались гораздо более защищенными, чем карты с магнитной полосой. Нынешнее открытие ученых из Кембриджа под руководством профессора Росса Андерсона (Ross Anderson) показывает, что даже эти карты не могут считаться неуязвимыми, несмотря на проверку секретного PIN-кода. Подробнее об исследовании новой уязвимости можно прочитать в опубликованной авторами статье.
г
генерал Пурпоз
Спасибо, занятный PDFчик!
Интересно, когда же хоть кому-нибудь и этих "разработчиков протоколов" надерут задницу?!
На них и надо повесить все финансовые потери, происшедшие с добросовестными держателями карт - за все годы существования этой "системы"...
Интересно, когда же хоть кому-нибудь и этих "разработчиков протоколов" надерут задницу?!
На них и надо повесить все финансовые потери, происшедшие с добросовестными держателями карт - за все годы существования этой "системы"...
к
кOт
Ученые, блин!
Мельчает Кембридж.
Любой специалист, занимающийся EMV картами и знающий EMV спецификации все это знает априори!
Интересно, как на меня посмотрят в магазине, если я им предложу для оплаты вставить в терминал нечто, отдаленно похожее на карту, от которого еще и провода идут!
Ну борзописцы наши как обычно- сенсацию нашли.
Мельчает Кембридж.
Любой специалист, занимающийся EMV картами и знающий EMV спецификации все это знает априори!
Интересно, как на меня посмотрят в магазине, если я им предложу для оплаты вставить в терминал нечто, отдаленно похожее на карту, от которого еще и провода идут!
Ну борзописцы наши как обычно- сенсацию нашли.
к
кOт
И вдогонку.
Обратите внимание, что "ученые" считают большой уязвимостью, возможность не вводить Off-line ПИН при проведении транзакции.
На данном же форуме многократно поднималась тема в стиле: "..что за беспредел, в магазине ХХХ терминал требует ввода ПИНа.."
Это так, для размышления...
Обратите внимание, что "ученые" считают большой уязвимостью, возможность не вводить Off-line ПИН при проведении транзакции.
На данном же форуме многократно поднималась тема в стиле: "..что за беспредел, в магазине ХХХ терминал требует ввода ПИНа.."
Это так, для размышления...
г
генерал Пурпоз
Интересно, как на меня посмотрят в магазине, если я им предложу для оплаты вставить в терминал нечто, отдаленно похожее на карту, от которого еще и провода идут!
Терминалы ("там") установлены так, чтобы кассир НИ ПРИ КАКИХ обстоятельствах не видел рук покупателя, когда тот набирает PIN-код.
Так что, вариант с массогабаритным макетом карточки на проводах вполне прокатит/прокатывает.
А статья ещё раз доказала - всякие протоколы, изобретённые умельцами (неспециалистами) в тиши кабинетов под покровом секретности, не выдерживают контакта с реальной жизнью.
Надежды на исправление мало, но я мечтаю о такой карте:
- с собственным экранчиком и клавиатуркой, чтобы проверять подробности сделки, а защитный код карты, набранный на самой карте, отпирал её ДО предъявления в ATM/платёжный терминал.
- платёжные PIN-коды должны отличаться (on-line, off-line) от защитного кода
- карта должна подключаться по TLS к своему банку или серверу ПС и должна проходить взаимную аутентификацию Банк-Карта.
Так работает весь интернет, клоуны из EMV не должны изобретать велосипед с квадратными колёсами...
C
Cybervlad
Спасибо, занятный PDFчик!
Так что, вариант с массогабаритным макетом карточки на проводах вполне прокатит/прокатывает.
Антон, Вы бы оригинал почитали, а не бредятину на mail.ru.
Какой еще "массо-габаритный макет"? Там вот такая конструкция:
т.е. краденная карта нужна в процессе транзакции в комплекте с ноутбуком и сборкой.
И работает это все только при проверке оффлайнового ПИНа.
Так что "английские ученые" опять отожгли :-)
г
генерал Пурпоз
Я оригинальный PDF и читал.
Возбудился от того, что, оказывается, даже CDA не спасает от злонамеренного искажения посылок между картой и терминалом/банком.
(правда, там сказано, что можно настроить профиль CDA-карты так, чтобы CVMR тоже включался в защищаемые MAC'ом посылки...)
:-d
Кстати!
У меня почти такой же ноут, только чёрный! Мне, что ли, "на тропу войны" выйти?
Кстати-2:
- теперь не только за поколением карты (SDA/DDA/CDA) следить придётся, но и за тем, как банк их настраивает!...
Хоть опять в банк на работу устраивайся, чтобы не напарили...
:-)
Кстати-3:
- атака не только на off-line PIN действует, банк про покупку подумает, что терминал был без PIN-pad'а - и всё оплатит.
[Сообщение изменено пользователем 14.02.2010 00:01]
Возбудился от того, что, оказывается, даже CDA не спасает от злонамеренного искажения посылок между картой и терминалом/банком.
(правда, там сказано, что можно настроить профиль CDA-карты так, чтобы CVMR тоже включался в защищаемые MAC'ом посылки...)
:-d
Кстати!
У меня почти такой же ноут, только чёрный! Мне, что ли, "на тропу войны" выйти?
Кстати-2:
- теперь не только за поколением карты (SDA/DDA/CDA) следить придётся, но и за тем, как банк их настраивает!...
Хоть опять в банк на работу устраивайся, чтобы не напарили...
:-)
Кстати-3:
- атака не только на off-line PIN действует, банк про покупку подумает, что терминал был без PIN-pad'а - и всё оплатит.
[Сообщение изменено пользователем 14.02.2010 00:01]
к
кOт
Возбудился от того, что, оказывается, даже CDA не спасает от злонамеренного искажения посылок между картой и терминалом/банком.
У каждой проверки своя задача. Не надо их путать.
Есть SDA,DDA,CDA, целью которых является проверка терминалом подлинности карты.
Есть ARQC/ARPC, целью которых является проверка подлинности карты эмитентом и проверка подлинности эмитента картой.
Есть ПИН или подпись, целью которых является проверка клиента.
атака не только
на off-line PIN действует, банк про покупку подумает, что терминал был без PIN-pad'а - и всё оплатит.
Советую еще раз изучить вопрос. Все, что делает "атака" - говорит, что клиент ввел правильный off-line пин, хоти тот не вводился. И не более того.
С учетом того, что правила системы позволяют (и даже обязывают) предоставить возможность клиенту отказаться от выбранного метода проверки (ввод ПИН-кода), существо данной "атаки", "придуманной" английскими "учеными", видится явно надуманным. по крайней мере для нашего региона.
С учетом того, что правила системы позволяют (и даже обязывают) предоставить возможность клиенту отказаться от выбранного метода проверки (ввод ПИН-кода), существо данной "атаки", "придуманной" английскими "учеными", видится явно надуманным. по
крайней мере для нашего региона.
Для нашего региона согласен, а Великобритания у Визы флагман технологии PIN & Chip и ИМХО тамошние банки эмитируют карты с обязательным вводом PINа. Хотя согласен, что практической пользы и в этой ситуации данное "открытие" не несёт.
Ч
Читатель Чехова
Блин, "Терминатор 2" вспомнил сразу, где Джон Коннор такую хрень в начале фильма проделывал
A
AquA
думаю с таким обилием банковских карт с магнитной полосой возиться с чипом жуликам экономически невыгодно Рискну предположить, что в ближайшие несколько лет большинство транзакций по банковским картам в России будут вестись по магнитной полосе, следовательно и 90-95% случаев мошенничества
будут так же связаны с транзакциям по магнитке.
г
генерал Пурпоз
согласен, что практической пользы и в этой ситуации данное "открытие" не несёт.
Добрый день, Павел!
Почему же не несёт? Неконтролируемое изменение потока сообщений между картой и терминалом/банком - вполне себе изъян. А уж если он позволяет обмануть банк, терминал и карту по поводу PIN-кода - это уже самая настоящая уязвимость.
(То, что для проделывания подобного фокуса нужен "рюкзак аппаратуры" - защитой не считаю, наверняка можно всё уместить компактнее, было бы желание....)
B
Bad-001
Ответ умникам :-)
http://www.plusworld.ru/daily/page1_8196.php
18.02.2010 16:03
Уязвимость в чиповых картах: наш ответ Кембриджу
Во вчерашнем новостном выпуске информационный портал www.plusworld.ru опубликовал материал о новой уязвимости стандарта EMV (см. новость Найдена уязвимость в чиповых картах ). Данный материал вызвал живую реакцию наших экспертов. Сегодня редакция журнала «ПЛАС» приводит комментарии Игоря Голдовского, генерального директора ЗАО «Платежные технологии», члена Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России.
«Группа «товарищей» из Кембриджского университета, инициировавшая новость, мне давно известна. У них было удачное исследование относительно уязвимости передачи ПИН-кодов от обслуживающего банка эмитенту карты и менее удачное выступление относительно «слабости» требований стандарта PCI PED. После этого был провал исследования по поводу уязвимости стандарта CAP (Chip Authentication Program), показавший что кембриджская группа (они математики по профессии) просто элементарно не знает стандарт EMV.
В данном случае результаты исследования группы не известны, но заранее понятно, что ребята наступают на те же грабли – незнание стандарта EMV. Судя по полученному сообщению, уязвимость заключается в использовании т.н. wedge-устройств, стоящих между картой и терминалом и модифицирующих диалог карты и терминала. Для борьбы с таким мошенничеством в EMV давно предусмотрена процедура аутентификации приложения карты CDA, обеспечивающая целостность диалога карты и терминала. В соответствии с процедурой CDA карта в ответе на команду Generate AC возвращает терминалу подписанное значение набора чувствительных данных, включая тип криптограммы, значение криптограммы, Issuer Application Data, данные терминала, передаваемые карте в команде Generate AC и ответа карты. Поэтому любая попытка модификации наиболее чувствительных данных диалога «карта-терминал» будет тут же обнаружена терминалом, если терминал и карта поддерживают метод CDA!
Что касается ПИН-кода, то терминалу и не интересно знать результат проверки ПИН-кода картой! Терминал ждет общего решения карты по способу завершения операции, т.н. объект данных Cryptogam Information Data, а не какие-то детали. А этот объект wedge-устройство модифицировать не может, если карта и терминал поддерживают CDA. К слову сказать, терминал может легко выяснить, что модифицирован и результат проверки ПИН-кода. Для этого ему нужно посмотреть объект данных Card Verification Results, который содержится в объекте Issuer Application Data. Напомним, что модифицировать этот объект в диалоге CDA-карты с CDA-терминалом нельзя. Другое дело, что терминал не смотрит этот объект данных, поскольку ему это для обработки операции и не нужно (данная операция может быть проведена или не поведена по усмотрению эмитента).
Другими словами, кембриджской группе нужно учить матчасть – стандарт EMV.
Конечно, мне могут возразить, что сегодня практически все карты и многие терминалы НЕ поддерживают метод CDA (в Европе терминалы будут обязаны поддерживать CDA с 1 января 2011 г.). В частности, карты английских банков, которые сегодня в подавляющем большинстве не поддерживают даже DDA (сегодня практически все английские карты – SDA-карты, т.е. карты со статической аутентификацией). На это есть простой ответ. Использовать wedge-устройства сегодня, когда имеется столько других уязвимостей, связанных с магнитной полосой – большая глупость. Wedge-устройство – вовсе недешевая вещь. Устройство на стороне карты (нужно сделать микросхему с использованием чипа реальной украденной карты) будет стоить порядка 100 евро на карту (с учетом трудоемкости и ручной работы). Кроме того, это штучная работа, а мошенникам нужен массовый продукт. Так что сегодня тема не актуальна и банки могут спать спокойно!
С другой стороны, сегодня в Европе происходит отказ от SDA-карт и идет миграция на карты с динамической аутентификацией (с 1 января 2011 г. все новые карты в Европе должны быть DDA-картами в обеих ведущих платежных системах). В рамках этой миграции можно рекомендовать банкам мигрировать именно на CDA-карты, которые стоят столько же, сколько и DDA-карты. У CDA-карты имеется еще одно преимущество - транзакции по таким картам обрабатывается немного быстрее, чем по DDA-картам (на 10-15%). У CDA имеется и небольшой недостаток, связанный с недисциплинированностью наших банков по своевременному заведению на их POS-терминалах открытых ключей платежных систем. Но это уже высшая математика, не очень интересная широкому читателю».
http://www.plusworld.ru/daily/page1_8196.php
18.02.2010 16:03
Уязвимость в чиповых картах: наш ответ Кембриджу
Во вчерашнем новостном выпуске информационный портал www.plusworld.ru опубликовал материал о новой уязвимости стандарта EMV (см. новость Найдена уязвимость в чиповых картах ). Данный материал вызвал живую реакцию наших экспертов. Сегодня редакция журнала «ПЛАС» приводит комментарии Игоря Голдовского, генерального директора ЗАО «Платежные технологии», члена Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России.
«Группа «товарищей» из Кембриджского университета, инициировавшая новость, мне давно известна. У них было удачное исследование относительно уязвимости передачи ПИН-кодов от обслуживающего банка эмитенту карты и менее удачное выступление относительно «слабости» требований стандарта PCI PED. После этого был провал исследования по поводу уязвимости стандарта CAP (Chip Authentication Program), показавший что кембриджская группа (они математики по профессии) просто элементарно не знает стандарт EMV.
В данном случае результаты исследования группы не известны, но заранее понятно, что ребята наступают на те же грабли – незнание стандарта EMV. Судя по полученному сообщению, уязвимость заключается в использовании т.н. wedge-устройств, стоящих между картой и терминалом и модифицирующих диалог карты и терминала. Для борьбы с таким мошенничеством в EMV давно предусмотрена процедура аутентификации приложения карты CDA, обеспечивающая целостность диалога карты и терминала. В соответствии с процедурой CDA карта в ответе на команду Generate AC возвращает терминалу подписанное значение набора чувствительных данных, включая тип криптограммы, значение криптограммы, Issuer Application Data, данные терминала, передаваемые карте в команде Generate AC и ответа карты. Поэтому любая попытка модификации наиболее чувствительных данных диалога «карта-терминал» будет тут же обнаружена терминалом, если терминал и карта поддерживают метод CDA!
Что касается ПИН-кода, то терминалу и не интересно знать результат проверки ПИН-кода картой! Терминал ждет общего решения карты по способу завершения операции, т.н. объект данных Cryptogam Information Data, а не какие-то детали. А этот объект wedge-устройство модифицировать не может, если карта и терминал поддерживают CDA. К слову сказать, терминал может легко выяснить, что модифицирован и результат проверки ПИН-кода. Для этого ему нужно посмотреть объект данных Card Verification Results, который содержится в объекте Issuer Application Data. Напомним, что модифицировать этот объект в диалоге CDA-карты с CDA-терминалом нельзя. Другое дело, что терминал не смотрит этот объект данных, поскольку ему это для обработки операции и не нужно (данная операция может быть проведена или не поведена по усмотрению эмитента).
Другими словами, кембриджской группе нужно учить матчасть – стандарт EMV.
Конечно, мне могут возразить, что сегодня практически все карты и многие терминалы НЕ поддерживают метод CDA (в Европе терминалы будут обязаны поддерживать CDA с 1 января 2011 г.). В частности, карты английских банков, которые сегодня в подавляющем большинстве не поддерживают даже DDA (сегодня практически все английские карты – SDA-карты, т.е. карты со статической аутентификацией). На это есть простой ответ. Использовать wedge-устройства сегодня, когда имеется столько других уязвимостей, связанных с магнитной полосой – большая глупость. Wedge-устройство – вовсе недешевая вещь. Устройство на стороне карты (нужно сделать микросхему с использованием чипа реальной украденной карты) будет стоить порядка 100 евро на карту (с учетом трудоемкости и ручной работы). Кроме того, это штучная работа, а мошенникам нужен массовый продукт. Так что сегодня тема не актуальна и банки могут спать спокойно!
С другой стороны, сегодня в Европе происходит отказ от SDA-карт и идет миграция на карты с динамической аутентификацией (с 1 января 2011 г. все новые карты в Европе должны быть DDA-картами в обеих ведущих платежных системах). В рамках этой миграции можно рекомендовать банкам мигрировать именно на CDA-карты, которые стоят столько же, сколько и DDA-карты. У CDA-карты имеется еще одно преимущество - транзакции по таким картам обрабатывается немного быстрее, чем по DDA-картам (на 10-15%). У CDA имеется и небольшой недостаток, связанный с недисциплинированностью наших банков по своевременному заведению на их POS-терминалах открытых ключей платежных систем. Но это уже высшая математика, не очень интересная широкому читателю».
г
генерал Пурпоз
...Но это уже высшая математика, не очень интересная широкому читателю...
Как это "не очень интересная"?! Я пытаюсь оплатить покупку/услугу, а банк недисциплинированный - чья теперь это проблема? Моя...
Авторизуйтесь, чтобы принять участие в дискуссии.