Alexander Konosevich
2008-04-28 11:59:14 UTC
* Crossposted в RU.PHREAKS
* Crossposted в RU.HARDWARE.REPAIR.TRICKS
╒═══════════════════════════════════════════════════════════════════════════╕
Forward Alexander Konosevich (2:5004/9)
Area : RU.COMPUTERRA (RU.COMPUTERRA)
From : News Robot, 2:5030/1543
Name : All
Subj : ++Игла и скрепка
╘═══════════════════════════════════════════════════════════════════════════╛
Компьютерра
_________________________________________________________________
++Игла и скрепка
Опубликовано: 22.03.2008, 03:42
Группа исследователей из компьютерной лаборатории Кембриджского
университета продемонстрировала серьезнейшую уязвимость новой
технологии платежных карт chip & pin [1]. Такого рода гибридные
контактные карточки, совмещающие в пластиковом корпусе
микросхему и магнитную полоску, уже получили широкое
распространение в Британии, Австрии и Бельгии, а многие другие
государства планируют заменить ими безнадежно устаревшие
карточки с одинокой магнитной полоской. Строго говоря,
кембриджские специалисты показали ненадежность не столько карт,
сколько терминалов, использующихся в торговых точках и банках
для обработки транзакций и верификации карты, - так называемых
ped (pin entry devices - устройства ввода персонального
идентификатора).
Саар Дример, Стивен Мердок и Росс Андерсон (saar drimer, steven
J. Murdoch, Ross Anderson) на примере двух самых
распространенных в Великобритании моделей PED - INGENICO I3300 и
dione xtreme - продемонстрировали, сколь плохо защищены данные о
карте и ее владельце. Разработанная ими техника взлома носит
название TAPPING ATTACK ("атака через отвод") и на удивление
недорога в реализации. Все, что для нее требуется, это
подходящего размера игла, скрепка для бумаги и устройство для
записи отводимого сигнала. Плюс, конечно, знания и умение весь
этот "реквизит" собрать, воткнуть и подключить куда следует.
С помощью столь нехитрого инструментария исследователи сумели
записать процедуру обмена данными между картой и процессором
PED, ничуть не потревожив устройства защиты, вмонтированные в
терминал. Перехваченный поток данных сразу позволяет установить
pin карты, поскольку британские банки выбрали технологию
подешевле и не стали встраивать в чип средства, которые бы
шифровали информацию, курсирующую между картой и PED.
Последствия атаки, надо сказать, гораздо серьезнее, нежели
просто компрометация PIN-кода. Ради того, чтобы обеспечить
обратную совместимость со старыми картами, терминалы считывают
данные не только с чипа, но и с магнитной полоски. Это означает,
что если злоумышленник сумел подсоединить иглу-отвод к каналу
обмена между картой и процессором, то он получает возможность
записать все данные, необходимые для клонирования карты с
магнитной полосой. Вкупе с похищенным PIN-кодом это дает
возможность легко изготовить фальшивую карту и с ее помощью
снимать деньги со счета в банкоматах зарубежных стран, еще не
перешедших на CHIP & PIN. Более того, подобные банкоматы кое-где
остались и в провинциальных районах Британии.
Особой критики, по мнению исследователей, заслуживает в высшей
степени непрозрачный, ущербный по своей сути процесс
сертификации и оценки безопасности устройств PED, отвечающих за
защиту важных данных. Транснациональный гигант VISA и британская
платежная ассоциация apacs, признав оба устройства безопасными и
официально санкционировав их широчайшее распространение,
проглядели серьезнейшие уязвимости, выявленные кембриджской
командой. Более того, при выдаче сертификатов apacs и visa
прибегли к сомнительному трюку, в приличном обществе называемому
подлогом. Было объявлено, что устройства PED прошли "оценку на
соответствие common criteria", то есть международному набору
стандартов для систем безопасности, принятому в Великобритании,
США и других странах HАТО. Hа Туманном Альбионе выдачей
сертификатов о соответствии common criteria (СС) ведает
правительственная спецслужба GCHQ, аналог американского АHБ.
Однако в GCHQ сообщили, что ничего не знают о терминалах PED,
поскольку эти устройства никогда не сертифицировались на
соответствие CC.
Тут-то и выяснилось, что "оценка на соответствие CC" и
"сертификация" - две большие разницы. Результаты тестирования на
предмет сертификации положено открыто публиковать, а Visa и
APACS категорически отказываются предоставить кому-либо отчет об
оценке безопасности терминалов. Более того, засекречены и сами
инстанции, проводившие эту оценку. В ответах же исследователям,
которые еще в ноябре прошлого года предупредили об уязвимости
все заинтересованные стороны - apacs, visa, изготовителей ped, -
серьезность угрозы намеренно приуменьшается.
Реакция visa, например, выглядит так: "В академической статье
Кембриджа мы не увидели ничего такого, чего не знали раньше, и
ничего такого, что представляло бы угрозу для безопасности карт
в реальном мире". Представители же ingenico, одного из
изготовителей PED, выразились не столь высокомерно, но в том же
ключе: "Метод, описанный в университетской статье, требует
специальных знаний и сопряжен с техническими трудностями. По
этой причине он невоспроизводим в широких масштабах и не
учитывает тот мониторинг мошенничества, что применяется в
индустрии"Е
Один из членов кембриджской команды, профессор Росс Андерсон,
сражается с порочным подходом банков и индустрии к безопасности
уже два десятка лет. По поводу последней работы он говорит так:
"Уроки, которые мы здесь получаем, вовсе не ограничиваются
банкингом. В самых разных областях, от машин для голосования до
автоматизированных систем учета медицинских данных, постоянно
появляется одна и та же комбинация из глупых ошибок, фиктивных
сертификаций и препятствующих исследованиям властей. Повсюду,
где люди вынуждены опираться на безопасность систем, нам
требуются честные процедуры оценки, результаты которых открыто
публикуются и проверяются независимой экспертизой".
Стоит ли пояснять, какая из препирающихся сторон больше права.
Жаль только, что далеко не в каждой стране есть Кембриджи и
Андерсоны.
[1]: http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-711.pdf
_________________________________________________________________
Оригинал статьи на http://pda.computerra.ru/?action=article&id=351985
[http://pda.computerra.ru/?action=section§ion_id=]: - Архив
* Crossposted в RU.HARDWARE.REPAIR.TRICKS
╒═══════════════════════════════════════════════════════════════════════════╕
Forward Alexander Konosevich (2:5004/9)
Area : RU.COMPUTERRA (RU.COMPUTERRA)
From : News Robot, 2:5030/1543
Name : All
Subj : ++Игла и скрепка
╘═══════════════════════════════════════════════════════════════════════════╛
Компьютерра
_________________________________________________________________
++Игла и скрепка
Опубликовано: 22.03.2008, 03:42
Группа исследователей из компьютерной лаборатории Кембриджского
университета продемонстрировала серьезнейшую уязвимость новой
технологии платежных карт chip & pin [1]. Такого рода гибридные
контактные карточки, совмещающие в пластиковом корпусе
микросхему и магнитную полоску, уже получили широкое
распространение в Британии, Австрии и Бельгии, а многие другие
государства планируют заменить ими безнадежно устаревшие
карточки с одинокой магнитной полоской. Строго говоря,
кембриджские специалисты показали ненадежность не столько карт,
сколько терминалов, использующихся в торговых точках и банках
для обработки транзакций и верификации карты, - так называемых
ped (pin entry devices - устройства ввода персонального
идентификатора).
Саар Дример, Стивен Мердок и Росс Андерсон (saar drimer, steven
J. Murdoch, Ross Anderson) на примере двух самых
распространенных в Великобритании моделей PED - INGENICO I3300 и
dione xtreme - продемонстрировали, сколь плохо защищены данные о
карте и ее владельце. Разработанная ими техника взлома носит
название TAPPING ATTACK ("атака через отвод") и на удивление
недорога в реализации. Все, что для нее требуется, это
подходящего размера игла, скрепка для бумаги и устройство для
записи отводимого сигнала. Плюс, конечно, знания и умение весь
этот "реквизит" собрать, воткнуть и подключить куда следует.
С помощью столь нехитрого инструментария исследователи сумели
записать процедуру обмена данными между картой и процессором
PED, ничуть не потревожив устройства защиты, вмонтированные в
терминал. Перехваченный поток данных сразу позволяет установить
pin карты, поскольку британские банки выбрали технологию
подешевле и не стали встраивать в чип средства, которые бы
шифровали информацию, курсирующую между картой и PED.
Последствия атаки, надо сказать, гораздо серьезнее, нежели
просто компрометация PIN-кода. Ради того, чтобы обеспечить
обратную совместимость со старыми картами, терминалы считывают
данные не только с чипа, но и с магнитной полоски. Это означает,
что если злоумышленник сумел подсоединить иглу-отвод к каналу
обмена между картой и процессором, то он получает возможность
записать все данные, необходимые для клонирования карты с
магнитной полосой. Вкупе с похищенным PIN-кодом это дает
возможность легко изготовить фальшивую карту и с ее помощью
снимать деньги со счета в банкоматах зарубежных стран, еще не
перешедших на CHIP & PIN. Более того, подобные банкоматы кое-где
остались и в провинциальных районах Британии.
Особой критики, по мнению исследователей, заслуживает в высшей
степени непрозрачный, ущербный по своей сути процесс
сертификации и оценки безопасности устройств PED, отвечающих за
защиту важных данных. Транснациональный гигант VISA и британская
платежная ассоциация apacs, признав оба устройства безопасными и
официально санкционировав их широчайшее распространение,
проглядели серьезнейшие уязвимости, выявленные кембриджской
командой. Более того, при выдаче сертификатов apacs и visa
прибегли к сомнительному трюку, в приличном обществе называемому
подлогом. Было объявлено, что устройства PED прошли "оценку на
соответствие common criteria", то есть международному набору
стандартов для систем безопасности, принятому в Великобритании,
США и других странах HАТО. Hа Туманном Альбионе выдачей
сертификатов о соответствии common criteria (СС) ведает
правительственная спецслужба GCHQ, аналог американского АHБ.
Однако в GCHQ сообщили, что ничего не знают о терминалах PED,
поскольку эти устройства никогда не сертифицировались на
соответствие CC.
Тут-то и выяснилось, что "оценка на соответствие CC" и
"сертификация" - две большие разницы. Результаты тестирования на
предмет сертификации положено открыто публиковать, а Visa и
APACS категорически отказываются предоставить кому-либо отчет об
оценке безопасности терминалов. Более того, засекречены и сами
инстанции, проводившие эту оценку. В ответах же исследователям,
которые еще в ноябре прошлого года предупредили об уязвимости
все заинтересованные стороны - apacs, visa, изготовителей ped, -
серьезность угрозы намеренно приуменьшается.
Реакция visa, например, выглядит так: "В академической статье
Кембриджа мы не увидели ничего такого, чего не знали раньше, и
ничего такого, что представляло бы угрозу для безопасности карт
в реальном мире". Представители же ingenico, одного из
изготовителей PED, выразились не столь высокомерно, но в том же
ключе: "Метод, описанный в университетской статье, требует
специальных знаний и сопряжен с техническими трудностями. По
этой причине он невоспроизводим в широких масштабах и не
учитывает тот мониторинг мошенничества, что применяется в
индустрии"Е
Один из членов кембриджской команды, профессор Росс Андерсон,
сражается с порочным подходом банков и индустрии к безопасности
уже два десятка лет. По поводу последней работы он говорит так:
"Уроки, которые мы здесь получаем, вовсе не ограничиваются
банкингом. В самых разных областях, от машин для голосования до
автоматизированных систем учета медицинских данных, постоянно
появляется одна и та же комбинация из глупых ошибок, фиктивных
сертификаций и препятствующих исследованиям властей. Повсюду,
где люди вынуждены опираться на безопасность систем, нам
требуются честные процедуры оценки, результаты которых открыто
публикуются и проверяются независимой экспертизой".
Стоит ли пояснять, какая из препирающихся сторон больше права.
Жаль только, что далеко не в каждой стране есть Кембриджи и
Андерсоны.
[1]: http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-711.pdf
_________________________________________________________________
Оригинал статьи на http://pda.computerra.ru/?action=article&id=351985
[http://pda.computerra.ru/?action=section§ion_id=]: - Архив