Критичные уязвимости чиповых карт стандарта EMV
Критичные уязвимости чиповых карт стандарта EMV, связанные с датчиками случайных чисел, пока что находятся скорее в области теории, нежели практики, уверены эксперты.
На состоявшемся в мае 2014 г. очередном симпозиуме ассоциации IEEE по вопросам безопасности и защиты персональных данных в Сан-Хосе (Калифорния, США) – (IEEE Symposium on Security and Privacy – группа исследователей из Кембриджского университета сделала доклад о некоторых новых типах критичных уязвимостях чиповых карт.
Один из выводов доклада касался возможности подбирать для осуществления мошенничества генерируемые ATM и POS-терминалами случайные числа, которые в рамках EMV-протокола требуются для безопасной аутентификации транзакционного запроса. Исследователи заявили, что нашли способ вычислить алгоритм, по которому генерируются случайные числа в данном случае, т. к. создатели EMV опирались на ряд несовершенных методик для вычисления временного значения, используемого для аутентификации транзакций. Эта уязвимость, полагают они, может быть использована кибермошенниками для клонирования кредитных и дебетовых чиповых карт, в результате которого банковские системы безопасности будут не в состоянии отличить мошенническую транзакцию от настоящей в принципе.
При этом, как утверждают авторы доклада на симпозиуме IEEE, самая главная проблема здесь заключается в том, что такого рода методики известны и успешно применяются кибермошенниками вот уже несколько месяцев, позволяя клонировать карты и использовать другие «дыры» в протоколе EMV, который, по мнению исследователей, содержит их столько, что его необходимо принципиально переработать.
Игорь Голдовский, генеральный директор компании «Платежные технологии», прокомментировал данную информацию. Учитывая актуальность темы, далее публикуется его развернутый ответ.
«В настоящее время преступниками действительно может быть осуществлен целый ряд атак, связанных с предсказуемостью UN (Unpredictable Number), формируемого терминалом при работе с чиповой EMV-картой.
В целом озвученная в докладе группы исследователей из Кембриджского университета проблема уязвимости довольно стара. Проблема «плохих ДСЧ» (датчиков случайных чисел) была исследована MasterCard еще в 2011 г. Выяснилось, что она актуальна для целого ряда эквайеров в ряде стран, в том числе в Италии, Испании, Португалии, Великобритании и России. Соответствующие эквайеры были оповещены о выявленной угрозе. О проблеме было подробно рассказано и в Global Operations Bulletin, опубликованном 1 мая 2012 г. В этом же бюллетене представлены советы и руководство для эквайеров по ее устранению.
В апреле 2012 г. EMVCo, осознав проблему, выпустил бюллетень SB-103: Unpredictable Number generation (Spec Change), в котором ввел изменение в спецификацию EMV, специально подчеркнув о необходимости поддержки такого датчика случайных чисел на стороне терминала, при использовании которого следующее значение UN невозможно восстановить по предыдущим его значениям (это тема для отдельного разговора). Кроме того, для терминалов была расширена процедура их тестирования по Type Approval Level2 для проверки качества датчика случайных чисел.
Какие способы защиты можно рекомендовать для защиты от этого типа атак?
Советы для эквайера: требовать у вендоров терминального оборудования специального подтверждения качества ДСЧ и включать UN в список данных, для которых вычисляются MAC-сообщения терминала. В POS-терминалах желательна поддержка CDA.
Советы для эмитента (ведь именно он – точнее, его клиент, – страдает от таких атак): проверять TC в клиринговом сообщении. Эмулятор не сможет вычислить правильно криптограмму. Это позволит хотя бы оперативно выявить факт того, что на карту идет атака. Кроме того, настоятельно рекомендуется обеспечить поддержку CDA на карте.
В целом можно утверждать, что сама такая атака на сегодняшний день является проблемой скорее гипотетической, чем реальной, т. к. сегодня у киберпреступников имеется огромное количество гораздо более дешевых способов совершать результативные мошенничества».
www.plusworld.ru
Опубликовано 10 лет назад
