Супервзлом банкоматов нового поколения

История начинается так:
Компьютерра № 10, 2008

Группа исследователей из компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт Chip & PIN.1 Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже получили широкое распространение в Британии, Австрии и Бельгии, а многие другие государства планируют заменить ими безнадежно устаревшие карточки с одинокой магнитной полоской. Строго говоря, кембриджские специалисты показали ненадежность не столько карт, сколько терминалов, использующихся в торговых точках и банках для обработки транзакций и верификации карты, — так называемых PED (PIN entry devices — устройства ввода персонального идентификатора).
Саар Дример, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson) на примере двух самых распространенных в Великобритании моделей PED — Ingenico i3300 и Dione Xtreme — продемонстрировали, сколь плохо защищены данные о карте и ее владельце. Разработанная ими техника взлома носит название tapping attack («атака через отвод») и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение весь этот «реквизит» собрать, воткнуть и подключить куда следует.
С помощью столь нехитрого инструментария исследователи сумели записать процедуру обмена данными между картой и процессором PED, ничуть не потревожив устройства защиты, вмонтированные в терминал. Перехваченный поток данных сразу позволяет установить PIN карты, поскольку британские банки выбрали технологию подешевле и не стали встраивать в чип средства, которые бы шифровали информацию, курсирующую между картой и PED.
Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN−кода. Ради того, чтобы обеспечить обратную совместимость со старыми картами, терминалы считывают данные не только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить иглу−отвод к каналу обмена между картой и процессором, то он получает возможность записать все данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN−кодом это дает возможность легко изготовить фальшивую карту и с ее помощью снимать деньги со счета в банкоматах зарубежных стран, еще не перешедших на Chip & PIN. Более того, подобные банкоматы кое-где остались и в провинциальных районах Британии.
Особой критики, по мнению исследователей, заслуживает в высшей степени непрозрачный, ущербный по своей сути процесс сертификации и оценки безопасности устройств PED, отвечающих за защиту важных данных. Транснациональный гигант Visa и британская платежная ассоциация APACS, признав оба устройства безопасными и официально санкционировав их широчайшее распространение, проглядели серьезнейшие уязвимости, выявленные кембриджской командой. Более того, при выдаче сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемому подлогом. Было объявлено, что устройства PED прошли «оценку на соответствие Common Criteria», то есть международному набору стандартов для систем безопасности, принятому в Великобритании, США и других странах НАТО. На Туманном Альбионе выдачей сертификатов о соответствии Common Criteria (СС) ведает правительственная спецслужба GCHQ,
аналог американского АНБ. Однако в GCHQ сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC.
Тут−то и выяснилось, что «оценка на соответствие CC» и «сертификация» — две большие разницы. Результаты тестирования на предмет сертификации положено открыто публиковать, а Visa и APACS категорически отказываются предоставить кому−либо отчет об оценке безопасности терминалов. Более того, засекречены и сами инстанции, проводившие эту оценку. В ответах же исследователям, которые еще в ноябре прошлого года предупредили об уязвимости все заинтересованные стороны — APACS, Visa, изготовителей PED, — серьезность угрозы намеренно приуменьшается.
Реакция Visa, например, выглядит так: «В академической статье Кембриджа мы не увидели ничего такого, его не знали раньше, и ничего такого, что представляло бы угрозу для безопасности карт в реальном мире». Представители же Ingenico, одного из изготовителей PED, выразились не столь высокомерно, но в том же ключе: «Метод, описанный в университетской статье, требует специальных знаний и сопряжен с техническими трудностями. По этой причине он невоспроизводим в широких масштабах и не учитывает тот мониторинг мошенничества, что применяется в индустрии»…
Один из членов кембриджской команды, профессор Росс Андерсон, сражается с порочным подходом банков и индустрии к безопасности уже два десятка лет. По поводу последней работы он говорит так: «Уроки, которые мы здесь получаем, вовсе неограничиваются банкингом. В самых разных областях, от машин для голосования до автоматизированных систем учета медицинских данных, постояннопоявляется одна и та же комбинация из глупых ошибок, фиктивных сертификаций и препятствующих исследованиям властей. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых открыто публикуются и проверяются независимой экспертизой».
Стоит ли пояснять, какая из препирающихся сторон больше права. Жаль только, что далеко не в каждой стране есть Кембриджи и Андерсоны.

 

Последствия не заставили долго себя ждать.


Статью из Компьютерры пока не нашел в электроном виде. Суть такова. В банкоматы массово устанавливались закладки, причем, с большой долей вероятности, делалось это производителем из Китая или в непосредственной близости от него. Закладки передавали украденную информацию с помощью сотовой связи преступникам. Вероятно, центр сбора информации находился в Лахоре. Нет никакой возможности выявления закладки, кроме тупого взвешивания картридеров.

Вот такие пироги

вспоминается бессмертное:
Изи мани

Вот, появилась статья:




Вспыхнул очередной грандиозный скандал, касающийся кредитных карт. Обнаружено, что некая международная группа преступников сумела внедрить хитрую шпионскую закладку во множество терминалов-считывателей PED (PIN entry devices) для новых Chip & PIN-карточек. На эти карты, считающиеся более защищенными и совмещающие в себе чип и магнитную полоску, в массовом порядке перешли многие страны Западной Европы, а соответствующие терминалы ныне работают в тысячах касс крупных и мелких магазинов. Выявленная сеть шпионских закладок позволяла преступникам не менее девяти месяцев красть деньги с банковских счетов. Общая сумма хищений исчисляется десятками миллионов долларов.

Технология этого изощренного преступления любопытна и сама по себе, но не менее интересно, что год назад серьезнейшая слабость в защите PED уже была обнаружена. Специалисты из лаборатории компьютерной безопасности Кембриджского университета, обнаружившие дыру, оповестили все заинтересованные инстанции о том, что в схемах терминалов есть участок, где конфиденциальные данные проходят в незашифрованном виде, а значит, подсоединившись к такому тракту, злоумышленник может похитить все реквизиты карты, PIN-код доступа и изготовить полноценный клон.

В ответ на свои предупреждения исследователи получили отписки, трактующие их работу как далекие от жизни "лабораторные эксперименты". Так что есть своеобразная ирония в картине, открывшейся вместе с выявлением закладок в PED и продемонстрировавшей то, как выглядят реальные угрозы для защиты данных в сегодняшнем мире.

Рассказ о технологии этой остроумной затеи, вероятно, следует начать с того, что организаторы преступления еще не пойманы, поэтому многих важных деталей недостает. Например, до сих пор неизвестно, где и как встраивались закладки в PED-терминалы - непосредственно в процессе сборки в Китае или же на складах перед отправкой получателю. В любом случае, закладка внедрялась профессионально, никаких внешних следов на корпусе или упаковке устройств не оставалось, поэтому у получателей терминалов не было ни малейших сомнений в "чистоте" своих аппаратов.

Собственно закладка аккуратно прикреплена к днищу системной платы PED и подключена к тому ее участку, где данные со считываемых карт проходят в открытом виде перед попаданием в криптомодуль терминала. В функции закладки, кроме копирования реквизитов карты и PIN-кода доступа, входит шифрование, хранение в собственном буфере памяти и отправка злоумышленникам всех собранных данных при помощи сотового модуля. Как установлено, серверы, на которые утекала информация и откуда поступали команды, управляющие всей сетью закладок, находятся в пакистанском городе Лахор.

Похищенные данные использовались для изготовления карточек-клонов с магнитной полосой, пригодных для покупок или снятия наличных в банкоматах тех стран, где еще не перешли на Chip & PIN. Делалось все чрезвычайно аккуратно. Частота соединений с "центром" зависела от количества считанных карт и оплаченных с них сумм. Поэтому сессии связи могли быть и раз в день, и реже раза в неделю. Кроме того, сервер мог регулировать работу каждой закладки после очередного опустошения буфера - например, давать команды вида: "копировать каждую десятую карту" или "только карты Visa Platinum". Наконец, краденые реквизиты не сразу пускались в дело, а "мариновались" по меньшей мере пару месяцев, чтобы максимально затруднить выявление мест похищения.

Понятно, что в таких условиях выявить сам факт существования закладки было чрезвычайно сложно. Хотя подробности этой истории по-прежнему хранятся в тайне, известно, что первыми неладное заподозрили специалисты MasterCard. Один из пострадавших клиентов компании божился, что использовал свою карточку только в одном-единственном месте, и более того - мог это убедительно доказать. Поскольку мошеннические изъятия по той же карте проходили из-за рубежа, следствию не оставалось ничего другого, как подробнее изучить PED-терминал в торговой точке. Стоит ли говорить, какой сюрприз их ждал...

Коль скоро внешним осмотром, без вскрытия терминалов, обнаружить модуль закладки невозможно, то самым простым способом выявления шпиона стало взвешивание считывателей карточек на весах. Отличие веса аппарата от стандартного на 80–100 г стало главным признаком для выявления скомпрометированных устройств. Поэтому все последние месяцы по Европе колесили группы инспекторов, занятых тщательным взвешиванием имеющихся в кассах магазинов PED-терминалов. На сегодняшний день по меньшей мере в пяти странах - Бельгии, Великобритании, Дании, Голландии и Ирландии - обнаружено больше сотни таких закладок, исправно отправлявших данные на серверы в Пакистан. Точка же в этой истории, разумеется, еще не поставлена.