Безконтактні картки: уявна уразливість

  1. Уразливість на фізичному рівні
  2. Уразливість на логічному рівні
  3. Клонування не пройде!
  4. Relay-атаки: напад ... і захист
  5. ... і захист
  6. Рівень безпеки вище середнього!

Ігор Голдовський, генеральний директор компанії «Платіжні Технології», член Платіжного комітету MasterCard Europe (Еuroреаn Payments Advisory Committee) від Росії   Закон Фарадея - EMVCo: безпека безконтактних карт - неубутна функція від їх кількості у вашому гаманці   чи безпечні   безконтактні платежі

Ігор Голдовський, генеральний директор компанії «Платіжні Технології», член Платіжного комітету MasterCard Europe (Еuroреаn Payments Advisory Committee) від Росії

Закон Фарадея - EMVCo: безпека безконтактних карт - неубутна функція від їх кількості у вашому гаманці

чи безпечні безконтактні платежі ? У своїх виступах на конференціях і статтях я вже неодноразово порушував це питання. Крім того, в розділі 7.9 «Питання безпеки безконтактних платежів» моєї книги 1 відповідна тема, на погляд автора, була висвітлена досить повно для того, щоб читач міг зробити однозначний і остаточний висновок: безконтактні платежі у виконанні програм провідних платіжних систем - MasterCard PayPass, MasterCard Mobile PayPass (MMP), Visa payWave, Visa Mobile Payment Application (VMPA) - є безпечними. Та й як могло бути інакше? Хіба стали б провідні платіжні системи, як ніхто стурбовані питаннями безпеки платежів і витрачають колосальні кошти на зниження рівня карткового шахрайства, пропонувати ринку небезпечні технології?

У той же час до цих пір раз у раз доводиться чути розповіді про уразливість безконтактних платежів і навіть їх особливої ​​схильності Фродо. До цього можна від-носитися поблажливо, коли авторами такого роду оповідань виступають ЗМІ, далекі від критичних технологій, або, наприклад, продавці набирають популярність радіонепроніцаемих футлярів для безконтактних карт.

Але коли подібне заявляють фахівці, що працюють в області карткової індустрії, а теза про небезпеку безконтактних платежів виноситься на професійні наради за участю представників Банку Росії, хочеться спробувати об'єктивно розібратися: чому ж викликана існуюча стурбованість безпекою безконтактних платежів? Очевидно, тим головним, що відрізняє їх від контактних платежів, - використанням радіоінтерфейсу між картою і терміналом. Мабуть, в заздалегідь упереджене ставлення до безконтактними картками свою роль зіграли знайомі з дитинства шпигунські розповіді про те, що все те, що передається по радіо, може бути перехоплено, змінено, а в передану за допомогою телефону інформацію можуть бути вставлені неправдиві дані ...

Див. Голдовський І.М. Банківські мікропроцесорні карти. М.: ЦІПСіР: Альпіна Паблишерз, 2010.- 686 с.

Уразливість на фізичному рівні

Але так чи вразливий радиоинтерфейс, як про це говорять? Загальний відповідь - так, на фізичному рівні радиоинтерфейс вразливий (шпигунські розповіді не брехали)! І хоча організувати атаку на безконтактну картку не так вже просто і зовсім недешево, в принципі це можливо. Теоретично безконтактна картка повинна знаходитися від стандартного рідера на відстані не більше 10 см, а на практиці - не більше 4 см. За результатами практичних досліджень експертів нам відомо, що, маючи в своєму розпорядженні спеціальне, але потенційно доступне шахраям обладнання, можна здійснювати наступні незаконні операції:
• непомітно для власника картки з відстані не більше 40-50 см ініціювати і виконати платіжну транзакцію по його карті (ця можливість використовується при організації атак, відомих як relay-атаки, pick-pocketing1);
• з відстані не більше 80-100 см перехоплювати дані, передані картою терміналу (саме ці дані несуть цінну для шахрая інформацію; така атака називається eavesdropping1). Отже, перерахуємо всі потенційні загрози, які йдуть із уразливості безконтактного інтерфейсу:
• непомітно для власника картки можна скомпрометувати зберігаються в її пам'яті персональні дані власника (ім'я, деталі транзакцій і т. П.);
• перехоплені дані, що передаються картою терміналу, можна використовувати для клонування карти (можливо, з метою подальшого використання клонованої карти за іншою технологією, наприклад, по магнітній смузі);
• перехоплений діалог карти з терміналом можна використовувати для виконання replay-атаки, при якій шахраєві вдається провести нову транзакцію на основі даних вже виконаної раніше операції);
• карту непомітно для її власника (без авторизації держателя) можна використовувати для виконання платіжної операції.

Уразливість на логічному рівні

Незважаючи на вразливість радіоінтерфейсу безконтактної карти на фізичному рівні, на логічному рівні кожна вразливість нівелюється цілою низкою механізмів, що реалізуються в безконтактному додатку і на хості емітента.

Почнемо з крадіжки персональних даних власника картки. По-перше, ім'я власника через безконтактний інтерфейс отримати неможливо. При перевірці правильності персоналізації безконтактного Наявність карт платіжні системи встановлюють факт відсутності в читаних терміналом даних імені клієнта (для фахівців: перевіряють відсутність посилання на об'єкт даних Cardholder Name в об'єкті AFL (Application File Locator) для безконтактного інтерфейсу).

Серед інших особистих даних клієнта, які можуть зберігатися на карті, деякий інтерес для шахраїв може представляти лог-файл останніх транзакцій, виконаних по карті. І хоча серед даних транзакції в лог-файлі присутні тільки сума, валюта і дата транзакції (немає типу покупки і назви магазину, правда, назва магазину і його розташування зустрічається в балці транзакції в останніх версіях платіжних додатків, наприклад, в M / Chip Advance) , а записи лог-файлу перезаписувати після накопичення в ньому деякої кількості (зазвичай 10) записів, третя сторона може висунути і якимось чином використовувати, наприклад, ті ж дані за обсягом скоєних по карті операцій. Однак я думаю, що збиток для держателя картки від витоку такого роду інформації в загальному випадку мінімальний і непорівнянний з користю для того ж власника картки від використання лог-файлу транзакцій карти. Компетентні органи завжди зможуть отримати інформацію про витрати клієнта по банківській карті від емітента карти, а для шахраїв користь від отримання інформації про розміри останніх операцій клієнта по карті вельми сумнівна. Крім того, логфайлів є загальним в платіжному додатку для контактного і безконтактного інтерфейсів, і дістатися до нього можна через будь-який термінал, в якому буде обслуговуватися карта.

У додатках MasterCard Mobile PayPass і M / Chip Advance існує також можливість дезактивації функції запису транзакцій в лог-файл за допомогою відповідної конфігу- рації об'єкта Application Control. В цьому випадку шахраям буде просто нічого красти «з карти». Так що найбільш дражливим у ставленні до своєї особистої інформації клієнтам банк може не дозволити абонентам даних в лог-файл в процесі використання карти (за допомогою скриптовой команди Put Data емітента).

Розглянемо тепер можливість клонування карти по перехоплених від безконтактної карти даними. Очевидно, клонувати карту по чіпу неможливо, оскільки для цього необхідно знати ключі карти, які атакуючим невідомі. Клонувати карту по магнітній смузі також вийде з дуже невисокою ймовірністю, оскільки шахраям з перехоплених даних відомі тільки номер карти і термін її дії. Значення CVC / CVV через безконтактний інтерфейс не передаються, та й вони за правилами МПС більше не збігаються з даними CVV / CVC на магнітній смузі. Тому ці значення атакуючим невідомі, а ймовірність їх вгадування невелика (дорівнює 10-3). Нагадаємо читачеві, що за правилами платіжних систем всі операції по магнітній смузі мікропроцесорної карти повинні бути оброблені в режимі онлайнової авторизації, так що без знання значень CVC / CVV для магнітної смуги шахраям не обійтися!

Клонування не пройде!

Використовувати клоновану безконтактну картку для виконання CNP-транзакції можливо тільки в інтернет-магазинах, де значення CVC2 / CVV2 не запитує при виконанні транзакції. Таких онлайнових магазинів в Росії залишилося зовсім небагато. Тому зробити операцію в онлайновому магазині на основі даних, вкрадених в результаті перехоплення діалогу безконтактної карти і терміналу, щонайменше складно. А ймовірність вгадування значення CVV2 / CVC2 дорівнює «всього-на-всього» 10-3. Не кажучи вже про те, що в магазинах, що підтримують протокол 3D Secure, шанси на клонування карти, зареєстрованої в цій програмі емітентом, для здійснення CNP-транзакцій зовсім примарні (зрозуміло, при правильному впровадженні і використанні цього протоколу на стороні емітента карти).

Водночас існує універсальний механізм захисту безконтактних банківських карт від клонування. Для емісії таких карт емітент може застосовувати окремі діапазони номерів карт, виділені спеціально для проведення тільки безконтактних операцій. Для здійснення операцій по безконтактної картки через інші інтерфейси (CNP, магнітна смуга, контактний чіп) може використовуватися інший номер карти. Оскільки в авторизаційних запитах / клірингових повідомленнях операції, виконані через безконтактний інтерфейс, спеціальним чином ідентифікуються, то на рівні хоста емітента можна перевіряти можливість використання представленого в транзакції номера карти для виконання конкретної операції.

Зауважимо, що застосування різних номерів карт для різних інтерфейсів програми може зажадати доопрацювання на стороні авторизаційних систем емітента. Наприклад, на картах MasterCard PayPass M / Chip ключ карти для генерації криптограми один і той же для контактної і безконтактної мод. Це обмеження усувається в специфікації MasterCard M / Chip Advance. Однак в значно більш часто використовується додатку MasterCard PayPass M / Chip ключ генерації криптограми один і той же для обох інтерфейсів. Тому емітент, який в своїй системі виводить ключ карти по PAN і PSN (PAN Sequence Number), при використанні різних номерів карт для контактного і безконтактного інтерфейсів повинен пам'ятати, що для виведення ключа при обробці безконтактної транзакції необхідно використовувати PAN контактного додатки.

Використання виділених номерів карт для безконтактних карт повністю усуває проблему крадіжки даних за допомогою телефону.

Relay-атаки: напад ... і захист

Для боротьби з replay-атаками використовуються стандартні методи: на хості емітента ведеться контроль значення лічильника транзакцій ATC (Application Transaction Counter). Значення ATC онлайнової транзакції має бути не менше поточного значення ATC для розглянутого номера карти. Це значення оновлюється хостом емітента при обробці авторизаційних запитів і клірингових повідомлень: якщо значення ATC в оброблюваної операції більше поточного значення в системі емітента, то це значення ATC встановлюється в системі емітента в якості поточного значення, якщо тільки криптограма оброблюваної операції пройшла успішну перевірку.

При використанні безконтактних карт найважче впоратися з relay-атакою. Це пов'язано з тим, що платіжні системи прийняли наступне правило для обробки безконтактних додатків. Ними встановлено т. Н. CVM Limit (в Росії він дорівнює 1000 рублів) - максимальний розмір транзакції, при якому операція ще не вимагає верифікації власника картки, але відповідальність за неї несе емітент. Якщо розмір транзакції вище зазначеної величини, то держатель картки повинен бути верифікований: з використанням PIN Online або підписи для безконтактних карт і mPIN - для мобільних безконтактних платежів. Це правило МПС є правильним з точки зору бізнесу, але в результаті його застосування з'являється пролом: операції розміром до CVM Limit при використанні безконтактних платежів можуть бути виконані без відома власника картки під відповідальність емітента карти. Зауважимо: незалежно від того, оброблялася чи транзакція в онлайновому або ж в офлайновом режимі!

У загальному випадку в реалізації relay-атаки беруть участь два шахрая. Один знаходиться поруч з жертвою, що зберігає в своєму портмоне безконтактну картку (Person 1 на рис.1), а інший - поруч з касою магазину, в якому було придбано проектор (Person 2).

У шахрая Person 2 є спеціальна мікропроцесорна карта, що підтримує, з одного боку, стандартний інтерфейс (контактний або безконтактний) для роботи з реальним терміналом в магазині, а з іншого - радиоинтерфейс, що функціонує відповідно до одним з комунікаційних протоколів, що забезпечують зв'язок на відстані від декількох десятків сантиметрів до кількох метрів (наприклад, ISO 15693, ISO 18000). За допомогою такого радіоінтерфейсу карта може обмінюватися даними зі спеціальним обладнанням шахрая Person 2, яке, крім підтримки зв'язку з картою, забезпечує організацію віддаленого радіоканалу (наприклад, відповідно до протоколу Wi-Max (IEEE 802.16) з контрольованим шахраєм Person 1 безконтактним терміналом (див . рис.1).

Далі шахраї діють у такий спосіб. Шахрай Person 2 передає касиру для оплати свою підроблену карту (можливо, самостійно стосується рідера безконтактною карткою). Далі все команди терміналу, встановленого в реальному магазині, через карту шахрая Person 2, його спеціальне обладнання і шахрайський термінал Person 1 транслюються реальної безконтактної карти нічого не підозрюючи жертви. При цьому відповіді карти жертви на команди реального терміналу по тому ж маршруту, але в зворотному напрямку повертаються реальному терміналу.

Очевидно, що і обробка операції в онлайновому режимі не є перешкодою для успішного виконання операції в описаній вище схемі. В цьому випадку у відповідь на команду GENERATE AC реального терміналу реальна карта згенерує криптограму ARQC, яка буде повернута терміналу реального магазину і через нього передана на хост емітента. Навпаки, відповідь емітента, що містить Issuer Authentication Data, буде трансльований реальної карті, яку обслуговує в шахрайському терміналі.

«Ламає» описану вище схему верифікація власника картки за методом PIN Online. Але це відбувається тільки в разі, коли розмір транзакції перевищує CVM Limit. Саме з цієї причини описана вище атака неможлива, якщо Person 2 намагатиметься застосувати в реальному терміналі свою шахрайську карту, користуючись контактним інтерфейсом. У цьому випадку реальний термінал по CVM List зрозуміє, що верифікувати власника картки потрібно по PIN Online (для контактного інтерфейсу ніякого обмеження у вигляді CVM Limit не існує). Оскільки Person 2 не знає ПІН-коду жертви, relay-атака в цьому випадку обре- чена на провал!

Організувати relay-атаку за допомогою безконтактного інтерфейсу карти шахрая Person 2 технічно досить складно: є проблема в синхронізації дій шахраїв, виникають затримки в передачі команд / відповідей між реальними терміналом і картою. Тому найбільш реалістичною виглядає relay-атака, яка представляє собою вироджений випадок, при якому магазин і шахраї зливаються в єдине ціле. У цьому виродженим випадку реальний термінал магазину, що приймає картки платіжної системи, безпосередньо працює з власником безконтактної карти, знімаючи з рахунку клієнта кошти за неіснуючі покупки.

Незважаючи на те що шахрайські магазини, з використанням обладнання яких проводяться relay-атаки, досить ефективно визначаються платіжною системою (метод CPP - Common Purchase Point), а максимальний розмір операції по безконтактної картки, яку можна зробити без авторизації держателя картки, обмежений, сама можливість виконання операції без авторизації держателя картки підриває довіру і користувачів, і банків до технології безконтактних карт.

... і захист

На сьогоднішній день існують різні підходи до вирішення завдання протидії relay-атакам. Перший підхід полягає в зберіганні безконтактної карти в спеціальному металевому футлярі (in-mail shielding). В цьому випадку карта ізолюється від зовнішнього магнітного поля (ефект клітини Кавендіша), і тому впливати на карту авторизованим її власником способом неможливо.

Другий підхід полягає в регулярній активації / дезактивації безконтактного інтерфейсу карти або навіть всього програми. Зокрема, в останній специфікації MasterCard (MasterCard M / Chip Advance) існує механізм включення / вимикання контактного інтерфейсу карти. Активація / дезактивація безконтактного інтерфейсу може бути виконана з використанням команд емітента Issuer Script Processing в терміналах банку (наприклад, в банкоматі). Зрозуміло, що цей метод не дуже зручний для власника картки на практиці - для того щоб ним скористатися, необхідно відвідати банкомат. Виняток становлять власники карток, що володіють NFC-телефоном зі спеціальним додатком, за допомогою якого можна доставити на карту команду емітента для дезактивації безконтактного інтерфейсу. Проблем зовсім не виникає у користувача, що використовує додаток MasterCard Mobile PayPass, встановлене в елементі безпеки стільникового телефону: користувач за допомогою програми на телефоні може здійснювати блокування / розблокування платіжного додатка скільки завгодно разів на день.

Актівації / дезактівація безконтактного інтерфейсу карти дозволяє власнику картки актівуваті ее только в моменти использование. В інший час карта буде недоступна зовнішнього світу через безконтактний інтерфейс: з неї не можна прочитати дані, по ній не можна виконати операцію.

У мобільних додатках використовується ще більш ефективний механізм підтвердження факту виконання операції держателем картки. Додаток може бути налаштоване таким чином, що будь-яка безконтактна транзакція буде вимагати підтвердження клієнтом факту її виконання або «натисненням спеціальної кнопки» (button pushing) додатки на телефоні, або введенням мобільного ПІН-коду (mPIN).

Ще один ефективний механізм боротьби з relay-атаками - процедури управління ризиками карти і емітента. Управління ризиками на стороні карти зводиться до наявності на мапі офлайнових лімітів для суми транзакції, перевищення яких потребує проведення операції в онлайновому режимі. І тут вже включаються механізми управління ризиками на стороні хоста емітента (про них трохи нижче). В окремому випадку карти можуть бути налаштовані таким чином, щоб всі безконтактні операції намагалися обслужитися в онлайновому режимі (наприклад, як в профілі персоналізації MasterCard Online-only PayPass).

У разі застосування мобільного безконтактного додатки рівень контролю ризиків ще вище. Наприклад, в додатку MMP крім офлайнових лічильників карти застосовуються L & S-лічильники, які збільшуються при виконанні операції без верифікації власника картки. При перевищенні цими лічильниками порогових значень, що встановлюються емітентом, власник картки повинен буде ввести значення mPIN, тим самим унеможливлюючи relay-атаку. Таким чином, в мобільних додатках існує ефективний механізм контролю ризиків для протидії relay-атакам. Зокрема, всі операції можна виконувати тільки з дозволу клієнта.

Управління ризиками, пов'язаними з relay-атаками, на хості емітента пов'язане з реалізацією на ньому спеціальних механізмів контролю безконтактних операцій. Наприклад, операції до CVM Limit можуть виконуватися по запиту клієнта лише в певні інтервали часу. В цьому випадку всі онлайнові транзакції, що виконуються поза встановленим інтервалу часу, будуть відхилятися (безконтактне додаток можна налаштувати таким чином, що всі безконтактні операції будуть онлайновими). Можуть працювати алгоритми моніторингу безконтактних онлайнових операцій.

У мене ж є персональна рекомендація, яку я виніс у заголовок цієї замітки. Зберігайте в своєму гаманці більше однієї безконтактної карти! В цьому випадку правильний сертифікований термінал не зможе форматувати relay-атаку, оскільки в поле терміналу буде знаходитися більше однієї безконтактної карти. Стандарт ISO14443 допускає можливість знаходження декількох карт в поле рідера і встановлює процедуру дозволу виникає в результаті цього конфлікту шляхом завдання певного порядку послідовного обслуговування кожної карти в поле рідера. Однак використовуваний в платіжної індустрії стандарт (EMV Contactless Communication Protocol v.2.3, Book D) забороняє терміналу виконувати операцію, якщо в поле рідера більше однієї безконтактної карти, оскільки власник картки повинен точно знати, за якою саме мапі проводиться поточна операція!

Звичайно, мені можуть заперечити - для виконання relay-атаки шахраї можуть використовувати і «неправильний» термінал. Так, можуть, але на це потрібні спеціальні і нетривіальні зусилля, оскільки і сьогодні існують досить ефективні механізми контролю магазинів, які протидіють використанню несанкціонованих еквайрером терміналів (MACing для онлайнових операцій, криптограма терміналу на ключі обслуговуючого банку і т. П.

Рівень безпеки вище середнього!

Узагальнюючи вищесказане, можна зробити наступний висновок. При впровадженні емітентом розумних процедур контролю ризиків і існуючих обмеженнях на розмір транзакції безконтактні картки справедливо визнаються платіжними системами надійним інструментом безготівкових платежів.

Світовий досвід доводить справедливість цього висновку. У світі емітовано кілька сотень мільйонів безконтактних карт Visa і MasterCard, що обслуговуються приблизно в 1 мільйон терміналів. При цьому рівень шахрайства за безконтактними картками не перевищує одного базисного пункту (на порядок нижче середнього значення в індустрії). Більш того, зафіксоване шахрайство не має відношення до технології безконтактних платежів. В основному воно пов'язане з неотриманими / вкраденими / втраченими картами і помилками деяких емітентів в конфігурації своїх процесингових систем при запуску нових проектів безконтактних платежів.

На закінчення закликаю читача пам'ятати про те, що безконтактні карти - лише важливий проміжний крок до світлого майбутнього мобільних платежів, яким ніякі relay-атаки не страшні. Емітуючи безконтактні карти і встановлюючи їх обслуговують термінали, банки тим самим наближають момент переходу на нові інструменти мобільних безготівкових платежів і скорочують століття використання пластикових карт як таких, в тому числі і безконтактних. Так що в наших руках зробити так, щоб наші діти і внуки вже насилу згадували про такий рудимент, як пластикова карта (навіть якщо вона була мікропроцесорної), як ми з вами вже не пам'ятаємо про те, що перші платіжні карти були картонними!

Та й як могло бути інакше?
Хіба стали б провідні платіжні системи, як ніхто стурбовані питаннями безпеки платежів і витрачають колосальні кошти на зниження рівня карткового шахрайства, пропонувати ринку небезпечні технології?