Специалист по безопасности Карстен Нол (Karsten Nohl), основатель Security Research Labs, выступил с заявлением об уязвимости протокола передачи данных, по которому платёжные pos-терминалы передают данные банковских карт. Сотрудники Security Research Labs на глазах у удивлённого корреспондента RT взломали пин-код его карточки и сделали её клон. При этом корреспондент использовал чипованную карту.
По словам Нола проблема заключается не в неправильной работе устройств, а в уязвимостях самого протокола. В связи с этим необходимо менять всю систему – что дорого и невыгодно, по крайней мере, пока взлом не приобрёл массовый характер.
Нол со своей командой пытались привлечь внимание банков к этой проблеме. Но те, хотя и признают её, не собираются принимать никаких мер. «Компании, отвечающие за отсутствие подобных уязвимостей, включая те же самые банки, признают её наличие, но никак пока не реагируют. – утверждает Нол. — Они говорят: „ведь взломов ещё не было“, но это всего лишь вопрос времени».
К сожалению, в репортаже RT отсутствуют технические подробности взлома. Судя по всему, уязвимость касается беспроводных терминалов, связывающихся с общей базой по WiFi.
Нол уже прославился большим разоблачением уязвимости, когда летом 2013 года сообщил об обнаружении уязвимости SIM-карт со стандартом шифрования DES (Data Encryption Standard). Это устаревший стандарт, который, впрочем, используется большим количеством производителей, и сотни миллионов SIM-карт поддерживают именно DES.
Комментарии (8)
Fuzzyjammer
30.12.2015 18:58Для начала, стоит уточнить, что протоколов много, и упоминаемый PoSeidon в России не используется.
Во-вторых, в статье srlabs.de/pos-vulns говорится о скорее организационной проблеме, чем фактическом взломе протокола. Обнаруженная проблема вообще не имеет никакого отношения к процедуре верификации и не позволяет ни подобрать пин, ни сделать клон карточки (тем более чиповой). Более того, в ISO-сообщении содержится не голый пин, а уже зашифрованный в клавиатуре терминала пин-блок. Взлом протокола ну никак не поможет злоумышленнику получить пин-код карты.
0serg
30.12.2015 19:06Так там проблема указанная в статье в том что
а) ключи в разных терминалах часто одни и те же
б) часть терминалов хранит ключ в чипах подверженных timing attack
Покупаем уязвимый терминал, ломаем в домашней обстановке, вытаскиваем из него ключ, проверяем — хоп, и он подходит не только к однотипным терминалам но еще и десятку других типов терминалов. Перехват траффика после этого позволяет расшифровать не только данные по кредитке, но и пин. А в качестве вишенки на торте — благодаря уязвимости в протоколе, располагая еще ключем получаемым по схожей схеме из платежного терминала можно изображать транзакции от лица владельцев этих терминалов, причем необходимая для этой имитации информация (помимо скомпроментированного ключа который мы получили другим путем) печатается в каждом чеке с этих терминалов.areht
31.12.2015 01:08А что делать с пином чипованной карты, если нет самой карты?
Frespot
31.12.2015 02:18Помимо пин-кода банку передается информация с чипа, которая позволяет его клонировать. Это примерно как скопировать второй трек у карты с магнитной полосой и записать эту инфу на болванку. Имея пин-код, можно идти и снимать наличность в банкомате.
Jesting
31.12.2015 08:09+1Клонировать можно только карту со статической аутентификацией(SDA) которая будет работать исключительно в оффлайн транзакциях(карта будет сконфигурирована таким образом чтобы отвечать положительно на команду проверки оффлайн пина Verify и всегда отклонять предложение терминала провести транзакцию в онлайн). Современные карты с DDA/CDA исключают клонирование поскольку ключи необходимые для подписи элементов транзакции картой, никогда эту карту не покидают и склонировать их невозможно.
hostadmin
Как я понимаю, это подробности srlabs.de/pos-vulns
KonstantinSoloviov
Не похоже. По вашей ссылке написано про
банальное раздолбайствонарушение основополагающих принципов криптографии. А именно о том, что нельзя использовать один и тот же ключ. Это не дает возможности клонировать чиповую карту. По ссылке ТС написано про уязвимость самих карт.0serg
Это же RT, им не впервой перевирать новости до неузнаваемости :).
Я искал первоисточник независимо от hostadmin и пришел ровно к той же ссылке.