Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Вопросы безопасности бесконтактных платежей

(Нет голосов)

23.06.2011 Количество просмотров 1501 просмотр

Игорь Голдовский,
член Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России, генеральный директор компании «Платежные технологии»
С развитием бесконтактных платежных технологий вопросы безопасности такого рода продуктов все острее интересуют банковское сообщество. Как известно, для бесконтактной банковской карты наряду со стандартным набором угроз безопасности, характерным для контактных микропроцессорных карт, существуют специальные угрозы, связанные с использованием радиоканала для обмена данными между ридером и картой. В настоящей статье мы рассмотрим только те угрозы безопасности операций, которые специфичны именно для бесконтактных карт.


Начнем с того, что технология бесконтактных карт в своем сегодняшнем виде нарушает некоторые положения стандарта PCI Data Security Standard (PCI DSS). Поскольку данные диалога терминала и карты не шифруются (асимметричное шифрование является слишком медленным для выполнения требования к времени обработки бесконтактных платежей), то, очевидно, нарушается требование стандарта PCI DSS (пункт 4.1) о необходимости шифрования данных карты при их передаче по открытым/публичным сетям, к которым относятся любые беспроводные коммуникации.

Из-за того, что радиоканал может прослушиваться злоумышленниками, в бесконтактных картах не применяется метод верификации держателя карты PIN Offline (шифрование PIN-блока на асимметричном открытом ключе карты приведет к недопустимому сегодня увеличению времени обработки транзакции). Метод PIN Offline не используется еще и потому, что злоумышленник может просто заблокировать приложение, сделав несколько безуспешных попыток верификации ПИН-кода. Из общих соображений понятно, что радиоинтерфейс между картой и ридером менее безопасен в сравнении с контактным интерфейсом. Действительно, при использовании радиоинтерфейса можно незаметно для держателя бесконтактной карты выполнить по его карте операцию безналичного платежа (фактически на время операции «украсть» карту). Можно также «подслушать» диалог карты с терминалом и в результате получить информацию, необходимую для совершения мошенничества вида «Поддельная карта».

Наиболее характерные для бесконтактных карт атаки можно классифицировать следующим образом:

– relay attack: авторизованный ридер (ридер, зарегистрированный в некотором обслуживающем банке платежной системы) несанкционированным образом, т.е. без согласия клиента, инициирует и выполняет операции платежа по бесконтактной карте клиента;

– pick-pocketing: неавторизованный ридер (ридер, незарегистрированный ни в одном обслуживающем банке платежной системы) используется для проведения несанкционированной держателем карты операции с целью использования полученных в диалоге «карта – ридер» данных для изготовления поддельной карты и выполнения с ее помощью операций платежа в авторизованных терминалах;

– eavesdropping: перехват данных диалога «карта – ридер», особенно данных, передаваемых картой, с целью использования полученной информации для подделки карты или совершения мошенничества кражи идентификационных данных держателя карты (ID Theft);

– data corruption: злоумышленник пытается сделать невозможным обмен данными между картой и ридером (атака типа Denial of Service); при этом мошенник не стремится манипулировать данными карты и ридера для извлечения собственной выгоды;

– data modification: злоумышленник пытается модифицировать данные диалога «карта – терминал» выгодным ему способом; например, по сговору с держателем карты мошенник может уменьшить размер операции и/или модифицировать ответ карты терминалу, требуя авторизации операции в офлайновом режиме;

– атака man-in the-middle: мошенник (а точнее, его технические средства) находится между картой и ридером, перехватывая диалог карты и ридера с целью его модификации выгодным для себя способом;

– Radio Frequency Analysis (RFA): атака, нацеленная на получение значения секретного криптографического ключа карты с помощью измерения магнитного поля рядом с микросхемой карты.

В то же время следует признать, что область пространства, в которой можно подслушать карту или инициировать по ней операцию, физически ограничена.

Вспомним, что при использовании стандартного ридера операция по бесконтактной карте совершается с расстояния в несколько сантиметров.

Исследования показывают, что, используя доступное относительно недорогое оборудование, атаки relay attack и pick-pocketing можно организовать с расстояния не более примерно 40–50 см, «подслушивание» карты (атака eavesdropping) с расстояния не более порядка 80–100 см, а «подслушивание» ридера – с расстояния не более нескольких метров (3–4 м).

Совершенно очевидно, что для мошенника не представляет проблемы реализация атаки типа Data Corruption. В этом случае достаточно направить карте шумовой сигнал в том же частотном диапазоне, что и сигнал ридера. Более того, направив карте мощный сигнал, можно даже разрушить микросхему. Однако никакого очевидного меркантильного интереса для мошенника в реализации подобной атаки не существует.

Говоря об атаке типа data modification, следует отметить следующее. Поскольку в протоколе ISO 14443 Type A в прямом канале используется модифицированный код Миллера и 100%-ная амплитудная модуляция, то очевидно, что в прямом канале можно модифицировать только две последовательные «1» в последовательность (10). Для этого при передаче второго бита «1» во время наступления паузы при передаче второй половины этого бита мошеннику необходимо направить карте сигнал несущей. Тем самым на карту поступит сигнал без паузы, соответствующий случаю передачи бита «0» вслед за битом «1».

В прямом канале протоколов ISO 14443 Type B и FeliCa, а также в обратном канале для всех протоколов ISO 14443 и FeliCa не используется 100%-ная амплитудная модуляция, а значит, в сигнале отсутствуют паузы. Наличие пауз в определенных местах сигнала является единственным препятствием для модификации бита информации, поскольку имитировать паузу в сигнале практически невозможно. Для этого требуется очень высокая точность (десятые доли микросекунды) синхронизации передатчика мошенника с передатчиком ридера за короткое время обработки операции. Это означает, что в перечисленных в этом абзаце каналах возможна модификация всех битов передаваемых данных.

Следует заметить, что используемый при передаче данных по радиоканалу расширенный код Хэмминга (ISO 13239) не решает проблемы защиты данных от модификации. В некоторых случаях использование кода позволяет обнаружить модификацию данных.

В командах, передаваемых карте, точно указывается размер данных в поле данных команды и ожидаемый (обычно верхняя оценка) размер данных в ответе карты на команду. Поэтому мошенник, модифицирующий данные команды при наличии вычислительного средства достаточной производительности, может посчитать новое значение CRCпоследовательности и вставить его в блок данных, используемый для передачи команды.

В обратном канале мошенник в общем случае сразу не знает, когда нужно вычислить и вставить значение CRC-последовательности. В результате при передаче ответа в первый раз модификация данных ответа будет обнаружена с высокой вероятностью. Однако после неудачной попытки модификации ответа карты мошенник будет знать размер передаваемого ответа карты и при следующей попытке карты передать ответ терминалу сумеет вставить в нужное место вычисленное им значение CRCпоследовательности. Таким образом, помехоустойчивое кодирование не способно справиться с проблемой модификации диалога карты и ридера. Эта проблема, как мы увидим ниже, решается другими методами.

Рассмотрим теперь хорошо известную атаку man-in the-middle. На рис. 1 Alice и Bob ведут диалог через радиоканал.

Между ними появляется злоумышленник по имени Eve.

Рассмотрим теперь два случая.

1) Alice играет активную роль ридера, а Bob пассивен и играет роль карты, отвечая на запросы Alice. В этом случае атака man-in the-middle невозможна, поскольку, когда Eve передает перехваченные им и модифицированные данные Alice для Bob, Alice продолжает передавать несущую для Bob. В результате из-за суперпозиции двух несинхронизированных сигналов Bob ничего не услышит.

2) Alice и Bob активны и способны самостоятельно инициировать передачу данных. Данный вариант может быть актуален при использовании протокола NFC в моде Peer-to-Peer. В этом случае, когда Eve передает перехваченные и модифицированные данные Alice для Bob, Alice их тоже слышит и понимает, что вместо ожидаемого ответа от Bob (ответа на переданную ею команду) принимает собственное модифицированное сообщение (команду).

Кроме того, в обоих случаях, в период времени, когда Eve перехватывает данные Alice, чтобы эти данные не принял Bob, Eve ставит помеху для Bob, которая слышна и Alice.

Таким образом, атака man-in the-middle из-за всенаправленности излучения антенны при выполнении бесконтактных платежей невозможна.

Наконец, остановимся на атаке RFA. Эта атака относится к классу т. н. side-channelатак. Атаки этого класса позволяют по различным параметрам (времени обработки криптографической операции, потребляемой картой мощности при выполнении криптографической функции, значению электромагнитного поля в области микросхемы карты) определить значения отдельных битов секретного ключа карты. Эти атаки нацелены на получение значений отдельных битов закрытого асимметричного ключа карты, используемого в процедурах ее динамической аутентификации.

В основе всех атак лежит тот факт, что для вычисления степени числа от секретной экспоненты используется метод последовательного возведения в квадрат. В алгоритме RSA подписывание данных m заключается в возведении m в степень d, где d=(dk-1, ...,d0) – закрытая экспонента длиной k битов, k=[log2d]+1, а знак [x] обозначает округление x до ближайшего целого меньшего x.

Тогда метод последовательного возведения в квадрат для вычисления степени xd (mod n) выглядит следующим образом:

Let s:= m For i = k-2 down to 0 Let s:= s2 If di= 1 then s: = s.m (mod n) Output: s = xd (mod n)

Из алгоритма видно, что в зависимости от значения бита секретного ключа на каждом шаге либо выполняется одна операция возведения в квадрат, либо используются две операции – возведение в квадрат и умножение (ясно, что возведение в квадрат – тоже умножение). Очевидно, выполнение двух операций требует для своей реализации в среднем большего времени и потребляемой картой энергии. На этом и основаны атаки sidechannel attacks.

Метод RFA относится к классу непроникающих атак (не требуется извлечение и очистка от наполнителя микромодуля карты и разрушения слоя пассивации микросхемы). Суть метода заключается в измерении напряженности магнитного поля с помощью крошечной индукционной катушки из медной проволоки, помещаемой рядом с микросхемой карты. Можно предположить, что когда процессор микросхемы обрабатывает бит, равный «1», и потому необходимы возведение в квадрат и умножение, микросхема требует больше энергии, получаемой от магнитного поля вокруг микросхемы. В результате в соответствии с законом сохранения энергии значение напряженности магнитного поля рядом с криптографическим сопроцессором микросхемы в этот момент времени должно уменьшиться. На практике так и происходит, что замечательно иллюстрируется приведенным ниже рис. 2.

Очевидным способом борьбы с атакой RFA является использование дополнительного «камуфлирующего» умножения, которое выполняется, когда не требуется вычисления квадрата. Использование «камуфлирующего» умножения не дает мошеннику возможности определить значения битов секретного ключа на основе анализа магнитного поля в окрестности микросхемы карты, поскольку делает одинаковым обработку битов «0» и «1» в алгоритме вычисления степени. Другими словами, приведенный выше алгоритм вычисления степени должен выглядеть следующим образом.

Let s:= m For i = k-2 down to 0 Let s:= s2 If di= 1 then s: = s.m (mod n) else s`: = s.m Output: s = xd (mod n) Ниже рассмотрены последствия от описанных ранее атак для участников безналичных платежей.

В случае проведения relay attack прямой финансовый урон наносится держателю карты. В то же время терминал, выполняющий неавторизованные держателем карты операции, долго функционировать не сможет. Очевидно, по факту получения отказов от платежей (chargeback), выполненных в этом терминале, он будет определен в платежной системе как CPPточка и отключен от обслуживания карт.

В случае атаки pick-pocketing полученные в ходе обработки операции данные в дальнейшем используются для повторения транзакции в настоящем терминале. В этом случае мошенник клонирует карту, подвергшуюся атаке pick-pocketing. Он создает карту, имитирующую работу реальной карты, поведение которой было установлено во время выполнения транзакции на неавторизованном терминале. В этом случае также возможно использование перехваченных реквизитов карты с целью их использования для выполнения мошенничества по поддельной контактной карте (cross-contamination).

Особую опасность представляет применение перехваченных данных для выполнения операций CNP.

Атаки eavesdropping и pick-pocketing используются для получения данных о реквизитах реальной карты с целью создания на их основе поддельной чиповой карты или карты с магнитной полосой (cross-contamination).

Атака RFA нацелена на определение закрытого асимметричного ключа карты, используемого для динамической аутентификации карты. Поскольку многие операции по бесконтактным картам выполняются в офлайновом режиме без использования верификации держателя карты, знание этого ключа оказывается критичным для безопасности этих операций.

Остановимся теперь на способах противодействия перечисленным атакам.

В первую очередь заметим, что атаки pick-pocketing и eavesdropping неэффективны, если пытаться их применять с целью подделки чиповой карты.

Действительно, если бесконтактная карта используется в моде магнитной полосы, то транзакция обычно авторизуется в онлайновом режиме и карта генерирует динамическое значение CVV/CVC, подделать которое без знания секретного ключа карты невозможно. Если же бесконтактная карта используется в моде EMV, то для успешной динамической аутентификации приложения карты необходимо знание закрытого асимметричного ключа карты (по российским картам MasterCard разрешается использование только метода аутентификации приложения CDA, по картам Visa – DDA).

При использовании для аутентификации приложения метода Combined Dynamic Data Authentication/Application Cryptogram Generation (CDA) решается проблема обеспечения целостности обмена информацией между картой и ридером.

В этом случае атака data modification становится невыполнимой. Напомним, что метод CDA является в регионе MasterCard Europe обязательным на картах MasterCard PayPass M/Chip.

Для борьбы с cross-contamination применяются следующие методы. Во-первых, в бесконтактных картах статические значения CVC/CVV не используются. Поэтому мошеннику создать магнитную полосу поддельной карты на основании данных cross-contamination практически невозможно.

Во-вторых, бесконтактное приложение не содержит значение CVC2/CVV2. Поскольку при совершении CNP-операций эта величина находит все более частое применение на практике, совершить операцию в интернет-магазине на основе данных, украденных в результате прослушивания диалога бесконтактной карты и терминала, становится все сложнее.

В-третьих, для эмиссии бесконтактных карт эмитенту рекомендуется использовать отдельные диапазоны номеров карт, по которым операции CNP вовсе запрещены. В идеальном случае, чтобы не снижать функциональность карты и сделать возможным ее использование для операций CNP, рекомендуется использовать для контактной и бесконтактной мод карты разные номера карт. В этом случае запрет операций CNP можно определить только для номеров карт, используемых в бесконтактной моде.

Заметим, что применение разных номеров карт может потребовать доработки авторизационных систем эмитента. Например, на картах MasterCard PayPass M/Chip ключ карты для генерации криптограммы делится (один и тот же) приложениями для контактной и бесконтактной мод карты. Это ограничение устраняется в спецификации MasterCard M/Chip Advance. Однако сегодня ключ генерации криптограммы один и тот же для обоих приложений. Поэтому эмитент, который в своей системе выводит ключ карты по PAN и PSN (PAN Sequence Number), при использовании различных номеров карт для контактного и бесконтактного приложений должен помнить, что для вывода ключа при обработке бесконтактной транзакции необходимо использовать PAN контактного приложения.

В-третьих, при использовании моды магнитной полосы в данных первой дорожки бесконтактной карты имя держателя карты указываться не должно. Это позволяет избежать мошенничества, связанного с кражей идентификационных данных клиента (ID Theft).

Перечисленные выше методы являются эффективным средством борьбы с crosscontamination.

Наиболее тяжелой атакой при использовании бесконтактных карт является атака relay attack. Как уже отмечалось ранее, эта атака достаточно быстро определяется на уровне платежной системы. Кроме того, платежные системы и банки вводят ограничения на максимальный размер операции по бесконтактной карте. Это снижает интерес мошенников к таким транзакциям. И все-таки атака relay attack подрывает доверие держателей карт и банков к технологии бесконтактных карт.

На сегодняшний день платежные системы предлагают два подхода к решению задачи. Первый подход заключается в хранении карты в специальном металлическом футляре (in-mail shielding).

В этом случае карта изолируется от внешнего магнитного поля, и потому воздействовать на карту неавторизованным способом невозможно.

Второй подход заключается в наличии на карте специальной кнопки, на которую требуется нажать для активации бесконтактного интерфейса карты (Cardholder Card Activation). По всей видимости, с развитием бесконтактных карт эти методы защиты от атаки relay attack будут использованы. В частности, в новой спецификации MasterCard M/Chip Advance появился механизм включения бесконтактного интерфейса карты (Contactless Interface Switch). Включение бесконтактного интерфейса может быть выполнено нажатием уже упоминавшейся кнопки.

Обобщая вышесказанное, можно сделать следующие выводы. При ограничении на размер транзакции и использовании динамических методов офлайновой аутентификации (DDA, CDA) бесконтактные карты справедливо признаются платежными системами надежным средством платежей.

Ниже перечислены уже рассмотренные методы борьбы с мошенничеством для бесконтактных карт:

– методы динамической аутентификации карты (DDA, CDA) позволяют избежать атак типа pick-pocketing и eavesdropping, а также подделку карт;

– метод CDA обеспечивает целостность информации, циркулирующей между картой и терминалом;

– Cross-contamination: использование отдельных BIN/PAN для бесконтактных карт/бесконтактных приложений;

– In-mail shielding или Cardholder Card Activation (легко реализуется в сотовом телефоне) для борьбы c relay attack.

В завершение отметим, что держатели карт банков ведущих международных платежных систем также защищены политикой нулевой ответственности (Zero Liability Policy). В соответствии с этой политикой, если клиент предпринимает необходимые усилия по сохранности своей карты/данных карты и вовремя сообщает эмитенту о случаях ее потери/кражи, а также о несанкционированном использовании его карты, он освобождается от ответственности за операции оплаты покупки, выполненные по его карте.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первые успешные проекты мобильных кошельков развились не на развитых рынках, и задолго до их появления в Европе или США – это были M-PESA в Кении а также Globe GCASH и SMART Money – на Филиппинах.