Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Бесконтактные карты: мнимая уязвимость

(Голосов: 1, Рейтинг: 5)

16.09.2013 Количество просмотров 3276 просмотров

Игорь Голдовский, генеральный директор компании «Платежные Технологии», член Платежного комитета MasterCard Europe (Еuroреаn Payments Advisory Committee) от России

Закон Фарадея – EMVCo: безопасность бесконтактных карт – неубывающая функция от их количества в вашем бумажнике


В таких приложениях платежной системы MasterCard, как Mobile PayPass и M/Chip Advance, существует возможность дезактивации функции записи транзакций в лог-файл

Безопасны ли бесконтактные платежи? В своих выступлениях на конференциях и статьях я уже неоднократно касался этого вопроса. Кроме того, в разделе 7.9 «Вопросы безопасности бесконтактных платежей» моей книги 1 соответствующая тема, на взгляд автора, была освещена достаточно полно для того, чтобы читатель мог сделать однозначный и окончательный вывод: бесконтактные платежи в исполнении приложений ведущих платежных систем – MasterCard PayPass, MasterCard Mobile PayPass (MMP), Visa payWave, Visa Mobile Payment Application (VMPA) – являются безопасными. Да и как могло быть иначе? Разве стали бы ведущие платежные системы, как никто обеспокоенные вопросами безопасности платежей и тратящие колоссальные средства на снижение уровня карточного мошенничества, предлагать рынку небезопасные технологии?

В то же время до сих пор то и дело приходится слышать рассказы об уязвимости бесконтактных платежей и даже их особой подверженности фроду. К этому можно от-носиться снисходительно, когда авторами такого рода рассказов выступают СМИ, далекие от карточных технологий, или, например, продавцы набирающих популярность радионепроницаемых футляров для бесконтактных карт.

Во всем мире на сегодняшний день эмитировано несколько сотен миллионов бесконтактных карт Visa и MasterCard, обслуживаемых пример-но в 1 миллионе терминалов
Но когда подобное заявляют специалисты, работающие в области карточной индустрии, а тезис о небезопасности бесконтактных платежей выносится на профессиональные совещания с участием представителей Банка России, хочется попытаться объективно разобраться: чем же вызвана существующая обеспокоенность безопасностью бесконтактных платежей? Очевидно, тем главным, что отличает их от контактных платежей,– использованием радиоинтерфейса между картой и терминалом. Видимо, в заранее предвзятом отношении к бесконтактным картам свою роль сыграли знакомые с детства шпионские рассказы о том, что все то, что передается по радио, может быть перехвачено, изменено, а в передаваемую через радиоинтерфейс информацию могут быть вставлены ложные данные…


См. Голдовский И.М. Банковские микропроцессорные карты. М.:ЦИПСиР: Альпина Паблишерз, 2010.– 686 с.

Уязвимость на физическом уровне

Но так ли уязвим радиоинтерфейс, как об этом говорят? Общий ответ – да, на физическом уровне радиоинтерфейс уязвим (шпионские рассказы не врали)! И хотя организовать атаку на бесконтактную карту не так уж просто и совсем недешево, в принципе это возможно. Теоретически бесконтактная карта должна находиться от стандартного ридера на расстоянии не более 10 см, а на практике – не более 4 см. По результатам практических исследований экспертов нам известно, что, имея в своем распоряжении специальное, но потенциально доступное мошенникам оборудование, можно осуществлять следующие незаконные операции:
• незаметно для держателя карты с расстояния не более 40–50 см инициировать и выполнить платежную транзакцию по его карте (эта возможность используется при организации атак, известных как relay-атаки, pick-pocketing1);
• с расстояния не более 80–100 см перехватывать данные, передаваемые картой терминалу (именно эти данные несут ценную для мошенника информацию; такая атака называется eavesdropping1). Итак, перечислим все потенциальные угрозы, следующие из уязвимости бесконтактного интерфейса:
• незаметно для держателя карты можно скомпрометировать хранящиеся в ее памяти персональные данные держателя (имя, детали транзакций и т. п.);
• перехваченные данные, передаваемые картой терминалу, можно использовать для клонирования карты (возможно, с целью последующего использования клонированной карты по другой технологии, например, по магнитной полосе);
• перехваченный диалог карты с терминалом можно использовать для выполнения replay-атаки, при которой мошеннику удается провести новую транзакцию на основе данных уже выполненной ранее операции);
• карту незаметно для ее держателя (без авторизации держателя) можно использовать для выполнения платежной операции.

Уязвимость на логическом уровне

Несмотря на уязвимость радиоинтерфейса бесконтактной карты на физическом уровне, на логическом уровне каждая уязвимость нивелируется целым рядом механизмов, реализуемых в бесконтактном приложении и на хосте эмитента.

Начнем с кражи персональных данных держателя карты. Во-первых, имя держателя через бесконтактный интерфейс получить невозможно. При проверке корректности персонализации бесконтактного приложения карты платежные системы устанавливают факт отсутствия в читаемых терминалом данных имени клиента (для специалистов: проверяют отсутствие ссылки на объект данных Cardholder Name в объекте AFL (Application File Locator) для бесконтактного интерфейса).

Среди других личных данных клиента, которые могут храниться на карте, некоторый интерес для мошенников может представлять лог-файл последних транзакций, выполненных по карте. И хотя среди данных транзакции в лог-файле присутствуют только сумма, валюта и дата транзакции (нет типа покупки и названия магазина, правда, название магазина и его местоположение встречается в логе транзакции в последних версиях платежных приложений, например, в M/Chip Advance), а записи лог-файла перезаписываются после накопления в нем некоторого количества (обычно 10) записей, третья сторона может выяснить и каким-то образом использовать, например, те же данные по объему совершенных по карте операций. Однако я думаю, что ущерб для держателя карты от утечки такого рода информации в общем случае минимальный и несоизмерим с пользой для того же держателя карты от использования лог-файла транзакций карты. Компетентные органы всегда смогут получить информацию о расходах клиента по банковской карте от эмитента карты, а для мошенников польза от получения информации о размерах последних операций клиента по карте весьма сомнительная. Кроме того, логфайл является общим в платежном приложении для контактного и бесконтактного интерфейсов, и добраться до него можно через любой терминал, в котором будет обслуживаться карта.

В приложениях MasterCard Mobile PayPass и M/Chip Advance существует также возможность дезактивации функции записи транзакций в лог-файл с помощью соответствующей конфигу- рации объекта Application Control. В этом случае мошенникам будет просто нечего красть «с карты». Так что наиболее щепетильным в отношении к своей личной информации клиентам банк может отключить возможность записи данных в лог-файл в процессе использования карты (с помощью скриптовой команды Put Data эмитента).

Рассмотрим теперь возможность клонирования карты по перехваченным от бесконтактной карты данным. Очевидно, клонировать карту по чипу невозможно, поскольку для этого необходимо знать ключи карты, которые атакующим неизвестны. Клонировать карту по магнитной полосе также получится с очень невысокой вероятностью, поскольку мошенникам из перехваченных данных известны только номер карты и срок ее действия. Значения CVC/CVV через бесконтактный интерфейс не передаются, да и они по правилам МПС больше не совпадают с данными CVV/CVC на магнитной полосе. Поэтому эти значения атакующим неизвестны, а вероятность их угадывания невелика (равна 10-3). Напомним читателю, что по правилам платежных систем все операции по магнитной полосе микропроцессорной карты должны быть обработаны в режиме онлайновой авторизации, так что без знания значений CVC/CVV для магнитной полосы мошенникам не обойтись!

Клонирование не пройдет!

Использовать клонированную бесконтактную карту для выполнения CNP-транзакции возможно только в интернет-магазинах, где значения CVC2/CVV2 не запрашиваются при выполнении тран- закции. Таких онлайновых магазинов в России осталось совсем немного. Поэтому совершить операцию в онлайновом магазине на основе данных, украденных в результате перехвата диалога бесконтактной карты и терминала, по меньшей мере сложно. А вероятность угадывания значения CVV2/CVC2 равна «всего-навсего» 10-3. Не говоря уже о том, что в магазинах, поддерживающих протокол 3D Secure, шансы на клонирование карты, зарегистрированной в этой программе эмитентом, для совершения CNP-транзакций совсем призрачны (разумеется, при правильном внедрении и использовании этого протокола на стороне эмитента карты).

то же время существует универсальный механизм защиты бесконтактных банковских карт от клонирования. Для эмиссии таких карт эмитент может применять отдельные диапазоны номеров карт, выделенные специально для проведения только бесконтактных операций. Для совершения операций по бесконтактной карте через другие интерфейсы (CNP, магнитная полоса, контактный чип) может использоваться другой номер карты. Поскольку в авторизационных запросах/ клиринговых сообщениях операции, выполненные через бесконтактный интерфейс, специальным образом идентифицируются, то на уровне хоста эмитента можно проверять возможность использования представленного в транзакции номера карты для выполнения конкретной операции.

Заметим, что применение разных номеров карт для различных интерфейсов приложения может потребовать доработки на стороне авторизационных систем эмитента. Например, на картах MasterCard PayPass M/Chip ключ карты для генерации криптограммы один и тот же для контактной и бесконтактной мод. Это ограничение устраняется в спецификации MasterCard M/Chip Advance. Однако в значительно более часто используемом приложении MasterCard PayPass M/Chip ключ генерации криптограммы один и тот же для обоих интерфейсов. Поэтому эмитент, который в своей системе выводит ключ карты по PAN и PSN (PAN Sequence Number), при использовании различных номеров карт для контактного и бесконтактного интерфейсов должен помнить, что для вывода ключа при обработке бесконтактной транзакции необходимо использовать PAN контактного приложения.

Использование выделенных номеров карт для бесконтактных карт полностью устраняет проблему кражи данных через радиоинтерфейс.

Relay-атаки: нападение… и защита

Для борьбы с replay-атаками используются стандартные методы: на хосте эмитента ведется контроль значения счетчика транзакций ATC (Application Transaction Counter). Значение ATC онлайновой транзакции должно быть не меньше текущего значения ATC для рассматриваемого номера карты. Это значение обновляется хостом эмитента при обработке авторизационных запросов и клиринговых сообщений: если значение ATC в обрабатываемой операции больше текущего значения в системе эмитента, то это значение ATC устанавливается в системе эмитента в качестве текущего значения, если только криптограмма обрабатываемой операции прошла успешную проверку.

При использовании бесконтактных карт тяжелее всего справиться с relay-атакой. Это связано с тем, что платежные системы приняли следующее правило для обработки бесконтактных приложений. Ими установлен т. н. CVM Limit (в России он равен 1000 рублей) – максимальный размер транзакции, при котором операция еще не требует верификации держателя карты, но ответственность по ней несет эмитент. Если размер транзакции выше указанной величины, то держатель карты должен быть верифицирован: с использованием PIN Online или подписи для бесконтактных карт и mPIN – для мобильных бесконтактных платежей. Это правило МПС является правильным с точки зрения бизнеса, но в результате его применения появляется брешь: операции размером до CVM Limit при использовании бесконтактных платежей могут быть выполнены без ведома держателя карты под ответственность эмитента карты. Заметим: независимо от того, обрабатывалась ли транзакция в онлайновом или же в офлайновом режиме!

Активации/ дезактивация бесконтактного интерфейса карты позволяет держателю активировать свою карту только в те моменты, когда он ее использует

В общем случае в реализации relay-атаки участвуют два мошенника. Один находится рядом с жертвой, хранящей в своем портмоне бесконтактную карту (Person 1 на рис.1), а другой – рядом с кассой магазина, в котором совершается покупка (Person 2).

У мошенника Person 2 имеется специальная микропроцессорная карта, поддерживающая, с одной стороны, стандартный интерфейс (контактный или бесконтактный) для работы с реальным терминалом в магазине, а с другой – радиоинтерфейс, функционирующий в соответствии с одним из коммуникационных протоколов, обеспечивающих связь на расстоянии от нескольких десятков сантиметров до нескольких метров (например, ISO 15693, ISO 18000). С помощью такого радиоинтерфейса карта может обмениваться данными со специальным оборудованием мошенника Person 2, которое, помимо поддержки связи с картой, обеспечивает организацию удаленного радиоканала (например, в соответствии с протоколом Wi-Max (IEEE 802.16) с контролируемым мошенником Person 1 бесконтактным терминалом (см. рис.1).

Дальше мошенники действуют следующим образом. Мошенник Person 2 передает кассиру для оплаты свою поддельную карту (возможно, самостоятельно касается ридера бесконтактной картой). Далее все команды терминала, установленного в реальном магазине, через карту мошенника Person 2, его специальное оборудование и мошеннический терминал Person 1 транслируются реальной бесконтактной карте ничего не подозревающей жертвы. При этом ответы карты жертвы на команды реального терминала по тому же маршруту, но в обратном направлении возвращаются реальному терминалу.

Очевидно, что и обработка операции в онлайновом режиме не является помехой для успешного выполнения операции в описанной выше схеме. В этом случае в ответ на команду GENERATE AC реального терминала реальная карта сгенерирует криптограмму ARQC, которая будет возвращена терминалу реального магазина и через него передана на хост эмитента. Наоборот, ответ эмитента, содержащий Issuer Authentication Data, будет транслирован реальной карте, обслуживаемой в мошенническом терминале.

«Ломает» описанную выше схему верификация держателя карты по методу PIN Online. Но это происходит только в случае, когда размер транзакции превышает CVM Limit. Именно по этой причине описанная выше атака невозможна, если Person 2 будет пытаться применить в реальном терминале свою мошенническую карту, пользуясь контактным интерфейсом. В этом случае реальный терминал по CVM List поймет, что верифицировать держателя карты нужно по PIN Online (для контактного интерфейса никакого ограничения в виде CVM Limit не существует). Поскольку Person 2 не знает ПИН-кода жертвы, relay-атака в этом случае обре- чена на провал!

Организовать relay-атаку с помощью бесконтактного интерфейса карты мошенника Person 2 технически достаточно сложно: есть проблема в синхронизации действий мошенников, возникают задержки в передаче команд/ответов между реальными терминалом и картой. Поэтому наиболее реалистичной выглядит relay-атака, представляющая собой вырожденный случай, при котором магазин и мошенники сливаются в единое целое. В этом вырожденном случае реальный терминал магазина, принимающего карты платежной системы, напрямую работает с держателем бесконтактной карты, снимая со счета клиента средства за несуществующие покупки.

Несмотря на то что мошеннические магазины, с использованием оборудования которых проводятся relay-атаки, достаточно эффективно определяются платежной системой (метод CPP – Common Purchase Point), а максимальный размер операции по бесконтактной карте, которую можно совершить без авторизации держателя карты, ограничен, сама возможность выполнения операции без авторизации держателя карты подрывает доверие и пользователей, и банков к технологии бесконтактных карт.

…и защита

На сегодняшний день существуют разные подходы к решению задачи противодействия relay-атакам. Первый подход заключается в хранении бесконтактной карты в специальном металлическом футляре (in-mail shielding). В этом случае карта изолируется от внешнего магнитного поля (эффект клетки Кавендиша), и потому воздействовать на карту не авторизованным ее держателем способом невозможно.

Второй подход заключается в регулярной активации/дезактивации бесконтактного интерфейса карты или даже всего приложения. В частности, в последней спецификации MasterCard (MasterCard M/Chip Advance) существует механизм включения/выключения контактного интерфейса карты. Активация/дезактивация бесконтактного интерфейса может быть выполнена с использованием команд эмитента Issuer Script Processing в терминалах банка (например, в банкомате). Понятно, что этот метод не очень удобен для держателя карты на практике – для того чтобы им воспользоваться, необходимо посетить банкомат. Исключение составляют держатели карт, обладающие NFC-телефоном со специальным приложением, с помощью которого можно доставить на карту команду эмитента для дезактивации бесконтактного интерфейса. Проблем совсем не возникает у пользователя, использующего приложение MasterCard Mobile PayPass, установленное в элементе безопасности сотового телефона: пользователь с помощью приложения на телефоне может осуществлять блокирование/разблокирование платежного приложения сколько угодно раз на дню.

Активации/дезактивация бесконтактного интерфейса карты позволяет держателю карты активировать ее только в моменты использования. В остальное время карта будет недоступна внешнему миру через бесконтактный интерфейс: с нее нельзя прочитать данные, по ней нельзя выполнить операцию.

В мобильных приложениях используется еще более эффективный механизм подтверждения факта выполнения операции держателем карты. Приложение может быть сконфигурировано таким образом, что любая бесконтактная транзакция будет требовать подтверждения клиентом факта ее выполнения либо «нажатием специальной кнопки» (button pushing) приложения на телефоне, либо вводом мобильного ПИН-кода (mPIN).

Еще один эффективный механизм борьбы с relay-атаками – процедуры управления рисками карты и эмитента. Управление рисками на стороне карты сводится к наличию на карте офлайновых лимитов для суммы транзакции, превышение которых потребует проведения операции в онлайновом режиме. И здесь уже включаются механизмы управления рисками на стороне хоста эмитента (о них чуть ниже). В частном случае карты могут быть сконфигурированы таким образом, чтобы все бесконтактные операции пытались обслужиться в онлайновом режиме (например, как в профиле персонализации MasterCard Online-only PayPass).

В случае применения мобильного бесконтактного приложения уровень контроля рисков еще выше. Например, в приложении MMP помимо офлайновых счетчиков карты применяются L&S-счетчики, которые увеличиваются при выполнении операции без верификации держателя карты. При превышении этими счетчиками пороговых значений, устанавливаемых эмитентом, держатель карты должен будет ввести значение mPIN, тем самым делая невозможной relay-атаку. Таким образом, в мобильных приложениях существует эффективный механизм контроля рисков для противодействия relay-атакам. В частности, все операции можно выполнять только с разрешения клиента.

Управление рисками, связанными с relay-атаками, на хосте эмитента связано с реализацией на нем специальных механизмов контроля бесконтактных операций. Например, операции до CVM Limit могут выполняться по запросу клиента лишь в определенные интервалы времени. В этом случае все онлайновые транзакции, выполняемые вне установленного интервала времени, будут отвергаться (бесконтактное приложение можно настроить таким образом, что все бесконтактные операции будут онлайновыми). Могут работать алгоритмы мониторинга бесконтактных онлайновых операций.

У меня же имеется персональная рекомендация, которую я вынес в заглавие настоящей заметки. Храните в своем бумажнике более одной бесконтактной карты! В этом случае правильный сертифицированный терминал не сможет инициализировать relay-атаку, поскольку в поле терминала будет находиться более одной бесконтактной карты. Стандарт ISO14443 допускает возможность нахождения нескольких карт в поле ридера и устанавливает процедуру разрешения возникающего в результате этого конфликта путем задания определенного порядка последовательного обслуживания каждой карты в поле ридера. Однако используемый в платежной индустрии стандарт (EMV Contactless Communication Protocol v.2.3, Book D) запрещает терминалу выполнять операцию, если в поле ридера более одной бесконтактной карты, поскольку держатель карты должен точно знать, по какой именно карте производится текущая операция!

Конечно, мне могут возразить – для выполнения relay-атаки мошенники могут использовать и «неправильный» терминал. Да, могут, но на это потребуются специальные и нетривиальные усилия, поскольку и сегодня существуют достаточно эффективные механизмы контроля магазинов, противодействующие использованию несанкционированных эквайрером терминалов (MACing для онлайновых операций, криптограмма терминала на ключе обслуживающего банка и т. п.

Уровень безопасности выше среднего!

Обобщая вышесказанное, можно сделать следующий вывод. При внедрении эмитентом разумных процедур контроля рисков и существующих ограничениях на размер транзакции бесконтактные карты справедливо признаются платежными системами надежным инструментом безналичных платежей.

Мировой опыт доказывает справедливость этого вывода. В мире эмитировано несколько сотен миллионов бесконтактных карт Visa и MasterCard, обслуживаемых примерно в 1 миллионе терминалов. При этом уровень мошенничества по бесконтактным картам не превышает одного базисного пункта (на порядок ниже среднего значения в индустрии). Более того, зафиксированное мошенничество не имеет отношения к технологии бесконтактных платежей. В основном оно связано с неполученными/украденными/ потерянными картами и ошибками некоторых эмитентов в конфигурировании своих процессинговых систем при запуске новых проектов бесконтактных платежей.

В заключение призываю читателя помнить о том, что бесконтактные карты – лишь важный промежуточный шаг к светлому будущему мобильных платежей, которым никакие relay-атаки не страшны. Эмитируя бесконтактные карты и устанавливая обслуживающие их терминалы, банки тем самым приближают момент перехода на новые инструменты мобильных безналичных платежей и сокращают век использования пластиковых карт как таковых, в том числе и бесконтактных. Так что в наших руках сделать так, чтобы наши дети и внуки уже с трудом вспоминали о таком рудименте, как пластиковая карта (даже если она была микропроцессорной), как мы с вами уже не помним о том, что первые платежные карты были картонными!


Читать полную электронную версию Журнал ПЛАС № 9 (196) 2013

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первые успешные проекты мобильных кошельков развились не на развитых рынках, и задолго до их появления в Европе или США – это были M-PESA в Кении а также Globe GCASH и SMART Money – на Филиппинах.