17 августа 2012, 16:17
Количество просмотров 853

Безопасность терминальных сетей самообслуживания и вызовы времени

Что можно противопоставить росту числа атак на электронные терминалы самообслуживания? 18-19 октября 2010 г. в Москве прошел 2-й...
Безопасность терминальных сетей самообслуживания и вызовы времени

Что можно противопоставить росту числа атак на электронные терминалы самообслуживания? 

18–19 октября 2010 г. в Москве прошел 2-й Международный Форум «Банковское самообслуживание и НДО. Россия / СНГ 2010», организованный журналом «ПЛАС». Среди более 30 интереснейших выступлений, прозвучавших в рамках мероприятия, особое внимание аудитории Форума, насчитывавшей в общей сложности более 500 делегатов из России, стран СНГ, а также Литвы, Франции, Германии, Италии, Нидерландов, Греции, Чехии, Венгрии, Великобритании, Китая, Южной Кореи, Японии и США, вызвал доклад Игоря Голдовского, члена Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России и генерального директора компании «Платежные Технологии». Сегодня мы предлагаем вам ознакомиться с его публикацией, подготовленной по мотивам данного выступления.

Безопасность терминальных сетей самообслуживания и вызовы времени - рис.1 Безопасность терминальных сетей самообслуживания и вызовы времени - рис.2 Безопасность терминальных сетей самообслуживания и вызовы времени - рис.3

Текущая ситуация

Начать статью хотелось бы с уточнения ее названия. С точки зрения экономических и репутационных последствий данные вызовы времени бросаются прежде всего платежной индустрии и эмитентам карт. Именно эмитенты карт в большинстве случаев и в первую очередь несут финансовые и репутационные потери в связи с атаками на терминалы самообслуживания. Как известно, фрод наносит удар по основам карточной технологии, порождая в клиентах банков червь сомнения в ее надежности и удерживая их от использования этого способа безналичных платежей. Поэтому международные платежные системы (МПС) пристально наблюдают за ситуацией вокруг атак на сети терминалов самообслуживания.

Однако на сегодняшний день МПС не изменили требований к банкоматам и другим терминалам самообслуживания, считая их достаточно надежной средой обработки операций. Для операций через такие терминалы они оставляют традиционное распределение ответственности, в соответствии с которым ответственность за возможный фрод лежит на эмитенте. МПС требуют от обслуживающего банка обеспечения дополнительных мер безопасности терминала самообслуживания только в том случае, если будет установлено, что конкретное устройство неоднократно становилось источником мошенничества, связанного с кражей карточных данных.

В настоящей статье речь идет о терминалах самообслуживания, характеризующихся следующими признаками:

• для совершения операции в таких терминалах используется карта. Карта применяется в режиме с вводом данных магнитной полосы/чипа. Как следствие, держатель карты присутствует в точке совершения операции, т.е. последняя относится к CP-транзакциям (Card Present);

• представитель банка (кассир, продавец в магазине) отсутствует в точке совершения операции и не участвует в ее выполнении.

Примерами терминалов самообслуживания являются банкоматы, терминалы моментальных платежей, банковские инфокиоски, vending-устройства, устройства для оплаты парковки, платных автотрасс, заправки топлива, устройства FINREAD (дешевые POS-терминалы, соответствующие требованиям МПС и обладающие сертифицированными ПИН-падами).

По данным компании Retail Banking Research, сегодня в мире только установленных банкоматов насчитывается более 2млн устройств, а к 2015г. их количество вырастет до 3 млн. Предполагается, что быстрыми темпами будет расти и количество устройств FINREAD. Эти устройства станут инструментом для таких регулярных платежей населения, как оплата услуг ЖКХ, сотовых операторов, цифрового телевидения, ISP и т.п. Кроме того, через устройства FINREAD будет производиться значительная доля онлайновых покупок в интернет-магазинах (онлайновые покупки будут мигрировать из области CNPопераций в область CAT-транзакций).

Новые угрозы безопасности

Терминалы для обслуживания карт являются привлекательной точкой для приложения усилий мошенников. Это связано с тем, что: а) через терминал вводятся все данные карты и ее держателя, необходимые для выполнения карточной операции;

б) терминал является наиболее уязвимым местом с точки зрения безопасности: обеспечение должной защиты всех терминалов – дорогое удовольствие.

А где тонко, там, как известно, и рвется… В настоящей статье под атакой на терминал самообслуживания во всех случаях понимается набор действий (специальных манипуляций), которым подвергается терминал и которые направлены на кражу наличных денег из терминала или на предварительную кражу карточных данных для последующей кражи денег. Заметим, что под приведенное определение не подходят такие виды мошенничества с применением банкоматов, как использование поддельной карты с украденным значением ПИН-кода, «дружественное» мошенничество (использование карты членом семьи или другом), уменьшение значения номинала кассет на хосте эквайера, изменение значения обменного курса в системе эмитента (две последние атаки являются инсайдерскими) и т.п. В этих примерах терминал используется лишь как устройство для инициализации транзакции. В атаке на терминал сам терминал как физическое устройство подвергается обработке, после выполнения которой мошенник похищает либо деньги, либо карточные данные, которые потом используются для совершения мошенничества с целью завладения чужими денежными средствами.

Размер бедствия, связанного с атаками на терминалы самообслуживания, может быть оценен по данным EAST (European ATM Security Team). В 2009г. в Европе (исследование охватывало 23 страны, в которых было установлено около 369 тыс. банкоматов) было зафиксировано 13 269 атак на банкоматы. Другими словами, в 2009г. примерно каждый 28-й банкомат в Европе подвергался атаке! Все атаки условно могут быть разделены на два типа:

1. Атаки, направленные на кражу карточных данных;

2. Атаки, направленные на кражу денежных средств.

К атакам первого типа относятся:

• скимминг – установка накладного ридера, видеокамеры/накладной клавиатуры, вредоносного ПО (86% всех атак);

• сard trapping (например, «ливанская петля»), в 2009г. отмечен рост этого вида мошенничества на 209%;

• фальшивые терминалы.

К атакам второго типа относятся:

• физические нападения на банкоматы – кража банкоматов, взлом сейфов (в 2009г. в Европе зафиксировано 2468 атак, что на 2% меньше, чем в 2008г.);

• сash trapping (установка специальной накладки в окне выдачи наличных). Такая накладка задерживает купюры и не выдает их держателю по результатам операции. Далее мошенники снимают накладку вместе с находящимися в ней денежными средствами;

• подключение к системному блоку банкомата для передачи диспенсеру команды на выдачу наличных (вендоры стали поддерживать механизм защиты от такой атаки: используется разделяемый секрет между диспенсером и хостом эквайера – MACing команды);

• «щипачество». Клиент забирает из лотка не всю сумму, а часть купюр. После того как через положенное время оставшиеся купюры были забраны устройством назад, он предъявляет претензию о том, что денег в банкомате вовсе не получал.

Безопасность терминальных сетей самообслуживания и вызовы времени - рис.4

Среди перечисленных видов атак скимминг является самым распространенным способом атаки на терминал.

По данным EAST, в первой половине 2010 г. на него приходилось 86% всех атак. И это не случайно. Скимминг – высокоэффективный вид мошенничества.

С одной стороны, такое мошенничество является низкорисковым для преступников – обнаружить мошенника возможно только во время установки и во время снятия скиммингового оборудования (причем при использовании Bluetooth для связи скиммингового оборудования с мошенниками вероятность обнаружения существенно снижается, так как устройство можно не снимать с терминала).

При этом количество украденных данных можно оценить следующим образом.

В мире по порядку величины 1 млн терминалов установлены вне офиса (уличные банкоматы). Можно предположить, что приблизительно каждый сотый такой банкомат подвергается скимминговой атаке (в Европе – каждый 36-й банкомат).

Из скомпрометированных терминалов ежедневно похищаются данные в среднем по 100 картам в течение 100 дней в году (держать скимминговые устройства на терминале постоянно слишком рискованно для преступников). Украденные в терминалах карточные данные повторяются, так как многие карты используются в одних и тех же терминалах (за 100 дней карта используется 10 раз). Поэтому за год крадутся данные приблизительно 10 млн карт.

Это оценка по порядку величины. Потери от скимминга в электронных терминалах сравнимы с потерями от кражи данных в ИС банков, третьесторонних процессоров, торговых предприятий, в системах хранения карточных данных (несколько десятков миллионов скомпрометированных карт в год). Однако последствия от скимминга в терминалах самообслуживания тяжелее – компрометируются не только карточные данные, но и ПИН-код.

Актуальность проблемы кражи карточных данных очевидна. Украденные данные используются для двух наиболее массовых видов мошенничества – поддельные карты и CNP-мошенничество (мошенничество по CNP-операциям).

По данным за II квартал 2009, на эти два вида мошенничества приходилось 75% всего фрода в мире и 83% – в Европе!

Что делается?

Безопасность терминальных сетей самообслуживания и вызовы времени - рис.5

Снижением уровня кражи данных при хранении, обработке и передаче карточных данных в информационных системах занимаются программы MasterCard Site Data Protection и Visa Account Information Security, в основе которых лежит стандарт PCI DSS. Однако стандарт PCI DSS не касается вопросов скимминга в электронных терминалах. МПС не требуют применения антискимминговых решений на каждом банкомате – это слишком дорого. Использование специальных средств защиты от скимминга и других атак становится обязательным для обслуживающего банка только после установления факта атаки на терминал.

В то же время в Европе в 2009 г. объем мошенничества от скимминга в банкоматах уменьшился на 36% (!) и составил 310 млн евро (данные EAST за 2009 г. по 23 странам с общей базой 368 559 банкоматов).

Главные причины уменьшения фрода:

• миграция банков на технологию EMV;

• применение антискимминговых решений.

На сегодняшний день 1,08 млрд карт (36% от всех эмитированных карт) и каждый третий банкомат являются EMV-совместимыми. Существует прогноз, по которому к 2015г. в мире более половины карт и около 70% терминалов будут работать по технологии EMV.

Пока мир полностью не перешел на технологию микропроцессорных карт, индустрия предложила хорошо сегодня известные средства борьбы со скиммингом (антискимминговые решения).

К ним относятся:

• использование джитера (Jitter), обеспечивающего переменную скорость движения карты в картридере, что осложняет считывание информации с магнитной полосы для мошеннического накладного ридера;

• применение антискимминговой накладки картридера, что мешает установке накладного ридера;

• специальный откидной экран, защищающий вводимый клиентом ПИН-код от подглядывания;

• устройство, определяющее любые изменения в ближайшем пространстве вокруг банкомата и обычно встраиваемое в ATM. В частности, обнаруживаются накладные клавиатура и ридеры, устройства для card trapping и cash trapping. Устройство способно перевести банкомат в состояние out-of service, передать соответствующее уведомление сервисной службе банка.

Обязательными для терминалов самообслуживания являются требования, сформулированные в стандартах совета PCI SSC (Security Standard Council) PA DSS (Payment Application Data Security Standard) и PCI PTS (PIN Transaction Security). На сегодняшний день все ведущие производители банкоматов прошли сертификацию своего прикладного программного обеспечения на соответствие требованиям PA DSS, а также используют защищенную клавиатуру (Encrypting PIN Pad), сертифицированную на соответствие требованиям PCI PTS.

Для борьбы с вредоносным ПО рекомендуется использовать специальное программное обеспечение, обеспечивающее защиту от несанкционированных загрузки/запуска файлов на терминале (Solidcore Suite, Symantec Endpoint Protection). Кроме того, необходимо следовать очевидным рекомендациям при конфигурировании операционной среды терминала самообслуживания:

1. Использовать пароли администратора и доступа в BIOS, отличные от установленных по умолчанию значений.

2. Оставить в BIOS возможность загрузки данных только с жесткого диска (возможность загрузки с иных устройств должна быть отключена).

3. При установке системного программного обеспечения банкомата включить в локальную политику запрет на подключение новых USB-каналов, а также запуск сервисов, отвечающих за работу USB накопителей.

Еще одним вызовом карточной индустрии является проблема подмены терминалов (фальшивые терминалы). Стоимость терминалов неуклонно падает, а их доступность постоянно растет. В результате мошенники используют собственные специально подготовленные для кражи карточных данных терминалы (POS-терминалы и банкоматы), выдавая их за легальные банковские устройства.

Сегодня наиболее доступным способом защиты от подмены является обеспечение физического контроля над установленным терминалом (наклейки безопасности, проверка серийного номера терминала и т.п.). Реализация взаимной аутентификации карты и терминала в самом начале выполнения транзакции сегодня невозможна (не поддерживается в рамках EMV-технологии по причинам, к которым мы вернемся чуть позже). В качестве альтернативы можно рассматривать внедрение более надежной технологии аутентификации терминала обслуживающим банком – формирование терминалом криптограммы транзакции для ее проверки обслуживающим банком. Криптограмма терминала является некоторым аналогом используемого сегодня для онлайновых транзакций метода обеспечения целостности сообщений, циркулирующих между терминалом и хостом обслуживающего банка (MACing). Однако криптограмма является подписью терминала данных транзакции, а не отдельных сообщений, и может использоваться обслуживающим банком для проверки подлинности терминала, на котором была выполнена транзакция, и для офлайновых операций. Конечно, от мошенничества (кражи данных) в офлайновом режиме криптограмма тоже не спасает, хотя позволяет обнаружить факт использования фальшивого терминала перед отправкой презентмента и предупредить об этом эмитента. Надежным решением проблемы «фальшивого терминала» могла бы стать процедура взаимной аутентификации карты и терминала в начале выполнения транзакции. Однако такая процедура сегодня стандартом EMV не предусмотрена из-за ее невостребованности рынком по следующим причинам:

• процедура существенно удлиняет процесс обработки операции – проверка картой сертификатов ключа эквайера и терминала, а также подписи терминала занимают 150–300 мс. К этому нужно прибавить время на передачу сертификатов ключей эквайера и терминала, а также подписи терминала карте (500–600 мс).

Итого время обработки транзакции вырастает на 650–900 мс. Такое увеличение времени транзакции, например, ставит крест на технологии бесконтактных платежей, в которых время обработки транзакции во многих случаях не должно превышать 500 мс;

• необходимость хранения как минимум хэш-функций ключей системы ведущих МПС (порядка 10 ключей) требует резервирования объема памяти EEPROM на карте от 200 байтов до 2,5 Кб. Резервирование такого объема памяти остается все еще дорогим удовольствием с учетом стоимости памяти карты;

• для поддержки CRL-листов (списков отозванных сертификатов) скомпрометированных ключей терминалов требуется около 15 Кб памяти EEPROM (в мире установлено около 30 млн терминалов, требуется 4 байта для хранения идентификатора терминала и 1 байт для хранения идентификатора сертификата на терминале.

Предположив, что у каждого из 10000 терминалов ключ будет скомпрометирован, размер списка CRL в результате может быть равен 15 Кб). Кроме того, необходимо организовать на банковских терминалах поддержку загрузки на карту CRL-листов через процедуру Script Processing.

Таким образом, пока подмена терминалов остается непринятым вызовом технологии микропроцессорных карт.

Что делать?

Как уже отмечалось, в последние годы существует тенденция к появлению на рынке большого числа дешевых платежных терминалов – устройств FINREAD – с ограниченным набором используемых в них карт, применяемых в режиме терминала самообслуживания. Для снижения стоимости таких терминалов желательно «разумное» послабление требований PCI, предъявляемых к терминалу, что кажется естественным в связи с ограниченным количеством обслуживаемых на таких терминалах карт. Выполнение требований, обязательных для устройств PED (PIN Entry Device) стандарта PCI PTS, увеличивает цену терминала на 10–15%. Это связано с необходимостью использования на терминалах более «продвинутого» чипсета, т.к. требуется поддержка механизма «tamper detection and response»: PED становится нефункционален, и все секретные данные стираются при вскрытии корпуса, сверлении, лазерном и химическом воздействии и т.п. Очевидно, компрометация ПИН-кодов нескольких карт на одном терминале малоинтересна мошенникам, а потому отказ от требований PCI PTS для таких устройств оправдан.

С другой стороны, массовое появление подобных терминалов заставляет сделать акцент на новые аспекты безопасности терминалов самообслуживания: безопасное удаленное управление терминалами и повышение надежности и безопасности верификации держателя карты.

Для удаленного безопасного управления устройствами FINREAD имеет смысл использовать платформу GPD/STIP (GlobalPlatform Device Specification 2.2), которая обеспечивает:

• взаимную аутентификацию терминала и хоста обслуживающего банка;

• конфиденциальность и целостность данных, циркулирующих между терминалом и хостом;

• удаленные загрузку, инсталляцию, экстрадицию, удаление, конфигурирование приложений на терминале;

• управление терминалом на всех этапах его жизненного цикла: производства, транспортировки, хранения, использования, вывода терминала из употребления.

Кроме того, платформа GPD/STIP является открытой мультиприкладной средой, позволяющей управлять на терминале приложениями от различных поставщиков услуг и обеспечивающей переносимость любого приложения на любой терминал, поддерживающий платформу GPD/STIP. К сожалению, пока платформа GPD/STIP не получила распространения среди производителей терминалов.

На устройствах FINREAD с ограниченным набором используемых в них карт возникают специфические проблемы верификации держателя карты:

• При шифровании ПИН-блока с использованием симметричного алгоритма шифрования возможно сохранение значения зашифрованного значения ПИН-блока и эмуляция транзакции из терминала с подстановкой в запросе зашифрованного ПИН-блока (replay attack).

• При шифровании ПИН-блока с использованием асимметричного алгоритма шифрования возможна даже компрометация ПИН-кода методом Code Book Attack. Действительно, открытый ключ обслуживающего банка и результат шифрования известны. Методом перебора всех значений ПИН-кода можно найти то его значение, при котором известное значение подписи совпадет с подписью очередного в процессе перебора зашифрованного ПИН-блока.

Решение отмеченной проблемы верификации держателя карты заключается в применении формата ISO-3 для ПИН-блока.

Случайное число, используемое в этом формате, генерируется хостом обслуживающего банка. При шифровании ПИН-блока с использованием асимметричного алгоритма дополнительно используется случайная последовательность терминала, которая должна быть секретной (генерируется элементом безопасности терминала и в открытом виде не появляется).

Что будет?

Кража карточных данных, на которую в основном нацелены атаки на терминалы самообслуживания, потеряет актуальность, только когда произойдут оба названных ниже события:

1. Мир полностью перейдет на технологию микропроцессорных карт с динамической аутентификацией (возможно, в форм-факторе сотового телефона), т.е.

операции со считыванием данных с магнитной полосы канут в Лету.

2. CNP-операции будут производиться с надежной аутентификацией держателя карты (например, по протоколу 3D Secure с одноразовыми паролями или с применением устройств FINREAD или ридеров РС).

До воплощения этих событий в жизнь пройдут годы, в течение которых нам придется сталкиваться с обсуждаемой в данной статье проблемой. От активности банков в процессе миграции на чип и использования надежных безопасных методов аутентификации своих клиентов зависит, как быстро удастся справиться с проблемой кражи данных в целом и на терминалах самообслуживания в частности.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube