Обратная сторона PIN-кода
Заранее предполагаем, что первая реакция на данную публикацию у многих специалистов карточного рынка будет, скорее всего, негативно вопросительной: не поторопился ли журнал ПЛАС опубликовать на своих страницах столь “одиозную” информацию? Посмеем не согласиться. Дело в том, что даже сами авторы “скандального” научного отчета, основные положения которого представляем вашему вниманию, отмечают, что “их работу ни в коем случае не следует рассматривать как практическое руководство для начинающих мошенников. “Напротив, подчеркивают они, – первостепенной целью ее написания была прежде всего необходимость продемонстрировать рынку, что существующих сегодня мер обеспечения безопасности явно недостаточно”. Что же дало им основания для столь сенсационного утверждения?
Использование ПИН-кода при проведении ATM-транзакций до последнего времени считалось одним из необходимых условий недопущения банкоматного мошенничества. При этом порой пресекались даже попытки обсуждения самой возможности появления в банкоматных сетях неких “фантомных” транзакций, которые могли бы инициироваться третьими лицами, в случае если держатель карточки не вовлечен в преступный сговор и PIN-код не дискредитирован. Однако результаты недавнего исследования британских ученых могут заставить всех участников мирового карточного рынка, включая в первую очередь банки, платежные системы, а также производителей банкоматов и крупнейших операторов ATM-сетей пересмотреть справедливость этой позиции.
Рассмотрев ключевые аспекты генерации, применения и хранения PINкодов, аспиранты Кембриджского университета пришли к удручающему выводу: далеко не все современные системы обеспечения безопасности платежных сервисов в состоянии обеспечить надлежащую защиту денежных средств держателей банковских карт.
Защищенность карточных платежей в свое время уже не раз подвергалась сомнению со стороны ряда экспертов рынка безналичных платежей и специалистов по системам обеспечения безопасности. Справедливости ради следует отметить, что некоторые из этих работ содержали вполне обоснованные доводы и подтверждались опытными испытаниями. Однако до сегодняшнего момента мало кто сомневался в безопасности применения такого основополагающего элемента защищенного использования платежных карт, как пользовательский PIN-код.
В своем техническом отчете аспиранты Компьютерной лаборатории Кембриджского университета Майкл Бонд (Mike Bond) и Петр Зелински (Piotr Zielinski) рассмотрели различные аспекты использования PIN-кодов в банкоматных транзакциях. В работе, получившей название “Применения таблиц децимилизации для взломов PIN-кодов” (Decimalization table attacks for PIN cracking), ученые утверждают, что мошеннику, знающему особенности функционирования механизмов шифрования, работы HSM (Hardware Security Module) и ATM, потребуется в среднем 15 попыток, чтобы взломать PIN-код пользователя. Ранее считалось, что для этого мошенник должен предпринять от 5 тыс. до 10 тыс. попыток. Таким образом, согласно выводам отчета, гипотетически за полчаса злоумышленник может взломать около 7 тыс. PIN-кодов, в то время как простым перебором он смог бы определить за это время всего 24 PIN-кода.
Как отметили в своей работе М. Бонд и П. Зелински, в большинстве случаев банкоматы обеспечивают достаточно высокий уровень безопасности использования пластиковых карт. Вероятность того, что мошеннику удастся с трех попыток угадать четырехзначный PIN-код пользователя из 10 тыс. возможных вариантов, настолько мала, что держателям карт, в сущности, не стоит беспокоиться даже в том случае, если его карта было потеряна или похищена.
Основную проблему представляют собой внутренние атаки на банковские базы данных, где обычно хранятся пользовательские PIN-коды. В этом случае в роли мошенников могут выступать сотрудники банка, имеющие физический или “виртуальный” доступ к хранилищу PIN-кодов – серверу и HSM-модулю. При этом в большинстве случаев хранилище PIN-кодов имеет ограничивающий API и отвечает на запросы о подтверждении PIN только “да” или “нет” (YES/NO), чего вполне достаточно для осуществления подбора PIN.
Используя простой метод перебора возможных значений PIN-кода, мошенник пишет специальную программу, которая подбирает PIN-код для определенного номера карты, посылая на HSM множество запросов на подтверждение. В среднем большинство современных HSM-моделей может обработать 60 внутренних запросов пользователей в секунду, что никак не скажется на его основной работе и не будет заметно для специалистов службы безопасности. Таким образом, недобросовестный работник банка, имеющий “виртуальный” доступ к HSM, программу-взломщик и 30 минут свободного времени, сможет вычислить около 24 PIN-кодов.
Используя метод подбора PIN-кода, мошенник способен за полчаса получить доступ к 7 тысячам банковских карт. Совокупные потери держателей карт составят 2,1 млн. фунтов
Однако, зная базовые механизмы шифрования и генерации PIN, применяемые современными HSM, мошенник может значительно сократить набор возможных значений PIN-кода и тем самым уменьшить время, необходимое для его взлома. Так, например, в некоторых HSM до сих пор используется метод генерации PIN, применяемый в первых АТМ модели IBM 3624, широко распространенных в США в 80-х годах прошлого века. При этом методе генерации пользовательский PIN-код является не чем иным, как первыми четырьмя цифрами номера самой карты, зашифрованными закрытым ключом по протоколу DES. В ходе процесса генерации PIN по алгоритму IBM 3624 номер карты сначала шифруется закрытым ключом, после чего первые четыре цифры номера переводятся в шестнадцатеричную систему исчисления. Далее к полученному значению прибавляется некое смещающее число (public offset), и в результате появляется пользовательский PIN-код.
С первого взгляда может показаться, что данный механизм генерации наряду с использованием закрытого ключа и смещения оставляет мошеннику мало возможностей определить значение PIN. Однако, как утверждают в своей работе М. Бонд и П. Зелински, знание механизмов генерации и способов хранения PIN-кодов может значительно сократить количество возможных вариаций PIN. Так, например, возвращаясь к рассмотрению примера генерации PIN по алгоритму IBM 3624, для преобразования полученного шестнадцатеричного значения в пользовательский PIN-код используются таблицы децимилизации (decimalization table), в которых шестнадцатеричное значение PIN переводится в обычный цифровой вид. Применив адаптивную схему подбора значений PIN, мошенник может сократить количество его возможных вариантов до 15-20.
Не вдаваясь в подробности адаптивного метода подбора PIN, можно отметить, что он производится в два этапа. На первом определяются цифры, содержащиеся в PIN-коде, а на втором мошенник определяет фактическое значение PIN. В примере, приведенном М. Бондом и П. Зелински в своем отчете, для последнего мошеннику потребуется совершить всего 17 простых подборов. Учитывая, что этот процесс может быть автоматизирован путем написания незамысловатой программы, на всю операцию злоумышленник потратит не больше нескольких секунд.
При этом кембриджские ученые отмечают, что большинство современных банковских информационных систем в сочетании с мерами ограничения физического доступа не могут быть залогом полной безопасности хранилища PIN-кодов от внутренних атак.
Любопытно, что в своем отчете М.Бонд и П.Зелински рассмотрели несколько практических примеров подбора PIN-кода и наиболее эффективные методы взлома. Как отмечают сами авторы, их работы ни в коем случае не следует рассматривать как руководство для начинающих мошенников. Напротив, первостепенной целью написания данного отчета было прежде всего продемонстрировать специалистам карточного рынка, что существующих сегодня мер обеспечения карточной безопасности явно недостаточно для сохранности денежных средств держателей карт.
Следует отметить, что таблицы децимилизации, выделенные учеными в качестве наиболее эффективного инструмента взлома PIN-кода, используются в подавляющем большинстве методов генерации PIN. Так, они применяются в уже упомянутом алгоритме IBM 3624 и в ее более ранней версии IBM 3624-Offset, в алгоритмах Netherlands PIN-1 и IBM German Bank Pool Institution. М. Бонд и П. Зелински отметили, что наиболее безопасными являются методы произвольной генерации PIN, рекомендованные к использованию платежными системами Visa International и MasterCard International. Среди таких алгоритмов можно выделитьVisa PIN-Validation Value (Visa PVV) и Interbank PIN.
Несмотря на спорность некоторых утверждений М. Бонда и П. Зелински, их работа уже нашла широкий отклик среди специалистов рынка платежных технологий. Так, М. Бонда и его научного руководителя и лектора Кембриджского университета Росса Андерсена недавно пригласили выступить независимыми экспертами по безопасности АТМ в судебном разбирательстве между корпорацией Citibank International, собственником платежной системы Diners Club International, и жителями Южной Африки Анилом и Ванитой Синг. Последние заявили, что с их карточного счета Diners Club было похищено около 50 тыс. фунтов стерлингов. При этом для кражи данной денежной суммы злоумышленники совершили около 190 транзакций в британских банкоматах, используя поддельную карту
Заслуживает внимания и тот факт, что Citibank, выступающий в “африканском деле” в роли ответчика, недавно обратился в лондонский Верховный суд с требованием запретить публичное распространение данных, касающихся безопасности применения PIN-кодов.
В настоящее время можно сколь угодно долго рассуждать об адекватности отчета М.Бонда и П.Зелински или о справедливости сделанных ими выводов. Однако тот факт, что, за редким исключением, показатели карточного мошенничества продолжают расти, вряд ли вызовет у кого-то сомнения. Об этом свидетельствую статистические отчеты платежных систем и исследования независимых профессионалов карточного рынка. Об этом не раз говорили и представители самих банков. Как уже отмечалось, используя метод подбора PIN-кода, описанный М.Бондом и П.Зелински, мошенник способен за полчаса получить доступ к 7 тыс. банковских карт. Учитывая, что средний лимит снятия наличности в английских банкоматах составляет около 300 фунтов стерлингов, совокупные потери держателей карт составят 2,1 млн. фунтов.
И уж совсем небезынтересно обещание М. Бонда и П. Зелински, продекларированное ими в своем отчете, не останавливаться на достигнутом и… проверить устойчивость к взломам криптоконтроллеров других производителей.
Как знать, какие открытия ждут их на этом пути!
Полный текст статьи читайте в журнале «ПЛАС» № 3 (83) ’2003 стр. 49