войти зарегистрироваться

Информационная безопасность whois

индекс
212,69

Хакеры научились расшифровывать PIN-коды

Специалисты продолжают удивляться, как хакеры умудряются начать практическое использование методов, которые ещё год назад признавались только теоретически возможными, да и то в узкой академической среде. Теперь они научились снимать PIN-коды с наших карточек, не проникая непосредственно в банкомат, которым мы пользуемся. Для этого достаточно найти слабый узел в сети, по которой идут пакеты от банкомата к банку.

Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов, которые передаются в зашифрованном виде, были и раньше, но после публикации отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые официально подтверждены.

Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на своём пути проходят через множество аппаратно-шифровальных модулей (HSM, на фото — HSM с PCI-интерфейсом) от других банков. Из-за того, что эти HSM имеют разные настройки и режим работы, пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать с новым открытым ключом, который действует в паре с закрытым ключом этого конкретного HSM, доступным через API. Так вот, теперь хакеры научились узнавать закрытый ключ HSM, если этот узел неправильно сконфигурирован. Как только хакерам удаётся расшифровать один PIN-код, они легко могут расшифровать весь массив PIN-кодов, которые проходят через этот HSM.

О практическом применении этой методики специалисты узнали только постфактум, когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в 2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано).

На диаграмме показана статистика по количеству скомпрометированных банковских счетов, в том числе карт-счетов (источник — Verizon). Как видим, это количество уже вдвое превышает число жителей, например, России. На самом деле скомпрометировано гораздо больше карточек, так что они уже сейчас составляют заметный процент в общем количестве всех банковских карточек, имеющихся в обращении.



А ведь зная пин-код, можно снять деньги не только с карточки, но напрямую с банковского счёта пользователя, причём доказать мошенничество и вернуть деньги потом будет предельно сложно.

По мнению экспертов Verizon, проблему можно решить только кардинальной сменой инфраструктуры мировых платёжных систем. Фактически, новую систему нужно создавать с нуля.

via Wired
+61
16 апреля 2009, 17:44
18
alizar

комментарии (78)

  • интересно, а почему с нуля — если черному по белому написанно: «при условии неправльного конфигурирования железки...» — а сконфигурировать «правильно» и более жестко следить за «правильным» конфигурированием так проблемно?
    • Я об этом не писал, но в оригинальной статье подробно рассказывается. Изначально все железки сконфигурированы правильно. Но всегда найдётся админ, который что-то упростит. Кроме того, это иногда требуется, насколько я понял, для обратной совместимости (legacy applications).

      Вот точная цитата.

      «Out of the box, the HSMs come configured in a very secure fashion if customers just deploy them as is. But for many operational reasons, customers choose to alter those default security configurations — supporting legacy applications may be one example — which creates vulnerabilities. Redesigning the global payment system to eliminate legacy vulnerabilities »would require a mammoth overhaul of virtually every point-of-sale system in the world," he says.
    • что-конфигурировать… почему это все изначально, и одназначно не сконфигурурировано так, чтобы проблем не было. Сами добавляют во всякие железки человеческий фактор.
  • НЛО прилетело и опубликовало эту надпись здесь.
    • и миллионом там явно дело не ограничится. ведь это касается тысяч миллионов терминалов (+ всей инфраструктуры) по всему миру. создать новую систему естественно проще чем исправить ошибки в настройках существующей.
    • НЛО прилетело и опубликовало эту надпись здесь.
      • PCI стандарт требует невыдираемости ключа.
      • причём чую что скорее всего этим грешат ОЧЕНЬ крупные банки… из-за массовости этих самых POS терминалов, и лености админов.
    • открытый ключ становится видим
      • Открытый ключ на то и «открытый», что может быть видим всем.
  • >>Фактически, новую систему нужно создавать с нуля.
    Вот и кризис кстати пришелся.
  • Поправочка небольшая. Там не PCI-интерфейс, а PCI-Express
    • Payment Card Industry Data Security Standard (PCI DSS)
      это не то же самое, что
      Peripheral component interconnect (PCI)
      • sorry, зачитался фразой «PCI стандарт требует невыдираемости ключа»
      • спасибо за разъяснения=)
    • ой и я также зачитался сорри за минус в комент
  • храните деньги в сберегательной кассе
    • Храните деньги в сберегательной банке
      • че умный дофига?
        • Чё какой дерзикий? Ты с какова района ваще?
          • слыш, сынок, пальчики загни
            • I am lol'd
            • НЛО прилетело и опубликовало эту надпись здесь.
              • Чо-чо демон, весна, семачек пакетик!
      • Храните деньги в виде приобретенных товаров и услуг… Они все равно мусор)
        • а я знаете ли купил 4 года назад АПЦ смарт упс за 11 килорублей, осенью 2008 обнаружил что он стоит… тоже 11 килорублей, щас стоит 12-13… я задумался
        • А лучше в недвижимости:-)
          • Ну да, кризис-то начался из-за поставщиков рыбы, ага;)

            Не стоит класть все яйца в одну корзину.
          • Сейчас это, к сожалению, не так. Недвижимость падает в цене и будет падать ещё некоторое время.
            • Зато ее не сопрут так просто=) Она не виртуальна и не гуляет по каналам связи=) ии ее нельзя лишится набрав 4 цифирки на клавиатуре банкомата) а ценность может быть даже больше=)
              Так что к мнению про недвижимость присоединяюсь)
  • а что это за график? что на нем за цифры?
    • стыренные у труженников лямы по годам. это так сложно додуматься?
      • ну как минимум неочевидно, я ж не просто так спрашиваю
        • ну я тебе не учитель
    • НЛО прилетело и опубликовало эту надпись здесь.
      • я текст еще раз перечитал и со второго раза увидел что вначале абзаца перед диаграммой есть пояснение. оле!
  • страшно, имхо это подтолкнет развитие квантовыхшифраторов или как там их. который по оптики передают все данные, и расшифровать невозможно, из-за смены ключа каждую 1/60 секунды
    • всегда найдется более слабое звено в системе
      • ну система теоритически взламываемая, но требует затрат таких, что на сегодня просто тупо нет возможности такой. это как RSA только запас на много лет вперед
        • Что-то новое или модифицируют старое со словами «но требует затрат таких, что на сегодня просто тупо нет возможности такой» довольно часто, но как показывает практика рано или позно мы читает такие вот как эта сообщения ;)

          Танк может быть супер защищеным, но в сложной машине всегдай найдется слабый винтик который и приведет к его поломке.
      • человек (читай персонал) всегда самое слабое звено
    • В этом мире уже давно нет ничего невозможного.
  • Ну всё идёт по плану. Каждое действие влечёт противодействие…
  • Так что делать-то нам смертным? Не снимать с банкомата, не оплачивать через инет?
    • Завернуться в простыню и ме-едленно, чтобы не создавать панику, ползти на кладбище (с)
    • kai
    • kai
    • 16 апреля 2009, 18:56
    • #
      • 0
    Э… я конечно далек от торжества ынтырпрайза и венца Банковских Технологий, но идея перешифровывать трафик на каждом транзитном узле выглядит так-же идиотично, как идея перешифвровывать https трафик на каждом транзитном прокси-сервере.

    Или я что-то не понимаю?
    • Гм. Всё просто.
      Вы вводите на пин-паде банкомата пин-код. Пин-пад (да, сама клавиатура) этот код шифрует. В банкомат (компьютер) он уже попадает в виде зашифрованого пин-блока. Затем этот пин-блок отправляется на сервер банкомата. Он знает ключ пин-блока, поэтому может расшифровать пин-код. Затем он шифрует его своим ключем и отправляет на процессинг. Если карточка зарегистрирована в этом процессинге — то тут его путь заканчивается.
      А если карточка чужая? Правильно, процессинг перешифровует пин-блок на ключах родного банка и отправляет туда. При чем не факт что напрямую. Может быть ещё через n серверов. И каждый сервер перешифровует пин-блок на других ключах для другого сервера.

      • Упс. Опечатка: «Он знает ключ пин-блока» -> «Он знает ключ пин-пада»
      • В классической схеме сравниваются зашифрованные блоки — HSM процессинга знает ключи всех банкоматов.
      • Пин-код никогда не расшифровывается. Он нигде не хранится, кроме памяти человека. И никакой сервер банкомата его расшифроваит не может. Он перенапрявляет только пин-блок, в формирование которого участвуют различные компоненты, такие как Expire Date, PAN, CVK, PVK, PVKi и тд. И все это бывает захешировано. Именно захешировано, а не зашифровано. И уже процессинг сравнивет хеши пин-блока и своей функции с помощью HSM.

        Примерно так это работает.
  • странно почему их не расшифровывают простым перебором всего то 10к вариантов если уж удалось получить зашифрованный вариант и алгоритм шифрования то перебор не дожен представлять проблем.
    • А там не только пин-код. Данные передаются в виде пин-блока. А там кроме пин-кода ещё может лежать много всякого: время, соль, идентификатор пинпада, и т.д.
    • Расшифровать нужно не пин-код, а весь пакет, а тут уже не 10к вариантов.
    • все проще, ввел пинкод 3 раза неправильный и карта заблокировалась!!!
      Блокируется в банке.
    • Представьте себе, что у вас есть 16 байт. Вы точно знаете, что там зашифровано либо слово «сосиска», либо слово «колбаса».
      Вы знаете алгоритм шифрования — 3DES.

      У вас всего два варианта, но какой вам от этого толк?
    • LFK
    • LFK
    • 16 апреля 2009, 19:19
    • #
      • +1
    Нууу… как говорится за всякое разгильдяйство надо платить, платить не нам с вами, а кредитным учреждениями (банкам). Расшифрование, перехват шифрованного трафика, перехват открытого трафика, который секунду назад был шифрованным — это косяк банка, причем стандарт PCI DSS действует давно и такие банки надо наказывать, очень серьезно. Поэтому метод совсем не новый, а очень даже старый — безалаберность и разгильдяйство.
  • очень понравилась фраза "… до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано..."
  • Пользователям-кардхолдерам — обычные рекомендации: снимайте наличку в нормальных банкоматах — не тех, что в метро и торговых центрах стоят, а тех, что в отделениях банков, под охраной. Не держите все деньги на карте. Мониторьте остаток хотя бы раз в неделю: чуть что — звоните в банк и разбирайтесь. Ну и надейтесь на удачу: шанс, что у вас вытащат кошелёк в метро, думаю, повыше будет, чем то, что уведут деньги с карты. Хотя «всё возможно» и «были случаи».
  • Думаю есть смысл хранить основную сумму своих сбережений на банковских счетах без доступа к ним с дебиток…
    а карточку и отдельный счет привязанный к ней использовать для карманных расходов… ну или незначительных покупок…
    • Нужно иметь хотя бы три карточки:
      1. для крупных покупок в «надежных» местах.
      2. для мелких покупок где угодно
      3. для оплаты в Интернете

      На последних двух не стоит держать значительные суммы денег, лучше пополнять их по мере необходимости.

      Все карточки должны быть отвязаны от основного банковского счета
    • И не забывайте подключать мобайл-банкинг, если он не подключен по-дефолту. Всегда будете знать о движениях средств на картах.
  • По моему Медведев поднимал еще летом вопрос о переходе России и заинтересованных стран на независимую банковскую систему по обслуживанию кредитных карточек.
    Может быть эта утечка эту идею и продвигает.
    Зы. Это безумная идея, но тоже имеет право если не на жизнь, то на обсуждение.
    • Сбербанк уже давно вынашивает наполеоновские планы о создании Российской Платёжной Системы… как в своё время Юнион Россия. Только как всегда, то одно, то другое, то кризис, то делится с мелкими банками не хочет, то сложность инфраструктуры и т.д…
      • Они вроде уже сделали, называется Сберкарта
      • Напоминает планы о создании Российской ОС…
    • Помню два раза эту речь прочитал, нифига не понял. Одни общие слова. Что конкретно предлагалось делать понять невозможно. То ли всем своими процессинговыми центрами обзаводиться (а они и так есть, например, у банка «Платина»), то ли свою торговую марку карточек вводить как конкурента визе/еврокарду (и таких проектов дофига, но народ на них не ведется — неудобно), то ли менять топологию сети для повышения независимости от визы/еврокарда, то ли ещё что…
  • А pin код после ввода сверяется с карточкой или с банком?
  • Интересно насколько большой процент в кардинге занимает этот метод.

    • учите метод терморектального криптоанализа, один крутой перец сказал, что эффективность 100%
      • «Один крутой перец сказал...»
        Похоже будет фразой дня...))…
  • НЛО прилетело и опубликовало эту надпись здесь.
    • Они его админят.
      • о, чёрт. *собирает чемодан*
    • Они его пиарят!
  • — Затем этот пин-блок отправляется на сервер банкомата. Он знает ключ пин-блока, поэтому может расшифровать пин-код — Пин код с системах банка не хранится. На основе некторых данных карты, таких как трек, CVV и тд, HSM с помощью различных алгоритмов формирует функцию. И вот выход этой функции сравнивается с пин-блоком. Если они совпадают, то принимается решение, что введен правильный пин.
  • Обычно в банках стоят вот такие HSM.



    То есть большие, аппаратные и с хорошей производительностью…

Только авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста.