— Он не сидит? — отчего-то поинтересовалась адвокат.
— Нет-нет, такие люди не сидят. Когда я общался с Аугером в последний раз, тот собирался, по его словам, прикупить какое-нибудь комфортное кресло в «Газпроме» — пару миллионов долларов они с Айзеком уже заработали, — и навсегда завязать с кардингом. Если птица не садится на гнездо, а поднимается все выше и выше, она в конце концов попадает в сетку птицелова. Тот, кто не чувствует, когда нужно остановиться, нарушает законы природы…
— Как Айзек расшифровал «пины»? — прервала мои философские рассуждения Галина Аркадьевна.
— Основное требование платежных систем к хранению и передаче PIN-кода: значение PIN должно всегда находиться в зашифрованном виде, начиная от его ввода на клавиатуре банкомата или POS-терминала и заканчивая проверкой в «святая святых» любой платежной системы — защищенном аппаратном модуле шифрования (HSM-модуле) банка-эмитента. Этот модуль хранит ключ генерации PIN-кодов, и проникновение в него повлечет за собой компрометацию всех PINов, когда-либо сгенерированных с помощью этого ключа. Поэтому доступ к HSM-устройствам строго ограничен как физически (применяются взломостойкие модули), так и через Сеть.
— Что же сделал Айзек?
— На разных этапах обработки PIN-коды проходят множество ступеней шифрования/дешифрования, и не все HSM, через которые проходят «пины», находятся в защищенной от внешних вторжений сети банка-эмитента. Зато все они поддерживают морально устаревший интерфейс Standard Financial API, которому уже больше тридцати лет. Через уязвимость в этом интерфейсе Aizek и ломанул HSM на каком-то промежуточном хосте (узле сети). Дальше просто — на взломанный HSM-модуль устанавливается сниффер — программа, перехватывающая PIN-коды в открытом виде либо в зашифрованном, но доступном для декодирования. На осуществление подобных взломов порой требуется несколько лет.
— Почему производители HSM-устройств не закроют эти дыры? — задала логичный вопрос адвокат.
— Ну, они заявляют, что все HSM-модули поставляются заказчикам со стандартными настройками, не позволяющими подобных атак, однако их установкой и настройкой могут заниматься не всегда ответственные или добропорядочные люди, поэтому система действительно уязвима. Случается, что и ломать ничего не надо — по недосмотру разработчиков программы, которые используются в торговых точках для обработки платежей с пластиковых карт, сохраняют не только дампы, но и PIN-коды. Недавно так отличилась компания Fujitsu Transaction Solutions.
— Выходит, банкиры лукавят, заявляя, что взломать PIN-коды невоз-PIN-коды невоз-коды невозможно…