Саар
Дример, Стивен Мердок и Росс Андерсон
(Saar Drimer, Steven J. Murdoch, Ross
Anderson) на примере двух самых
распространенных в Великобритании
моделей PED - Ingenico i3300 и Dione
Xtreme - продемонстрировали, сколь плохо
защищены данные о карте и ее владельце.
Разработанная ими техника взлома носит
название tapping attack ("атака через
отвод") и на удивление недорога в
реализации. Все, что для нее требуется,
это подходящего размера игла, скрепка
для бумаги и устройство для записи
отводимого сигнала. Плюс, конечно,
знания и умение весь этот "реквизит"
собрать, воткнуть и подключить куда
следует.
С помощью столь нехитрого
инструментария исследователи сумели
записать процедуру обмена данными между
картой и процессором PED, ничуть не
потревожив устройства защиты,
вмонтированные в терминал. Перехваченный
поток данных сразу позволяет установить
PIN карты, поскольку британские банки
выбрали технологию подешевле и не стали
встраивать в чип средства, которые бы
шифровали информацию, курсирующую между
картой и PED.
Последствия атаки,
надо сказать, гораздо серьезнее, нежели
просто компрометация PIN-кода. Ради
того, чтобы обеспечить обратную
совместимость со старыми картами,
терминалы считывают данные не только с
чипа, но и с магнитной полоски. Это
означает, что если злоумышленник сумел
подсоединить иглу-отвод к каналу обмена
между картой и процессором, то он
получает возможность записать все
данные, необходимые для клонирования
карты с магнитной полосой. Вкупе с
похищенным PIN-кодом это дает
возможность легко изготовить фальшивую
карту и с ее помощью снимать деньги со
счета в банкоматах зарубежных стран, еще
не перешедших на Chip & PIN. Более
того, подобные банкоматы кое-где
остались и в провинциальных районах
Британии.
Особой критики, по
мнению исследователей, заслуживает в
высшей степени непрозрачный, ущербный по
своей сути процесс сертификации и оценки
безопасности устройств PED, отвечающих
за защиту важных данных.
Транснациональный гигант Visa и
британская платежная ассоциация APACS,
признав оба устройства безопасными и
официально санкционировав их широчайшее
распространение, проглядели серьезнейшие
уязвимости, выявленные кембриджской
командой. Более того, при выдаче
сертификатов APACS и Visa прибегли к
сомнительному трюку, в приличном
обществе называемому подлогом. Было
объявлено, что устройства PED прошли
"оценку на соответствие Common
Criteria", то есть международному набору
стандартов для систем безопасности,
принятому в Великобритании, США и других
странах НАТО. На Туманном Альбионе
выдачей сертификатов о соответствии
Common Criteria (СС) ведает
правительственная спецслужба GCHQ,
аналог американского АНБ. Однако в GCHQ
сообщили, что ничего не знают о
терминалах PED, поскольку эти устройства
никогда не сертифицировались на
соответствие CC.