JК
Журнал Компьютерра -726 :: Компьютерра
Страница: 37 из 197Строго
говоря, кембриджские специалисты
показали ненадежность не столько карт,
сколько терминалов, использующихся в
торговых точках и банках для обработки
транзакций и верификации карты, - так
называемых PED (PIN entry devices -
устройства ввода персонального
идентификатора).
Саар Дример,
Стивен Мердок и Росс Андерсон (Saar
Drimer, Steven J. Murdoch, Ross
Anderson) на примере двух самых
распространенных в Великобритании
моделей PED - Ingenico i3300 и Dione
Xtreme - продемонстрировали, сколь плохо
защищены данные о карте и ее владельце.
Разработанная ими техника взлома носит
название tapping attack ("атака через
отвод") и на удивление недорога в
реализации. Все, что для нее требуется,
это подходящего размера игла, скрепка
для бумаги и устройство для записи
отводимого сигнала. Плюс, конечно,
знания и умение весь этот "реквизит"
собрать, воткнуть и подключить куда
следует.
С помощью столь нехитрого
инструментария исследователи сумели
записать процедуру обмена данными между
картой и процессором PED, ничуть не
потревожив устройства защиты,
вмонтированные в терминал. Перехваченный
поток данных сразу позволяет установить
PIN карты, поскольку британские банки
выбрали технологию подешевле и не стали
встраивать в чип средства, которые бы
шифровали информацию, курсирующую между
картой и PED.
Последствия атаки,
надо сказать, гораздо серьезнее, нежели
просто компрометация PIN-кода.
говоря, кембриджские специалисты
показали ненадежность не столько карт,
сколько терминалов, использующихся в
торговых точках и банках для обработки
транзакций и верификации карты, - так
называемых PED (PIN entry devices -
устройства ввода персонального
идентификатора).
Саар Дример,
Стивен Мердок и Росс Андерсон (Saar
Drimer, Steven J. Murdoch, Ross
Anderson) на примере двух самых
распространенных в Великобритании
моделей PED - Ingenico i3300 и Dione
Xtreme - продемонстрировали, сколь плохо
защищены данные о карте и ее владельце.
Разработанная ими техника взлома носит
название tapping attack ("атака через
отвод") и на удивление недорога в
реализации. Все, что для нее требуется,
это подходящего размера игла, скрепка
для бумаги и устройство для записи
отводимого сигнала. Плюс, конечно,
знания и умение весь этот "реквизит"
собрать, воткнуть и подключить куда
следует.
С помощью столь нехитрого
инструментария исследователи сумели
записать процедуру обмена данными между
картой и процессором PED, ничуть не
потревожив устройства защиты,
вмонтированные в терминал. Перехваченный
поток данных сразу позволяет установить
PIN карты, поскольку британские банки
выбрали технологию подешевле и не стали
встраивать в чип средства, которые бы
шифровали информацию, курсирующую между
картой и PED.
Последствия атаки,
надо сказать, гораздо серьезнее, нежели
просто компрометация PIN-кода.