Журнал Компьютерра -726   ::   Компьютерра

Саар

Дример, Стивен Мердок иРосс Андерсон

(Saar Drimer, Steven J. Murdoch, Ross

Anderson) на примере двух самых

распространенных в Великобритании

моделей PED - Ingenico i3300 и Dione

Xtreme - продемонстрировали, сколь плохо

защищены данные о карте и ее владельце.

Разработанная ими техника взлома носит

название tapping attack ("атака через

отвод") и на удивление недорога в

реализации. Все, что для нее требуется,

это подходящего размера игла, скрепка

для бумаги и устройство для записи

отводимого сигнала. Плюс, конечно,

знания и умение весь этот "реквизит"

собрать, воткнуть и подключить куда

следует.

С помощью столь нехитрого

инструментария исследователи сумели

записать процедуру обмена данными между

картой и процессором PED, ничуть не

потревожив устройства защиты,

вмонтированные в терминал. Перехваченный

поток данных сразу позволяет установить

PIN карты, поскольку британские банки

выбрали технологию подешевле и не стали

встраивать в чип средства, которые бы

шифровали информацию, курсирующую между

картой и PED.

Последствия атаки,

надо сказать, гораздо серьезнее, нежели

просто компрометация PIN-кода. Ради

того, чтобы обеспечить обратную

совместимость со старыми картами,

терминалы считывают данные не только с

чипа, но и с магнитной полоски.