ОХОТА НА БАНКОМАТЫ

Каролик Андрей (andrusha@sl.ru)

Спецвыпуск Xakep, номер #036, стр. 036-018-4

Ключи, с помощью которых происходит криптование, в открытом виде не живут, известны только банкомату и хосту, между которыми идет обмен. Мало того, что у каждого банкомата свои ключи, они еще и постоянно меняются (периодичность может быть любой). Долго живет только мастер-ключ хоста, которым криптуются все остальные ключи связанных с этим хостом банкоматов.

БУДУЩЕЕ

Перспективы Алексей Валентинович охарактеризовал так: "Особо нового и революционного ничего не будет. Усложняются криптоалгоритмы, и требуется все больше и больше ресурсов, как для защиты, так и для взлома". Основной недостаток, который сейчас существует, заключается в открытости сообщений. Все-таки есть вероятность подключения извне и использования этой информации в своих целях. Вскрыть счета с ее помощью не удастся, но почерпнуть какие-то сведения о пользователях и суммах реально. Поэтому сейчас начинают криптовать весь трафик (включая и сообщения, а не только пин-код), в скором будущем так будут защищены все каналы.

Эффективность видеонаблюдения в банкоматах подтверждает реальный случай. Один из пользователей банкомата пытался получить деньги, но механика отказала и долго не выдавала деньги, "выплюнув" при этом карточку обратно. Владелец карточки потоптался на месте, плюнул и пошел по делам. А деньги достались тому, кто стоял за ним (механика проснулась). При этом на камере отобразилось, кто забрал деньги. В принципе, по лицу найти случайного обладателя "бонуса" было бы затруднительно, хотя и возможно. Но он тут же допустил ошибку, вставив свою карточку. Вычислить владельца карточки было элементарно.

В Европе было время, когда банкоматы вырывали буквально экскаваторами и прочими механическими приспособлениями, надеясь на легкую наживу. Практически все случаи заканчивались арестом на месте, остальных ловили по пути домой с выдранным сейфом. Был подобный случай и в России. Подогнали машину и в тупую выдрали банкомат из стены. Грабителей задержали благодаря пересланным jpg изображениям, на которых были видны номера машины и лицо одного из грабителей.

Смысл уличных банкоматов - аппаратура, которая обрабатывает и пересылает видеопоток от внешних камер - находится отдельно от банкомата. Либо в отделении банка, рядом с которым стоит банкомат, либо в специальном помещении, которое охраняется отдельно и проникнуть туда весьма затруднительно. То есть "захватила" тебя камера - можешь писать завещание. Когда преступников тормознули на выезде из города, они были приятно удивлены :).

Подглядывание пин-кода актуально не только потому, что так проще всего его узнать. Дело еще и в том, что вводимый пин-код в "чистом" (нешифрованном) виде возможно узнать только при вводе. Даже в самом банкомате он "ходит" уже закриптованный, не говоря уже о каналах связи банкомата и центральной системы управления. Не забывай оглядеться, прежде чем вводить свой пин-код :).