СОВЕРШЕНСТВОВАНИЕ ЗАЩИТЫ

Спецвыпуск Xakep, номер #036, стр. 036-036-3

Казалось бы, в процессе оплаты по пластиковой карте все настолько предусмотрено, а каждая операция проходит столько различных проверок, что проще, наверное, было бы внедриться в зарубежную разведку, чем украсть деньги со счета. И хотя статистику выявления шпионов от нас скрывают, судя по доступной информации о случаях мошенничества, все оказывается далеко не так радужно, как хотелось бы. При удачных атаках добычей хакеров становится информация о миллионах банковских карт. И такие случаи происходят достаточно часто, чтобы заставить беспокоиться каждого, кто хранит свои деньги "на карточке".

Но проблемы, с которыми сталкиваются люди при использовании пластиковых карт с магнитной лентой, не ограничиваются лишь противоправными действиями. Как и любая другая технология полувековой давности, они имеют ряд редостатков. К примеру, массу неудобств приносит тот факт, что любой магнит может элементарно стереть всю хранящуюся информацию, и даже простые царапины могут повлиять на ее целостность. И это еще не самое страшное, по сравнению с другими "родовыми травмами".

Смарт-карты

Технология смарт-карт, призванная исправить эти недостатки, существует довольно давно. Впервые ими начали пользоваться французы в 1984 году. Но до сих пор они не получили повсеместного распространения. Хотя и были планы, согласно которым к 2004 году все платежные системы собирались перейти на использование смарт-карт, банки все продолжают выпускать старый добрый "пластик".

Снаружи карты обоих типов (магнитные и смарт-карты) выглядят почти одинаково, но зато внутри... Начну с того, что у обычных карт никакого "внутри" вообще нет, а у смарт-карт там под позолоченными контактами спрятан микрочип. Он может содержать до килобайта RAM, 24 Кб ROM и 16 Кб перепрограммируемого ROM. В нем есть еще и 8-битный микропроцессор, работающий на частоте около 5 МГц. И все это в упаковке тоньше миллиметра! Понятное дело, что с таким богатством магнитная полоса отпадает за ненадобностью.

Вычислительные возможности процессора позволяют перейти от обычной аутентификации к полноценному применению криптографии. И хотя для пользователя, снимающего деньги, процедура выглядит привычно (ввел PIN-код и готово), внутри системы работает сложный механизм обмена зашифрованными данными.

Для того чтобы обеспечить максимальную защиту этих алгоритмов, на каждом этапе жизненного цикла смарт-карт закладывается свой "секрет". Таким образом, даже если злоумышленники внедрятся непосредственно в технологический процесс, сами карты не будут скомпрометированы.

Процессор внутри каждой карты работает под управлением операционной системы, предоставляющей достаточно удобный интерфейс для разработчика. Именно благодаря этой системе и возможно выполнение программ, запись и чтение файлов, шифрование и проверка криптографических данных. Гибкость ее настолько велика, что корпорация Sun даже разработала платформу Java Card, позволяющую использовать для разработки специализированных приложений свою сверхпопулярную технологию Java.