Старые добрые пластиковые карты

Андрей Межутков

Спецвыпуск: Хакер, номер #061, стр. 061-036-5

Другие возможные атаки на платежные системы направлены на сам банк-эмитент или процессинговый центр. К счастью, подобные атаки практически невозможны. Дело в том, что технология прохождения транзакции от точки обслуживания не предполагает взаимодействия с операционным днем банка и не имеет доступа к банковским счетам. Более того, карта имеет свой ежедневный лимит доступа к сумме счета, которую банк-эмитент определяет и ежедневно сообщает в процессинг. Таким образом, банк не имеет возможности работать с банкоматом напрямую, а банкомат - с банком. Процессинговый центр же понятия не имеет о реальном состоянии счета. Так что и работники этих кредитных организаций имеют доступ к информации в рамках своей компетенции. Например, работник процессингового центра не сможет получить реальные PIN-коды, так как они хранятся в специальных хранилищах, притом не в реальном виде, а в виде хэша.

Разумеется, это не исключает инсайдеровских атак (совершенных работниками банка внутри охраняемого периметра). Как правило, такие атаки связаны не с технической защищенностью системы пластиковых карт, а с "дырами" в организации ее работы. Например, однажды уволенный администратор смог воспользоваться своими правами (которые должны были быть отменены в момент увольнения) с консоли внутри ЛВС банка (почему его вообще допустили до рабочего места?). Атака была обнаружена в момент завершения операционного дня банка, и следующие два дня служба безопасности работала в особо насыщенном режиме - ловили мошенника. К сожалению, не всегда это удается. Известен случай в Санкт-Петербурге, когда атака вполне удалась и виновного задержать не удалось.

Противодействие мошенничеству с пластиковыми картами осуществляется не только и не столько техническими средствами, а целым комплексом мер: организационные меры, в том числе правила выдачи карты клиенту и ее использования, правила приема и проверки валидности карты в точке обслуживания, предупреждение банками мошенничеств в точках обслуживания, приведение правил МПС (международных платежных систем) в соответствие с правовыми нормами страны и т.п. Технические средства защиты выступают на сцену только если клиент пытается получить доступ к услуге при помощи карты.

DES - это американский стандарт шифрования данных для коммерческих приложений. Длина ключа составляет 56 бит. Стандарт введен в действие в 1977 году. Относительно недавно заменен новым стандартом AES (Advanced Encryption Standard; имеет длину ключа в 128 бит, основан на перспективной архитектуре "квадрат"). DES к нашему времени морально устарел, имеет малую длину ключа и ориентирован, прежде всего, на электронную (схемотехническую) реализацию, также имеет массу 1/4/6-битовых операций, что усложняет его программную реализацию. Однако этот стандарт настолько распространен в коммерческой сфере, что массовый и быстрый переход на новый алгоритм очень сложен.