Атаки на смарт-карты

Андрей Межутков

Спецвыпуск: Хакер, номер #061, стр. 061-090-3

Но есть способ предотвратить такую атаку – установить емкостной датчик, который обнаруживает изменение объема или сопротивления среды. Второй способ – установить оптический датчик под непрозрачной фольгой, защищающей микросхему. Если защита сработает, то необратимо разрушит критическую информацию. Однако эти датчики недостаточно надежны, и поэтому распространены мало.

Фирма Philips предлагает свой способ защиты от физической атаки. Компания рекламирует технику так называемой логики клея (glue logic). На сайте Philips утверждается, что эта техника "перемешивает" логику чипа случайным образом. Похоже на технологию "визуального" шифрования, при которой блоки перемешаны настолько, что выяснить логику их соединения практически невозможно. Другой способ – защита памяти, при которой адрес и фактическое размещение данных никак не связаны. Однако такой подход работает только для динамических объектов, а следовательно, пригоден только для ОЗУ.

Разделение полномочий

Возможно, самый сложный вопрос в системах безопасности - проблема разделения полномочий, суть которой в том, что одна сторона контролирует часть функциональных возможностей смарт-карты и влияет на контроль функциональных возможностей другой стороны. Например, функциональные возможности смарт-карты потенциально разделены между вот этими сторонами:

- Cardholder (владелец карты).

- Data owner (владелец данных).

- Terminal (POS-терминал, АТМ и вообще все, с чем взаимодействует карта).

- Card issuer (выпустивший карту в обращение).

- Card manufacturer (изготовитель карты).

- Card software developer (разработчик программного обеспечения).

И вот пример плачевного результата такого разделения. Жуликовский терминал списывает с карты одну сумму, а в чеке указывает другую либо сохраняет у себя частную информацию, например PIN. Такие нападения (имитатор банкомата) совершенно реальны.

При одном из способов предупредить атаки со стороны терминала на карту или, наоборот, со стороны картхолдера на терминал процессинговый центр поэтапно контролирует процесс сделки и, если обнаруживается подозрительная деятельность, устанавливает флаг предупреждения. Большинство атак невозможны на стоящем отдельно компьютере, так как они в таком случае попадают во внимание единой системы безопасности. Совсем другая ситуация с системами на смарт-картах: функциональность (в том числе защиты) распределена между многими участниками.

Многофункциональные, а следовательно, самые универсальные карты потенциально уязвимы к нападениям именно из-за разделения полномочий безопасности по системам, которые они поддерживают. Множество приложений, которые поддерживает смарт-карта, требует солидного многообразия от средств аутентификации и безопасности в различных используемых системах. Ридер должен подтвердить подлинность (валидность) карты и cardholder'а, а карта, в свою очередь, валидность "считки" и аутентичности программного обеспечения. Кроме того, "считка" должна удостовериться в подлинности подключенных к ней периферийных устройств.