Комментарии 8
Как я понимаю, это подробности srlabs.de/pos-vulns
Для начала, стоит уточнить, что протоколов много, и упоминаемый PoSeidon в России не используется.
Во-вторых, в статье srlabs.de/pos-vulns говорится о скорее организационной проблеме, чем фактическом взломе протокола. Обнаруженная проблема вообще не имеет никакого отношения к процедуре верификации и не позволяет ни подобрать пин, ни сделать клон карточки (тем более чиповой). Более того, в ISO-сообщении содержится не голый пин, а уже зашифрованный в клавиатуре терминала пин-блок. Взлом протокола ну никак не поможет злоумышленнику получить пин-код карты.
Во-вторых, в статье srlabs.de/pos-vulns говорится о скорее организационной проблеме, чем фактическом взломе протокола. Обнаруженная проблема вообще не имеет никакого отношения к процедуре верификации и не позволяет ни подобрать пин, ни сделать клон карточки (тем более чиповой). Более того, в ISO-сообщении содержится не голый пин, а уже зашифрованный в клавиатуре терминала пин-блок. Взлом протокола ну никак не поможет злоумышленнику получить пин-код карты.
Так там проблема указанная в статье в том что
а) ключи в разных терминалах часто одни и те же
б) часть терминалов хранит ключ в чипах подверженных timing attack
Покупаем уязвимый терминал, ломаем в домашней обстановке, вытаскиваем из него ключ, проверяем — хоп, и он подходит не только к однотипным терминалам но еще и десятку других типов терминалов. Перехват траффика после этого позволяет расшифровать не только данные по кредитке, но и пин. А в качестве вишенки на торте — благодаря уязвимости в протоколе, располагая еще ключем получаемым по схожей схеме из платежного терминала можно изображать транзакции от лица владельцев этих терминалов, причем необходимая для этой имитации информация (помимо скомпроментированного ключа который мы получили другим путем) печатается в каждом чеке с этих терминалов.
а) ключи в разных терминалах часто одни и те же
б) часть терминалов хранит ключ в чипах подверженных timing attack
Покупаем уязвимый терминал, ломаем в домашней обстановке, вытаскиваем из него ключ, проверяем — хоп, и он подходит не только к однотипным терминалам но еще и десятку других типов терминалов. Перехват траффика после этого позволяет расшифровать не только данные по кредитке, но и пин. А в качестве вишенки на торте — благодаря уязвимости в протоколе, располагая еще ключем получаемым по схожей схеме из платежного терминала можно изображать транзакции от лица владельцев этих терминалов, причем необходимая для этой имитации информация (помимо скомпроментированного ключа который мы получили другим путем) печатается в каждом чеке с этих терминалов.
А что делать с пином чипованной карты, если нет самой карты?
Помимо пин-кода банку передается информация с чипа, которая позволяет его клонировать. Это примерно как скопировать второй трек у карты с магнитной полосой и записать эту инфу на болванку. Имея пин-код, можно идти и снимать наличность в банкомате.
Клонировать можно только карту со статической аутентификацией(SDA) которая будет работать исключительно в оффлайн транзакциях(карта будет сконфигурирована таким образом чтобы отвечать положительно на команду проверки оффлайн пина Verify и всегда отклонять предложение терминала провести транзакцию в онлайн). Современные карты с DDA/CDA исключают клонирование поскольку ключи необходимые для подписи элементов транзакции картой, никогда эту карту не покидают и склонировать их невозможно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Немецкие секьюрити-специалисты обнаружили уязвимость в протоколе платёжных терминалов