Представители индустрии банков и карточных платежей объясняют свои действия поиском оптимальных путей для объединения новых технологий с традиционными, понемногу себя изживающими. А потому, ради единообразия и сохранения уже развернутой по всему миру инфраструктуры обработки платежей, вся необходимая для финансовых транзакций информация о кредитке и ее владельце выдается из памяти RFID-чипа в эфир фактически в том же самом формате, как она прописана на магнитной полоске карточки. Тут-то и кроется суть проблем с бесконтактными платежами.
Банковские кредитные и дебетовые карточки нового выпуска вместе с магнитной полосой могут иметь RFID-чип для бесконтактных платежей. Эксперты по безопасности рекомендуют при получении новых карт сразу задавать банкам вопрос, есть ли в них радиочастотный чип. Если чип есть, хотя клиент его не заказывал, то имеются все основания потребовать заменить карту на традиционную.
Объединение двух систем в одном устройстве порождает закономерные вопросы о безопасности новой технологии – как в сравнении с традиционными «контактными» картами на основе магнитной полосы, так и в отношении уже известных атак и злоупотреблений, применяемых именно к RFID.
Что касается самих компаний, выпускающих бесконтактные кредитки, то они приводят целый ряд аргументов, свидетельствующих о более высокой безопасности новой технологии в сравнении с традиционной. Во-первых, говорят они, при бесконтактных платежах владельцу уже не нужно выпускать карточку из рук и передавать продавцу (официанту, клерку и т. п.), что ощутимо сокращает риск незаметного копирования и компрометации карты. Во-вторых, считыватели в торговых терминалах работают с карточками лишь на расстоянии в несколько сантиметров, что предохраняет передаваемую по радио информацию от перехвата злоумышленниками. Наконец, в RFID-чипы встроена приличная криптография и цифровые "водяные знаки", которые защищают каждую транзакцию и не позволяют ее перехватить, записать и воспроизвести где-то еще, чтобы обманным путем сымитировать оплату покупки.
Все, что говорят о защите бесконтактных карт их изготовители, конечно, правда. Вот только далеко не вся правда. Ибо если стало возможным не выпускать карточку из рук, то почему бы не позволить столь безопасной и надежной технологии оплачивать любые покупки, а не только мелочевку ценой до 25 долларов? И если ридеры якобы работают лишь на расстоянии в несколько сантиметров, то как быть с экспериментами, демонстрирующими, что дальность приема зависит не от маломощных ридеров терминала, а от качества антенны считывателя у злоумышленника, способной снимать тот же сигнал с расстояний в полтора десятка метров и более. Наконец, если разбираться с криптографией, защищающей транзакции, то и там все оказывается не совсем так, как пытается представить индустрия.
Следует подчеркнуть, что достоверно и подробно узнать, как устроена защита информации в банковских RFID-чипах карт для бесконтактных платежей, пока не представляется возможным. Ибо это есть великая коммерческая тайна, которую индустрия раскрывать не намерена. На сегодняшний день известно лишь одно независимое исследование данной технологии с точки зрения безопасности, совместно проведенное учеными Массачусетского университета в Амхерсте и сотрудниками фирмы RSA Security (www.rfid-cusp.org). Поскольку обратная инженерная разработка устройств трактуется законами США как преступление, исследователи ограничились лишь внешним изучением реакций бесконтактных карт на сигналы считывателя, проанализировав около двух десятков разных RFID-карт, выпущенных в 2006 году компаниями Visa, MasterCard и American Express. Было выявлено четыре основных разновидности форматов передаваемых в эфир данных о кредитке и ее владельце, и ни одна из них не использовала шифрования. Что же касается декларированной изготовителями криптографической защиты данных, то она применялась, судя по всему, лишь для обеспечения уникальности каждой транзакции.
Быть может, кто-то сочтет, что беды в таком подходе нет, ибо открыто выдаваемая информация о реквизитах кредитки не является конфиденциальной и доступна любому, кто видит карточку. Однако владелец традиционной кредитной карты обычно сам решает, кому и где ее показывать, в случае же с RFID считать информацию с чипа можно незаметно и втайне от владельца. А это открывает возможности для самых разных злоупотреблений. Исследователи, в частности, показали, что на основе скрытно считанных данных можно изготовить работоспособный клон обычной кредитной карты, то есть записать эту информацию на магнитную полосу другой карточки. По считанному имени и фамилии можно определить адрес владельца, а в сочетании с известными реквизитами кредитной карты этого достаточно для совершения покупок во многих интернет-магазинах (что также продемонстрировано на практике). Наконец, легкий и скрытный радиодоступ к кредитке делает возможной и более изощренную атаку типа "человек посередине" – когда устройство рядом с жертвой имитирует поведение торгового терминала, а само передает получаемую от карточки информацию на другой прибор, повторяющий отклики карточки вблизи реального терминала. При такой организации хищения злоумышленникам не требуется вскрывать криптографию, достаточно лишь организовать ретрансляцию протокола оплаты.
Отчет об этой работе был опубликован на рубеже 2006—07 годов. Достоверно известно, что в индустрии платежных карточек внимательно изучили полученные результаты, однако выводы были сделаны весьма специфические. По словам вице-президента Visa Брайена Триплета (Brian Triplett), эксперты компании пришли к выводу, что на самом деле в карточках обеспечен "правильный уровень" безопасности для всех участников платежной системы: и потребителей, и банков, и продавцов. А результаты отчета CUSP были расценены как «нереалистичные», ибо, по мнению экспертов индустрии, перехватить сигнал от RFID-карты за пределами лаборатории практически невозможно. Кроме того, исследовались бесконтактные карты первого поколения, а новое поколение кредиток с чипами скрывает имя владельца специальной маской (не шифрует, подчеркнем, лишь маскирует). Наконец, что перед жуликами воздвигнут непреодолимый барьер из других средств безопасности (включая так называемые CVC, то есть коды верификации карты, которые генерируются динамически для каждого платежа) и продвинутых автоматизированных систем выявления мошенничества.
Едва ли не единственным признанием промахов со стороны индустрии карт стало то, что в соответствии с рекомендациями упомянутого отчета RFID-карты начали рассылать по почте в экранирующей обертке. По свидетельству Кевина Фу (Kevin Fu), доцента Массачусетского университета и одного из главных участников исследовательской команды, за последний год фирмы индустрии карточных платежей устранили некоторые из самых крупных дыр в защите карт. Тем не менее и в своей новой инкарнации большинство бесконтактных карт продолжает передавать в эфир информацию о владельце карты в незашифрованной форме. И самое тревожное, по мнению Фу, что клиенты банков об этом, как правило, не подозревают, а независимые исследователи не получают от индустрии никакой информации для анализа стойкости системы.
Таким образом, единственной "гарантией безопасности" являются лишь настойчивые, но голословные заверения компаний, внедряющих технологию. Опыт же свидетельствует, что слепо верить подобным обещаниям по меньшей мере наивно.
ПЛЮС
Помимо бесконтактных платежных карточек, гонконгская фирма Octopus Cards Limited продает наручные или карманные часы и мобильные телефоны, которые наряду с выполнением своих основных функций служат анонимными платежными устройствами.
Никто, пребывая в здравом рассудке, не станет отрицать удобства и преимущества платежных систем на основе бесконтактных электронных карточек. Причем все эти удобства можно обеспечивать так, чтобы не ставились под угрозу ни личность, ни банковский счет владельца карточки. Делается это очень просто – надо, чтобы платежные карточки с RFID-чипом были обезличенными и «перезаряжались» самими владельцами на такую сумму, которая их устраивает.