Cardurile contactless care folosesc tehnologia de identificare a frecvențelor radio încorporate pentru a finaliza în mod wireless tranzacțiile de creditare și de debitare pot oferi mai multă siguranță decât cardul tradițional cu bandă magnetică, dar pot fi mai ușor atacate. Mai multe publicații de specialitate au tratat acest subiect în ultima vreme. Am realizat o compilație cu care să putem să vă împărtășim din informația obținută.
Măsuri de apărare eficiente pentru carduri
Sunt disponibile suficient de multe măsuri de apărare eficiente pentru cardurile emise de marii emitenți de carduri. Elementele cheie de securitate utilizate astăzi includ metode de validare a cardului și a cititorului, precum și utilizarea criptării triple DES a datelor mesajelor și emiterea unei valori dinamice de verificare a cardului (DCVV) care validează în mod sigur fiecare tranzacție cu un cod unic.
Iată ce se întâmplă atunci când o solicitare de tranzacție este trimisă pentru un cont MasterCard utilizând tehnologia contactless asociată brandului PayPass. Înainte de inițierea tranzacției wireless, cardul contactless interoghează terminalul pentru a se asigura că acesta este un dispozitiv valabil. Apoi, rețeaua MasterCard Internationals identifică și validează cardul pe baza informațiilor care se găsesc în cipul cardului și validează și cititorul de carduri implicat în tranzacție.
Rețeaua MasterCard păstrează, de asemenea, o evidență a numărului total de tranzacții procesate cu cardul contactless al clientului până în prezent și poate compara acest lucru cu datele similare stocate pe cipul cardului.
Dacă cineva vă fură numărul cardului și îl plasează pe o bandă magnetică, banca recunoaște imediat nepotrivirea, spun specialiștii de la MasterCard.
Chiar dacă un card fals ar putea să păcălească rețeaua pentru ca aceasta să îl considere un card valabil, cererea de tranzacție nu va fi aprobată decât dacă cardul contactless returnează codul DCVV corect. Acest număr este generat pe baza informațiilor despre tranzacții, a contorului de tranzacții și a unui număr aleatoriu și trebuie să se potrivească cu numărul pe care îl calculează MasterCard la celălalt capăt. Acest număr și alte date asociate tranzacției sunt apoi criptate utilizând o cheie triplă DES care este unică pentru cardul clientului înainte de a fi trimisă. Nimeni nu poate introduce date pentru a modifica tranzacția. Nimeni nu poate fura informația și crea cardul PayPass. Alte branduri de carduri utilizează tehnologii similare.
Această abordare face ca apropierea – plasarea unui cititor de carduri lângă un card contactless pentru a-i extrage informațiile și a crea o copie a acestuia să fie foarte dificilă. Chiar dacă un cititor de carduri fals ar putea să păcălească cardul contactless astfel încât acesta să „creadă“ că este un dispozitiv valabil, persoana care dobândește aceste informații nu prea are ce face cu ele, cred specialiștii unei companii americane axată pe securitatea informațiilor.
Toate cardurile contactless dispun de aceste măsuri de securitate?
Dar alți analiști se întreabă dacă toate cardurile contactless dispun de aceste măsuri de securitate. Dacă este folosită criptarea și este utilizată corect, aceasta poate oferi o securitate puternică. Cu toate acestea, unele cercetări (de anul trecut) au arătat că multe dintre cardurile contactless au fost emise fără criptare. Iar sistemele de la celălalt capăt trebuie, de asemenea, protejate. Dacă nu se protejează cheile de criptare, criptarea este inutilă.
Cardurile contactless inteligente sunt destul de robuste, cu condiția să nu poate fi extrase secretele din interiorul cipurilor, cred alți experți. Se consideră că printr-o analiză a energiei diferențiale (DPA) s-ar putea realiza acest lucru în cele din urmă. Există companii care dezvoltă și licențiază tehnologii care pot fi folosite ca și măsuri de protecție pentru DPA și alte tipuri de atacuri.
Analiza energiei simple (SPA)
Un atac cunoscut sub numele de analiza energiei simple (SPA) a fost folosit în trecut pentru a compromite codurile PIN ale cardurilor pentru bancomate și altor carduri inteligente care nu dispun de măsuri de protecție. În acest context, poate fi folosită o față falsă de bancomat sau de cititor de carduri pentru a colecta date din benzile magnetice ale cardurilor în timp ce are loc o tranzacție. Atacatorul încearcă să ghicească codul PIN monitorizând nivelurile de energie pe măsură ce sistemul primește și autentifică PIN-ul introdus. Majoritatea cardurilor contactless dispun de măsuri de protecție împotriva acestui tip de atac.
Metoda DPA
În timp ce o metodă SPA încearcă să culeagă informațiile obținute dintr-o singură tranzacție, metoda DPA este mai sofisticată și ar putea fi utilizată împotriva cardurilor contactless. Ori de câte ori un cip sau un dispozitiv funcționează, consumă energie într-un fel sau altul. Prin metoda DPA, se pot colecta mii de fragmente de energie și prin metode statistice se pot izola micile semnale aferente miilor de tranzacții. În acest fel făptuitorul poate obține cheile de criptare prin măsurarea tiparelor de energie.
Analiza energiei diferențiale, atacurile glitch și alte atacuri necesită acces fizic la cardul contactless sau la terminalele care citesc cardurile pentru a intercepta aceste semnale de energie. Deoarece metoda DPA solicită mii de parole pentru același card pentru a-i sparge codul, atacatorul ar trebui cu siguranță să se afle în posesia unui card-țintă. Aceste atacuri sunt cu siguranță mai greu de realizat, dar oamenii își pierd sau rătăcesc cardurile mai mereu.
Având în vedere majoritatea sistemelor de plată de astăzi, dacă ați dobândit acces la un card, ați dobândit acces la un singur card sau la un singur cont.
Valoarea DCVV nu este cu adevărat aleatorie
Cardurile contactless mai au un potențial călcâi al lui Ahile: Valoarea DCVV nu este cu adevărat aleatorie. Este aleatorie în sensul că nu dezvăluie structura de date, dar este bazată pe un sistem determinist.
Dacă valoarea DCVV este previzibilă chiar și într-o mică măsură, persoanele puse pe fapte rele vor reuși să o afle și să o folosească pentru fraudă. Cu siguranță face ca frauda să fie mai greu de comis, dar nu este o metodă fără greș.
Indiciile despre cum funcționează algoritmul pot fi obținute din specificații. Iar un atac DPA s-ar putea folosi de această slăbiciune, de asemenea. SPA sau DPA pot furniza informații pentru a ajuta la ingineria inversă a fluxului de programe / algoritmi. Având aceste informații și acces la chei, atacatorul ar putea genera coduri valide.
Dar vor face hackerii amatori toate aceste eforturi? Deoarece cardurile contactless sunt utilizate tot mai mult, experții cred că atacurile mai sofisticate vor evolua până la punctul în care clonarea ar putea deveni posibilă. În acel moment cardurile vor necesita un nivel mai ridicat de securitate.
Autentificarea Dinamică a Datelor (DDA)
Dar următoarea generație de securitate pentru carduri este deja disponibilă sub forma de Autentificare Dinamică a Datelor (DDA), un sistem de provocare/răspuns bazat pe infrastructura cheilor publice. În cadrul acestei scheme, fiecare card are o pereche de chei publice / private pe care le schimbă cu rețeaua. În cadrul unui protocol dinamic de date, poți genera provocări și răspunsuri cu adevărat aleatorii. Rezistența acestei abordări este că provocarea este unică pentru fiecare sesiune. Cardul generează un cod unic de semnătură de verificare, iar terminalul determină că este corect prin combinarea acelui cod cu cheia publică.
Securitatea suplimentară va însemna creșterea costurilor
Dar securitatea suplimentară va însemna creșterea costurilor. Întrebarea care se pune este dacă industria va lua cu adevărat toate măsurile necesare. Deoarece comercianții sunt cei care suportă adesea cea mai mare parte a costului fraudelor, asociațiile de carduri trebuie să fie suficient de motivate pentru a se asigura că securitatea este efectuată corespunzător. Oricum această atitudine pare să se schimbe lent.
Măsurile de protecție actuale, dacă sunt puse în aplicare în totalitate, sunt adecvate pentru amenințările din ziua de astăzi. Cardurile contactless care utilizează aceste măsuri de protecție sunt mult superioare tehnologiei cardurilor cu bandă magnetică pe care o înlocuiesc.
Acum nu este nevoie de DDA. În principiu, dacă se poate copia acel card (contactless) și datele stocate la nivel intern pe acesta, acel card poate fi recreat. Acest tip de atac nu este imposibil, dar este dificil de pus în practică, iar hackerii se vor concentra probabil pe ținte mai ușoare – deocamdată.
Dar acest lucru se poate schimba odată ce această tehnologie se răspândește pe scară largă. Este posibil ca acest tip de fraudă să nu aibă loc în următorii 5-10 ani. Cea mai mare parte a lumii încă face trecerea de la banda magnetică la cip.