Чтение онлайн

на главную

Жанры

Журнал "Компьютерра" №726
Шрифт:

С помощью столь нехитрого инструментария исследователи сумели записать процедуру обмена данными между картой и процессором PED, ничуть не потревожив устройства защиты, вмонтированные в терминал. Перехваченный поток данных сразу позволяет установить PIN карты, поскольку британские банки выбрали технологию подешевле и не стали встраивать в чип средства, которые бы шифровали информацию, курсирующую между картой и PED.

Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN-кода. Ради того, чтобы обеспечить обратную совместимость со старыми картами, терминалы считывают данные не только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить иглу-отвод

к каналу обмена между картой и процессором, то он получает возможность записать все данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN-кодом это дает возможность легко изготовить фальшивую карту и с ее помощью снимать деньги со счета в банкоматах зарубежных стран, еще не перешедших на Chip & PIN. Более того, подобные банкоматы кое-где остались и в провинциальных районах Британии.

Особой критики, по мнению исследователей, заслуживает в высшей степени непрозрачный, ущербный по своей сути процесс сертификации и оценки безопасности устройств PED, отвечающих за защиту важных данных. Транснациональный гигант Visa и британская платежная ассоциация APACS, признав оба устройства безопасными и официально санкционировав их широчайшее распространение, проглядели серьезнейшие уязвимости, выявленные кембриджской командой. Более того, при выдаче сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемому подлогом. Было объявлено, что устройства PED прошли "оценку на соответствие Common Criteria", то есть международному набору стандартов для систем безопасности, принятому в Великобритании, США и других странах НАТО. На Туманном Альбионе выдачей сертификатов о соответствии Common Criteria (СС) ведает правительственная спецслужба GCHQ, аналог американского АНБ. Однако в GCHQ сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC.

Тут-то и выяснилось, что "оценка на соответствие CC" и "сертификация" - две большие разницы. Результаты тестирования на предмет сертификации положено открыто публиковать, а Visa и APACS категорически отказываются предоставить кому-либо отчет об оценке безопасности терминалов. Более того, засекречены и сами инстанции, проводившие эту оценку. В ответах же исследователям, которые еще в ноябре прошлого года предупредили об уязвимости все заинтересованные стороны - APACS, Visa, изготовителей PED, - серьезность угрозы намеренно приуменьшается.

Реакция Visa, например, выглядит так: "В академической статье Кембриджа мы не увидели ничего такого, чего не знали раньше, и ничего такого, что представляло бы угрозу для безопасности карт в реальном мире". Представители же Ingenico, одного из изготовителей PED, выразились не столь высокомерно, но в том же ключе: "Метод, описанный в университетской статье, требует специальных знаний и сопряжен с техническими трудностями. По этой причине он невоспроизводим в широких масштабах и не учитывает тот мониторинг мошенничества, что применяется в индустрии"…

Один из членов кембриджской команды, профессор Росс Андерсон, сражается с порочным подходом банков и индустрии к безопасности уже два десятка лет. По поводу последней работы он говорит так: "Уроки, которые мы здесь получаем, вовсе не ограничиваются банкингом. В самых разных областях, от машин для голосования до автоматизированных систем учета медицинских данных, постоянно появляется одна и та же комбинация из глупых ошибок, фиктивных сертификаций и препятствующих исследованиям властей. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых открыто публикуются и проверяются независимой экспертизой".

Стоит ли пояснять, какая из препирающихся сторон больше права. Жаль только, что далеко не в каждой стране есть Кембриджи

и Андерсоны.

Новости подготовили

Галактион Андреев

Александр Бумагин

Егор Васильев

Владимир Головинов

Евгений Гордеев

Артем Захаров

Евгений Золотов

Денис Коновальчик

Игорь Куксов

Максим Мусин

Павел Протасов

Иван Прохоров

Дмитрий Шабанов

Микрофишки

Четырнадцать электрических, одна угольная и девять нефтяных компаний США будут отвечать в суде перед эскимосами Аляски за… глобальное потепление. Коренные жители заполярья из деревни Кивалина считают ответчиков виновными в таянии льдов, вызванном изменением климата. Погодные неурядицы грозят уничтожением деревне, и теперь суд должен решить, является ли глобальное потепление делом рук человеческих или капризом матушки-природы. Возможно, после решения суда споры на этот счет прекратятся. В случае признания ответчиков виновными наверняка последуют и другие иски, а добывающим и энергетическим компаниям придется ох как несладко. Пока обвиняемым, похоже, ни тепло ни холодно: никаких комментариев от них не последовало. АБ

***

Лишь три с лишним года спустя после объявления о продаже одного из испытательных прототипов "Бурана" немецкому Техническому музею ("КТ" #561) право собственности окончательно закреплено за покупателем. Челнок БТС-002 по-прежнему находится в Бахрейне, откуда его не позволяли вывезти споры между НПО "Молния" и сингапурской фирмой Events HQ International (точнее, ее "дочкой" Space Shuttle World Tour). За шесть лет тяжб немецкий музей купил челнок у НПО "Молния" и даже взял на себя судебные издержки. Новый экспонат будет доставлен в Германию водным путем. АБ

***

Примечательная кампания, затеянная владельцами некоторых моделей смартфонов HTC ("КТ" #720), принесла плоды, пусть и не вполне соответствующие ожиданиям организаторов. Напомним, что скорость выполнения операций, связанных с выводом графики, показалась пользователям устройств удручающе низкой, несмотря на присутствующий в чипсете графический ускоритель. Как выяснилось, он был попросту заблокирован производителем. В ответ на стенания потребителей HTC объявила о намерении в ближайшее время устранить проблему. Правда, разогнать задумчивые смартфоны компания надеется без участия вожделенного ускорителя (одной из причин упорства HTC является, судя по всему, необходимость дополнительных лицензионных отчислений поставщику чипсетов). Теперь чаяния пользователей направлены на грядущий выход новой линейки мобильников, в которых злосчастный ускоритель будет функционировать - глядишь, кто-нибудь и адаптирует необходимое ПО для обделенных моделей (что, впрочем, весьма сомнительно). ИК

***

Компания Mozilla, разрабатывающая мобильную версию своего браузера Firefox, не будет брать за него денег. В том, что мобильный Firefox останется бесплатным, заверил вице-президент Mozilla Майк Шрёпфер (Mike Schroepfer). Продукт должен появиться ближе к концу текущего года. АБ

***

С необычной поломкой столкнулись работники компьютерной мастерской английского городка Уэстхотон (Westhoughton), расположенного неподалеку от Манчестера. По словам раздосадованного клиента, с купленным на аукционе eBay ноутбуком "творится что-то не то". Взявшись за дело, ремонтники с удивлением обнаружили, что под клавиатурой неисправного компьютера скрывался оптический диск с надписью "Home Office" ("Министерство внутренних дел"). Не мудрствуя лукаво, мастера сдали находку полицейским, которые сразу же занялись расследованием пропажи драгоценного ноутбука, принадлежащего их ведомству.

Поделиться:
Популярные книги

Морозная гряда. Первый пояс

Игнатов Михаил Павлович
3. Путь
Фантастика:
фэнтези
7.91
рейтинг книги
Морозная гряда. Первый пояс

Лейб-хирург

Дроздов Анатолий Федорович
2. Зауряд-врач
Фантастика:
альтернативная история
7.34
рейтинг книги
Лейб-хирург

Прометей: каменный век

Рави Ивар
1. Прометей
Фантастика:
альтернативная история
6.82
рейтинг книги
Прометей: каменный век

Приручитель женщин-монстров. Том 4

Дорничев Дмитрий
4. Покемоны? Какие покемоны?
Фантастика:
юмористическое фэнтези
аниме
5.00
рейтинг книги
Приручитель женщин-монстров. Том 4

Бесноватый Цесаревич

Яманов Александр
Фантастика:
альтернативная история
7.00
рейтинг книги
Бесноватый Цесаревич

Тринадцатый IV

NikL
4. Видящий смерть
Фантастика:
боевая фантастика
попаданцы
5.00
рейтинг книги
Тринадцатый IV

Гром над Империей. Часть 4

Машуков Тимур
8. Гром над миром
Фантастика:
фэнтези
попаданцы
5.00
рейтинг книги
Гром над Империей. Часть 4

Варлорд

Астахов Евгений Евгеньевич
3. Сопряжение
Фантастика:
боевая фантастика
постапокалипсис
рпг
5.00
рейтинг книги
Варлорд

Генерал-адмирал. Тетралогия

Злотников Роман Валерьевич
Генерал-адмирал
Фантастика:
альтернативная история
8.71
рейтинг книги
Генерал-адмирал. Тетралогия

Ратник

Ланцов Михаил Алексеевич
3. Помещик
Фантастика:
альтернативная история
7.11
рейтинг книги
Ратник

Бастард Императора. Том 2

Орлов Андрей Юрьевич
2. Бастард Императора
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Бастард Императора. Том 2

Отмороженный 10.0

Гарцевич Евгений Александрович
10. Отмороженный
Фантастика:
боевая фантастика
рпг
5.00
рейтинг книги
Отмороженный 10.0

Действуй, дядя Доктор!

Юнина Наталья
Любовные романы:
короткие любовные романы
6.83
рейтинг книги
Действуй, дядя Доктор!

Черный Маг Императора 6

Герда Александр
6. Черный маг императора
Фантастика:
юмористическое фэнтези
попаданцы
аниме
7.00
рейтинг книги
Черный Маг Императора 6