Хакеры научились удаленно получать информацию с RFID-карточек

Хакеры научились удаленно получать информацию с RFID-карточек

На хакерской конференции Shmoocon, которая прошла в Вашингтоне в минувший уикенд (27-29 января) известный специалист по безопасности Кристин Пейджет (Kristin Paget) из компании Recursion Ventures провела демонстрацию дистанционного считывания конфиденциальной информации с банковской карты, оснащённой радиочипом RFID. Вообще-то, об уязвимости бесконтактных карточек говорят уже лет пять, но нынешняя демонстрация показала, что надёжной защиты безопасности до сих пор не появилось. Для считывания информации с карт использовалось недорогое оборудование совокупной стоимостью в пару сотен долларов.



Для дистанционного считывания номера карты, срока действия и одноразового номера CVV использовался кард-ридер Vivotech, который можно купить на eBay за $50. Далее, с помощью намагничивающего устройства стоимостью $300 эти данные можно записать на чистую карту, сообщает xakep.ru.

Во время демонстрации Пейджет пригласила на сцену добровольца, который не вынимал из кармана кошелёк с карточкой. Считывание данных и намагничивание новой карточки заняло пару минут, после чего Пейджет достала iPhone с модулем Square, который позволяет принимать платежи, и перевела $15 на свой счёт, используя только что сделанный клон карточки. Чтобы ни у кого не оставалось сомнений в правдивости фокуса, Пейджет показала номер клонированной карточки на большом экране со сцены.

Бесконтактные карточки появились в обращении относительно недавно, и платёжные системы широко рекламируют их как удобное средство платежа. По данным Smart Card Association, сейчас в обращении находится около 100 млн таких карт. Соответствующая технология у компании Visa называется payWave, у MasterCard — PayPass, у Discover — Zip, а у American Express — ExpressPay. Все они одинаково уязвимы для съёма данных.

В данном случае хакерский RFID кард-ридер ничем не отличается от легального терминала торговой точки. Самое сложное в такой атаке — приблизить кард-ридер на максимально близкое расстояние к кошельку с карточкой. На практике это можно сделать в переполненном транспорте или в очереди, спрятав устройство в кармане и «случайно» столкнувшись с владельцем карты. В принципе, физический контакт даже необязателен, достаточно максимально близко приблизиться к жертве.

Данный тип атаки — не какая-то дыра в безопасности, а фундаментальный изъян платёжной системы, которую специально сделали максимально простой в использовании. В нынешней версии технологии RFID-карты не передают беспроводным способом имя пользователя, PIN-код и трёхзначный постоянный CVV. Представители платёжных систем говорят, что за шесть лет не задокументировано ни единого случая подобного рода мошенничества, что является доказательством достаточной защиты для такого рода атак, где злоумышленнику трудно сохранить свою анонимность.

В самом деле, использование одноразового CVV делает возможным проведение только одной транзакции с клонированной карточки, а при попытке второй транзакции она будет заблокирована.

По мнению Пейджет, это означает только то, что злоумышленнику нужно посетить оживлённое место, где за один вечер можно набрать множество «одноразовых» карт. По словам специалиста, они в компании Recursion Ventures сейчас работают над созданием специального бумажника Guardbunny с RFID-детектором, который будет сигнализировать о попытке сканирования — глаза у кролика на бумажнике начинают светиться и он издаёт громкие звуки. Кроме того, в бумажнике будет проактивная защита против сканирования вместо малоэффективных алюминиевой прокладки, которую сейчас вшивают в кошельки и которая не спасает от мощного сканера.

Хостинг привяжут к Госуслугам: анонимности в Рунете станет еще меньше

Минцифры снова взялось за хостинг-провайдеров. Ведомство обсуждает обязательную идентификацию клиентов через «Госуслуги», причем речь идет не об отдельных сервисах, а фактически обо всех услугах хостинга. Логика регулятора простая: за каждым выделенным IP-адресом должен стоять конкретный человек с подтверждённой учётной записью.

Сейчас провайдеры могут идентифицировать клиента по электронной почте, банковской карте и другими способами. Но, похоже, этого уже недостаточно.

Похожее правило с сентября распространяется на владельцев доменов в зонах .ru, .рф и .su: для регистрации и продления требуется подтверждение через ЕСИА. Теперь тот же подход хотят перенести и на хостинг.

В отрасли, по данным «КоммерсантЪ», мнения разделились. В «Турбо Облаке» считают, что обязательная идентификация поможет бороться с фишингом и мошенниками. Компания уже подключила аутентификацию через ЕСИА и уверяет, что расходы вполне посильные.

У других оценки куда менее бодрые. В «Рунити» предварительные затраты на внедрение оценивают минимум в 5 млн руб. В RUVDS предупреждают, что новые правила могут серьезно ударить по розничному рынку. Под угрозой прежде всего студенты, независимые разработчики и обычные частные клиенты, которым лишний заход через «Госуслуги» может показаться слишком большим квестом.

По оценке RUVDS, провайдеры рискуют потерять от 20% до 35% таких пользователей. И уйдут они, скорее всего, не в офлайн, а к зарубежным хостерам.

Отдельная проблема — иностранцы. Без альтернативной схемы идентификации они могут лишиться доступа к услугам, серверам и доменам. В итоге борьба за прозрачность рискует закончиться не только снижением анонимности, но и заметным оттоком клиентов за пределы российского рынка.

RSS: Новости на портале Anti-Malware.ru