18 января 2013

О сколько нам аутентификаций чудных…

Не так давно порталы по инфобезу облетела новость: СБУ задержали команду кардеров, которые занимались изготовкой и продажей устройств для скимминга. Считывая данные с магнитной ленты карты и фиксируя вводимый пин-код, скиммеры позволяли злоумышленникам проводить практически любые махинации с пластиковыми картами. 
 
«Ну и что особенного в этой новости?», - скажут многие, и будут правы. В последнее время новостей об этом виде преступлений в Украине и России становится все больше. Кардинг постепенно набирает обороты, и очевидно, что типичная аутентификация с помощью пин-кода сегодня никого не остановит. Есть ли альтернатива? Само собой. О наиболее интересных и надежных способах не стать жертвой кардеров мы сегодня и поговорим.
Биометрическая аутентификация
Новинка из Японии. Система, разработанная Ogaki Kyoritsu Bank, позволяет не просто пользоваться карточкой после сканирования отпечатков пальцев. Получить доступ к счету можно всего лишь приложив ладонь к сенсорной панели, наличие при себе кредитки совсем не обязательно. Система начнет работать в сентябре этого года.
Кроме того, по-прежнему остаются популярны классические системы биометрической аутентификации: проверил отпечаток – получил возможность пользоваться карточкой.
Плюсы такого подхода очевидны: чтобы получить доступ к счету, нужно быть конкретным человеком, и никак иначе. Однако отсюда же следует и недостаток
Сложности также могут возникнуть при оборудовании терминалов для биометрической аутентификации. Опыт производства и внедрения подобных устройств для широкой аудитории практически отсутствует, и затраты переоборудование банкоматов тоже необходимо учитывать. А люди у нас не привыкли даже к пользованию электронной валюты, и уж тем более непривычной будет работа с отпечатками пальцев.
Кроме того, еще в 2008 году было получено устройство Biologger, который позволяет скопировать необходимые для доступа отпечатки пальцев. Повсеместное распространение биометрической аутентификации приведет всего лишь к перепрофилированию кардеров, так что использование этого метода защиты – временное решение.
К тому же, никто не отменял классических сценарий ужастиков и боевиков, когда при необходимости биометрического доступа преступники просто отрезали необходимые части тела.
Двухэтапная аутентификация
Весьма популярный способ подтверждения прав доступа. Сейчас используется практически везде: от электронной почты до онлайновых платежных систем типа Webmoney или Яндекс.Денег. Думаю, все сталкивались с такой реализацией – на телефон приходит SMS  с кодом, после ввода которого можно получить доступ к необходимому сервису.
 Способ прост в реализации и не требует установки каких-либо дополнительных устройств – достаточно лишь немного дописать программную начинку банкомата, а мобильные телефоны сейчас есть у каждого.
Однако с распространением смартфонов начали появляться и программы-перехватчики SMS, которые в сочетании с классической схемой скимминга дают злоумышленникам полные права доступа. Правда, на один раз – по прилетевшей SMS жертва мошенников будет знать о несанкционированном доступе к счету.
Но как ни странно, эта проблема имеет очень простое решение – использование устаревших моделей телефонов без полнофункциональных ОС. Троянца на такой аппарат не закинуть, а для перехвата SMS придется использовать мощные устройства, которые применяются в спецслужбах. И чаще всего затраты на такой перехват сообщений не окупят возможную прибыль мошенников.
NFC-чипы и эмуляция карт
Технология беспроводной передачи данных NFC известна еще с 2003 года, однако активно применяться начала совсем недавно. Особенно такая возможность передавать небольшое количество информации на очень малое расстояние пришлась по нраву банкам - мобильные устройства, которые поддерживают использование NFC-чипов, стали использовать для эмуляции пластиковых карт.
Выглядит такая система очень удобно: пользоваться карточкой не обязательно, достаточно просто поднести к считывающему устройству смартфон и таким нехитрым способом воспользоваться банкоматом, оплатить покупку и т.д. Технология сочетает в себе и стандартную аутентификацию через пароль, и двухэтапную – через наличие доступа к телефону.
Но тогда возникает резонный вопрос: какой смысл в использовании NFC-чипа, если фактически он работает по принципу обычной авторизации через SMS, только код вводить не надо? Удобно, не спорю, но с точки зрения безопасности разницы нет – при наличии доступа к телефону злоумышленник может точно также воспользоваться картой.
Этот минус мог бы быть компенсирован отсутствием обнаруженных уязвимостей, но это не так. Телефон на Android с NFC-чипом уже взломан. В первом случае с помощью фальшивого считывающего устройства были перехвачены данные, которые передавались от эмулятора карты к банкомату, а во втором – получен доступ к самому телефону.
А это снова возвращает нас к классической схеме кардинга – внедрить в банкомат скиммер, который украдет все данные, необходимые для доступа к карте. Меняется лишь технология, но принцип остается тот же. И повсеместное использование новой методики взлома – лишь дело времени.
А как ни странно, но при наличии такого обилия новых технологий наиболее простой, надежной и доступной для каждого остается двухэтапная аутентификация с помощью SMS. 

Алексей Дрозд,
заместитель PR-директора компании SearchInform

1 комментарий:

  1. Кончилось моё терпение - окончательно отписываюсь от этого блога. Грамматические ошибки, слабое знакомство с предметной областью, НО - желание проПИАРиться. Успехов вам, Алексей Дрозд!

    ОтветитьУдалить