Банковские пластиковые карты
Банковские пластиковые карты
Вот уже несколько десятилетий пластиковые карты широко используются в
повседневной жизни. Появившись задолго до распространения персональных
компьютеров и сотовых телефонов, они заменяют бумажные купюры, пропуска
и удостоверения.
Но очевидные преимущества скрывают за собой менее очевидные недостатки.
Если для того, чтобы лишить тебя наличности, мошеннику необходимо
вытащить кошелек у тебя из сумки или кармана, то для воровства с помощью
пластиковых карт он может находиться в соседней комнате, а может и на
другом континенте.
Проблема identity theft (дословно - воровство идентификационных данных)
стала в последнее время одной из самых обсуждаемых тем. Хотя под этим
термином понимают и подделку чеков, и кражу паролей, а по мере
распространения альтернативных механизмов аутентификации (в частности,
биометрия) приходится учитывать все новые и новые возможности для
злоупотреблений личной информацией, в центре внимания находятся именно
пластиковые карты.
Они есть и у студентов, и у бизнесменов, и у домохозяек - дебетные и
кредитные, для проезда на общественном транспорте, оплаты телефонных
переговоров, доступа в интернет и т.п. Дошло до того, что пластиковые
телефонные карты стали объектом коллекционирования - на любом
онлайн-аукционе можно найти раздел, посвященный этой "филателии XXI
века". Даже в поликлиниках вместо бумажного страхового полиса теперь
выдают пластиковые карты!
По методу хранения информации весь этот "пластик" можно разделить на три
основных категории: карты с магнитной полосой, скретч-карты и
смарт-карты. В отдельную группу выделяют пластиковые визитные карточки и
прочую сувенирную продукцию, виды правонарушений с их использованием
якобы неизвестны. Хотя в метро я несколько раз проходил мимо свирепых
старушек, показывая им пластиковый календарик, причем прошлогодний :).
Карты с магнитной полосой
Первое, что приходит в голову, когда слышишь термин "пластиковая карта"
- это классические карты с магнитной полосой. Появились они еще в 50-х
годах прошлого века. Пионером в использовании новой технологии стала
компания Diners Club, а затем к ней присоединилась и American Express.
За это время карты распространились по всему миру, на них же и
приходится самый большой процент противоправных действий или, попросту
говоря, случаев мошенничества и воровства.
Согласно стандарту ISO-7810, пластиковая карта представляет собой
прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм. Для
защиты этого миниатюрного кусочка пластмассы используются последние
технологии в самых разных областях: полиграфии, химической
промышленности, разработке программного обеспечения и т.п.
Обычно карта несет на себе следующую информацию:
На лицевой стороне:
- уникальный 16-значный номер;
- срок действия (от и до);
- имя владельца.
На тыльной стороне:
- магнитная полоса;
- подпись владельца.
Кроме того, полиграфическим способом на карту может наноситься множество
изображений: фотография владельца, справочная информация для клиентов
банка и т.п.
Буквы и цифры на лицевой стороне могут быть выбиты специальным
эмбоссером, а могут быть и просто напечатаны, к примеру, как на картах
Visa Electron.
Основным хранилищем данных на карте является магнитная полоса. По своим
свойствам она похожа на пленку, которая используется в аудиокассетах.
Информация может записываться на три дорожки, отличающиеся форматом:
- первая имеет плотность записи 210 бит на дюйм (BPI) и может содержать
79 7-битных (6 бит + четность) алфавитно-цифровых символов (доступны
только для чтения);
- вторая - 75 BPI, содержит 40 5-битных (4 бита + четность) цифр;
- третья - 210 BPI, содержит 107 5-битных (4 бита + четность) цифр.
На банковских картах на дорожки записываются: номер счета, код валюты,
код страны выдачи, имя владельца, срок действия (в принципе, та же
информация, что напечатана на самой карте, но в цифровом виде). Кроме
того, любая компания может использовать собственный формат данных.
Например, для использования в качестве внутреннего пропуска там вместо
номера счета может быть указан уровень полномочий владельца и т.п.
Каждый раз для проведения денежных транзакций с помощью банковских карт
системой инициируется процесс аутентификации - проверяется правильность
записанной на карте информации. Аутентификация бывает следующих видов:
- голосовая авторизация - простейший случай, проводится с помощью
телефона с тоновым набором;
- электронный терминал - считывание информации с магнитной полосы,
например, в банкоматах или POS-терминалах;
- виртуальный терминал - проверка данных при оплате через интернет.
В любом случае, на одной стороне находится владелец карты, а на другой -
специализированная организация (aquirer), которая устанавливает связь с
банком, выдавшим карту, для проверки данных:
- номер карты;
- лимит (для кредитной карты);
- срок действия карты;
- наличие денег на счете.
Если все необходимые условия выполнены, а запрошенная сумма не превышает
остаток на счете, эта же организация обеспечивает гарантии перевода
денег другому участнику транзакции.
Передача данных между терминалом и проверяющей организацией происходит
по телефонным сетям или по интернет-каналам. Для защиты передаваемых
данных используется шифрование. К примеру, банкомат шифрует введенный
PIN-код и отправляет его для сверки с тем, что хранится в базе данных
банка, выдавшего карту. Для шифрования используется криптографический
метод односторонних функций. Их значение легко вычислить в одном
направлении с использованием банковского ключа и набранного PIN-кода, а
проведение обратного преобразования (инвертирования) на практике очень
неэффективно, даже если банковский ключ стал известен. Эта защита была
введена, чтобы защитить держателя карты от действий нехорошего дяди,
получившего доступ к банковским базам.
Кроме технических средств, большое значение имеют организационные и
административные методы защиты. Они включают в себя целый комплекс мер
на самых разных уровнях: от специальных замков на кабинах банкоматов и
call-центров экстренной помощи, куда следует обращаться в случае утери
или кражи карточки, до правительственного контроля над продажей
оборудования для производства самих карт.
Казалось бы, в процессе оплаты по пластиковой карте все настолько
предусмотрено, а каждая операция проходит столько различных проверок,
что проще, наверное, было бы внедриться в зарубежную разведку, чем
украсть деньги со счета. И хотя статистику выявления шпионов от нас
скрывают, судя по доступной информации о случаях мошенничества, все
оказывается далеко не так радужно, как хотелось бы. При удачных атаках
добычей хакеров становится информация о миллионах банковских карт. И
такие случаи происходят достаточно часто, чтобы заставить беспокоиться
каждого, кто хранит свои деньги "на карточке".
Но проблемы, с которыми сталкиваются люди при использовании пластиковых
карт с магнитной лентой, не ограничиваются лишь противоправными
действиями. Как и любая другая технология полувековой давности, они
имеют ряд редостатков. К примеру, массу неудобств приносит тот факт, что
любой магнит может элементарно стереть всю хранящуюся информацию, и даже
простые царапины могут повлиять на ее целостность. И это еще не самое
страшное, по сравнению с другими "родовыми травмами".
Смарт-карты
Технология смарт-карт, призванная исправить эти недостатки, существует
довольно давно. Впервые ими начали пользоваться французы в 1984 году. Но
до сих пор они не получили повсеместного распространения. Хотя и были
планы, согласно которым к 2004 году все платежные системы собирались
перейти на использование смарт-карт, банки все продолжают выпускать
старый добрый "пластик".
Снаружи карты обоих типов (магнитные и смарт-карты) выглядят почти
одинаково, но зато внутри... Начну с того, что у обычных карт никакого
"внутри" вообще нет, а у смарт-карт там под позолоченными контактами
спрятан микрочип. Он может содержать до килобайта RAM, 24 Кб ROM и 16 Кб
перепрограммируемого ROM. В нем есть еще и 8-битный микропроцессор,
работающий на частоте около 5 МГц. И все это в упаковке тоньше
миллиметра! Понятное дело, что с таким богатством магнитная полоса
отпадает за ненадобностью.
Вычислительные возможности процессора позволяют перейти от обычной
аутентификации к полноценному применению криптографии. И хотя для
пользователя, снимающего деньги, процедура выглядит привычно (ввел
PIN-код и готово), внутри системы работает сложный механизм обмена
зашифрованными данными.
Для того чтобы обеспечить максимальную защиту этих алгоритмов, на каждом
этапе жизненного цикла смарт-карт закладывается свой "секрет". Таким
образом, даже если злоумышленники внедрятся непосредственно в
технологический процесс, сами карты не будут скомпрометированы.
Процессор внутри каждой карты работает под управлением операционной
системы, предоставляющей достаточно удобный интерфейс для разработчика.
Именно благодаря этой системе и возможно выполнение программ, запись и
чтение файлов, шифрование и проверка криптографических данных. Гибкость
ее настолько велика, что корпорация Sun даже разработала платформу Java
Card, позволяющую использовать для разработки специализированных
приложений свою сверхпопулярную технологию Java.
Существенно увеличенная (по сравнению с магнитной картой) емкость
носителя и удобный доступ к хранящимся данным позволяют использовать
одну карточку для нескольких типов операций. К примеру, в качестве
пропуска, для получения зарплаты и доступа в компьютерную сеть компании.
Таким образом ты избавляешься от тугой стопки карт в кошельке, получая
вместо них одну универсальную.
Что же мешает внедрению этой замечательной технологии на практике? Как
ни банально, все опять упирается в деньги. И дело здесь не только и не
столько в разнице стоимости готовых карт. Все дело, прежде всего, в
огромной инфраструктуре, обширной сети банкоматов, POS-терминалов и
прочей техники, охватившей всю планету. Замена и модификация
оборудования, разработка и внедрение программного обеспечения, обучение
персонала - трудно даже представить, во сколько все это обойдется.
Из-за этих сложностей смарт-карты пока внедряются на более узких рынках.
Например, многие современные компьютеры, особенно предназначенные для
корпоративных заказчиков, имеют встроенные устройства для их чтения. Так
как большинство операционных систем поддерживают авторизацию
пользователей с помощью аппаратных средств, это позволяет существенно
повысить безопасность в компьютерной сети компании. Теперь нерадивые
пользователи не будут приклеивать бумажку с паролем на монитор или
класть ее под клавиатуру :). Будет достаточно вставить свою персональную
(без пошлостей) карту в слот и готово.
В новостях регулярно появляются сообщения о том, что правительства
разных стран планируют использовать возможности смарт-карт для создания
паспортов нового поколения, размещая в памяти целую картотеку данных по
каждому гражданину: биометрическую информацию, медицинскую и страховую
истории, ключи персональной "электронной подписи" и т.п.
Скретч-карты
Мошенничество с предоплаченными, или скретч-картами, наиболее
распространено. Действительно, несерьезно было бы тратить время и деньги
на разработку каких-то хитрых технологий для считывания информации под
защитным слоем. К тому же прибыли здесь несравнимо меньше и ограничены.
Гораздо интереснее закупить оборудование и организовать производство
большой партии "двойников", максимально похожих на карты популярных
платежных систем, телекоммуникационных компаний и т.п.
Из-за специфики скретч-карт, их графическому оформлению уделяется особое
внимание. Обычно отличия "двойников" от оригинала проявляются именно в
деталях, когда не удается повторить более сложный технологический
процесс или миниатюрные элементы рисунка. Так, в известном инциденте с
распространением поддельных карт "БИ+" опознать их можно было по более
широким линиям штрих-кода и способу его нанесения (не над защитным слоем
ламината, а под ним). Еще одним различием (более заметным) был
повторяющийся серийный номер.
В простейшем случае номера генерируются случайно. Если же преступникам
каким-либо образом удастся заполучить базы данных действительных номеров
и PIN-кодов, а потом выбросить на рынок подобные подделки… Примерно
такие кошмары снятся руководителям служб безопасности крупных
интернет-провайдеров и компаний-операторов сотовой связи :).
Именно поэтому многие крупные фирмы предпочитают взять выпуск "пластика"
в свои руки. Для этого они закупают оборудование на сотни тысяч
долларов, обучают персонал и налаживают собственное производство.
Впрочем, зачастую бывает достаточно закупать готовые карты у
специализированных компаний, а потом на собственных мощностях наносить
на них номера и защитный слой.
ЧТО ДАЛЬШЕ
Три описанные категории не охватывают все разнообразие карт. Для
пропусков и страховых полисов, к примеру, часто используются лишь
штрих-коды, а в дисконтных и клубных системах карты могут вообще не
нести никакой информации, кроме уникального номера и ФИО. В большинстве
случаев повысить относительно невысокий уровень защиты позволяет
нанесение фотографии владельца (и на проходной, и в магазине
достоверность дополнительно проверяется человеком). А защитить карту от
подделки помогает сложная полиграфия, например, нанесение
голографического рисунка.
В общем, технологий очень много, а завтра будет еще больше. Хорошо ли
это? Да просто замечательно! Но верно сказал классик: воруют...
НОМЕР КАРТЫ
Номер карты является первичным источником информации о ней: по нему
можно узнать тип карты, банк-эмитент, а также номер счета. Структура
может различаться (так, существуют карты Visa с 13 и 16-значными
номерами), но по первой цифре всегда можно определить, какой системе она
принадлежит:
3 – American Express, Diners Club и некоторые другие системы
4 – Visa
5 – MasterCard
6 – DiscoverCard
ЖИЗНЬ КАРТЫ
Первый этап: производство компонентов
После сборки в чип закладывается специальный ключ (fabrication key, KF).
Он не позволяет внести в него изменения до непосредственного
запечатывания в пластик. KF создается с помощью специальных алгоритмов и
с использованием мастер-ключа изготовителя, уникален для каждой
выпускаемой карты.
Второй этап: перед персонализацей карты
Готовый чип поставляется компании, выпускающей чистые смарт-карты. На
месте он устанавливается на пластиковую основу и тестируется. FK
заменяется ключом персонализации (personalisation key, KP). Для
дополнительной безопасности на KP устанавливается блок Vper
(personalisation lock). Физический доступ к памяти полностью
закрывается, а для записи и изменения информации используется только
программный метод. После этого системные области, на которых содержатся
заложенные ключи, недоступны для чтения и записи.
Третий этап: персонализация карты
Этот этап выполняется компанией-эмитентом (например, банком). В память
записывается специальное программное обеспечение, формируются файлы
данных, содержащие информацию о владельце карты, PIN-коде и т.д. В конце
данные закрываются блоком Vutil (utilisation lock). После этого карта
может выдаваться ее новому владельцу.
Четвертый этап: использование карты
В процессе использования активируются программы, они обращаются к
логической файловой системе, запускают механизмы шифрования и т.п.
Доступ к данным определяется заложенной политикой безопасности.
Пятый этап: истечение срока действия
Переход к заключительному этапу может быть инициирован двумя способами.
Первый выполняется программой, которая записывает последний блок
(invalidation lock) на мастер-файл. После этого любые операции записи
становятся недоступны, но операции чтения могут быть проведены,
например, для анализа хранящейся информации. Другой способ заключается в
установке блока на PIN-код и дополнительный разблокирующий PIN-код. В
этом случае становятся невозможны все операции, даже чтение.
Многие из нас могут даже не догадываться, что являются пользователями
смарт-карт. К примеру, SIM-карта твоего сотового телефона являются той
самой "умной картой", но без "лишнего" пластика.
Они есть и у студентов, и у бизнесменов, и у домохозяек - дебетные и
кредитные, для проезда на общественном транспорте, оплаты телефонных
переговоров, доступа в интернет и т.п.
Согласно стандарту ISO-7810, пластиковая карта представляет собой
прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм.
На банковских картах на дорожки записываются: номер счета, код валюты,
код страны выдачи, имя владельца, срок действия (в принципе, та же
информация, что напечатана на самой карте, но в цифровом виде).
Для шифрования используется криптографический метод односторонних
функций. Их значение легко вычислить в одном направлении с
использованием банковского ключа и набранного PIN-кода.
И хотя для пользователя, снимающего деньги, процедура выглядит привычно
(ввел PIN-код и готово), внутри системы работает сложный механизм обмена
зашифрованными данными.
Теперь нерадивые пользователи не будут приклеивать бумажку с паролем на
монитор или класть ее под клавиатуру :). Будет достаточно вставить свою
персональную (без пошлостей) карту в слот и готово.
Для пропусков и страховых полисов, к примеру, часто используются лишь
штрих-коды, а в дисконтных и клубных системах карты могут вообще не
нести никакой информации, кроме уникального номера и ФИО.
2024 © allbe.ru