сайт про бизнес, недвижимость, производство и деловые услуги

Банковские пластиковые карты

Банковские пластиковые карты

Вот уже несколько десятилетий пластиковые карты широко используются в повседневной жизни. Появившись задолго до распространения персональных компьютеров и сотовых телефонов, они заменяют бумажные купюры, пропуска и удостоверения.

Но очевидные преимущества скрывают за собой менее очевидные недостатки. Если для того, чтобы лишить тебя наличности, мошеннику необходимо вытащить кошелек у тебя из сумки или кармана, то для воровства с помощью пластиковых карт он может находиться в соседней комнате, а может и на другом континенте.

Проблема identity theft (дословно - воровство идентификационных данных) стала в последнее время одной из самых обсуждаемых тем. Хотя под этим термином понимают и подделку чеков, и кражу паролей, а по мере распространения альтернативных механизмов аутентификации (в частности, биометрия) приходится учитывать все новые и новые возможности для злоупотреблений личной информацией, в центре внимания находятся именно пластиковые карты.

Они есть и у студентов, и у бизнесменов, и у домохозяек - дебетные и кредитные, для проезда на общественном транспорте, оплаты телефонных переговоров, доступа в интернет и т.п. Дошло до того, что пластиковые телефонные карты стали объектом коллекционирования - на любом онлайн-аукционе можно найти раздел, посвященный этой "филателии XXI века". Даже в поликлиниках вместо бумажного страхового полиса теперь выдают пластиковые карты!

По методу хранения информации весь этот "пластик" можно разделить на три основных категории: карты с магнитной полосой, скретч-карты и смарт-карты. В отдельную группу выделяют пластиковые визитные карточки и прочую сувенирную продукцию, виды правонарушений с их использованием якобы неизвестны. Хотя в метро я несколько раз проходил мимо свирепых старушек, показывая им пластиковый календарик, причем прошлогодний :).

Карты с магнитной полосой

Первое, что приходит в голову, когда слышишь термин "пластиковая карта" - это классические карты с магнитной полосой. Появились они еще в 50-х годах прошлого века. Пионером в использовании новой технологии стала компания Diners Club, а затем к ней присоединилась и American Express. За это время карты распространились по всему миру, на них же и приходится самый большой процент противоправных действий или, попросту говоря, случаев мошенничества и воровства.

Согласно стандарту ISO-7810, пластиковая карта представляет собой прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм. Для защиты этого миниатюрного кусочка пластмассы используются последние технологии в самых разных областях: полиграфии, химической промышленности, разработке программного обеспечения и т.п.

Обычно карта несет на себе следующую информацию:

На лицевой стороне:

- уникальный 16-значный номер;

- срок действия (от и до);

- имя владельца.

На тыльной стороне:

- магнитная полоса;

- подпись владельца.

Кроме того, полиграфическим способом на карту может наноситься множество изображений: фотография владельца, справочная информация для клиентов банка и т.п.
Буквы и цифры на лицевой стороне могут быть выбиты специальным эмбоссером, а могут быть и просто напечатаны, к примеру, как на картах Visa Electron.

Основным хранилищем данных на карте является магнитная полоса. По своим свойствам она похожа на пленку, которая используется в аудиокассетах. Информация может записываться на три дорожки, отличающиеся форматом:

- первая имеет плотность записи 210 бит на дюйм (BPI) и может содержать 79 7-битных (6 бит + четность) алфавитно-цифровых символов (доступны только для чтения);

- вторая - 75 BPI, содержит 40 5-битных (4 бита + четность) цифр;

- третья - 210 BPI, содержит 107 5-битных (4 бита + четность) цифр.

На банковских картах на дорожки записываются: номер счета, код валюты, код страны выдачи, имя владельца, срок действия (в принципе, та же информация, что напечатана на самой карте, но в цифровом виде). Кроме того, любая компания может использовать собственный формат данных. Например, для использования в качестве внутреннего пропуска там вместо номера счета может быть указан уровень полномочий владельца и т.п.

Каждый раз для проведения денежных транзакций с помощью банковских карт системой инициируется процесс аутентификации - проверяется правильность записанной на карте информации. Аутентификация бывает следующих видов:

- голосовая авторизация - простейший случай, проводится с помощью телефона с тоновым набором;

- электронный терминал - считывание информации с магнитной полосы, например, в банкоматах или POS-терминалах;

- виртуальный терминал - проверка данных при оплате через интернет.

В любом случае, на одной стороне находится владелец карты, а на другой - специализированная организация (aquirer), которая устанавливает связь с банком, выдавшим карту, для проверки данных:

- номер карты;

- лимит (для кредитной карты);

- срок действия карты;

- наличие денег на счете.

Если все необходимые условия выполнены, а запрошенная сумма не превышает остаток на счете, эта же организация обеспечивает гарантии перевода денег другому участнику транзакции.

Передача данных между терминалом и проверяющей организацией происходит по телефонным сетям или по интернет-каналам. Для защиты передаваемых данных используется шифрование. К примеру, банкомат шифрует введенный PIN-код и отправляет его для сверки с тем, что хранится в базе данных банка, выдавшего карту. Для шифрования используется криптографический метод односторонних функций. Их значение легко вычислить в одном направлении с использованием банковского ключа и набранного PIN-кода, а проведение обратного преобразования (инвертирования) на практике очень неэффективно, даже если банковский ключ стал известен. Эта защита была введена, чтобы защитить держателя карты от действий нехорошего дяди, получившего доступ к банковским базам.

Кроме технических средств, большое значение имеют организационные и административные методы защиты. Они включают в себя целый комплекс мер на самых разных уровнях: от специальных замков на кабинах банкоматов и call-центров экстренной помощи, куда следует обращаться в случае утери или кражи карточки, до правительственного контроля над продажей оборудования для производства самих карт.
Казалось бы, в процессе оплаты по пластиковой карте все настолько предусмотрено, а каждая операция проходит столько различных проверок, что проще, наверное, было бы внедриться в зарубежную разведку, чем украсть деньги со счета. И хотя статистику выявления шпионов от нас скрывают, судя по доступной информации о случаях мошенничества, все оказывается далеко не так радужно, как хотелось бы. При удачных атаках добычей хакеров становится информация о миллионах банковских карт. И такие случаи происходят достаточно часто, чтобы заставить беспокоиться каждого, кто хранит свои деньги "на карточке".

Но проблемы, с которыми сталкиваются люди при использовании пластиковых карт с магнитной лентой, не ограничиваются лишь противоправными действиями. Как и любая другая технология полувековой давности, они имеют ряд редостатков. К примеру, массу неудобств приносит тот факт, что любой магнит может элементарно стереть всю хранящуюся информацию, и даже простые царапины могут повлиять на ее целостность. И это еще не самое страшное, по сравнению с другими "родовыми травмами".

Смарт-карты

Технология смарт-карт, призванная исправить эти недостатки, существует довольно давно. Впервые ими начали пользоваться французы в 1984 году. Но до сих пор они не получили повсеместного распространения. Хотя и были планы, согласно которым к 2004 году все платежные системы собирались перейти на использование смарт-карт, банки все продолжают выпускать старый добрый "пластик".

Снаружи карты обоих типов (магнитные и смарт-карты) выглядят почти одинаково, но зато внутри... Начну с того, что у обычных карт никакого "внутри" вообще нет, а у смарт-карт там под позолоченными контактами спрятан микрочип. Он может содержать до килобайта RAM, 24 Кб ROM и 16 Кб перепрограммируемого ROM. В нем есть еще и 8-битный микропроцессор, работающий на частоте около 5 МГц. И все это в упаковке тоньше миллиметра! Понятное дело, что с таким богатством магнитная полоса отпадает за ненадобностью.

Вычислительные возможности процессора позволяют перейти от обычной аутентификации к полноценному применению криптографии. И хотя для пользователя, снимающего деньги, процедура выглядит привычно (ввел PIN-код и готово), внутри системы работает сложный механизм обмена зашифрованными данными.

Для того чтобы обеспечить максимальную защиту этих алгоритмов, на каждом этапе жизненного цикла смарт-карт закладывается свой "секрет". Таким образом, даже если злоумышленники внедрятся непосредственно в технологический процесс, сами карты не будут скомпрометированы.

Процессор внутри каждой карты работает под управлением операционной системы, предоставляющей достаточно удобный интерфейс для разработчика. Именно благодаря этой системе и возможно выполнение программ, запись и чтение файлов, шифрование и проверка криптографических данных. Гибкость ее настолько велика, что корпорация Sun даже разработала платформу Java Card, позволяющую использовать для разработки специализированных приложений свою сверхпопулярную технологию Java.
Существенно увеличенная (по сравнению с магнитной картой) емкость носителя и удобный доступ к хранящимся данным позволяют использовать одну карточку для нескольких типов операций. К примеру, в качестве пропуска, для получения зарплаты и доступа в компьютерную сеть компании. Таким образом ты избавляешься от тугой стопки карт в кошельке, получая вместо них одну универсальную.

Что же мешает внедрению этой замечательной технологии на практике? Как ни банально, все опять упирается в деньги. И дело здесь не только и не столько в разнице стоимости готовых карт. Все дело, прежде всего, в огромной инфраструктуре, обширной сети банкоматов, POS-терминалов и прочей техники, охватившей всю планету. Замена и модификация оборудования, разработка и внедрение программного обеспечения, обучение персонала - трудно даже представить, во сколько все это обойдется.

Из-за этих сложностей смарт-карты пока внедряются на более узких рынках. Например, многие современные компьютеры, особенно предназначенные для корпоративных заказчиков, имеют встроенные устройства для их чтения. Так как большинство операционных систем поддерживают авторизацию пользователей с помощью аппаратных средств, это позволяет существенно повысить безопасность в компьютерной сети компании. Теперь нерадивые пользователи не будут приклеивать бумажку с паролем на монитор или класть ее под клавиатуру :). Будет достаточно вставить свою персональную (без пошлостей) карту в слот и готово.

В новостях регулярно появляются сообщения о том, что правительства разных стран планируют использовать возможности смарт-карт для создания паспортов нового поколения, размещая в памяти целую картотеку данных по каждому гражданину: биометрическую информацию, медицинскую и страховую истории, ключи персональной "электронной подписи" и т.п.

Скретч-карты

Мошенничество с предоплаченными, или скретч-картами, наиболее распространено. Действительно, несерьезно было бы тратить время и деньги на разработку каких-то хитрых технологий для считывания информации под защитным слоем. К тому же прибыли здесь несравнимо меньше и ограничены. Гораздо интереснее закупить оборудование и организовать производство большой партии "двойников", максимально похожих на карты популярных платежных систем, телекоммуникационных компаний и т.п.

Из-за специфики скретч-карт, их графическому оформлению уделяется особое внимание. Обычно отличия "двойников" от оригинала проявляются именно в деталях, когда не удается повторить более сложный технологический процесс или миниатюрные элементы рисунка. Так, в известном инциденте с распространением поддельных карт "БИ+" опознать их можно было по более широким линиям штрих-кода и способу его нанесения (не над защитным слоем ламината, а под ним). Еще одним различием (более заметным) был повторяющийся серийный номер.
В простейшем случае номера генерируются случайно. Если же преступникам каким-либо образом удастся заполучить базы данных действительных номеров и PIN-кодов, а потом выбросить на рынок подобные подделки… Примерно такие кошмары снятся руководителям служб безопасности крупных интернет-провайдеров и компаний-операторов сотовой связи :).

Именно поэтому многие крупные фирмы предпочитают взять выпуск "пластика" в свои руки. Для этого они закупают оборудование на сотни тысяч долларов, обучают персонал и налаживают собственное производство. Впрочем, зачастую бывает достаточно закупать готовые карты у специализированных компаний, а потом на собственных мощностях наносить на них номера и защитный слой.

ЧТО ДАЛЬШЕ

Три описанные категории не охватывают все разнообразие карт. Для пропусков и страховых полисов, к примеру, часто используются лишь штрих-коды, а в дисконтных и клубных системах карты могут вообще не нести никакой информации, кроме уникального номера и ФИО. В большинстве случаев повысить относительно невысокий уровень защиты позволяет нанесение фотографии владельца (и на проходной, и в магазине достоверность дополнительно проверяется человеком). А защитить карту от подделки помогает сложная полиграфия, например, нанесение голографического рисунка.

В общем, технологий очень много, а завтра будет еще больше. Хорошо ли это? Да просто замечательно! Но верно сказал классик: воруют...

НОМЕР КАРТЫ

Номер карты является первичным источником информации о ней: по нему можно узнать тип карты, банк-эмитент, а также номер счета. Структура может различаться (так, существуют карты Visa с 13 и 16-значными номерами), но по первой цифре всегда можно определить, какой системе она принадлежит:

3 – American Express, Diners Club и некоторые другие системы

4 – Visa

5 – MasterCard

6 – DiscoverCard

ЖИЗНЬ КАРТЫ

Первый этап: производство компонентов

После сборки в чип закладывается специальный ключ (fabrication key, KF). Он не позволяет внести в него изменения до непосредственного запечатывания в пластик. KF создается с помощью специальных алгоритмов и с использованием мастер-ключа изготовителя, уникален для каждой выпускаемой карты.

Второй этап: перед персонализацей карты

Готовый чип поставляется компании, выпускающей чистые смарт-карты. На месте он устанавливается на пластиковую основу и тестируется. FK заменяется ключом персонализации (personalisation key, KP). Для дополнительной безопасности на KP устанавливается блок Vper (personalisation lock). Физический доступ к памяти полностью закрывается, а для записи и изменения информации используется только программный метод. После этого системные области, на которых содержатся заложенные ключи, недоступны для чтения и записи.

Третий этап: персонализация карты

Этот этап выполняется компанией-эмитентом (например, банком). В память записывается специальное программное обеспечение, формируются файлы данных, содержащие информацию о владельце карты, PIN-коде и т.д. В конце данные закрываются блоком Vutil (utilisation lock). После этого карта может выдаваться ее новому владельцу.
Четвертый этап: использование карты

В процессе использования активируются программы, они обращаются к логической файловой системе, запускают механизмы шифрования и т.п. Доступ к данным определяется заложенной политикой безопасности.

Пятый этап: истечение срока действия

Переход к заключительному этапу может быть инициирован двумя способами. Первый выполняется программой, которая записывает последний блок (invalidation lock) на мастер-файл. После этого любые операции записи становятся недоступны, но операции чтения могут быть проведены, например, для анализа хранящейся информации. Другой способ заключается в установке блока на PIN-код и дополнительный разблокирующий PIN-код. В этом случае становятся невозможны все операции, даже чтение.

Многие из нас могут даже не догадываться, что являются пользователями смарт-карт. К примеру, SIM-карта твоего сотового телефона являются той самой "умной картой", но без "лишнего" пластика.

Они есть и у студентов, и у бизнесменов, и у домохозяек - дебетные и кредитные, для проезда на общественном транспорте, оплаты телефонных переговоров, доступа в интернет и т.п.

Согласно стандарту ISO-7810, пластиковая карта представляет собой прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм.

На банковских картах на дорожки записываются: номер счета, код валюты, код страны выдачи, имя владельца, срок действия (в принципе, та же информация, что напечатана на самой карте, но в цифровом виде).

Для шифрования используется криптографический метод односторонних функций. Их значение легко вычислить в одном направлении с использованием банковского ключа и набранного PIN-кода.

И хотя для пользователя, снимающего деньги, процедура выглядит привычно (ввел PIN-код и готово), внутри системы работает сложный механизм обмена зашифрованными данными.

Теперь нерадивые пользователи не будут приклеивать бумажку с паролем на монитор или класть ее под клавиатуру :). Будет достаточно вставить свою персональную (без пошлостей) карту в слот и готово.

Для пропусков и страховых полисов, к примеру, часто используются лишь штрих-коды, а в дисконтных и клубных системах карты могут вообще не нести никакой информации, кроме уникального номера и ФИО.
 





2024 © allbe.ru