След проблемите на ПИБ, дойде време и за шум около мобилните оператори. Някой пуснал мухата, че ако въведеш таен код, може да се получи отдалечен достъп до SIM картата. Все едно да можеш да пиеш вода от Марс със сламка от Земята. Глупости, ама народа вярва ли вярва.
Какъв е проблема
Когато хората не познават технологията всичко им се струва реално и може да бъде прието за истина. Тук, разбира се освен всички други аспекти, изниква въпроса за сигурността. Може ли да бъдем сигурни, че няма да ни източат парите от картата или че няма да ни копират информацията от телефона или да се обаждат от нашия номер за наша сметка?
Я, да видим
Как всъщност се справят в Европа и останалата част на света? Ами…никак. Този проблем не може да бъде решен – не и по традиционния начин. Чиповете в картите /дебитни или кредитни/ не могат да ме успокоят, защото ПИН кода го въвеждам къде ли не – точно на банкоматите се слагат “сканиращите” устройства, а пък и не мога да бъда сигурен, че продавачката в магазина не е “в играта”. Значи картата определено не е сигурна, колкото и да я рекламират като такава с някакви клипове по телевизията или с промяна на идеята, че от магнитна лента се минава на ‘сигурна’ чип-технология
Как стои въпросът със телефона – ами пак по същия начин. Едва ли ще ми копират информацията от телефона, не че не е възможно, но все пак не се чувствам сигурен.
Какво ми остава тогава ?
Да се върна пак на това как стоят нещата в Европа и по-скоро какви алтернативни методи са дали те /освен плащането в кеш и карта/ – плащане с мобилен телефон. Разбира се, това определено не е новост – в много страни го има, включително и в България има плащане с…SMS, което е сигурно, като това да пратиш мейл от кварталния доставчик.
Новото е появата на Trusted services manager (TSM), който най-точно може да се определи като медиатор, който свързва банките и мобилните оператори при извършването на плащанията. Проекта е на Асоциацията на мобилните оператори, в която членуват водещи мобилни оператори.
TSM изгражда инфраструктурата, гарантира сигурността на плащанията и предлага електронни услуги. Проблема със въвеждането на ПИН кода е решен /въвежда се от телефона естествено/, а SIM картата е от ново поколение UICC. Проектът се нарича Pay-by-mobile и предлага отворен бизнес модел, в който имат възможност да се присъединят всички, които желаят. Това е в Европа, но и ние вече имаме TSM и това е СЕП.
Свързани статии
iPhone, Android и СЕП
Ще пазаруваме с мобилния телефон
ХМ…не става ли дума точно за това… http://www.boingboing.net/2008/03/19/bbtv-how-to-hack-an.html
на мен ми се стори не толкова сложно :)
Съгласен съм, ако устройството е компрометирано, теореично може да се наредят няколко плащания от него, но това не означава че картата ти може да се копира. Самият ПИН относително лесно могат да го видят просто като ти гледат пръстите докато го въвеждаш. Въпроса е че след като си извадиш картата от устройството атакуващият не може да направи нищо повече с нея. Това че всички „фалшиви“ транзакции са от един и същи магазин го прави и много лесно проследимо. Тук обаче ще трябва да се намеси някой от Борика за да каже дали техните транзакции са криптирани и съответно дали такава атака е въобще практически осъществима.
Относно номера на картата и интернет – не случайно повечето хора плащат чрез системи като PayPal или ePay. Освен това плащанията с кредитни карти са застраховани.
Да взема да дам малко техническа информация, че като гледам всеки си говори без да познава технологията.
@всички които мислят че чиповете се копират – причината чипа да не може да се копира е че не е проста памет като магнитните ленти. Това е едночипов компютър. Четящото устройство си говори само с него и няма директен достъп до частната му памет.
Съответно когато се иска използване на защитената с ПИН информация (частният ключ), банкомата иска ПИН-а и го праща го към картата заедно с информация за обработка от частният ключ. Съответно ако това е ПИН-а картата успява да отключи частната си памет и да извърши операция с частният си ключ. Самата операция по проверка и потвръждаване се извършва в самият чип. Обикновенно е някакъв вид електронен подпис. Валидността на подписа и наличностите се проверяват на сървъра на оператора (Борика, Visa и т.н.) и ако всичко е наред се извършва плащането.
Външен интерфейс към частната памет _няма_. Никой от контактите на чип-а не е закачен към нея. Всички обработки на данни с частните ключове или други частни обекти се извършват на самата карта. Така че външно четящо устройство не може да прочете _нищо_ от частната памет. Самите ключове се генерират на самата карта и никога не са съществували извън нея.
@ss7 – същото което казах за карите с чип важи и за тези SIM карти за които говори Богомил. Това което пътува по радитото не може да ползва за да се създаде копие на твоят частен ключ в картата и така да платят чрез нея от твое има.
На страницата за EMV картите на Wikipedia – http://en.wikipedia.org/wiki/EMV в криптографският портал – http://en.wikipedia.org/wiki/Portal:Cryptography има повече информация по темата за всички които не ми вярват или просто са любопитни.
Васил, ще трябва да те опровергая.
Цитирам: „В скорошно изследване на сигурността на банковите карти с чип, Saar Drimer, Steven J. Murdoch и Ross Anderson от университета в Кеймбридж са успели да преодолеят защитите на няколко устройства за въвеждане на ПИН. Този тип устройства се свързват към POS терминалите, обикновено на касите на магазините и представляват цифрова клавиатура с малък екран, както и четец за карти, което позволява на клиента сам да сложи картата си и да въведе ПИН-а си. Изследователите използват няколко метода:Отначало те преодоляват физическата защита на устроствата срещу модификация. Въпреки, че тези устройства са сертифицирани, се оказва, че съвсем лесно те могат да бъдат модифицирани така, че да се прехване комуникацията между устройството и банковата карта. Тази комуникация включва и въведеният ПИН, който се изпраща на картата за проверка. Тъй като във Великобритания в повечето случаи тази комуникация не е криптирана, то това е достатъчно да бъде записана информацията от картата, и вече нищо не спира престъпниците от изготвяне на копие. Разбира се, копираната карта ще бъде само с магнитна лента, но тъй като не навсякъде се поддържат новите четци на чипове, то е напълно достатъчно за източването на пари от сметката на нищо неподозиращата жертва.
В публикуваното изследване учените обясняват, че подобно модифициране е напълно във възможностите на недобросъвестни собственици на магазини или техен персонал.
Вторият дискутиран метод, който не е реализиран на практика, включва използването на вложка, която влиза във четеца на устройството и застава между картата и самият четец. Подобно устройство може да препраща комуникацията към приемник, скрит наоколо. Този метод е по-опасен, защото може да бъде приложен дори и от престъпник, представящ се за обикновен клиент на магазина.Устройството ( shim на горната диаграма ) ще е практически неоткриваемо за потребителите, а технологията за създаването му е напълно достъпна на съвременните престъпници.
Едиственият начин да се противодейства на такива скимери е да се криптира връзката между четеца и картата, като се използват възможностите на самата карта за криптиране с публични ключове. Тази опция е по-скъпа за реализиране от банките, но предоставя доста по-добро ниво на защита.“
А,ето и сайта на учените: http://www.cl.cam.ac.uk/research/security/banking/ped/
И още нещо – картите с чип по никакъв начин не могат да защитят плащането в интернет, където се въвежда номера на картата и кога изтича.
Ще го кажа още 1 път за неразбралите и невярващите.
Картите със чип НЕ МОГАТ ДА СЕ КОПИРАТ.
Ами аз се чувствам доста сигурен с обикновена ВИЗА , пък сим картата изобщо не я мисля (има кредитен лимит , както и кредитната карта)
И защо плащанията през мобилни телефони да са толкова уникално сигурни ? Може би защото всеки може да подслуша ефира :)
Малко тенденциозна ми се струва статията.
Петя, ако картата е с чип не могат да я копират. Както съм написал в предишният си коментар това може да се случи само с картите с магнитна лента. Чипа на дебитните/кредитните карти е същият като тези които се ползват в смарт картите за електроннен подпис. Ако ставаше така лесно нямаше да има законово изискване всички универсални електронни подписи да са на смарт карта. Това че може да се копира чипа звучи точно като идеята че като въведеш няколко цифри от телефона друг може да ти ползва картата.
Определено не е конкурент. В случая говорим по-скоро за еволюция и развитие на сигурността във финансовите услуги, отколкото за някаква пряка конкуренция. Плащането с телефон е алтернатива на картите и кеша, но не ги измества /както с появата си картите не изместиха кеша/.
Относно кражбата на карта – всички знаем, че това става непрекъснато не само в България, но и в целия свят. Самата карта я „копират“, а ПИН кода го сканират, докато го въвеждаш.
С продавачката нещата стоят по същия начин – винаги може да ти види кода и все пак тя ти взима картата и минава през ПОС-а. Естествено, че това не става всеки ден, но не е невъзможно.
Този слух за сим картите и тайния инженерен код дето ти се обаждат и те карат да въведеш – това е най-класическия пример за hoax – датира от 198* и се цитира във всеки сайт за hoax… Журналистите не се научиха, че не трябва да скачат при всеки вдигнат пръст, а трябва първо добре да потготвят домашното си… никой не очаква да са технически грамотни и да знаят всичко, но аз ако не знам нещо, отивам и питам тези които знаят…
В случая с чип картите продавачката не може да направи нищо независимо в коя игра е точно. За да може да открадне пари тя трябва да ти научи ПИН-а и да ти открадне картата. Чипа е много по-сигурен от магнитната лента точно защото не може да се копира и съответно “сканиращите” устройства на банкоматите се обезмислят.
Разликата е че в единият случай имаш просто публична памет, а в другият имаш скрита памет с която може да работи само въпросният чип. Съответно всички операции които изискват достъп до тази информация се извършват от самият чип, а не от банкомата. Самото подслушване на предаваната информация не е достатъчно за да направиш каквото и да е.
СЕП, чиито услуги си описал на http://www.bogomil.info/852/ е хубаво нещо, но не е директен конкурент на дебитните и кредитните карти с чип. Поне аз не виждам какво повече може да ти предложи като сигурност.