Хакеры научились расшифровывать PIN-коды

[selb609]

Хакеры научились расшифровывать PIN-коды :: РУССКИЕ ДОКУМЕНТЫ

www.rusdoc.ru

Специалисты продолжают удивляться, как хакеры умудряются начать практическое использование методов, которые ещё год назад признавались только теоретически возможными, да и то в узкой академической среде. Теперь они научились снимать PIN-коды с наших карточек, не проникая непосредственно в банкомат, которым мы пользуемся. Для этого достаточно найти слабый узел в сети, по которой идут пакеты от банкомата к банку.

Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов, которые передаются в зашифрованном виде, были и раньше, но после публикации отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые официально подтверждены.

Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на своём пути проходят через множество аппаратно-шифровальных модулей (HSM, на фото — HSM с PCI-интерфейсом) от других банков. Из-за того, что эти HSM имеют разные настройки и режим работы, пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать с новым открытым ключом, который действует в паре с закрытым ключом этого конкретного HSM, доступным через API. Так вот, теперь хакеры научились узнавать закрытый ключ HSM, если этот узел неправильно сконфигурирован. Как только хакерам удаётся расшифровать один PIN-код, они легко могут расшифровать весь массив PIN-кодов, которые проходят через этот HSM.

О практическом применении этой методики специалисты узнали только постфактум, когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано).

На диаграмме показана статистика по количеству скомпрометированных банковских счетов, в том числе карт-счетов (источник — Verizon). Как видим, это количество уже вдвое превышает число жителей, например, России. На самом деле скомпрометировано гораздо больше карточек, так что они уже сейчас составляют заметный процент в общем количестве всех банковских карточек, имеющихся в обращении.



А ведь зная пин-код, можно снять деньги не только с карточки, но напрямую с банковского счёта пользователя, причём доказать мошенничество и вернуть деньги потом будет предельно сложно.

По мнению экспертов Verizon, проблему можно решить только кардинальной сменой инфраструктуры мировых платёжных систем. Фактически, новую систему нужно создавать с нуля.

 

[RENAULT]

Как вбахают кучу бабла в разработку новых суперсовременных банокматов, как кто то заработает милиарды денег на их производстве.......главное красиво в массы идею кинуть, что типа мол пора...а иначе никак

 

[RENAULT]

Ой мужики, статистику то посмотрел, удивился Очень сильно. Почти 287 миллионов просто так перекочевало от одних к другим.....просто так

 

[evgeny_77]

Бред .
особенно здесь

А ведь зная пин-код, можно снять деньги не только с карточки, но напрямую с банковского счёта пользователя,

и здесь

Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на своём пути проходят через множество аппаратно-шифровальных модулей (HSM, на фото — HSM с PCI-интерфейсом) от других банков.

 

[selb609]

1. Действительно странная формулировка, но может быть просто "проблемы перевода"

2.Можно подробнее, если в теме?

PS. По логике вещей, как такие запросы между банками гоняются?
PPS. Особенно не в странах СНГ.

 

[evgeny_77]

1. проблемы журнашлюшек , которые пишут о том , чего не знают
2. Совсем подробнее не получится . Для этого надо начинать с того как работает интернет и алгоритмов криптозащиты .

Пин код , никуда не передается и поэтому расшифровать его нельзя . Передается хэш функция , получаемая из pin , и одного из десятка очень длинных ключей , хранящихся в банкомате . Расшифровать его возможно , только узнав ключ , но ключ тоже никуда не передается и вынуть его из банкомата нельзя . К тому же хрен угадаешь какой ключ используется в данный момент .
Далее.
Банкомат это ничто иное как гибрид сейфа , компьтера и счетчика купюр . Компьютер установленный внутри ничем не отличается от того что стоит на вашем рабочем столе . Раньше в качестве операционной системы использовалось OS/2 и win NT4.0. Сейчас OS/2 благополучно помер , используется что-то на базе windows . Многочисленные фотографии банкоматов с синими экранами смерти вместо заставки банка тому подтверждение .
Раз так , то никто не мешает сверху вышеописанного прикрутить еще и freePGP или любой другой аналог .и пусть расшифровывают дальше .
Далее .
Сама связь банкомат-процессинг осуществляется не через интернет , а через специально обученный тоннель , предоставляемый провайдером . Туннель этот шифрованный , шифрацией его и занимаются аппаратно-шифровальные модули . Проблема только в том , то настроены они так , что доступ к его настройкам можно получить либо физически открыв банкомат(лучший вариант) либо только из сети банка . + пароль на изменение настроек . + ключ шифрования нельзя увидеть а можно только сменить на другой , после чего банкомат перестает работать .

Сколько уровней безопасности насчитали ?

 

[ax5]

А ведь зная пин-код, можно снять деньги не только с карточки, но напрямую с банковского счёта пользователя

Абсурд. ПИН-код имеет связь только с куском пластика и им осуществляется ТОЛЬКО верификация пластика в считывающем устройстве. Не путайте с CCV-кодом.

 

[selb609]

Это не моя статья :shock:
Собственно доклепаться в ней хватает моментов и мне, как не специалисту в банковской, но специалисту в ИТ.
Вопрос в другом - расскажите, как гоняется транзакция :
1. Сеть банков с общими банкоматами.
2. Транзакция с "чужого"банкомата.

PS. К тому же в статье четко декларируется - неправильно настроенные узлы, во что охотно верится, бардака везде хватает.

 

[4yk4a]

Какая разница как настроены узлы, передаётся только хеш, даже узнав его, ты мало чего добьшься.

 

[selb609]

Какая разница как настроены узлы, передаётся только хеш, даже узнав его, ты мало чего добьшься.

Можно почитать и оригинал:

Verizon Business 2009 Data Breach Study Finds Significant Rise in Targeted Attacks, Organized Crime Involvement

BASKING RIDGE, N.J. - More electronic records were breached in 2008 than the previous four years combined, fueled by a targeting of the financial serv

newscenter.verizon.com

Веризон все таки репутацию повыше имеют чем неизвестный журналист.

Выдержка:

The State of Cybercrime: 2009

As the cybercrime market continues to evolve, so do the targets, techniques and types of attackers. The big money is now in stealing personal identification number (PIN) information together with associated credit and debit accounts. In 2008, Verizon Business witnessed an explosion of attacks targeting PIN data.

These PIN-based attacks hit the consumer much harder than typical signature-based counterfeit attacks in which a consumer's credit card is compromised. Investigators found that PIN fraud typically leads to cash being withdrawn directly from the consumer's account - whether it is a checking, savings or brokerage account - placing a greater burden on the consumer to prove that transactions are fraudulent.

The higher monetary value commanded by PIN data has spawned a cycle of innovation in attack methodologies. Criminals have re-engineered their processes and developed new tools, such as memory-scraping malware, to steal this valuable commodity.

The geographic distribution of external data breach sources continue to show high activity in Eastern Europe, East Asia and North America. In fact, the 2009 report shows that these regions accounted for 82 percent of all external attacks.

Among investigators, Tippett pointed out, "Eastern Europe is known as a notorious haven for organized cybercrime outfits, which played a major role in breaches throughout 2008."

"We have a great deal of evidence that malicious activity from Eastern Europe is the work of organized crime," he said. However, he added, "On the bright sight, efforts with law enforcement led to arrests in at least 15 cases (and counting) in 2008."

Нда , тут ни слова про расшифровку, только кража.

 

[selb609]

Business Insights and Resources

Get the information you need to drive your business forward from Verizon. Browse our resource center for the latest thought leadership and business insights.

www.verizonbusiness.com

Тут подробней, бегло пробежался - похоже речь больше о терминалах торговли, там тоже PIN иногда просят.

 

[evgeny_77]

Вопрос в другом - расскажите, как гоняется транзакция :
1. Сеть банков с общими банкоматами.
2. Транзакция с "чужого"банкомата.

1. Не совсем понимаю что имеется ввиду . Очевидно наличие группы банков с одним процессинговым центром . Тут все просто - все банкоматы обращаются в этот процессинг , о безопасности таких подключений я писал выше .
2. Тут путь транзакции - банкомат ->процессинг ->VISA ->процессинг .
Я не знаком с требованиями на каналы связи от процессинга до визы , но зато знаком с требованиями на другую банковскую систему . Это два разных шифрованных канала связи с горячим резервированием . Оборудование шифрации не имеет доступа к настройкам вообще и поставляется от платежной системы уже настроенным и с зашитыми ключами и IP адресами.
Требования Visa должны быть еще строже .

Для начала обрисуем, в самом упрощенном виде, как работает система. Банк-эквайер выдает держателю карты деньги и получает возмещение у платежной системы (ПС). После этого ПС получает эти деньги у банка-эмитента, который, в свою очередь, списывает эту сумму со счета клиента.

 

[selb609]

Хм. Но все таки , кто связан с банками?

Комментарии на

"The higher monetary value commanded by PIN data has spawned a cycle of innovation in attack methodologies. Criminals have re-engineered their processes and developed new tools, such as memory-scraping malware, to steal this valuable commodity. " ?

Где тырят PIN ?

 

[evgeny_77]

пин могут тырить где угодно . например вот

Error

Your life is the best story! Just start your blog today!

arthur-lya.livejournal.com

 

[selb609]

Скимминг это банально.

memory-scraping malware - вот это веселее.
Drweb рапортовал о заражении банкоматов Die-Bold - тоже познавательно.

 

[selb609]

Хотя "Во-первых, для создания хеша, используется довольно длинный ключ. Во-вторых, банки используют не одну пару ключей, а несколько (как правило, шесть семь ключей), причем угадать какая именно пара ключей используется для генерации хеша в определенный день, очень сложно. Это сделано для того, чтобы в случае компрометации одной пары ключей можно было избежать замены всех карт. Ну и, главное, хеш пина карты, который имеет банк, и хеш пина карты, который выходит из банкомата - это разные вещи, поскольку банкомат шифрует пин карты собственными ключами (которые также меняются). Затем в процессинговом центре, который обслуживает банкомат, пин перекриптовывается с использованием уже ключей этого процессингового центра, а потом пин еще раз перекриптовывается в процессинговом центре МПС, уже с использованием ключей банка-эмитента. В итоге хеш пина, который выходит из банкомата и хеш пина, который приходит в процессинговый центр банка-эмитента - это совершенно разные вещи. "
Вполне перекликается с 1 постом .

 

[evgeny_77]

Не перекликается . Уровни безопасности на пути банкомат процессинг я уже приводил .
разберем один абзац .

Из-за того, что эти HSM имеют разные настройки и режим работы, пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать с новым открытым ключом, который действует в паре с закрытым ключом этого конкретного HSM, доступным через API.

 

[selb609]

С другой стороны все когда то случается первый раз...
По вашей ссылке про списание без проверки в райфайзен - тоже наверно все отрицали даже принципиальную возможность.

Украинские банкоматы поражены троянским вирусом

www.ukrrudprom.ua

По Диболду, коротко:

"С помощью специальной карточки злоумышленник может снять с зараженного банкомата всю имеющуюся наличность и распечатать на чеке информацию о последних проведенных через банкомат транзакциях, включая номера и pin-коды кредитных карт"

Без всяких шифровок

 

[Fitil]

Поздновато подключился в ветку. В целом, общая схема выглядит именно так, как написал evgeny_77 в посте №6. Связь - VPN-туннель. Раньше шифровалось по 3DES, щас почти везде переходят на AES256, благо вычислительные ресурсы VPN устройств позволяют "переваривать". NT4 не видел ни разу (работал с NCR и Diebold), полуось раньше стояла повсеместно (ИМХО - наилучший вариант для подобных систем, комманды хрен кто уже помнит). Щас ставят Embedded XP. Плохо
Про ключи в программных модулях плохо знаю, но общая схема выглядить как описал evgeny_77.
Да, и это - по дороге из банкомата в процессинг НИЧЕГО не перешифровывается. Связь прямая, никаких промежуточных узлов нету.

 

[selb609]

А из магазина / мелкой точки?

Попадал на такую фишку - при оплате в магазине на большую сумму введите ПИН код на терминале.