Кардеры воруют PIN-коды из аппаратных модулей шифрования - 22 Апреля 2009 - tHR

Меню

Календарь

Статистика
	Ваш IP: 18.97.9.169 Вы используете: v Сейчас на сайте: Тех поддержка ->

Облако тэгов

Брутер Брутер для мыла ОС видио сайта Tor Обратная сторона бочками антенна Файлики НаХ php эксплоит Windows Server 2008 Elastix QIP Virtual vps sysctl proc kernel Tune freeBSD Qemu Network Bluetooth GEO game emulator Shell Python Open vSwitch червь Conficker вирус троян лаборатория касперского пиратство Apple iPhone Финансовый кризис Microsoft twitter социальная сеть анонимность лицензия Open Source уязвимость MySQL база данных Закон Франция Пират Skype мобильный хакер trend micro кибератака Германия робот Персональные данные Ноутбук Интернет китай цензура windows vista Linux патент браузер Firefox Internet Explorer Opera Safari Intel Motorola патч Oracle Банкомат IBM США Dell контроль Internet кибербезопасность приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 взлом Пентагон Украина Facebook Cisco Windows XP нетбук торрент музыка Биометрический Nokia ФБР IP-адрес sms RSA java Google Captcha Symantec Спам Антивирус тест Windows 7 операционная система windows провайдер авторское право rapidshare UNIX свиной грипп ГИБДД шантаж Дети ipod Service Pack копирайт McAfee HTTPS кризис icann студент Норвегия New York Times YouTube Warner Music КНДР Ubuntu ATI касперский Россия РФ сервер хостинг Wi-Fi суд пароль блог ПОЛЬША фишинг одноклассники Медведев контрафакт мошенник sony Gps по JavaScript Хакеры Yahoo фас компьютер софт Минкомсвязи программист Сбой мошенничество Доктор ВЕб Вконтакте Италия исходный код МВД фильтр порнография Outlook свобода слова казахстан Autodesk сисадмин Gmail кредитная карта LiveJournal шифрование банк Нанотехнологии wikipedia выборы DNS bind Android Simple атака Mac OS X домен ФСБ прокуратура уголовное дело ICQ Singularity Sophos ошибка военные DARPA сайт турция конференция спамер Полиция Алгоритм Koobface Великобритания белоруссия Грузия Европа Билл Гейтс Стив Джобс спецслужбы Royal Bank of Scotland смартфон F-Secure Symbian фильм SP1 Новая Зеландия Adobe Австралия госуслуги IDC новости Internet Explorer 9 iPad Ирландия поиск шифр МТС Реклама слежка Orange патриотизм Zeus личные данные eset защита виртуализация LibreOffice Черный список BlackBerry индия траффик Москва Голосование социальные сети flash player paypal BitDefender сертификат Молдавия Евросоюз MasterCard Anonymous платежные терминалы технологии наркотик Ассанж Оптоволокно передача данных сенат арест nissan Samsung Иск компания учетная запись разработка убийство Президент Seagate исследование Санкт-Петербург McDonald's OpenStreetMap SOPA PIPA кража Регистрация Bioshock Infinite: Burial at Sea - запрос дебаты Megaupload CES ВВС США отчет приложение Иран Инвестиции ГЛОНАСС олимпийские игры платформа роскомнадзор выдача

Главная » » Кардеры воруют PIN-коды из аппаратных модулей шифрования

22:10

Кардеры воруют PIN-коды из аппаратных модулей шифрования

Индустрия «кардерства» вышла на новый уровень: официально подтверждены случаи кражи PIN-кодов из «святая святых» любой платежной системы — модулей аппаратного шифрования HSM (Hardware Security Module – защищенный аппаратный модуль шифрования/дешифрования).

Раньше пользователи платежных карт беспокоились насчет фишинга, скиммеров (похищение PIN-кода с помощью установки на банкомат камер и другого нелегального оборудования), скаммеров (мошенничество с использованием предложений обогатиться, вроде писем из Нигерии) и прочих видов обмана. Теперь же проблемы коснулись тех частей банковской системы, на которые простой пользователь повилять не в силах. Некоторое время назад эксперты по банковской безопасности предупреждали производителей, что теоретически существует способ перехвата PIN-кодов через модули HSM, но первый случай фактического использования этой потенциальной уязвимости обнаружен лишь в 2009 г.

Выяснилось, что при наличии сообщника внутри банка преступники могут записывать PIN-коды в зашифрованном и открытом виде, потому что администраторы банков по разным причинам изменяют стандартную конфигурацию HSM-модулей. Обычно это происходит из-за неспособности или нежелания администратора решить проблемы совместимости с унаследованными приложениями или с «непослушными» банкоматами за счет использования стандартных процедур и инструментов – тогда администратор просто отключает некоторые стандартные механизмы, и на каком-то этапе обработки PIN-коды оказываются незашифрованными, причем система контроля просто не замечает этого, так как далее они передаются снова в закодированном виде.

Так или иначе, потенциальное похищение PIN-кодов без участия владельца карты создает серьезную угрозу безопасности и подрывает доверие ко всей банковской системе. По мере того как вводимые коды на разных этапах обработки проходят множество ступеней шифрования и декодирования, у злоумышленников появилась реальная возможность установить на одном из HSM-модулей собственные программы, которые перехватывают PIN-коды в открытом виде, либо в зашифрованном, но доступном для декодирования.

По заявлениям производителей HSM-модулей, их продукция поставляется заказчикам со стандартными настройками, которые не допускают подобных атак. В то же время, установкой и настройкой таких модулей могут заниматься не всегда добропорядочные люди, так что система действительно уязвима. Следует отметить, что полного решения новой проблемы банкам придется как минимум проверить настройки HSM-модулей во всех банкоматах и серверах, а это дорогостоящий процесс. В противном случае скомпрометированную платежную систему придется создавать с нуля, а это тоже обойдется недешево.