👩🏾‍🎓 🍉 📝 Transacciones fuera de línea en transporte público - seguridad y antifraude 👨🏽‍🎤 👨🏾‍🤝‍👨🏼 🍉

Y no ha pasado un día, ya que estoy escribiendo un nuevo artículo, que también está relacionado con la tecnología NFC. A saber: transacciones fuera de línea en el transporte público, por qué y cuáles son las ventajas y desventajas de los pasajeros y transportistas que transporta. Hace unos cinco años, varios escándalos relacionados con el pirateo de tarjetas de Troika en Moscú hicieron ruido. Luego, los piratas informáticos necesitaban obtener las claves para acceder al contenido de las tarjetas Mifare 1K y similares, así como un software bastante específico para trabajar con ellas. Al mismo tiempo, la probabilidad de ser detectado era bastante alta: las tarjetas con inconsistencias en el contenido y el servidor de Troika se enviaron rápidamente a la lista de detención, y al intentar pasar por dicha tarjeta, el torniquete emitió un grito penetrante, atrayendo la atención. ¿Qué cambió cuando los terminales comenzaron a admitir tarjetas bancarias?

imagen

Esta es exactamente la imagen cuando se puede pagar la tarifa en algunas grandes ciudades. Los nuevos terminales pueden funcionar tanto con tarjetas Mifare antiguas como con tarjetas EMV sin contacto. ¿Es necesario decir que a pesar de los escándalos que han estallado, las vulnerabilidades del viejo Mifare no han desaparecido? Pero en este artículo, hablaremos sobre las vulnerabilidades que trae el soporte de EMV.

Advertencia para marginados, delincuentes y hackers de todas las franjas:

Descrito a continuación es puramente informativo y de naturaleza informativa. Entiendo que, por algunas razones subjetivas, esta advertencia no detendrá a algunos lectores, pero aún así recuerdo: ¡hay artículos del Código Penal de la Federación Rusa No. 159 y No. 272!

Poco de teoría

EMV (Europay Mastercard Visa) : un estándar que describe el comportamiento de un chip de tarjeta de pago en varios escenarios para garantizar la mayor seguridad de pago posible. Puedes leer más sobre esto aquí en una publicación respetadaAlexgre. Solo nos interesa el hecho de que en algunos casos el protocolo permite transacciones fuera de línea, es decir, la operación que la tarjeta y el terminal realizan exclusivamente entre ellos, y la información de la transacción se transmite al banco adquirente más tarde. La ventaja de este enfoque es, sin duda, que esta solución es ideal para condiciones donde no hay conexión, o la conexión es inestable, como el mismo bus, por ejemplo. El signo negativo se deduce del nombre: el terminal no puede verificar la disponibilidad de fondos en la tarjeta, así como el estado de la tarjeta en sí. El banco solo podrá confirmar o denegar cancelaciones para una transacción específica durante la sincronización. ¿Qué sucede si le muestra al conductor una tarjeta en blanco o bloqueada? Pero no pasará nada.Usando comandos APDU básicos, el terminal le preguntará a la tarjeta su fecha de vencimiento y la comparará con la hora del sistema; si no ha expirado, le pedirá a la tarjeta su PAN; este es el mismo número de tarjeta estampado en ella. Una vez guardados estos datos, a discreción de TRM (Terminal Risk Management, Terminal Risk Management), el terminal transferirá un número aleatorio a la tarjeta, lo codifica y lo firma con su clave, el terminal guarda el número original y la respuesta de la tarjeta, para que luego pueda transferirse al banco. Después de realizar estas operaciones, el terminal envía un comando para finalizar la conexión a la tarjeta y finaliza la conexión imprimiendo un ticket de cheque. Más tarde, el terminal no podrá cancelar el dinero de esta tarjeta (la tarjeta PAN se envía a la lista de paradas) hasta que se cancele la deuda, esta tarjeta no será aceptada en ningún autobús. Un sistema ideal, ¿no? Parece que hay vulnerabilidades,no hay regalos, todos pagan por todo al final. Todo habría permanecido igual, si no fuera por un gran "Pero" ... o unos pocos.

Apple/Samsung/Google Pay —

Y el 9 de septiembre de 2014, Apple presentó un nuevo método de pago sin contacto sobre la infraestructura existente. Apple Pay se ha centrado en la simplicidad, la velocidad y la privacidad. La interfaz intuitiva de Wallet proporcionó simplicidad (y proporciona), y la tokenización garantiza la privacidad. Al agregar una tarjeta a Wallet, un sistema de pago (como Mastercard o Visa) genera un token. El token es un PAN, pero no el que está eliminado en la tarjeta que se está agregando, sino su equivalente en el sistema de pago. A partir de ahora, el sistema de pago considerará las solicitudes de terminal POS para este PAN virtual como si fuera un número de tarjeta física. Con este enfoque, incluso un terminal potencialmente comprometido no ve el número real de la tarjeta: el token solo se puede usar para pagos en terminales POS, en otros casos es inútil.Más tarde, Samsung Pay y Google Pay (anteriormente Android Pay) comenzaron a funcionar con el mismo principio.

Fichas en transacciones fuera de línea

Si. Un dispositivo sin contacto aquí equivale a una tarjeta física. Y en caso de un error de pago, la terminal en el autobús colocará de forma pedante el PAN en la lista de paradas. ¡La justicia ha triunfado! Solo que ... ¡PAN es efímero! Cada vez que agrega una tarjeta a un dispositivo móvil, el token será diferente. En consecuencia, agregamos la tarjeta al dispositivo y salimos de la lista de paradas sin pagar un centavo. Repita si es necesario. Por lo tanto, para reproducir este ataque, cualquier dispositivo capaz de realizar pagos sin contacto es adecuado. Eso es el 90 por ciento de todos los teléfonos con NFC.

¿Como pelear?

Fuera de línea, de ninguna manera. Absolutamente. No hay forma de determinar si un token pertenece a alguna cuenta. Por lo tanto, necesitamos terminales que puedan desconectarse solo cuando sea necesario y permanecer en línea el mayor tiempo posible. Entiendo que la suma de riesgos es pequeña, pero la vulnerabilidad es tan fácil de operar que todos pueden aprovecharla. Puede solucionar la situación: hay validadores especializados para el transporte público.

Tipo de tal.

, . .

¿Cuáles son los hallazgos?

Las innovaciones apresuradas no siempre serán seguras y confiables. Al igual que con el sistema de transporte, las viejas vulnerabilidades aún no se han corregido, pero ya han traído nuevas y fáciles de explotar. Y las muletas son malas. Espero que mi pequeña investigación ayude a algunas compañías de transporte a repensar sus prioridades.