♦️ 🍬 🤰🏾 सार्वजनिक परिवहन में ऑफ़लाइन लेनदेन - सुरक्षा और एंटीफ्राड 👱🏿 👇🏿 🙆

और एक दिन भी नहीं बीता है, क्योंकि मैं एक नया लेख लिख रहा हूं, जो एनएफसी प्रौद्योगिकी से भी संबंधित है। अर्थात् - सार्वजनिक परिवहन में ऑफ़लाइन लेन-देन, क्यों और क्या यात्रियों और वाहक के लिए पेशेवरों और विपक्षों द्वारा वहन किया जाता है। लगभग पांच साल पहले, मॉस्को में ट्रोइका कार्ड की हैकिंग से जुड़े कई घोटालों ने शोर मचाया। तब हैकर्स को Mifare 1K कार्ड की सामग्री और इस तरह से उपयोग करने के लिए कुंजी प्राप्त करने की आवश्यकता थी, साथ ही साथ उनके साथ काम करने के लिए काफी विशिष्ट सॉफ़्टवेयर। उसी समय, पता लगाए जाने की संभावना काफी अधिक थी - सामग्री में असंगतता वाले कार्ड और ट्रोइका सर्वर को तुरंत स्टॉप सूची में भेज दिया गया था, और जब इस तरह के कार्ड के माध्यम से जाने की कोशिश कर रहे थे, तो टर्नस्टाइल ने एक भेदी चीख का उत्सर्जन किया, जिसने ध्यान आकर्षित किया। जब टर्मिनलों ने बैंक कार्ड का समर्थन करना शुरू किया तो क्या बदला?

यह वास्तव में तस्वीर है जब कुछ बड़े शहरों में किराया का भुगतान किया जा सकता है। नए टर्मिनल पुराने मिफेयर कार्ड और संपर्क रहित ईएमवी कार्ड के साथ काम कर सकते हैं। क्या यह कहना आवश्यक है कि घोटालों के बावजूद, पुराने Mifare की कमजोरियां दूर नहीं हुई हैं? लेकिन इस लेख में, हम उन कमजोरियों के बारे में बात करेंगे जो EMV समर्थन लाती हैं।

सभी धारियों के बहिष्कार, बदमाश और हैकर्स के लिए चेतावनी:

नीचे वर्णित विशुद्ध रूप से सूचनात्मक और प्रकृति में जानकारीपूर्ण है। मैं समझता हूं कि कुछ व्यक्तिपरक कारणों से यह चेतावनी कुछ पाठकों को रोक नहीं पाएगी, लेकिन फिर भी याद रखें - रूसी संघ के आपराधिक कोड संख्या १५ ९ और संख्या २ !२ के लेख हैं!

सिद्धांत की बिट

EMV (Europay Mastercard Visa) - एक मानक जो भुगतानों की उच्चतम संभव सुरक्षा सुनिश्चित करने के लिए विभिन्न परिदृश्यों में भुगतान कार्ड चिप के व्यवहार का वर्णन करता है। आप इसके बारे में अधिक यहाँ एक सम्मानित पोस्ट में पढ़ सकते हैंAlexgre। हम केवल इस तथ्य में रुचि रखते हैं कि कुछ मामलों में प्रोटोकॉल ऑफ़लाइन लेनदेन की अनुमति देता है, अर्थात्, ऑपरेशन जो कि कार्ड और टर्मिनल विशेष रूप से खुद के बीच होता है, और लेन-देन की जानकारी बाद में अधिग्रहणकर्ता बैंक को प्रेषित की जाती है। इस दृष्टिकोण का लाभ निस्संदेह है कि यह समाधान उन परिस्थितियों के लिए आदर्श है, जहां कोई संबंध नहीं है, या कनेक्शन अस्थिर है - उसी बस की तरह, उदाहरण के लिए। नाम से माइनस इस प्रकार है - टर्मिनल कार्ड पर धन की उपलब्धता की जांच नहीं कर सकता है, साथ ही कार्ड की स्थिति भी। बैंक केवल सिंक्रनाइज़ेशन के दौरान किसी विशिष्ट लेनदेन के लिए राइट-ऑफ की पुष्टि या खंडन करने में सक्षम होगा। यदि आप कंडक्टर को खाली या अवरुद्ध कार्ड दिखाते हैं तो क्या होगा? लेकिन कुछ नहीं होगा।बुनियादी APDU आदेशों का उपयोग करते हुए, टर्मिनल कार्ड की समय सीमा समाप्ति तिथि के लिए पूछेगा और सिस्टम समय के साथ तुलना करेगा - यदि इसकी समय सीमा समाप्त नहीं हुई है, तो वह अपने पैन के लिए कार्ड पूछेगा - यह उसी कार्ड संख्या है जिस पर मुहर लगी है। TRM (टर्मिनल रिस्क मैनेजमेंट, टर्मिनल रिस्क मैनेजमेंट) के विवेक पर, इस डेटा को सहेजने के बाद, टर्मिनल रैंडम नंबर को कार्ड में ट्रांसफर कर देगा, यह इसे हैश कर देता है और इसकी चाबी से इसे साइन करता है, टर्मिनल ओरिजनल नंबर और कार्ड रिस्पॉन्स को बचाता है, ताकि बाद में इसे बैंक में ट्रांसफर किया जा सके। इन ऑपरेशनों को करने के बाद, टर्मिनल कार्ड से कनेक्शन समाप्त करने के लिए एक कमांड भेजता है और चेक टिकट प्रिंट करके कनेक्शन को समाप्त कर देता है। बाद में, टर्मिनल इस कार्ड से पैसे नहीं लिख पाएगा - पैन कार्ड को स्टॉप सूची में भेज दिया जाता है - जब तक वे ऋण का भुगतान नहीं करते हैं, तब तक वे किसी भी बस में इस कार्ड को स्वीकार नहीं करेंगे। एक आदर्श प्रणाली, है ना? ऐसा लगता है कि कमजोरियां हैं,कोई मुफ्त में सब कुछ के लिए अंत में भुगतान करते हैं। सब कुछ वैसा ही रहता, अगर एक बड़े "लेकिन" ... या कुछ के लिए नहीं होता।

Apple/Samsung/Google Pay —

और 9 सितंबर 2014 को, ऐप्पल ने मौजूदा बुनियादी ढांचे पर एक नया संपर्क रहित भुगतान तरीका पेश किया। Apple Pay को सरलता, गति और गोपनीयता पर केंद्रित किया गया है। वॉलेट के सहज इंटरफ़ेस द्वारा सादगी प्रदान की गई (और प्रदान करता है), और टोकन द्वारा गोपनीयता सुनिश्चित की जाती है। वॉलेट में कार्ड जोड़ते समय, एक भुगतान प्रणाली (जैसे मास्टरकार्ड या वीज़ा) एक टोकन उत्पन्न करती है। टोकन एक पैन है - लेकिन वह नहीं जिसे कार्ड में जोड़ा जा रहा है, बल्कि भुगतान प्रणाली में इसके समकक्ष है। अब से, इस आभासी पैन के लिए पीओएस टर्मिनल अनुरोधों को भुगतान प्रणाली द्वारा माना जाएगा जैसे कि यह एक भौतिक कार्ड नंबर था। इस दृष्टिकोण के साथ, यहां तक कि एक संभावित समझौता टर्मिनल वास्तविक कार्ड नंबर नहीं देखता है - टोकन का उपयोग केवल पीओएस टर्मिनलों पर भुगतान के लिए किया जा सकता है, अन्य मामलों में यह बेकार है।बाद में, सैमसंग पे और Google पे (पूर्व में एंड्रॉइड पे) ने एक ही सिद्धांत पर काम करना शुरू किया।

ऑफ़लाइन लेनदेन में स्तन

हाँ। यहां एक संपर्क रहित उपकरण एक भौतिक कार्ड के लिए समान है। और एक भुगतान त्रुटि के मामले में, बस में टर्मिनल पैन को स्टॉप सूची में डाल देगा। न्याय की जीत हुई है! केवल ... पैन पंचांग है! हर बार जब आप एक मोबाइल डिवाइस में एक कार्ड जोड़ते हैं, तो टोकन अलग होगा। तदनुसार - हम कार्ड को डिवाइस में जोड़ते हैं - और हम बिना कोई भुगतान किए स्टॉप सूची से बाहर निकल गए। यदि आवश्यक हो तो दोहराएं। इस प्रकार, इस हमले को पुन: उत्पन्न करने के लिए, संपर्क रहित भुगतान करने में सक्षम कोई भी उपकरण उपयुक्त है। यह एनएफसी के साथ सभी फोन का 90 प्रतिशत है।

कैसे लड़ें?

ऑफ़लाइन - कोई रास्ता नहीं। पूर्ण रूप से। यह निर्धारित करने का कोई तरीका नहीं है कि टोकन किसी खाते से संबंधित है या नहीं। इसलिए, हमें ऐसे टर्मिनलों की आवश्यकता है जो केवल आवश्यक होने पर ही ऑफ़लाइन हो सकें, और यथासंभव लंबे समय तक ऑनलाइन रहें। मैं समझता हूं कि जोखिमों का योग छोटा है, लेकिन भेद्यता संचालित करना इतना आसान है कि हर कोई लाभ उठा सकता है। आप स्थिति को ठीक कर सकते हैं - सार्वजनिक परिवहन के लिए विशेष सत्यापनकर्ता हैं।

इस प्रकार के।

, . .

निष्कर्ष क्या हैं?

स्वादिष्ट नवाचार हमेशा सुरक्षित और विश्वसनीय नहीं होंगे। परिवहन प्रणाली के साथ, पुरानी कमजोरियों को अभी तक तय नहीं किया गया है, लेकिन वे पहले से ही नए, आसानी से शोषित लोगों के लिए लाए हैं। और बैसाखी खराब हैं। मुझे उम्मीद है कि मेरे छोटे शोध से कुछ परिवहन कंपनियों को अपनी प्राथमिकताओं पर पुनर्विचार करने में मदद मिलेगी।