Get best of the week

Transações off-line em transporte público - segurança e antifraude

E não passou um dia, pois estou escrevendo um novo artigo, que também está relacionado à tecnologia NFC. Ou seja - transações off-line em transporte público, por que e quais são os prós e os contras dos passageiros e transportadoras que ele transporta. Cerca de cinco anos atrás, vários escândalos relacionados ao roubo de cartões da Troika em Moscou fizeram barulho. Em seguida, os hackers precisaram obter as chaves para acessar o conteúdo dos cartões Mifare 1K e similares, além de software bastante específico para trabalhar com eles. Ao mesmo tempo, a probabilidade de ser detectada era bastante alta - cartões com inconsistências no conteúdo e o servidor da Troika foi rapidamente enviado para a lista de paradas, e ao tentar passar por esse cartão, a catraca emitiu um grito agudo, atraindo a atenção. O que mudou quando os terminais começaram a suportar cartões bancários?

imagem

Esta é exatamente a imagem em que o pagamento da tarifa pode ser observado em algumas grandes cidades. Os novos terminais podem funcionar tanto com cartões Mifare antigos quanto com cartões EMV sem contato. É necessário dizer que, apesar dos escândalos que eclodiram, as vulnerabilidades do antigo Mifare não desapareceram? Mas neste artigo, falaremos sobre as vulnerabilidades que o suporte a EMV traz.

Aviso para párias, bandidos e hackers de todas as faixas:


A descrição abaixo é puramente informativa e informativa por natureza. Entendo que, por algumas razões subjetivas, esse aviso não irá parar alguns leitores, mas lembre-se: existem artigos do Código Penal da Federação Russa nº 159 e nº 272!

Pouco de teoria


EMV (Europay Mastercard Visa) - um padrão que descreve o comportamento de um chip de cartão de pagamento em vários cenários para garantir a maior segurança possível dos pagamentos. Você pode ler mais sobre isso aqui em um post respeitadoAlexgre. Estamos interessados ​​apenas no fato de que, em alguns casos, o protocolo permite transações offline, ou seja, a operação que o cartão e o terminal realizam exclusivamente entre si, e as informações da transação são transmitidas posteriormente ao banco adquirente. A vantagem dessa abordagem é, sem dúvida, que esta solução é ideal para condições em que não há conexão ou a conexão é instável - como o mesmo barramento, por exemplo. O menos vem do nome - o terminal não pode verificar a disponibilidade de fundos no cartão, nem o status do próprio cartão. O banco somente poderá confirmar ou negar baixas contábeis para uma transação específica durante a sincronização. O que acontece se você mostrar ao condutor um cartão em branco ou bloqueado? Mas nada vai acontecer.Utilizando comandos básicos do APDU, o terminal solicita a data de validade do cartão e o compara com a hora do sistema - se não tiver expirado, solicita sua PAN - é o mesmo número de cartão impresso. Depois de salvar esses dados, a critério do TRM (Terminal Risk Management, Terminal Risk Management), o terminal transfere um número aleatório para o cartão, faz o hash e assina com sua chave, o terminal salva o número original e a resposta do cartão para que posteriormente possa ser transferido para o banco. Depois de executar essas operações, o terminal envia um comando para finalizar a conexão com o cartão e finaliza a conexão imprimindo um cheque. Posteriormente, o terminal não poderá cancelar o dinheiro desse cartão - o cartão PAN é enviado para a lista de paradas - até que eles paguem a dívida, eles não aceitarão esse cartão em nenhum ônibus. Um sistema ideal, não é? Parece que existem vulnerabilidades,todos os brindes pagam por tudo no final. Tudo teria permanecido o mesmo, se não fosse um grande "Mas" ... Ou vários.

Apple/Samsung/Google Pay —


E em 9 de setembro de 2014, a Apple introduziu um novo método de pagamento sem contato na infraestrutura existente. O Apple Pay concentrou-se na simplicidade, velocidade e privacidade. A simplicidade foi fornecida (e fornece) pela interface intuitiva da Wallet e a privacidade é garantida pela tokenização. Ao adicionar um cartão à Carteira virtual, um sistema de pagamento (como Mastercard ou Visa) gera um token. O token é um PAN - mas não aquele que é eliminado no cartão adicionado, mas é equivalente no sistema de pagamento. A partir de agora, as solicitações de terminal POS para este PAN virtual serão consideradas pelo sistema de pagamento como se fosse um número de cartão físico. Com essa abordagem, mesmo um terminal potencialmente comprometido não vê o número real do cartão - o token pode ser usado apenas para pagamentos em terminais POS; em outros casos, é inútil.Mais tarde, o Samsung Pay e o Google Pay (anteriormente Android Pay) começaram a trabalhar com o mesmo princípio.

Tokens em transações offline


Sim. Um dispositivo sem contato aqui é equivalente a um cartão físico. E, no caso de um erro de pagamento, o terminal no ônibus colocará o PAN na lista de paradas. A justiça triunfou! Só que ... PAN é efêmero! Cada vez que você adiciona um cartão a um dispositivo móvel, o token será diferente. Assim - adicionamos o cartão ao dispositivo - e saímos da lista de paradas sem pagar um centavo. Repita se necessário. Assim, para reproduzir esse ataque, qualquer dispositivo capaz de efetuar pagamentos sem contato é adequado. Isso representa 90% de todos os telefones com NFC.

Como lutar?


Off-line - de jeito nenhum. Absolutamente. Não há como determinar se um token pertence a alguma conta. Portanto, precisamos de terminais que possam ficar off-line apenas quando necessário e permanecer on-line pelo maior tempo possível. Entendo que a soma dos riscos é pequena, mas a vulnerabilidade é tão fácil de operar que todos podem tirar vantagem. Você pode resolver a situação - existem validadores especializados para transporte público.

Tipo de tal.
image
, . .

Quais são as descobertas?


As inovações apressadas nem sempre serão seguras e confiáveis. Como no sistema de transporte, as antigas vulnerabilidades ainda não foram corrigidas, mas já trouxeram novas e facilmente exploráveis. E muletas são ruins. Espero que minha pequena pesquisa ajude algumas empresas de transporte a repensar suas prioridades.

More articles:


All Articles