Dzisiaj kontynuacja tematu omawianego przez Roberta Gałkowskiego i Adama Wodza (ISSA Polska). Zapraszam.
Atak przez proxy …
“Płatność bezstykowa to nic innego jak wymiana danych pomiędzy terminalem płatniczym, a kartą (bądź telefonem). Jak już wspominaliśmy wcześniej, nasz telefon jest w stanie skomunikować się z kartą płatniczą w ten sam sposób co terminal, więc teoretycznie mógłby go „udawać”. Z drugiej strony telefon może też przejąć rolę karty płatniczej. Nietrudno wyobrazić sobie zatem atak, w którym atakujący mają do dyspozycji dwa połączone ze sobą (np. przez internet) telefony – jeden wchodzi w interakcję z terminalem płatniczym, przekazując przez sieć „zapytania” do drugiego telefonu, który to z kolei „przekazuje” je do karty ofiary, a następnie odsyła z powrotem uzyskane „odpowiedzi”, teoretycznie umożliwiając transakcję bez wiedzy i zgody właściciela karty. W istocie, na 20. edycji konferencji DEFCON zaprezentowano nawet z sukcesem (choć w kontrolowanych warunkach) taką technikę ataku z użyciem ogólnodostępnej aplikacji „nfc proxy”.
Zastanówmy się jednak z jak dużym ryzykiem w rzeczywistości mamy tu do czynienia. Aby taki atak się powiódł, musi zaistnieć wyjątkowo sprzyjająca sytuacja: w momencie kiedy pierwszy z napastników chce dokonać płatności, drugi musi mieć możliwość nawiązania kontaktu z kartą ofiary – co jak pokazaliśmy wcześniej może nie być zadaniem trywialnym. Poza tym transakcje bezstykowe niewymagające potwierdzenia numerem PIN ograniczane są dość niskimi limitami kwotowymi (w Polsce limit ten wynosi 50 zł, w Europie zwykle 20 Euro, w Wielkiej Brytanii jest to 10 funtów, a w USA 25 dolarów), co powoduje, że potencjalne zyski są dość niskie w porównaniu z nakładami, które należałoby ponieść i trudnościami technicznymi jakie należałoby przezwyciężyć.
… ale czytałem, że ryzyko jest jednak duże!
Swego czasu w polskich mediach pojawiło się kilka artykułów dotyczących dużej liczby nieuprawnionych płatności za pomocą kart zbliżeniowych. Mechanizm był w tym przypadku następujący: karta została skradziona, a ponieważ małe płatności bezstykowe nie wymagają potwierdzenia numerem PIN, złodzieje byli w stanie dokonać dużej ilości transakcji na niewielkie kwoty zanim klient zdążył zauważyć kradzież i zastrzec kartę.
Należy zwrócić uwagę, że głównym tego powodem były jednak uchybienia proceduralne po stronie banków. Główną „wartością marketingową” transakcji zbliżeniowych jest bowiem ich łatwość – nie wymagają podawania numeru PIN i są szybkie. Generalnie zalecane jest jednak, żeby co kilka transakcji wymagać potwierdzenia poprzez podanie numeru PIN – niestety wiele banków pomija tę rekomendację, aby maksymalnie skrócić czas transakcji. Co więcej, często w transakcjach zbliżeniowych pozwala się na ich realizację w trybie „offline”, tzn. z pominięciem natychmiastowej autoryzacji przez bank. Jest to typowy przykład kompromisu pomiędzy bezpieczeństwem, a łatwością i wygodą.
Niestety, autoryzacja offline skutecznie eliminuje też działanie innego mechanizmu obronnego po stronie banku w postaci limitu dziennego dla kwoty lub liczby płatności wykonywanych zbliżeniowo. Każdy z banków ustala swoje własne reguły dla liczby transakcji bez potwierdzenia numerem PIN oraz limity dzienne lub kwotowe, jednak – ze względów bezpieczeństwa właśnie – nie są one ujawniane publicznie. Jak już wspomnieliśmy, niektóre banki oferują usługę wyłączenia autoryzacji offline dla danej karty, co skutkuje wymuszeniem potwierdzenia przez bank każdorazowej transakcji, także tej, która nie wymaga podawania numeru PIN.
Jednak najważniejszy dla naszego bezpieczeństwa jest fakt, że niektóre banki wzięły na siebie pełną odpowiedzialność za płatności dokonane metodą zbliżeniową przy użyciu skradzionej karty. Wprawdzie do momentu zastrzeżenia karty jej właściciel odpowiada za transakcje do równowartości 150 EUR dla standardowych transakcji kartowych, ale transkacje zbliżeniowe nie powinny być traktowane jako tradycyjne, ponieważ nie wymagają potwierdzenia numerem PIN. Jeżeli tylko ze strony właściciela karty nie doszło do „kardynalnych zaniedbań”, a kradzież lub zgubienie karty zostaną w stosownym czasie zgłoszone bankowi, to bank powinien wziąć na siebie ewentualne koszty wykonanych bez wiedzy właściciela operacji. Dla pewności zalecamy jednak samodzielne zweryfikowanie podejścia poszczególnych banków do tego zagadnienia.
A co z płatnościami pozabankowymi?
Technologia RFID wykorzystywana jest nie tylko w bankowości. Coraz bardziej popularne staje się wykorzystanie kart zbliżeniowych jako nośników danych. Używamy ich np. jako kluczy dostępowych do pomieszczeń, długoterminowych biletów komunikacji miejskiej, identyfikatorów (np. kart kibica), kart miejskich czy kart parkingowych. A zatem często zawierają one dane wrażliwe, także osobowe i związane bezpośrednio z płatnościami. Bezpieczeństwo tych danych jest zależne od sposobu jego implementacji w systemach je przetwarzających. Znane są jednak ogólne podatności np. na klonowanie czy możliwość przechwycenia kluczy szyfrujących dla bardzo popularnych kart standardu Mifare Classic. Możliwość odczytu i zapisu takich kart za pośrednictwem niektórych smartfonów jeszcze bardziej podnosi ryzyko manipulacji danymi przechowywanymi na tych kartach. Ze względu na dużą różnorodność standardów i systemów je obsługujących jest to jednak temat na oddzielny przedmiot rozważań.
Puenta
Dookoła bezpieczeństwa płatności zbliżeniowych zrodziło się wiele legend. I jak to w legendach bywa – niosą one często w sobie jakąś cząstkę prawdy. Z jednej strony zatem płatności te wiążą się z pewnym poziomem ryzyka, ale z drugiej skutecznie eliminują dużo poważniejsze zagrożenia związane np. z łatwością przechwycenia danych posiadacza karty, podejrzenia numeru PIN i kodu CVV2/CVC2 podczas tradycyjnej płatności kartowej. Wzięcie na siebie odpowiedzialności za płatności zbliżeniowe przez banki dodatkowo eliminuje ryzyko korzystania z tej technologii przez posiadacza karty płatniczej. Niemniej jednak warto być świadomym ewentualnych zagrożeń związanych z tą technologią, co – mamy nadzieję – będzie pożytkiem płynącym z czasu poświęconego na lekturę wpisów.”
Razem z Robertem i Adamem zapraszamy Cię bardzo gorąco do rejestracji na konferencję SEMAFOR – Forum Bezpieczeństwa Informacji. Tutaj można obejrzeć Program i się zarejestrować.
Dlaczego warto?
Konferencja Semafor jest jednym z najważniejszych wydarzeń związanych z IT Security w Polsce. Już po raz siódmy stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz Computerworld organizują Forum Bezpieczeństwa i Audytu IT w Polsce, które odbędzie się 27-28 marca 2014 w Warszawie.
W tym roku program konferencji skoncentrowany będzie wokół zagadnień audytu IT i bezpieczeństwa informacji dotyczących czterech aktualnych trendów: przetwarzanie w modelu Cloud Computing, urządzenia mobilne, sieci społecznościowe oraz Big Data. Będzie też o Internecie Rzeczy.
Do zobaczenia!
Autor grafiki promującej wpis: Eryk Pastwa