<p align="left"> Игорь Голдовский, генеральный директор ЗАО «Платёжные технологии» Ложный ключ МПС Одной из серьёзных «дыр» в модели...
Игорь Голдовский, генеральный директор ЗАО «Платёжные технологии»
Ложный ключ МПС
Одной из серьёзных «дыр» в модели безопасности операций, выполненных с использованием микропроцессорной карты, является практическая возможность заведения мошенниками в POS-терминал ложного открытого ключа платёжной системы. Изготовив под ложным ключом сертификаты ключа «мнимого» эмитента, далее можно выпустить поддельные карты, которые будут успешно работать в терминалах с загруженнымв них ложным ключом.
Заметим, что проблема обеспечения целостности приложения терминала не является надуманной. По мнению экспертов в области безопасности карточных операций, по мере повышения защищенности карт внимание мошенников во всевозрастающей степени будет обращаться на среду их обслуживания.
Терминал является близким окружением карты и потому, несомненно, станет мишенью для атак. Поскольку терминал сегодня фактически представляет собой персональный компьютер, то для атак будут использоваться те же методы, что и в случае PC. В частности, применение специальных программ (аналог программ spyware, Trojan horse, keyboard/screen logger, вирусов) позволит мошеннику получать интересующую его информацию о карте (например, запись второй дорожки магнитной полосы карты, значение случайной последовательности терминала и случайного числа карты, используемых для шифрования ПИН-блока, значение зашифрованного ПИН-блока и т.п.).
Полный текст статьи читайте в журнале "ПЛАС" 3 (143) ’2009 сc. 3-5