Всего за 9.95 руб. Купить полную версию
уже развернутой по всему миру инфраструктуры обработки платежей, вся необходимая для финансовых транзакций информация о кредитке и ее владельце выдается из памяти RFID-чипа в эфир фактически в том же самом формате, как она прописана на магнитной полоске карточки. Тут-то и кроется суть проблем с бесконтактными платежами.
Что касается самих компаний, выпускающих бесконтактные кредитки, то они приводят целый ряд аргументов, свидетельствующих о более высокой безопасности новой технологии в сравнении с традиционной. Во-первых, говорят они, при бесконтактных платежах владельцу уже не нужно выпускать карточку из рук и передавать продавцу (официанту, клерку и т. п.), что ощутимо сокращает риск незаметного копирования и компрометации карты. Во-вторых, считыватели в торговых терминалах работают с карточками лишь на расстоянии в несколько сантиметров, что предохраняет передаваемую по радио информацию от перехвата злоумышленниками. Наконец, в RFID-чипы встроена приличная криптография и цифровые "водяные знаки", которые защищают каждую транзакцию и не позволяют ее перехватить, записать и воспроизвести где-то еще, чтобы обманным путем сымитировать оплату покупки.
Все, что говорят о защите бесконтактных карт их изготовители, конечно, правда. Вот только далеко не вся правда. Ибо если стало возможным не выпускать карточку из рук, то почему бы не позволить столь безопасной и надежной технологии оплачивать любые покупки, а не только мелочевку ценой до 25 долларов? И если ридеры якобы работают лишь на расстоянии в несколько сантиметров, то как быть с экспериментами, демонстрирующими, что дальность приема зависит не от маломощных ридеров терминала, а от качества антенны считывателя у злоумышленника, способной снимать тот же сигнал с расстояний в полтора десятка метров и более. Наконец, если разбираться с криптографией, защищающей транзакции, то и там все оказывается не совсем так, как пытается представить индустрия.
Следует подчеркнуть, что достоверно и подробно узнать, как устроена защита информации в банковских RFID-чипах карт для бесконтактных платежей, пока не представляется возможным. Ибо это есть великая коммерческая тайна, которую индустрия раскрывать не намерена. На сегодняшний день известно лишь одно независимое исследование данной технологии с точки зрения безопасности, совместно проведенное учеными Массачусетского университета в Амхерсте и сотрудниками фирмы RSA Security (www.rfid-cusp.org). Поскольку обратная инженерная разработка устройств трактуется законами США как преступление, исследователи ограничились лишь внешним изучением реакций бесконтактных карт на сигналы считывателя, проанализировав около двух десятков разных RFID-карт, выпущенных в 2006 году компаниями Visa, MasterCard и American Express. Было выявлено четыре основных разновидности форматов передаваемых в эфир данных о кредитке и ее владельце, и ни одна из них не использовала шифрования. Что же касается декларированной изготовителями криптографической защиты данных, то она применялась, судя по всему, лишь для обеспечения уникальности каждой транзакции.
Быть может, кто-то сочтет, что беды в таком подходе нет, ибо открыто выдаваемая информация о реквизитах кредитки не является конфиденциальной и доступна любому, кто видит карточку. Однако владелец традиционной кредитной карты обычно сам решает, кому и где ее показывать, в случае же с RFID считать информацию с чипа можно незаметно и втайне от владельца. А это открывает возможности для самых разных злоупотреблений. Исследователи, в частности, показали, что на основе скрытно считанных данных можно изготовить работоспособный клон обычной кредитной карты, то есть записать эту информацию на магнитную полосу другой карточки. По считанному имени и фамилии можно определить адрес владельца, а в сочетании с известными реквизитами кредитной карты этого достаточно
кредитке. Да, это небезопасно для владельца карты. Зато как удобно для всех, кто бдит.
ИНТЕРНЕТ: Каждому свое
Автор: Родион НасакинВ новогоднем номере «КТ» мы составляли рейтинги самых примечательных событий 2006 года. В своей версии хит-парада я тогда отметил первое заседание Форума по управлению Интернетом, состоявшееся в Греции. Участники мероприятия активно обсуждали введение доменных имен с использованием новых символов из национальных алфавитов. К таковым относятся, в частности, и кириллические названия.
В Рунете сторонников скорейшего появления русских доменов хватает. Неравнодушны к засилью английского языка и гордые представители континентальной Европы, прежде всего Германия, жителям которой обидно за отсутствие умляута среди разрешенных знаков. Но особенно актуален вопрос для Японии, Китая и арабских стран, которые активнее всех прочих ратуют за начало полномасштабной поддержки соответствующих языков в доменных именах и просят у мирового регулятора ICANN (Internet Corporation for Assigned Names and Numbers) поскорее дать добро на делатинизацию Интернета.
Интересно, что пока регистраторы и многие веб-мастеры искренне огорчаются задержкам с официальной отмашкой ICANN на запуск IDN, в интернет-обсуждениях встречаются и весьма оригинальные точки зрения. Например, ICANN иногда расценивают как угрозу и считают совершенно неприемлемым контроль над использованием кириллических доменных имен из-за рубежа. По мнению «сепаратистов», России по силам создать собственную структуру адресации на русском языке и решать все вопросы (от названий кириллических TLD до разборок с киберсквоттерами) без ICANN. В качестве положительного примера приводится Китай, где эта идея уже во многом воплощена в жизнь.