По зубам ли тебе защита

Ну кто не пользовался банкоматом. Подошел, сунул, получил. Все настолько просто, что даже ребенку понятно. Однако будоражит вопрос, а можно ли железную машину обмануть. Смотришь «Терминатора» и кажется, что все элементарно. Так ли это на самом деле?

Оказывается, все не так просто. Умные дяди постарались защитить ящик с деньгами от посягательств. В итоге взламывать защиту себе дороже. И тут вундеркинды не растерялись, сообразив, что можно непосредственно подглядеть пин-код, сделав потом муляж карточки. С внедрением визуальной защиты и это стало далеко небезопасным. Я решил выяснить, как же устроена защита банкоматов, что называется, из первых рук.

ВИЗУАЛЬНАЯ ЗАЩИТА

Визуальная защита банкоматов, по словам начальника отдела продаж компании ISS (www.iss.ru), Менделева Алексея Николаевича, сейчас наиболее актуальна и востребована. Раньше этому вопросу уделяли гораздо меньше внимания. Во-первых, почти все банковские сети были корпоративными (доступ был строго ограничен) или хорошо охранялись. Поэтому необходимость в дополнительном дистанционном наблюдении автоматически отпадала. Во-вторых, используемый протокол передачи данных Х.25 - очень "узкий", максимальная скорость передачи данных не более 8 Кбит. Для передачи текстовой информации этого вполне хватало (текстовое сообщение при транзакциях обычно не превышает 300-400 знаков), а вот передавать видео было просто нереально. Мало того, что видео "не пролезет" само, так еще и забьет передаваемую параллельно финансовую информацию.

С развитием публичных сетей и появлением множества неохраняемых банкоматов на улицах проблема визуальной защиты стала более актуальной. Частыми были не столько попытки взлома, сколько вандализм и желание вывести девайс из строя без всякого смысла. Сперва ограничились только датчиками: на удар и температурный. Первый, соответственно, срабатывал при значительных вибрациях, а второй - на повышение температуры. Сам банкомат не вибрирует по определению :), поэтому срабатывание датчика на удар свидетельствовало об откровенном вмешательстве извне. Поступал сигнал от датчика, выезжала оперативная группа, а разбирались уже на месте. Температурный датчик страховал на случай пожара. Тем более что банкомат - это, по сути, большой сейф, который плохо вентилируется, чтобы ограничиться от внешних атмосферных воздействий (считай, как консервная банка).

Дополнительно ставятся специфические датчики. К примеру, есть понятие "открытие сейфа под принуждением", когда охранник открывает сейф банкомата под дулом пистолета. Причем в этом случае не спасет и дистанционное визуальное наблюдение, если грабитель угрожает пистолетом из-за угла. Тут и приходит на помощь незаметный, но эффективный датчик, оповещающий об открытии сейфа. Если подтверждение об открытии от охранника не поступает, принимаются меры.

Но выезжать на любой сильный пинок по банкомату - напряжно, а ставить к каждому банкомату по охраннику - не выход. Тогда всерьез задумались о дистанционном визуальном наблюдении. Плюс были нередки случаи, когда сынишка тырил у папы карточку, топал к банкомату и снимал наличность. Система никакого криминала не отслеживала, так как пин-код введен, деньги сняты, все в норме. Потом шалопай аккуратно подкладывал карточку обратно, как будто все так и было :). Папа, спустя какое-то время, обнаруживает убыток на счету и заявляет, что деньги не снимал. В случае изготовления и использования муляжа чужой карточки ситуация полностью аналогична. Деньги снимаются корректно, но не владельцем :). Наличие видеоархива позволило разрешать подобные спорные ситуации. Было достаточно связать во времени архив по транзакциям с архивом видео, чтобы понять, кто именно снял или положил деньги.

РЕАЛИЗАЦИЯ

Тем временем появилось множество передовых технологий сжатия видеоинформации, но любой кодек из сегодня существующих не даст сжатие более 0,5 Кб на кадр. Выходов нашлось два. Первый - прокладка отдельного (параллельного) канала (вплоть до оптоволокна), по которому гонится только видео, отображающее все, что происходит в реальном времени. Но это не всегда возможно, к тому же накладно. Поэтому второй выход - передача отдельных кадров (фреймов) по протоколу Х.25, с наложением их на информацию о транзакции.

Картинки привязаны к отдельным событиям: подошел, вставил (карточку), дата, ФИО владельца, мордашка того, кто юзает карточку, и т.п. При этом ставятся две камеры: одна смотрит на лицо, а вторая - на руки в момент выдачи денег (ввод пин-кода камера не захватывает). Далее картинки передаются на контрольный пункт, позволяя отслеживать работу банкомата в реальном времени. Получается своеобразный протокол событий с картинками, позволяющий объединить финансовую информацию с визуальной. Некий единый источник информации, из которого сразу понятно, как происходило, кто виноват и что делать. Теперь при срабатывании датчиков можно оценить, надо ехать или это ложная тревога.

Есть возможность конфигурировать систему, отправляя картинки, скажем, за минуту до события и через минуту после события. Либо осуществлять "горячую запись" - картинки во время транзакции делаются через определенный промежуток времени, к примеру, через каждые 15 секунд.

Помимо картинок реальное видео все равно пишется, но на локальный жесткий диск банкомата, который также располагается внутри сейфа. При необходимости его можно забрать и восстановить полную картину происходящего, используя ранее полученные кадры в качестве ключевых для поиска необходимых временных отрезков. Данные все в цифре, так что поиск происходит практически мгновенно. Сам винчестер достаточно емкий и способен писать видеоинформацию до 45 (!) суток (непрерывно).

ПЕРСПЕКТИВЫ

Алексей Николаевич охотно поделился планами в области визуальной защиты банкоматов. Основная задумка - интегрировать систему распознавания лиц. Разработки подобных систем ведутся давно, но первенцы были малоэффективны. Смысл в том, чтобы подключить все банкоматы к одной базе данных и синхронизировать. Если на каком-либо банкомате появится подозрительная личность, то автоматически будут фиксироваться повторные появления подозреваемого у этого банкомата и похождения по другим, а при необходимости блокироваться доступ ко всем банкоматам. Другими словами, система поможет подстраховаться от повторных попыток взлома и повысить эффективность визуальной защиты в целом.

ЗАЩИЩЕННОСТЬ ТЕХНОЛОГИИ

"Ничего особенного нет, те же каналы связи, те же самые методы защиты, - прокомментировал мой вопрос о защищенности сетей банкоматов начальник отдела программных разработок компании ЛАНИТ (www.lanit.ru) Каритич Алексей Валентинович. - Другое дело, что у платежных систем есть свои средства защиты по умолчанию, которые заложены непосредственно в технологию - криптозащита пин-блока и проверка подписи сообщения на подлинность (сообщение открытое, но вычисляется некий код, чтобы определить валидность сообщения)".

Теоретически, конечно, возможно взять банкомат, перетащить в укромное место, подключить к псевдохосту и подать команду на выдачу денег. Но нужен псевдохост и большой карман, чтобы незаметно унести банкомат :). А чтобы подстроить интерфейс псевдохоста так, чтобы он корректно выдавал себя за реальный хост (система управления банкоматом), необходимо знать все ключи, которыми криптуются сообщения между реальным хостом и данным банкоматом.

Вклиниться в сам канал, не трогая банкомат, теоретически тоже реально. Только на практике кабель не валяется на полу, и мест для подключения нет, либо тебя быстро засекут. А оборудование для подключения обойдется дороже, чем ты выкачаешь денег из банкомата. Проще подделать карточку (дубликат) - основная угроза банкоматам сейчас.

Но чтобы сделать муляж карточки, необходимы данные и пин-код. Пин-код элементарно подсматривают. Поэтому в последнее время в заставках на банкоматах пишут что-то вроде "Враг подслушивает, подсматривает - посмотри по сторонам, закрой пин руками!" Данные можно достать, подключившись на прослушивание. Для этого придется на ридер банкомата приделать накладку, чтобы считывать трек-2 карты, что опять же практически неосуществимо - тебя засекут раньше, чем ты закончишь.

КРИПТОЗАЩИТА

Алексей Валентинович рассказал, как защищается передаваемая информация (включая пин-код) между банкоматом и центральной банковской сетью. Криптуется только пин-код. Криптование реализуется по симметричной схеме с закрытым ключом (DES-алгоритм, www.itl.nist.gov/fipspubs/fip46-2.htm). Раньше этого было достаточно, но сейчас мощности возросли, и вскрывать подобное криптование стало проще. Тогда стали использовать Triple DES-алгоритм - по сути, это криптование тем же DES-алгоритмом, но последовательно 3 раза. Стойкость к вскрытию, соответственно, увеличилась на 3 порядка. Пока этого более чем достаточно. Возможно, со временем и этого алгоритма будет недостаточно - придумают что-нибудь еще.

А вот остальные сообщения терминального оборудования, сопутствующие транзакциям, криптовать смысла не было, так как они несут в себе только служебную информацию. То есть вся информация, за исключением пин-кода, "бегает" по каналам в доступном для чтения виде. Но проверяется некая контрольная сумма, которая вычисляется с помощью секретных ключей по тому же DES-алгоритму. Это позволяет проверять все сообщения на достоверность, чтобы избежать возможных ошибок при передаче и вклинивания в систему злоумышленников извне.

Ключи, с помощью которых происходит криптование, в открытом виде не живут, известны только банкомату и хосту, между которыми идет обмен. Мало того, что у каждого банкомата свои ключи, они еще и постоянно меняются (периодичность может быть любой). Долго живет только мастер-ключ хоста, которым криптуются все остальные ключи связанных с этим хостом банкоматов.

БУДУЩЕЕ

Перспективы Алексей Валентинович охарактеризовал так: "Особо нового и революционного ничего не будет. Усложняются криптоалгоритмы, и требуется все больше и больше ресурсов, как для защиты, так и для взлома". Основной недостаток, который сейчас существует, заключается в открытости сообщений. Все-таки есть вероятность подключения извне и использования этой информации в своих целях. Вскрыть счета с ее помощью не удастся, но почерпнуть какие-то сведения о пользователях и суммах реально. Поэтому сейчас начинают криптовать весь трафик (включая и сообщения, а не только пин-код), в скором будущем так будут защищены все каналы.

Эффективность видеонаблюдения в банкоматах подтверждает реальный случай. Один из пользователей банкомата пытался получить деньги, но механика отказала и долго не выдавала деньги, "выплюнув" при этом карточку обратно. Владелец карточки потоптался на месте, плюнул и пошел по делам. А деньги достались тому, кто стоял за ним (механика проснулась). При этом на камере отобразилось, кто забрал деньги. В принципе, по лицу найти случайного обладателя "бонуса" было бы затруднительно, хотя и возможно. Но он тут же допустил ошибку, вставив свою карточку. Вычислить владельца карточки было элементарно.

В Европе было время, когда банкоматы вырывали буквально экскаваторами и прочими механическими приспособлениями, надеясь на легкую наживу. Практически все случаи заканчивались арестом на месте, остальных ловили по пути домой с выдранным сейфом. Был подобный случай и в России. Подогнали машину и в тупую выдрали банкомат из стены. Грабителей задержали благодаря пересланным jpg изображениям, на которых были видны номера машины и лицо одного из грабителей.

Смысл уличных банкоматов - аппаратура, которая обрабатывает и пересылает видеопоток от внешних камер - находится отдельно от банкомата. Либо в отделении банка, рядом с которым стоит банкомат, либо в специальном помещении, которое охраняется отдельно и проникнуть туда весьма затруднительно. То есть "захватила" тебя камера - можешь писать завещание. Когда преступников тормознули на выезде из города, они были приятно удивлены :).

Подглядывание пин-кода актуально не только потому, что так проще всего его узнать. Дело еще и в том, что вводимый пин-код в "чистом" (нешифрованном) виде возможно узнать только при вводе. Даже в самом банкомате он "ходит" уже закриптованный, не говоря уже о каналах связи банкомата и центральной системы управления. Не забывай оглядеться, прежде чем вводить свой пин-код :).

Оказывается, все не так просто. Умные дяди постарались защитить ящик с деньгами от посягательств. В итоге взламывать защиту себе дороже.

С развитием публичных сетей и появлением множества неохраняемых банкоматов на улицах проблема визуальной защиты стала более актуальной.

Срабатывание датчика на удар свидетельствовало об откровенном вмешательстве извне. Поступал сигнал от датчика, выезжала оперативная группа, а разбирались уже на месте.

Были нередки случаи, когда сынишка тырил у папы карточку, топал к банкомату и снимал наличность.

Одно из решений - передача отдельных кадров (фреймов) по протоколу Х.25, с наложением их на информацию о транзакции.

Основная задумка - интегрировать систему распознавания лиц. Разработки подобных систем ведутся давно, но первенцы были малоэффективны.

Теоретически, конечно, возможно взять банкомат, перетащить в укромное место, подключить к псевдохосту и подать команду на выдачу денег.

Данные можно достать, подключившись на прослушивание. Для этого придется на ридер банкомата приделать накладку, чтобы считывать трек-2 карты.

Ключи, с помощью которых происходит криптование, в открытом виде не живут, известны только банкомату и хосту, между которыми идет обмен.