Пластикові карти на всі випадки життя

Ось уже кілька десятиліть пластикові картки широко використовуються в повсякденному житті. З’явившись задовго до розповсюдження персональних комп’ютерів і стільникових телефонів, вони замінюють паперові купюри, перепустки та посвідчення.

Але очевидні переваги приховують за собою менш очевидні недоліки. Якщо для того, щоб позбавити тебе готівки, шахраю необхідно витягнути гаманець у тебе з сумки або кишені, то для крадіжки за допомогою пластикових карт він може перебувати в сусідній кімнаті, а може й на іншому континенті.

Проблема identity theft (дослівно — крадіжки ідентифікаційних даних) стала останнім часом однією з найбільш обговорюваних тем. Хоча під цим терміном розуміють і підробку чеків, і крадіжку паролів, а по мірі поширення альтернативних механізмів аутентифікації (зокрема, біометрія) доводиться враховувати все нові і нові можливості для зловживань особистою інформацією, в центрі уваги знаходяться саме пластикові картки.

Вони є і у студентів, і у бізнесменів, і у домогосподарок — дебетні і кредитні, для проїзду на громадському транспорті, оплати телефонних переговорів, доступу в інтернет і т. п. Дійшло до того, що пластикові картки стали об’єктом колекціонування — на будь-якому онлайн-аукціоні можна знайти розділ, присвячений цій «філателії XXI століття». Навіть у поліклініках замість паперового страхового поліса тепер видають пластикові карти!

За методом зберігання інформації весь цей «пластик» можна розділити на три основних категорії: картки з магнітною смугою, скретч-картки та смарт-карти. В окрему групу виділяють пластикові візитні картки та іншу сувенірну продукцію, види правопорушень з їх використанням нібито невідомі. Хоча в метро я кілька разів проходив повз лютих бабусь, показуючи їм пластиковий календарик, причому торішній :).

Картки з магнітною смугою

Перше, що спадає на думку, коли чуєш термін «пластикова картка» — це класичні карти з магнітною смугою. З’явилися вони ще в 50-х роках минулого століття. Піонером у використанні нової технології стала компанія Diners Club, а потім до неї приєдналася і American Express. За цей час карти поширилися по всьому світу, на них і припадає найбільший відсоток протиправних дій або, просто кажучи, випадків шахрайства і злодійства.

Згідно стандарту ISO 7810, пластикова картка являє собою прямокутну пластину розміром 85,6х54 мм і товщиною 0,76 мм. Для захисту цього мініатюрного шматочки пластмаси використовуються останні технології в самих різних областях: у поліграфії, хімічної промисловості, розробці програмного забезпечення і т. п.

Зазвичай карта несе на собі наступну інформацію:

На лицьовому боці:

— унікальний 16-значний номер;

— термін дії (від і до);

— ім’я власника.

На тильній стороні:

— магнітна смуга;

— підпис власника.

Крім того, поліграфічним способом на карту може наноситися безліч зображень: фотографія власника, довідкова інформація для клієнтів банку і т. п.
Букви і цифри на лицьовій стороні можуть бути вибиті спеціальним эмбоссером, а можуть бути і просто надруковані, наприклад, як на картах Visa Electron.

Основним сховищем даних на карті є магнітна смуга. За своїми властивостями вона схожа на плівку, яка використовується в аудіокасетах. Інформація може записуватися на три доріжки, що відрізняються форматом:

— перша має щільність запису 210 біт / дюйм (BPI) і може містити 79 7-бітних (6 біт + парність) алфавітно-цифрових символів (доступні тільки для читання);

— друга — 75 BPI, містить 40 5-бітних (4 біта + парність) цифр;

— третя — 210 BPI, містить 107 5-бітних (4 біта + парність) цифр.

На банківських картах на доріжки записуються: номер рахунку, код валюти, код країни його видачі, ім’я власника, термін дії (в принципі, та ж інформація, що надрукована на самій карті, але в цифровому вигляді). Крім того, будь-яка компанія може використовувати власний формат даних. Наприклад, для використання в якості внутрішнього пропуску там замість номера рахунку може бути вказаний рівень повноважень власника і т. п.

Кожен раз для проведення грошових транзакцій за допомогою банківських карток системою ініціюється процес аутентифікації — перевіряється правильність записаної на карті інформації. Аутентифікація буває наступних видів:

— голосова авторизація — найпростіший випадок, проводиться за допомогою телефону з тоновим набором;

— електронний термінал — зчитування інформації з магнітної смуги, наприклад, в банкоматах або POS-терміналах;

— віртуальний термінал — перевірка даних при оплаті через інтернет.

У будь-якому випадку, на одній стороні знаходиться власник карти, а на іншій — спеціалізована організація (aquirer), яка встановлює зв’язок з банком, що видав картку, для перевірки даних:

— номер картки;

— ліміт (кредитної картки);

— термін дії картки;

— наявність грошей на рахунку.

Якщо всі необхідні умови виконані, а запитувана сума не перевищує залишок на рахунку, ця ж організація забезпечує гарантії переказу грошей іншому учаснику транзакції.

Передача даних між терміналом і перевіряє організацією відбувається по телефонних мереж або по інтернет-каналах. Для захисту переданих даних використовується шифрування. Приміром, банкомат шифрує введений PIN-код і надсилає його для звірки з тим, що зберігається в базі даних банку, що видав картку. Для шифрування використовується криптографічний метод односторонніх функцій. Їх значення легко знайти в одному напрямку з використанням банківського ключа і набраного PIN-коду, а проведення зворотного перетворення (інвертування) на практиці дуже неефективно, навіть якщо банківський ключ став відомим. Ця захист була введена, щоб захистити власника картки від дій поганого дядька, який отримав доступ до банківських баз.

Крім технічних засобів, велике значення мають організаційні та адміністративні методи захисту. Вони включають в себе цілий комплекс заходів на самих різних рівнях: від спеціальних замків на кабінах банкоматів і call-центрів екстреної допомоги, куди слід звертатися у випадку втрати або крадіжки картки, до урядового контролю над продажем устаткування для виробництва самих карт.
Здавалося б, в процесі оплати по пластиковій карті все настільки передбачено, а кожна операція проходить стільки різних перевірок, що простіше, напевно, було б проникнути в закордонну розвідку, ніж вкрасти гроші з рахунку. І хоча статистику виявлення шпигунів від нас приховують, судячи з доступної інформації про випадки шахрайства, все виявляється далеко не так райдужно, як хотілося б. При вдалих атак здобиччю хакерів стає інформація про мільйони банківських карт. І такі випадки трапляються досить часто, щоб змусити турбуватися кожного, хто зберігає свої гроші «на картці».

Але проблеми, з якими стикаються люди при використанні пластикових карт з магнітною стрічкою, не обмежуються лише протиправними діями. Як і будь-яка інша технологія півстолітньої давності, вони мають ряд редостатков. Наприклад, масу незручностей приносить той факт, що будь-магніт може елементарно стерти всю збережену інформацію, і навіть прості подряпини можуть вплинути на її цілісність. І це ще не найстрашніше, порівняно з іншими «родовими травмами».

Смарт-карти

Технологія смарт-карт, покликана виправити ці недоліки, існує досить давно. Вперше ними почали користуватися французи в 1984 році. Але до цих пір вони не отримали широкого розповсюдження. Хоча і були плани, згідно з яким до 2004 року всі платіжні системи збиралися перейти на використання смарт-карт, банки продовжують випускати старий добрий «пластик».

Зовні карти обох типів (магнітні і смарт-карти) виглядають майже однаково, але зате всередині… Почну з того, що у звичайних карт ніякого «всередині» взагалі немає, а у смарт-карт там під позолоченими контактами захований мікрочіп. Він може містити до кілобайта RAM, 24 Кб ROM і 16 Кб перепрограмованого ROM. У ньому є ще й 8-бітний мікропроцесор, що працює на частоті близько 5 МГц. І все це в упаковці тонший міліметра! Ясна річ, що з таким багатством магнітна смуга відпадає через непотрібність.

Обчислювальні можливості процесора дозволяють перейти від звичайної аутентифікації до повноцінного застосування криптографії. І хоча для користувача, що знімає гроші, процедура виглядає звично (ввів PIN-код і готово), всередині системи працює складний механізм обміну зашифрованими даними.

Для того щоб забезпечити максимальний захист цих алгоритмів, на кожному етапі життєвого циклу смарт-карт закладається свій «секрет». Таким чином, навіть якщо зловмисники запроваджені безпосередньо в технологічний процес, самі карти не будуть скомпрометовані.

Процесор всередині кожної карти працює під управлінням операційної системи, що надає досить зручний інтерфейс для розробника. Саме завдяки цій системі і можливо виконання програм, запис і читання файлів, шифрування і перевірка криптографічних даних. Гнучкість її настільки велика, що корпорація Sun навіть розробила платформу Java Card, що дозволяє використовувати для розробки спеціалізованих додатків свою надпопулярну технологію Java.
Істотно збільшена (порівняно з магнітною карткою) ємність носія і зручний доступ до даних, що зберігаються даними дозволяють використовувати одну картку для декількох типів операцій. Наприклад, в якості пропуску, для отримання зарплати і доступу в комп’ютерну мережу компанії. Таким чином ти позбавляєшся від тугий стопки карт в гаманці, одержуючи замість них одну універсальну.

Що ж заважає впровадженню цієї чудової технології на практиці? Як не банально, все знову впирається в гроші. І справа тут не тільки і не стільки в різниці вартості готових карт. Справа, перш за все, у величезній інфраструктурі, широкій мережі банкоматів, POS-терміналів та іншої техніки, що охопила всю планету. Заміна і модифікація устаткування, розробка і впровадження програмного забезпечення, навчання персоналу — важко навіть уявити, у скільки все це коштуватиме.

З-за цих труднощів смарт-карти поки що впроваджуються на більш вузьких ринках. Наприклад, багато сучасні комп’ютери, особливо призначені для корпоративних замовників, мають вбудовані пристрої для їх читання. Так як більшість операційних систем підтримують авторизацію користувачів з допомогою апаратних засобів, це дозволяє істотно підвищити безпеку в комп’ютерній мережі компанії. Тепер недбайливі користувачі не будуть приклеювати папірець з паролем на монітор або класти її під клавіатуру :). Буде досить вставити свою персональну (без пошлостей) карту в слот і готово.

В новинах регулярно з’являються повідомлення про те, що уряди різних країн планують використовувати можливості смарт-карт для створення паспортів нового покоління, розміщуючи в пам’яті цілу картотеку даних по кожному громадянинові: біометричну інформацію, медичну страхову історії, ключі персональної «електронного підпису» і т. п.

Скретч-карти

Шахрайство з передплаченими, або скретч-картами, найбільш поширене. Дійсно, несерйозно було б витрачати час і гроші на розробку якихось хитрих технологій для зчитування інформації під захисним шаром. До того ж прибутку тут незрівнянно менше і обмежені. Набагато цікавіше закупити обладнання та організувати виробництво великої партії «двійників», максимально схожих на карти популярних платіжних систем, телекомунікаційних компаній і т. п.

Із-за специфіки скретч-карт, їх графічного оформлення приділяють особливу увагу. Зазвичай відзнаки «двійників» від оригіналу проявляються саме в деталях, коли не вдається повторити більш складний технологічний процес або мініатюрні елементи малюнка. Так, у відомому інцидент з розповсюдженням підроблених карт «БІ+» впізнати їх можна було за більш широким лініях штрих-коду і способу його нанесення (не над захисним шаром ламінату, а під ним). Ще одним розходженням (більш помітним) був повторюваний серійний номер.
У найпростішому випадку номери генеруються випадково. Якщо ж злочинцям якимось чином вдасться роздобути бази даних дійсних номерів та PIN-кодів, а потім викинути на ринок подібні підробки Приблизно такі кошмари сняться керівникам служб безпеки великих інтернет-провайдерів і компаній-операторів стільникового зв’язку :).

Саме тому багато великі фірми воліють взяти випуск «пластику» в свої руки. Для цього вони закуповують обладнання на сотні тисяч доларів, навчають персонал і налагоджують власне виробництво. Втім, часто буває досить купувати готові карти у спеціалізованих компаній, а потім на власних потужностях наносити на них номери і захисний шар.

ЩО ДАЛІ

Три описані категорії не охоплюють всю різноманітність карт. Для пропусків і страхових полісів, наприклад, часто використовуються лише штрих-коди, а в дисконтних та клубних системах карти можуть взагалі не нести ніякої інформації, крім унікального номера та ПІБ. У більшості випадків підвищити відносно невисокий рівень захисту дозволяє нанесення фотографії власника (і на прохідній, і в магазині достовірність додатково перевіряється людиною). А захисту картки від підробки допомагає складна поліграфія, наприклад, нанесення голографічного зображення.

Загалом, технологій дуже багато, а завтра буде ще більше. Чи добре це? Так просто чудово! Але вірно сказав класик: крадуть…

НОМЕР КАРТИ

Номер карти є первинним джерелом інформації про неї: по ньому можна дізнатися тип картки, банк-емітент, а також номер рахунку. Структура може змінюватися (так, існують карти Visa з 13 і 16-значними номерами), але по першій цифрі завжди можна визначити, якою системі вона належить:

3 American Express, Diners Club і деякі інші системи

4 Visa

5 MasterCard

6 DiscoverCard

ЖИТТЯ КАРТИ

Перший етап: виробництво компонентів

Після складання в чіп закладається спеціальний ключ (fabrication key, KF). Він не дозволяє внести в нього зміни до безпосереднього запечатування пластик. KF створюється за допомогою спеціальних алгоритмів з використанням майстер-ключа виробника, унікальний для кожної продукції карти.

Другий етап: перед персонализацей карти

Готовий чіп поставляється компанії, що випускає чисті смарт-карти. На місці він встановлюється на пластикову основу і тестується. FK замінюється ключем персоналізації (personalisation key, KP). Для додаткової безпеки на KP встановлюється блок Vper (personalisation lock). Фізичний доступ до пам’яті повністю закривається, а для запису і зміни інформації використовується тільки програмний метод. Після цього системні області, на яких містяться закладені ключі, недоступні для читання і запису.

Третій етап: персоналізація картки

Цей етап виконується компанією-емітентом (наприклад, банком). В пам’ять записується спеціальне програмне забезпечення, формуються файли даних, що містять інформацію про власника картки, PIN-код і т. д. В кінці дані закриваються блоком Vutil (utilisation lock). Після цього картка може видаватися її новому власнику.
Четвертий етап: використання карти

У процесі використання активуються програми, вони звертаються до логічної файловій системі, запускають механізми шифрування і т. п. Доступ до даних визначається закладеної політикою безпеки.

П’ятий етап: закінчення строку дії

Перехід до заключного етапу може бути ініційований двома способами. Перший виконується програмою, яка записує останній блок (invalidation lock) на майстер-файл. Після цього будь-які операції запису стають недоступними, але операції читання можуть бути проведені, наприклад, для аналізу інформації, що зберігається. Інший спосіб полягає в установці блоку на PIN-код і додатковий розблоковуючий PIN-код. В цьому випадку стають неможливі всі операції, навіть читання.

Багато хто з нас можуть навіть не здогадуватися, що є користувачами смарт-карт. Приміром, SIM-картка твого стільникового телефону є тією самою «розумної картою», але без «зайвого» пластику.

Вони є і у студентів, і у бізнесменів, і у домогосподарок — дебетні і кредитні, для проїзду на громадському транспорті, оплати телефонних переговорів, доступу в інтернет і т. п.

Згідно стандарту ISO 7810, пластикова картка являє собою прямокутну пластину розміром 85,6х54 мм і товщиною 0,76 мм

На банківських картах на доріжки записуються: номер рахунку, код валюти, код країни його видачі, ім’я власника, термін дії (в принципі, та ж інформація, що надрукована на самій карті, але в цифровому вигляді).

Для шифрування використовується криптографічний метод односторонніх функцій. Їх значення легко знайти в одному напрямку з використанням банківського ключа і набраного PIN-коду.

І хоча для користувача, що знімає гроші, процедура виглядає звично (ввів PIN-код і готово), всередині системи працює складний механізм обміну зашифрованими даними.

Тепер недбайливі користувачі не будуть приклеювати папірець з паролем на монітор або класти її під клавіатуру :). Буде досить вставити свою персональну (без пошлостей) карту в слот і готово.

Для пропусків і страхових полісів, наприклад, часто використовуються лише штрих-коди, а в дисконтних та клубних системах карти можуть взагалі не нести ніякої інформації, крім унікального номера та ПІБ.

Олег «2sheds» Курапов ([email protected], www.2sheds.ru), Ірина Джатиева, керівник департаменту пластикових карток компанії GMP-Російською (www.plasticcards.ru)