Главная страница

Жас алымдар мiнберi трибуна молодых ученых


Скачать 80.82 Kb.
НазваниеЖас алымдар мiнберi трибуна молодых ученых
Дата08.02.2016
Размер80.82 Kb.
ТипОбзор



ЖАС АЛЫМДАР МIНБЕРI

ТРИБУНА МОЛОДЫХ УЧЕНЫХ

М.М. Илипов

Обзор и классификация типовых атак на микропроцессорные карты

(Евразийский национальный университет имени Л.Н. Гумилева, г. Астана, Казахстан)
В данной статьи проводиться обзор нарушении типовых атак на микропроцессорных карт и их классификация

Пластиковые карты - это достаточно новое и быстроразвивающееся направление. О его

новизне говорит хотя бы тот факт, что на сегодняшний день нет устоявшейся терминологии.

Так, даже самый основной термин "smart card"можно перевести на русский язык как

смарт-карта, интеллектуальная карта или микропроцессорная карта.

Началом развития технологии микропроцессорных карт принято считать 1974 год, когда

французский инженер Ролан Морено предлагает изготавливать пластиковые карты с

контактным чипом, хранящим информацию. Сейчас карты с контактным чипом, как

микропроцессорные, так и карты памяти, сильно отличаются по функциональности от своих

первых прототипов. Микропроцессорные карты получают все большее распространение,

вытесняя карты с магнитной полосой.

В 1995 году бельгийская компания Proton эмитирует первую микропроцессорную карту для

оффлайн-транзакций. Появление спецификации EMV, без которой на сегодняшний день

немыслимы международные электронные платежи, происходит в 1996 году.

Микропроцессорные карты, изобретенные более четверти века назад, нашли широкое

применение в IT-индустрии, включающей в себя такие направления, как разработка

операционных систем, прикладных программных средств, сетевые технологии, защита

информации и электронные платежи. Необходимость развития последних двух направлений

трудно переоценить. Поэтому весьма актуально отечественное производство

микропроцессорных карт, т.к. отказ от отечественных карт и полный переход на

использование зарубежных программных и аппаратных решений в области

микропроцессорных карт может привести в итоге к потере нашим государством

информационной и экономической безопасности.

В рамках концепции защиты средств вычислительной техники и автоматизированных систем

от несанкционированного доступа к информации рассмотрим классификацию нарушителей

по уровню возможностей:

Уровень 1: Нарушитель является непривилегированным пользователем таких систем, имеет

физический доступ к кардридерам, PIN -падам и другим аналогичным устройствам,

функциональность которых влияет на безопасность системы. Стоить уточнить, что

визуальный контроль не препятствует осуществлению атак по подмене/ перехвату

сообщений, передаваемых по бесконтактному интерфейсу, а так же не препятствует

применению злоумышленником программно или аппаратно модифицированных или

подложных карт визуально не отличающихся от оригинальных. Нарушитель имеет в своем

распоряжении всю открытую информацию о системе и открытые отраслевые стандарты.

Уровень 2: Нарушитель является нарушителем уровня 1, но при этом его действия не

контролируются визуально, что дает ему возможность безнаказанно производить

модификацию терминального оборудования, в том числе для перехвата подмены

передаваемых сообщений.



Л.Н. Гумилев атындаЎы ЕУ Хабаршысы - Вестник ЕНУ им. Л.Н. Гумилева, 2011, №6
Уровень 3: Нарушитель является нарушителем уровня 2, но при этом имеет доступ к

серверному оборудованию на чтение/модификацию внутренних данных, не находящихся

внутри модулей безопасности , имеет возможность подачи инженерных команд северному

оборудованию, в т.ч на запуск собственных программных модулей или подключения

аппаратных средств, однако не обладает знаниями криптографических ключей и не имеет

доступа к оборудованию персонализации.

Уровень 4: Нарушитель является нарушителем уровня 3, но при этом имеет доступ к

оборудованию персонализации, передающему какой-либо из криптографических ключей на

карту в открытом виде и модулям безопасности.

Уровень 5: Нарушитель имеет доступ к оборудованию, позволяющему осуществлять

инженерное проникновение, эффективно проводит атаки DPA и DFA. Данный уровень может

включать в себя элементы какого-либо из уровней 1-4.

Если же говорить о типовых атаках на микропроцессорные карты, то их можно

классифицировать следующим образом.

Социальная инженерия. Это различны мошеннические способы получения критичной с точки

зрения безопасности информации, например, PIN-кода, от легальных пользователей

(держателей карт) системы без применения программно/аппаратной модификации

терминальных систем, также сюда входят мошеннические действия со стороны держателей

карт. Это и телефонные звонки и сообщения от мнимой службы технической поддержки с

просьбой сообщить PIN-код, это и отказ от совершенных покупок клиентами и т.п атаки.

Социальная инженерия с применением аппаратных средств. Данные атаки объединяет

аппаратная модификация терминального оборудования, заключающаяся в добавлении

каких-либо аппаратных средств, перехватывающих обмен между, между держателями карт и

терминальным оборудованием. Это, например, накладные PIN-пады, на настоящие PIN-пады

банкоматов, видеокамеры, фиксирующие движения пальцев на PIN-паде, мошеннические

PIN-пады рядом с ридерами, открывающими дверь в помещение с банкоматом и т.п.

Доступ к каналам связи. В данный класс входят любые атаки, связанные с перехватом и/или

модификацией любых данных, передаваемых по каналам связи между картой и

терминальным оборудованием, а так же между терминальным и серверным оборудованием.

Атаки данного типа позволяют злоумышленнику анализировать прикладной протокол, а в

случае изъянов в криптографической защите передаваемых денных, злоумышленник

получает возможность чтения конфиденциальных данных, и, что более существенно для

платежных приложений, названия собственных данных и / или повторения ранее переданных

протокольных команд в канале связи.

Подмена/модификация оборудования. В данный класс входят любые атаки, связанные с

подменой (эмуляцией работы) или модификацией оборудования, как микропроцессорных

карт, так и терминального и даже серверного оборудования.

Например, до появления криптографической аутентификации между таксофоном и

таксофонной картой широкое распространение получили эмуляторы таксофонных карт на

PIC -контроллерах, полностью повторявшие протокол работы таксофонной карты с той лишь

разницей, что после снятия питания с карты счетчик оплаченных единиц восстанавливался в

исходное значение.

Инженерное проникновение DPA/DFA-атаки, криптоанализ. В данный класс входят атаки на

микропроцессорные карт, целью которых является получение значений секретных

криптографических ключей, дешифрование, подмена и модификация данных, защищаемых с

использованием криптографических методов.

Такие атаки весьма дороги, однако успешно проведенная атака подобного рода дает

злоумышленнику возможность навязывать платежные сертификаты, получать доступ к

конфиденциальным данным и т.п.

Закладки, оставленные разработчиками системы. В данный класс атак входят любые

программно-аппаратные закладки на любых уровнях и в любых критичных с точки зрения
150



М.М. Илипов
безопасности системы компонентах, оставленные разработчиками аппаратных ресурсов,

включая кристаллы ИК и терминальное оборудование, программных подсистем, протоколов

и алгоритмов, включая криптографические.

Защита от атак видов "социальная инженерия", "социальная инженерия с применением

аппаратных средств"должна быть обеспечена организационно - административными мерами.

Защита от атак класса "инженерное проникновение, DPA/DFA атаки,

криптоанализ"осуществляется разработчиками кристаллов микропроцессорных карт, и

базовых криптоалгоритмов.

Защита от закладок, оставленных разработчиками системы не осуществляется.

В качестве заключения можно сказать что основная проблема обеспечения защиты

smart-карт - в недостаточных объемах различных типов памяти кристалла, т.е. аппаратных

ресурсов кристалла, не позволяющих реализовать высокоэффективные алгоритмы защиты и

пресловутый человеческий фактор. Поэтому остаётся только один путь: более эффективное

использование ресурсов кристалла микропроцессорной карты.
ЛИТЕРАТУРА
1. Fedunov B.E. The optimization models for taking the decision in the algorithmic and

indicational support system designing. Systems Analysis Modeling Simulation //J.of mathematical

modeling and simulation in systems analysis. 1995. V. 18-19.

2. Атанов С.К., Программные средства реализации адаптивных моделей с нечеткой логикой.

//"Вестник науки КазАТУ им. С.Сейфуллина", №2, 2009., C. 27, Астана

3. Палташев Т.Т. "Концепция развития глобального инновационного парка

полупроводниковых и информационных технологий под Санкт-Петербургом", Июль 2006

года. Рабочий документ для служебного пользования.

Iлiпов М.М.

Микропроцессорлы© карталарда бiр ілгiдегi шабуылдарды бґзушылыЎыны шолу және оларды классификациясы

осы бапта жіргiзiледi.

Ilipov M. M.

The review and classification of typical attacks to microprocessor cards

In given articles to be spent the review infringement of typical attacks on microprocessor cards and their classification.
Поступила в редакцию 11.10.2011

Рекомендована к печати 17.10.2011

151