Утечки информации: PIN-коды скомпрометировали себя окончательно
2005 год уже безоговорочно вошел в историю компьютерной криминалистики как год, когда было похищено (или даже просто утрачено по халатности) наибольшее количество баз данных с персональной информацией. Результат — убытки, исчисляемые миллиардами долларов. Причем эксперты сходятся во мнении, что корпоративные потери составляют только 40%, а оставшиеся 60% — потери частных лиц.
В 2006 году перемен к лучшему пока не наблюдается. По сообщению журнала American Banker, в США мошенники недавно украли информацию о 600 тыс. дебетных и кредитных карт. Эксперты по информационной безопасности утверждают, что такое стало возможным по причине незаконного хранения информации о клиентах ведущими торговыми сетями. По словам специалистов, проблема заключается в сохранении продавцами PIN-кодов пластиковой карты, что категорически запрещено правилами всех без исключения карточных платежных систем. Единовременное раскрытие столь большого количества кодов заставило заподозрить, что некий национальный оператор розничной торговли "втихую" занимался накоплением информации о клиентах. Тем более, что серия краж информации о пластиковых карточках охватила территорию от Сиэтла до Северной Каролины. Именно из-за масштаба произошедшего в течение всего февраля в американских средствах массовой информации наибольшее внимание уделялось вопросу о том, у какой конкретно фирмы произошла утечка. По данным полицейских чиновников, значительное количество жертв делало покупки в сети канцелярских магазинов OfficeMax. Разумеется, компания отрицала возможность утечки и подчеркивала, что в ходе внешнего аудита проблем обнаружено не было, хотя в компании по- прежнему ведется расследование по этому делу. Позднее полиция Нью-Джерси все же арестовала 14 человек, связанных с данным преступлением. Подозреваемые — граждане США — сейчас обвиняются в производстве поддельных карт с помощью украденной информации о кредитных и дебетных картах. Фальшивые карты использовались в мошеннических целях: на них делались покупки и со счетов владельцев карт снимались наличные, сообщил прокурор округа Хадсон Эдвард ДеФацио. Большинство арестов, к слову, было произведено в первые две недели марта. Тем не менее, агенты ФБР и Секретной Службы продолжают расследование в рамках этого дела.
Между тем, эксперты по информационной безопасности заявляют: именно эта скандальная утечка помогла установить, что нынешние меры защиты PIN- кодов недостаточны. В частности, аналитик по финансовым услугам Jupiter Research Эдвард Каунц утверждает: "Долгое время идентификация по PIN- коду считалась весьма безопасной. Эта кража наводит на мысль о том, что все не так хорошо, как казалось". Действительно, теперь эксперты по безопасности все меньше беспокоятся о том, где это произошло, и все больше — о том, может ли подобное произойти снова. Аналитик по безопасности компании Gartner Авива Литан считает, что нынешняя кража может знаменовать начало нового века компьютерных преступлений: "Мораль этой истории такова, что, по-видимому, существуют еще сотни компаний, неосмотрительно хранящих PIN-коды. У многих розничных операторов используется такая же технология и такие же методы работы". С технологической точки зрения все выглядит следующим образом: в большинстве розничных магазинов регистратор передает информацию в контроллер терминалов, выступающий в роли главного сервера. Контроллер терминалов шифрует данные каждого регистратора. В некоторых магазинах шифровальный ключ хранится также в контроллере терминалов. Это очень облегчает задачу злоумышленников, которые в случае успешного взлома контроллера получают и данные, и ключ для их дешифровки. Между тем, хранение шифровальных ключей и данных клиентов запрещено Промышленным стандартом безопасности данных платежных карт — набором требований, разработанным Visa и общепринятого среди всех крупных распространителей карт. Компании, нарушающие это правило, могут быть оштрафованы. Однако в любом случае существует возможность получения и хранения данных клиентов по ошибке. Цитируя неназванный источник, журнал American Banker изложил теорию, к которой склоняется большинство экспертов. Суть ее в том, что хакеры, скорее всего, взломали компьютерные системы неизвестного оператора розничной торговли примерно в 30 магазинах, в основном, на Западном побережье и Юго-Востоке США. Добычей грабителей стали данные магнитных полос карточек, PIN-коды и ключи для их дешифровки. Существует, впрочем, и другая точка зрения на эту проблему. По мнению Майка Урбана — директора по предотвращению мошенничеств с использованием технологий компании Fair Isaac — одна кража PIN-кодов не означает порока всей системы. Он утверждает: "Не уверен, что эта проблема так уж распространена. В этом бизнесе главное — следовать правильной методике и внедрять правильные системы. Хотя, конечно, повторение такого происшествия в будущем нельзя исключать".
Не исключено, что уже в скором будущем с аналогичными проблемами могут столкнуться и пользователи "пластика" в России. Российские парламентарии готовятся весной внести в Госдуму законопроект, который даст право регионам требовать от торговой организации с оборотом более $20 тыс. в месяц обязательной установки платежных треминалов для пластиковых карт. Инициатор законопроекта зампред банковского комитета Госдумы Анатолий Аксаков заявил, что уже заручился поддержкой губернаторов Калининградской, Свердловской, Новосибирской областей, Чувашии и Татарстана. По мнению чиновников, это поможет российским владельцам 55 миллионов банковских карточек тратить средства прямо в магазине. В то же время из-за взимания комиссионных при оплате по карточке стоимость товаров может вырасти на 1-2%. В конце 2005 г. депутаты предлагали аналогичную инициативу, однако тогда законопроект обязывал принимать банковские карты лишь торговые точки с годовым оборотом, равным или превышающим $20 млн. Эту меру предполагалось ввести вместе с инициативой ЦБ РФ, который обещал с начала 2006 года разрешить российским банкам выпуск банковских карт без открытия отдельного текущего счета. В то же время, в предлагаемом законопроекте никак не оговорены какие-либо особые требования к торговым организациям по сохранению конфиденциальности персональных данных держателей пластиковых карт. Учитывая сравнительно невысокий уровень развития информзащиты во многих российских провинциях, вполне можно ожидать развития двух негативных тенденций. Первая — повышенный интерес компьютерных злоумышленников к базам данных именно региональных торговых сетей. Вторая — инциденты, происходящие по вине недостаточно хорошо подготовленных или просто безалаберных сотрудников. Ведь в тех же Соединенных Штатах во многих случаях персональные данные по кредиткам никто специально и не крал — их попросту теряли ответственные за них лица.
Денис Лавникевич
В 2006 году перемен к лучшему пока не наблюдается. По сообщению журнала American Banker, в США мошенники недавно украли информацию о 600 тыс. дебетных и кредитных карт. Эксперты по информационной безопасности утверждают, что такое стало возможным по причине незаконного хранения информации о клиентах ведущими торговыми сетями. По словам специалистов, проблема заключается в сохранении продавцами PIN-кодов пластиковой карты, что категорически запрещено правилами всех без исключения карточных платежных систем. Единовременное раскрытие столь большого количества кодов заставило заподозрить, что некий национальный оператор розничной торговли "втихую" занимался накоплением информации о клиентах. Тем более, что серия краж информации о пластиковых карточках охватила территорию от Сиэтла до Северной Каролины. Именно из-за масштаба произошедшего в течение всего февраля в американских средствах массовой информации наибольшее внимание уделялось вопросу о том, у какой конкретно фирмы произошла утечка. По данным полицейских чиновников, значительное количество жертв делало покупки в сети канцелярских магазинов OfficeMax. Разумеется, компания отрицала возможность утечки и подчеркивала, что в ходе внешнего аудита проблем обнаружено не было, хотя в компании по- прежнему ведется расследование по этому делу. Позднее полиция Нью-Джерси все же арестовала 14 человек, связанных с данным преступлением. Подозреваемые — граждане США — сейчас обвиняются в производстве поддельных карт с помощью украденной информации о кредитных и дебетных картах. Фальшивые карты использовались в мошеннических целях: на них делались покупки и со счетов владельцев карт снимались наличные, сообщил прокурор округа Хадсон Эдвард ДеФацио. Большинство арестов, к слову, было произведено в первые две недели марта. Тем не менее, агенты ФБР и Секретной Службы продолжают расследование в рамках этого дела.
Между тем, эксперты по информационной безопасности заявляют: именно эта скандальная утечка помогла установить, что нынешние меры защиты PIN- кодов недостаточны. В частности, аналитик по финансовым услугам Jupiter Research Эдвард Каунц утверждает: "Долгое время идентификация по PIN- коду считалась весьма безопасной. Эта кража наводит на мысль о том, что все не так хорошо, как казалось". Действительно, теперь эксперты по безопасности все меньше беспокоятся о том, где это произошло, и все больше — о том, может ли подобное произойти снова. Аналитик по безопасности компании Gartner Авива Литан считает, что нынешняя кража может знаменовать начало нового века компьютерных преступлений: "Мораль этой истории такова, что, по-видимому, существуют еще сотни компаний, неосмотрительно хранящих PIN-коды. У многих розничных операторов используется такая же технология и такие же методы работы". С технологической точки зрения все выглядит следующим образом: в большинстве розничных магазинов регистратор передает информацию в контроллер терминалов, выступающий в роли главного сервера. Контроллер терминалов шифрует данные каждого регистратора. В некоторых магазинах шифровальный ключ хранится также в контроллере терминалов. Это очень облегчает задачу злоумышленников, которые в случае успешного взлома контроллера получают и данные, и ключ для их дешифровки. Между тем, хранение шифровальных ключей и данных клиентов запрещено Промышленным стандартом безопасности данных платежных карт — набором требований, разработанным Visa и общепринятого среди всех крупных распространителей карт. Компании, нарушающие это правило, могут быть оштрафованы. Однако в любом случае существует возможность получения и хранения данных клиентов по ошибке. Цитируя неназванный источник, журнал American Banker изложил теорию, к которой склоняется большинство экспертов. Суть ее в том, что хакеры, скорее всего, взломали компьютерные системы неизвестного оператора розничной торговли примерно в 30 магазинах, в основном, на Западном побережье и Юго-Востоке США. Добычей грабителей стали данные магнитных полос карточек, PIN-коды и ключи для их дешифровки. Существует, впрочем, и другая точка зрения на эту проблему. По мнению Майка Урбана — директора по предотвращению мошенничеств с использованием технологий компании Fair Isaac — одна кража PIN-кодов не означает порока всей системы. Он утверждает: "Не уверен, что эта проблема так уж распространена. В этом бизнесе главное — следовать правильной методике и внедрять правильные системы. Хотя, конечно, повторение такого происшествия в будущем нельзя исключать".
Не исключено, что уже в скором будущем с аналогичными проблемами могут столкнуться и пользователи "пластика" в России. Российские парламентарии готовятся весной внести в Госдуму законопроект, который даст право регионам требовать от торговой организации с оборотом более $20 тыс. в месяц обязательной установки платежных треминалов для пластиковых карт. Инициатор законопроекта зампред банковского комитета Госдумы Анатолий Аксаков заявил, что уже заручился поддержкой губернаторов Калининградской, Свердловской, Новосибирской областей, Чувашии и Татарстана. По мнению чиновников, это поможет российским владельцам 55 миллионов банковских карточек тратить средства прямо в магазине. В то же время из-за взимания комиссионных при оплате по карточке стоимость товаров может вырасти на 1-2%. В конце 2005 г. депутаты предлагали аналогичную инициативу, однако тогда законопроект обязывал принимать банковские карты лишь торговые точки с годовым оборотом, равным или превышающим $20 млн. Эту меру предполагалось ввести вместе с инициативой ЦБ РФ, который обещал с начала 2006 года разрешить российским банкам выпуск банковских карт без открытия отдельного текущего счета. В то же время, в предлагаемом законопроекте никак не оговорены какие-либо особые требования к торговым организациям по сохранению конфиденциальности персональных данных держателей пластиковых карт. Учитывая сравнительно невысокий уровень развития информзащиты во многих российских провинциях, вполне можно ожидать развития двух негативных тенденций. Первая — повышенный интерес компьютерных злоумышленников к базам данных именно региональных торговых сетей. Вторая — инциденты, происходящие по вине недостаточно хорошо подготовленных или просто безалаберных сотрудников. Ведь в тех же Соединенных Штатах во многих случаях персональные данные по кредиткам никто специально и не крал — их попросту теряли ответственные за них лица.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 12 за 2006 год в рубрике безопасность
