АНАЛИЗЫ: Наличные 2.0

Автор: Киви Берд

К карточкам бесконтактных платежей все прочнее приклеивается название «наличные 2.0». С одной стороны, для подобного термина имеются основания, коль скоро мелкие платежи наличными все чаще заменяются поднесением смарт-карты или мобильника с RFID-чипом к окошку ридера в транспортном турникете, торговом автомате или кассовом терминале магазина. Но с другой стороны, подобная подмена понятий не совсем корректна, поскольку важнейшие свойства наличных денег – анонимность и неотслеживаемость платежей – в широко внедряемых ныне системах бесконтактной оплаты не предусмотрены. Ибо так называемые «наличные 2.0» при ближайшем рассмотрении ничем принципиальным не отличаются от обычных кредитных или дебетовых карточек, жестко привязанных к конкретным людям и их банковским счетам.

С коммерческой точки зрения никакой потребности в привязке платежных смарт-карт к своему владельцу нет. А вот с точки зрения безопасности, как считают многие независимые эксперты, бесконтактные платежные карты на основе чипов радиочастотной идентификации не только тащат за собой тяжкое наследие неважно защищенных кредитных карточек с магнитной полоской, но и порождают кучу новых проблем. Однако индустрия карточных платежей, энергично продвигающая новую технологию, с подобными воззрениями категорически не согласна и пытается убедить людей в обратном – что бесконтактная система безопаснее традиционной. Так кто же в этом споре прав?

СИСТЕМА

Автоматизированные системы выявления мошенничества, поддерживающие карточные платежи и другие банковские операции, по специальным алгоритмам проверяют подлинность транзакции и выдают сигнал тревоги в случае обнаружения подозрительных признаков. Правила выявления мошенничества могут существенно различаться у разных банков или торговых сетей, и подробности о них, как правило, не разглашаются.

Стартовав в 2003 году как экспериментальный проект в паре южных городов США, новая технология бесконтактных банковских карт на основе RFID к сегодняшнему дню стала реальностью во множестве стран Азии, Европы и обеих Америк. Если покупка относительно невелика (обычно до 25 долларов), то все операции по оплате сводятся к поднесению RFID-карточки к «окошку» прибора-считывателя у торгового терминала, заменяющего кассовый аппарат. Внешне процедура напоминает оплату проезда в общественном транспорте с помощью аналогично устроенных проездных билетов, однако бесконтактные кредитки – это универсальное платежное средство, применимое в любых точках, оснащенных соответствующими терминалами.

Главное назначение новой технологии – внедрить безналичный расчет там, где по тем или иным причинам предпочитают оплату наличными: в кинотеатрах, аптеках, ресторанах быстрого обслуживания и тому подобных местах, – иными словами, всюду, где часто выстраиваются очереди. Однако очередь можно быстро ликвидировать, отказавшись от кредитных карт и сопутствующей им процедуры оформления-подписи чека. Оплата новыми бесконтактными кредитками, как свидетельствует опыт, оказывается даже более быстрой, чем оплата наличными, – хотя бы потому, что кассиру не надо возиться со сдачей.

Хотя в нашей стране или, как ни странно, в самих США новые бесконтактные карты пока что остаются диковинкой, общее число выпущенных карт измеряется уже десятками миллионов. Крупнейшие сети безналичной оплаты и их партнеры-банки, выпускающие новые карточки, дают им разные названия – Visa Contactless, MasterCard PayPass и т. д., – однако все они работают на основе единого стандарта ISO 14443 для бесконтактных смарт-карт. По данным промышленной группы Smart Card Alliance, с 2005 по 2007 год выпущено более 20 млн. кредитных и дебетовых карт с радиочастотной связью. Одна лишь Visa на лето текущего года выпустила семь с лишним миллионов. По свидетельству этой фирмы, темпы внедрения бесконтактных карт самые высокие среди всех технологий платежей, вводившихся в действие за последние пятьдесят лет.

Но все это лишь одна – парадная, так сказать, – сторона новой технологии. Посмотрев же "с изнанки", можно увидеть и нечто иное. Что касается цифр успеха, то считать можно по-разному. Например, рубеж в 40 миллионов карт (в два раза выше нынешнего) ранее индустрия планировала достичь к концу 2006 года. В связи с непопулярностью в народе термина RFID, многократно скомпрометированного атаками правозащитников на эту «шпионскую» технологию, в контексте новых платежных карт ныне старательно избегают использовать данное буквосочетание, чаще всего прибегая к невинному RF cards, то есть просто "радиочастотные карты". Наконец, чтобы добиться высоких темпов внедрения новой технологии, банки сначала объединили RFID-чип и традиционную магнитную полоску в корпусе одной платежной карточки, а затем застолбили за собой право не предупреждать клиентов о том, что в их новой кредитке есть еще и RFID-чип. Соответственно, стал необязательным и особый значок-логотип, которым положено, вообще говоря, маркировать передающие информацию RFID-устройства. Подобные действия можно считать подарком банков клиенту ("Сюрприз! Сюрприз!") – но можно трактовать и как умышленный обман потребителей.

Представители индустрии банков и карточных платежей объясняют свои действия поиском оптимальных путей для объединения новых технологий с традиционными, понемногу себя изживающими. А потому, ради единообразия и сохранения уже развернутой по всему миру инфраструктуры обработки платежей, вся необходимая для финансовых транзакций информация о кредитке и ее владельце выдается из памяти RFID-чипа в эфир фактически в том же самом формате, как она прописана на магнитной полоске карточки. Тут-то и кроется суть проблем с бесконтактными платежами.

Банковские кредитные и дебетовые карточки нового выпуска вместе с магнитной полосой могут иметь RFID-чип для бесконтактных платежей. Эксперты по безопасности рекомендуют при получении новых карт сразу задавать банкам вопрос, есть ли в них радиочастотный чип. Если чип есть, хотя клиент его не заказывал, то имеются все основания потребовать заменить карту на традиционную.

Объединение двух систем в одном устройстве порождает закономерные вопросы о безопасности новой технологии – как в сравнении с традиционными «контактными» картами на основе магнитной полосы, так и в отношении уже известных атак и злоупотреблений, применяемых именно к RFID.

Что касается самих компаний, выпускающих бесконтактные кредитки, то они приводят целый ряд аргументов, свидетельствующих о более высокой безопасности новой технологии в сравнении с традиционной. Во-первых, говорят они, при бесконтактных платежах владельцу уже не нужно выпускать карточку из рук и передавать продавцу (официанту, клерку и т. п.), что ощутимо сокращает риск незаметного копирования и компрометации карты. Во-вторых, считыватели в торговых терминалах работают с карточками лишь на расстоянии в несколько сантиметров, что предохраняет передаваемую по радио информацию от перехвата злоумышленниками. Наконец, в RFID-чипы встроена приличная криптография и цифровые "водяные знаки", которые защищают каждую транзакцию и не позволяют ее перехватить, записать и воспроизвести где-то еще, чтобы обманным путем сымитировать оплату покупки.

Все, что говорят о защите бесконтактных карт их изготовители, конечно, правда. Вот только далеко не вся правда. Ибо если стало возможным не выпускать карточку из рук, то почему бы не позволить столь безопасной и надежной технологии оплачивать любые покупки, а не только мелочевку ценой до 25 долларов? И если ридеры якобы работают лишь на расстоянии в несколько сантиметров, то как быть с экспериментами, демонстрирующими, что дальность приема зависит не от маломощных ридеров терминала, а от качества антенны считывателя у злоумышленника, способной снимать тот же сигнал с расстояний в полтора десятка метров и более. Наконец, если разбираться с криптографией, защищающей транзакции, то и там все оказывается не совсем так, как пытается представить индустрия.

Следует подчеркнуть, что достоверно и подробно узнать, как устроена защита информации в банковских RFID-чипах карт для бесконтактных платежей, пока не представляется возможным. Ибо это есть великая коммерческая тайна, которую индустрия раскрывать не намерена. На сегодняшний день известно лишь одно независимое исследование данной технологии с точки зрения безопасности, совместно проведенное учеными Массачусетского университета в Амхерсте и сотрудниками фирмы RSA Security (www.rfid-cusp.org). Поскольку обратная инженерная разработка устройств трактуется законами США как преступление, исследователи ограничились лишь внешним изучением реакций бесконтактных карт на сигналы считывателя, проанализировав около двух десятков разных RFID-карт, выпущенных в 2006 году компаниями Visa, MasterCard и American Express. Было выявлено четыре основных разновидности форматов передаваемых в эфир данных о кредитке и ее владельце, и ни одна из них не использовала шифрования. Что же касается декларированной изготовителями криптографической защиты данных, то она применялась, судя по всему, лишь для обеспечения уникальности каждой транзакции.

Быть может, кто-то сочтет, что беды в таком подходе нет, ибо открыто выдаваемая информация о реквизитах кредитки не является конфиденциальной и доступна любому, кто видит карточку. Однако владелец традиционной кредитной карты обычно сам решает, кому и где ее показывать, в случае же с RFID считать информацию с чипа можно незаметно и втайне от владельца. А это открывает возможности для самых разных злоупотреблений. Исследователи, в частности, показали, что на основе скрытно считанных данных можно изготовить работоспособный клон обычной кредитной карты, то есть записать эту информацию на магнитную полосу другой карточки. По считанному имени и фамилии можно определить адрес владельца, а в сочетании с известными реквизитами кредитной карты этого достаточно для совершения покупок во многих интернет-магазинах (что также продемонстрировано на практике). Наконец, легкий и скрытный радиодоступ к кредитке делает возможной и более изощренную атаку типа "человек посередине" – когда устройство рядом с жертвой имитирует поведение торгового терминала, а само передает получаемую от карточки информацию на другой прибор, повторяющий отклики карточки вблизи реального терминала. При такой организации хищения злоумышленникам не требуется вскрывать криптографию, достаточно лишь организовать ретрансляцию протокола оплаты.

Отчет об этой работе был опубликован на рубеже 2006—07 годов. Достоверно известно, что в индустрии платежных карточек внимательно изучили полученные результаты, однако выводы были сделаны весьма специфические. По словам вице-президента Visa Брайена Триплета (Brian Triplett), эксперты компании пришли к выводу, что на самом деле в карточках обеспечен "правильный уровень" безопасности для всех участников платежной системы: и потребителей, и банков, и продавцов. А результаты отчета CUSP были расценены как «нереалистичные», ибо, по мнению экспертов индустрии, перехватить сигнал от RFID-карты за пределами лаборатории практически невозможно. Кроме того, исследовались бесконтактные карты первого поколения, а новое поколение кредиток с чипами скрывает имя владельца специальной маской (не шифрует, подчеркнем, лишь маскирует). Наконец, что перед жуликами воздвигнут непреодолимый барьер из других средств безопасности (включая так называемые CVC, то есть коды верификации карты, которые генерируются динамически для каждого платежа) и продвинутых автоматизированных систем выявления мошенничества.

Едва ли не единственным признанием промахов со стороны индустрии карт стало то, что в соответствии с рекомендациями упомянутого отчета RFID-карты начали рассылать по почте в экранирующей обертке. По свидетельству Кевина Фу (Kevin Fu), доцента Массачусетского университета и одного из главных участников исследовательской команды, за последний год фирмы индустрии карточных платежей устранили некоторые из самых крупных дыр в защите карт. Тем не менее и в своей новой инкарнации большинство бесконтактных карт продолжает передавать в эфир информацию о владельце карты в незашифрованной форме. И самое тревожное, по мнению Фу, что клиенты банков об этом, как правило, не подозревают, а независимые исследователи не получают от индустрии никакой информации для анализа стойкости системы.

Таким образом, единственной "гарантией безопасности" являются лишь настойчивые, но голословные заверения компаний, внедряющих технологию. Опыт же свидетельствует, что слепо верить подобным обещаниям по меньшей мере наивно.

ПЛЮС

Помимо бесконтактных платежных карточек, гонконгская фирма Octopus Cards Limited продает наручные или карманные часы и мобильные телефоны, которые наряду с выполнением своих основных функций служат анонимными платежными устройствами.

Никто, пребывая в здравом рассудке, не станет отрицать удобства и преимущества платежных систем на основе бесконтактных электронных карточек. Причем все эти удобства можно обеспечивать так, чтобы не ставились под угрозу ни личность, ни банковский счет владельца карточки. Делается это очень просто – надо, чтобы платежные карточки с RFID-чипом были обезличенными и «перезаряжались» самими владельцами на такую сумму, которая их устраивает.

Именно на таких принципах построена популярнейшая карточная система платежей Octopus в Гонконге, появившаяся еще в 1990-годы в виде единых проездных билетов и постепенно переросшая в универсальное средство оплаты мелких покупок. Сейчас, по грубым подсчетам, в обращении находится больше 14 млн. карточек Octopus, что вдвое превышает численность населения Гонконга. Такие карточки используют 95 % местных жителей в возрасте от 16 до 65 лет, ежедневно выполняя 10 млн. транзакций на общую сумму 4 млрд. долларов в год. Потеря или кража такого цифрового кошелька для владельца карточки эквивалентны утрате кошелька обычного, что не влечет угроз кражи личности или компрометации банковского счета.

Для коммерции, разумеется, выгодны технологии, позволяющие быстро оплачивать единой карточкой любую мелкую покупку или услугу. Правда, государство и корпорации при обезличенных платежных картах теряют заманчивую возможность проследить и зафиксировать, по каким маршрутам ездит человек, что за прессу читает, какие лекарства покупает и т. п. Однако эта возможность вновь возвращается, если привязать бесконтактные платежи к банковской кредитке. Да, это небезопасно для владельца карты. Зато как удобно для всех, кто бдит.

ИНТЕРНЕТ: Каждому свое

Автор: Родион Насакин

В новогоднем номере «КТ» мы составляли рейтинги самых примечательных событий 2006 года. В своей версии хит-парада я тогда отметил первое заседание Форума по управлению Интернетом, состоявшееся в Греции. Участники мероприятия активно обсуждали введение доменных имен с использованием новых символов из национальных алфавитов. К таковым относятся, в частности, и кириллические названия.

В Рунете сторонников скорейшего появления русских доменов хватает. Неравнодушны к засилью английского языка и гордые представители континентальной Европы, прежде всего Германия, жителям которой обидно за отсутствие умляута среди разрешенных знаков. Но особенно актуален вопрос для Японии, Китая и арабских стран, которые активнее всех прочих ратуют за начало полномасштабной поддержки соответствующих языков в доменных именах и просят у мирового регулятора ICANN (Internet Corporation for Assigned Names and Numbers) поскорее дать добро на делатинизацию Интернета.

Доменный патриотизм

Интересно, что пока регистраторы и многие веб-мастеры искренне огорчаются задержкам с официальной отмашкой ICANN на запуск IDN, в интернет-обсуждениях встречаются и весьма оригинальные точки зрения. Например, ICANN иногда расценивают как угрозу и считают совершенно неприемлемым контроль над использованием кириллических доменных имен из-за рубежа. По мнению «сепаратистов», России по силам создать собственную структуру адресации на русском языке и решать все вопросы (от названий кириллических TLD до разборок с киберсквоттерами) без ICANN. В качестве положительного примера приводится Китай, где эта идея уже во многом воплощена в жизнь.

ICANN идет навстречу подобным запросам, хотя и постоянно напоминает о том, что торопиться с этим не следует. Нужно хорошенько протестировать работу DNS-серверов в условиях многоязычного адресного пространства и предусмотреть все возможные проблемы политического и социально-экономического характера, в том числе сложности с охраной копирайта и торговых марок, а также широкие перспективы для киберсквоттеров, фишеров и прочего сетевого криминалитета. Кроме того, речь идет не об одном, а двух различных проектах такого рода.

В первом случае (и пока более реальном) предполагается поддерживать названия доменов второго уровня с использованием национальных алфавитов, но с сохранением английских TLD [Top-level domain, домен верхнего уровня. Например, com, net, ru, de.], то есть имен вроде "авто. ru", "аптека. com" и т. д. В рамках этого же проекта предполагается создать альтернативные адреса на родных языках для уже существующих URL. Во втором случае предусматривается введение национальных доменов на родных языках. То есть в дополнение к ru у России появится ру или рф. Второй вариант пока находится в стадии проработки, а первый уже частично реализован.

Представители Азиатско-Тихоокеанского региона, где используется иероглифическая письменность, кардинально отличающаяся от латиницы, подняли вопрос о многоязычности адресного пространства еще в 90-х годах. Сторонники преобразований рассматривали этот шаг как логичный этап развития Интернета после появления поддержки неанглийских текстов в веб-страницах и e-mail. ICANN согласилась со справедливостью требований, и в 1999 году силами ряда университетов и крупных ИТ-компаний была сформирована рабочая группа для создания стандарта многоязычных доменных имен (IDN).

Главное, что требовалось, – это разработать условия для существования IDN без внесения изменений в сервисы и протоколы DNS. В том же году группа отрапортовала о первых успехах, и была запущена служба регистрации доменных имен. За коммерческую часть отвечала специально образованная по такому случаю компания i-DNS.net, которая начала опытные продажи на Тайване, а потом приступила к лицензированию прав на IDN регистраторам других стран.

В России партнером компании стал RegTime, который по сей день предлагает доменные имена на русском языке в зонах com, net и org. Правда, практическая ценность такого приобретения пока вызывает сомнения, так как зайти на сайт вроде "компания. ком" можно, лишь установив плагин iClient в браузере IE или изменив настройки DNS и браузера на компьютере. Очевидно, что такие манипуляции делают редкие пользователи. RegTime напирает на то, что это дело временное и спецнастройка нужна лишь до тех пор, пока IETF (Internet Engineering Task Force) не утвердит соответствующие стандарты. Настораживает лишь то, что в качестве ориентировочной даты перемещения многоязычных доменов верхнего уровня на корневые серверы ICANN на сайте RegTime указан 2002 год (сайт не заброшен, новости появляются регулярно). Как говорится, без комментариев.

За рубежом самым известным регистратором мультиязычных имен является Verisign, который уже шесть лет предоставляет IDN с традиционными TLD. В России партнером компании стал РБК. Для работы с такими доменами также нужно скачать специальный плагин i-Nav для браузера. Имеются модули для отправки писем на адреса, содержащие IDN: i-NavOutlook (для Outlook 2000/XP/2003) и i-NavOE (Outlook Express).

В некоторые браузеры плагин уже встроен. Так, с девятой версии IDN поддерживаются в Opera. Аналогичную возможность предоставляет и IE7, причем в середине июня выяснилось, что реализация IDN в браузере содержит уязвимость, позволяющую злоумышленнику подменить доменное имя в процессе аутентификации. Ожидается, что со временем имена будет свободно понимать и любая операционная система. Плагин перекодирует любое зарегистрированное IDN сначала в Unicode, а потом по специальному методу ACE (ASCII Compatible Encoding) в последовательность стандартных ASCII-символов, под которой домен фигурирует в базе данных DNS. То есть менять ничего не нужно. Адресу флейм. com в реальности соответствует xn-e1aieg0b.com, где «xn-» – префикс, свидетельствующий о том, что URL сгенерирован по ACE-алгоритму. Регистрация кириллического домена обойдется в Verisign в $40, и кто-то уже вовсю скупает удачные имена – такие, например, как сети. com или поисковик. com. Правда, скорее на перспективу, ведь пока такие сайты не индексируют даже поисковики.