Скачать книгу

расшифровал «пины»? – прервала мои философские рассуждения Галина Аркадьевна.

      – Основное требование платежных систем к хранению и передаче PIN-кода: значение PIN должно всегда находиться в зашифрованном виде, начиная от его ввода на клавиатуре банкомата или POS-терминала и заканчивая проверкой в «святая святых» любой платежной системы – защищенном аппаратном модуле шифрования (HSM-модуле) банка-эмитента. Этот модуль хранит ключ генерации PIN-кодов, и проникновение в него повлечет за собой компрометацию всех PINob, когда-либо сгенерированных с помощью этого ключа. Поэтому доступ к HSM-устройствам строго ограничен как физически (применяются взломостойкие модули), так и через Сеть.

      – Что же сделал Айзек?

      – На разных этапах обработки PIN-коды проходят множество ступеней шифрования/дешифрования, и не все HSM, через которые проходят «пины», находятся в защищенной от внешних вторжений сети банка-эмитента. Зато все они поддерживают морально устаревший интерфейс Standard Financial API, которому уже больше тридцати лет. Через уязвимость в этом интерфейсе Aizek и ломанул HSM на каком-то промежуточном хосте (узле сети). Дальше просто – на взломанный HSM-модуль устанавливается сниффер – программа, перехватывающая PIN-коды в открытом виде либо в зашифрованном, но доступном для декодирования. На осуществление подобных взломов порой требуется несколько лет.

      – Почему производители HSM-устройств не закроют эти дыры? – задала логичный вопрос адвокат.

      – Ну, они заявляют, что все HSM-модули поставляются заказчикам со стандартными настройками, не позволяющими подобных атак, однако их установкой и настройкой могут заниматься не всегда ответственные или добропорядочные люди, поэтому система действительно уязвима. Случается, что и ломать ничего не надо – по недосмотру разработчиков программы, которые используются в торговых точках для обработки платежей с пластиковых карт, сохраняют не только дампы, но и PIN-коды. Недавно так отличилась компания Fujitsu Transaction Solutions.

      – Выходит, банкиры лукавят, заявляя, что взломать PIN-коды невозможно…

      – Everyone lies[1].

      – А «пины», которые нашли у Сапрыкина, – перешла к более предметному разговору Галина Аркадьевна, – они откуда?

      – В начале 2004 года я познакомился с Black Monarch – одним из модераторов carder.org – первого в мире форума для кардеров. Тот продавал американские дампы с «пином», но только для «своих», так как не мог делать их много – всего штук по пятьсот в месяц.

      – Ничего себе! Как вы обналичивали такие количества?

      – Отдавали дропам (обнальщикам) в разных странах, оставляли им 15–30 %, и те присылали нашу долю по Western Union. Все из них, за исключением обнальщиков на местах, которых я контролировал лично, обманывали нас и утаивали огромные суммы. Проверить, сколько сняли с твоего дампа, чаще всего невозможно.

      – Ты сказал, что Black Monarch «делал» дампы с «пинами». Как он их делал? – оживилась адвокат.

      – Вкратце схема такова: берем дамп с оригинальным первым треком – там есть настоящее имя кардхолдера. Заходим на www.accurint.com, вбиваем ФИО жертвы,

Скачать книгу