W artykule zatytułowanym „Żonglowanie kartami: Przestępstwa z wykorzystaniem bankomatów” opowiadaliśmy o tym, jak łatwo jest stracić pieniądze z powodu sztuczek carderów. Główną przyczyną takiego stanu rzeczy jest podstawowy system zabezpieczeń, którego początki sięgają lat siedemdziesiątych XX wieku. Dane zapisane na pasku magnetycznym w formie „zwykłego tekstu” oraz kod PIN – który jest krótkim numerem zabezpieczającym wrażliwym na kradzież – stanowią całe zabezpieczenie konta bankowego.
Nie ma wątpliwości, że branża finansowa, która obecnie traci ogromne sumy pieniędzy w wyniku różnych oszustw, robi, co w jej mocy, aby zastosować najnowocześniejsze i jak najbardziej zaawansowane technologie zabezpieczające transakcje.
Do tej pory najbardziej udanym pomysłem ze wszystkich projektów jest technologia kart opartych na chipach (lub standardzie EMV). Za sprawą rozpowszechniania tych rozwiązań w Europie oraz Kanadzie liczba przypadków klonowania kart płatniczych w tych regionach drastycznie spadła. A carderzy, którzy wykorzystują skimmery bankomatowe, szukają lepszego życia w USA i krajach Azji, gdzie standard EMV nie jest powszechnie popularny i używany.
Niemniej jednak, niezależnie od stopnia zaawansowania systemu EMV w zakresie zabezpieczenia kart, w dalszym ciągu nie jest to rozwiązanie idealne, które ochroni nas przed każdym zagrożeniem, jakie możemy sobie tylko wyobrazić – zakładając, że techniki skimmingu w dalszym ciągu będą się rozwijać. Całkiem możliwe, że będziemy używać różnych rodzajów kart w (dającej się przewidzieć) nie tak dalekiej przyszłości.
Jakie one będą? Spróbujmy sobie to wyobrazić.
Hasło i odpowiedzi
Najbardziej oczywistym rozwiązaniem problemu jest dodanie kolejnej warstwy bezpieczeństwa. Przykładem może być używanie dwuetapowego uwierzytelniania, które jest już powszechnie stosowane w całym internecie.
W przypadku płatności online oprócz podawania kodu bezpieczeństwa CVV2, który znajduje się na odwrocie karty, należy wprowadzić również jednorazowe hasło, które otrzymuje się za pośrednictwem wiadomości SMS, wydruku z bankomatu lub jest wygenerowane przez autoryzowane urządzenie z banku – token. Dwuetapowe uwierzytelnianie może być również stosowane w przypadku transakcji offline, gdy w grę wchodzi wypłata dużych sum pieniędzy.
Zbliżony mechanizm uwierzytelniania posiadają karty bankowe ze zintegrowanym wyświetlaczem. W tym przypadku podstawowa karta płatnicza jest wyposażona w wbudowany mini-komputer z wyświetlaczem LCD oraz cyfrową klawiaturą. Oprócz generowania haseł jednorazowych takie rozwiązanie umożliwia również wyświetlanie stanu konta, historii transakcji itp.
Card with keypad adds additional layer of #security http://t.co/5G9O5L1DvH READ how #MasterCard adopted tech http://t.co/CzCD2X8ZYV
— Mastercard News (@MastercardNews) March 17, 2014
Pomimo że pierwsze interaktywne karty były i są dostępne na rynku od ponad pięciu lat, tylko niewiele banków w Europie, Stanach Zjednoczonych i rozwiniętych krajach Azji oferuje je swoim klientom.
Karta na żądanie
Amerykańska firma Dynamics oferuje jeszcze bardziej „egzotyczne” rozwiązania – jej karta nie posiada stabilnego paska magnetycznego, w dosłownym znaczeniu tego słowa. Jest on generowany dynamicznie i na żądanie przez wbudowany sprzęt. Jednak wcześniej użytkownik musi wprowadzić hasło za pomocą zintegrowanej klawiatury.
Nick Brazzi from @Lynda calls our security-focused interactive payment card his favorite tech at #CES2015. http://t.co/WrNdM9IbDf
— Dynamics Inc (@dynamicsinc) January 8, 2015
Jeżeli zapomnisz hasła, magnetyczny pasek się nie wygeneruje i w konsekwencji transakcja nie zostanie wykonana. Co więcej, taka karta nie posiada popularnego 16-cyfrowego numeru: część sekwencji numerycznej nie jest wydrukowana na plastiku, lecz wyświetlana na ekranie dopiero po wprowadzeniu hasła.
Czy mogę prosić o pański palec?
Hasło może być silnym sposobem ochrony karty, jednak nie ma to zastosowania w przypadku, gdy właściciel jest roztargniony lub który nie jest w stanie dochować tajemnic. Wszyscy znamy historie o „mądrych” ludziach, którzy napisali swój kod PIN na tej samej karcie, a następnie ją zgubili.
Uwierzytelnianie oparte na biometrii jest dość radykalnym rozwiązaniem tego problemu. Norweska firma Zwipe oraz MasterCard pracują obecnie nad prototypem karty płatniczej, która będzie miała zintegrowany skaner linii papilarnych. Aby zatwierdzić transakcję, należy umieścić palec na specjalnej tabliczce i… żegnaj, PIN-ie!
Kwant przychodzi z pomocą
Pomimo badań prowadzonych od wielu dekad w pełni sprawne komputery kwantowe pozostają dalej w sferze „marzeń do spełnienia”. A jednak widać światełko w tunelu: niektóre funkcje technologii kwantowej będą służyć do tworzenia niemożliwych do sfałszowania identyfikatorów.
Holenderscy badacze z Uniwersytetu Twente w Enschede oraz Uniwersytetu Technicznego w Eindhoven mają zamiar wykorzystać koncepcję kwantowego systemu bezpieczeństwa dla kart płatniczych oraz dowodów osobistych. Chociaż ich prace badawcze są nadal w wersji laboratoryjnej, ich model kwantowego systemu bezpieczeństwa jest rozwijany pod akronimem QSA (quantum secure aunthentication – kwantowy system bezpiecznego uwierzytelniania).
Niewielki fragment zwykłej plastikowej karty jest pokrywany cienką warstwą tlenku cynku. Następnie ta część karty jest „bombardowana” emitowanymi przez laser pojedynczymi fotonami. Po uderzeniu nanocząstek fotony losowo odbijają się wewnątrz warstwy tlenku cynku. Proces ten powoduje zmianę właściwości optycznych pojedynczej warstwy, tworząc w ten sposób unikalny klucz.
Tym samym, jeżeli zostanie wyemitowana określona sekwencja impulsów laserowych (czyli zostanie „zadane pytanie”), w ramach reakcji powinien wyjść określony wcześniej wzór („odpowiedź”). Takie kombinacje unikatowych „pytań-odpowiedzi” są przechowywane w bankowym systemie danych, który służy do uwierzytelniania kluczy.
Jeżeli podczas transakcji złodziej spróbuje przechwycić kombinację „pytanie-odpowiedź”, to ona nie zadziała. Zastosowane w systemie dodatkowe detektory fotoelektryczne zniszczą kwantowy stan lub przynajmniej część fotonów. Tym samym cały proces przechwycenia przez złodzieja danych zostanie unicestwiony.
Alternatywnym sposobem złamania tego typu systemu zabezpieczeń jest podrabianie kart. Jednak nawet wiernie odwzorowując wielkość, lokalizację i inne parametry nanocząstek, złodziej jest skazany na porażkę. Proces produkcji takiej karty jest na tyle skomplikowany i zaawansowany, że praktycznie uniemożliwia jej podrobienie.
Twórcy QSA twierdzą, że pomimo stopnia skomplikowania technologię tę można stosunkowo prosto i tanio wdrożyć za pomocą powszechnie dostępnych środków.
Spiesz się powoli
Mimo wszystko jest raczej mało prawdopodobne, że banki szybko wdrożą wspomniane systemy bezpieczeństwa. Branża finansowa jest dość konserwatywna i prawdopodobnie wdrożenie nowej technologii na tak szeroką skalę byłoby zbyt kosztowne.
Dlatego jesteśmy pewni, że te innowacyjne metody płatności będą najpierw dostępne w alternatywnych usługach (niezwiązanych stricte z bankami), takich jak na przykład nowe systemy płatności Apple Pay czy Google Wallet, a nawet w obiecujących „czarnych koniach” jak Coin, Wocket czy Plastc (ale o tym opowiemy innym razem).
Niestety wszystkie zaawansowane nowinki związane z cudami techniki nie są często wdrażane ze względu na niedoskonałości w adaptacji, jak to się stało w przypadku kart z EMV. Głównym problemem bezpieczeństwa jest tutaj zapora techniczna – obecne terminale nie są w stanie odczytać danych z paska bezpieczeństwa, dlatego też cały proces znowu zawęzi się do starego, dobrego paska magnetycznego. Oznacza to korzystanie ze standardów, które obecnie mamy dostępne, więc cały wysiłek we wdrażanie nowych technologii pójdzie na marne.