Компьютерра - Журнал «Компьютерра» № 31 от 28 августа 2007 года

Отчет об этой работе был опубликован на рубеже 2006—07 годов. Достоверно известно, что в индустрии платежных карточек внимательно изучили полученные результаты, однако выводы были сделаны весьма специфические. По словам вице-президента Visa Брайена Триплета (Brian Triplett), эксперты компании пришли к выводу, что на самом деле в карточках обеспечен "правильный уровень" безопасности для всех участников платежной системы: и потребителей, и банков, и продавцов. А результаты отчета CUSP были расценены как «нереалистичные», ибо, по мнению экспертов индустрии, перехватить сигнал от RFID-карты за пределами лаборатории практически невозможно. Кроме того, исследовались бесконтактные карты первого поколения, а новое поколение кредиток с чипами скрывает имя владельца специальной маской (не шифрует, подчеркнем, лишь маскирует). Наконец, что перед жуликами воздвигнут непреодолимый барьер из других средств безопасности (включая так называемые CVC, то есть коды верификации карты, которые генерируются динамически для каждого платежа) и продвинутых автоматизированных систем выявления мошенничества.

Едва ли не единственным признанием промахов со стороны индустрии карт стало то, что в соответствии с рекомендациями упомянутого отчета RFID-карты начали рассылать по почте в экранирующей обертке. По свидетельству Кевина Фу (Kevin Fu), доцента Массачусетского университета и одного из главных участников исследовательской команды, за последний год фирмы индустрии карточных платежей устранили некоторые из самых крупных дыр в защите карт. Тем не менее и в своей новой инкарнации большинство бесконтактных карт продолжает передавать в эфир информацию о владельце карты в незашифрованной форме. И самое тревожное, по мнению Фу, что клиенты банков об этом, как правило, не подозревают, а независимые исследователи не получают от индустрии никакой информации для анализа стойкости системы.

Таким образом, единственной "гарантией безопасности" являются лишь настойчивые, но голословные заверения компаний, внедряющих технологию. Опыт же свидетельствует, что слепо верить подобным обещаниям по меньшей мере наивно.

ПЛЮС

Помимо бесконтактных платежных карточек, гонконгская фирма Octopus Cards Limited продает наручные или карманные часы и мобильные телефоны, которые наряду с выполнением своих основных функций служат анонимными платежными устройствами.

Никто, пребывая в здравом рассудке, не станет отрицать удобства и преимущества платежных систем на основе бесконтактных электронных карточек. Причем все эти удобства можно обеспечивать так, чтобы не ставились под угрозу ни личность, ни банковский счет владельца карточки. Делается это очень просто – надо, чтобы платежные карточки с RFID-чипом были обезличенными и «перезаряжались» самими владельцами на такую сумму, которая их устраивает.

Именно на таких принципах построена популярнейшая карточная система платежей Octopus в Гонконге, появившаяся еще в 1990-годы в виде единых проездных билетов и постепенно переросшая в универсальное средство оплаты мелких покупок. Сейчас, по грубым подсчетам, в обращении находится больше 14 млн. карточек Octopus, что вдвое превышает численность населения Гонконга. Такие карточки используют 95 % местных жителей в возрасте от 16 до 65 лет, ежедневно выполняя 10 млн. транзакций на общую сумму 4 млрд. долларов в год. Потеря или кража такого цифрового кошелька для владельца карточки эквивалентны утрате кошелька обычного, что не влечет угроз кражи личности или компрометации банковского счета.

Для коммерции, разумеется, выгодны технологии, позволяющие быстро оплачивать единой карточкой любую мелкую покупку или услугу. Правда, государство и корпорации при обезличенных платежных картах теряют заманчивую возможность проследить и зафиксировать, по каким маршрутам ездит человек, что за прессу читает, какие лекарства покупает и т. п. Однако эта возможность вновь возвращается, если привязать бесконтактные платежи к банковской кредитке. Да, это небезопасно для владельца карты. Зато как удобно для всех, кто бдит.

Автор: Родион Насакин

В новогоднем номере «КТ» мы составляли рейтинги самых примечательных событий 2006 года. В своей версии хит-парада я тогда отметил первое заседание Форума по управлению Интернетом, состоявшееся в Греции. Участники мероприятия активно обсуждали введение доменных имен с использованием новых символов из национальных алфавитов. К таковым относятся, в частности, и кириллические названия.