Что такое emv карта?
EMV — это международный стандарт для банковских карт с чипом. В разработке этого стандарта принимали участия
E
uropay
M
asterCard
V
ISA, отсюда и название. Попробуем разобраться, как же все таки карта общается с POS-терминалом по бесконтактному интерфейсу.
Начнем с самых основ.
Бесконтактная EMV карта на физическом уровне работает почти так же, как и RFID метка. Если базисно то, чип попадает в электромагнитное поле, а в замкнутом проводящем контуре (в нашем случае это будет антенна, расположенная по периметру), помещенном в переменное магнитное поле, образуется переменный электрический ток.
Этот ток заряжает специальный конденсатор, подключенный параллельно к резонансному контуру карты. Энергия, запасенная в конденсаторе, используется для выполнения микросхемой карты различных операций. Когда ридер изменяет электромагнитное поле, изменения сразу будут заметны на чипе.
Используя модуляцию сигнала, мы можем передавать информацию в бинарном виде. Если на карте подключить нагрузочное сопротивление и или изменить емкость конденсатора, то можно изменить силу тока в контуре карты, что приведет к изменению создаваемого им электромагнитного поля в области контура ридера, таким образом карточка передает данные.
Сам чип карты представляет собой смарт карту, на которой работает JavaCard, отдельная версия Java для платформ с малыми вычислительными ресурсами и поддержкой криптографических алгоритмов. На JavaCard загружаются апплеты, которые, и являются приложениями.
Также существует GlobalPlatform это некий стандарт для JavaCard, который предоставляет возможность безопасного управления данными на карте и позволяет загружать, изменять и удалять приложения на карте. В этой статье механизмы безопасности самой смарт карты мы рассматривать не будем.
Также еще напомню немного терминологии, для тех, кто не знаком.
POS-терминал (Point of Sale) — устройство продавца, которое считывает карту и инициирует платеж. Далее будем называть это устройство просто терминалом. Банк эмитент — это банк, который выпустил вашу карту.Банк эквайер — банк, который выдает продавцам POS-терминалы и обрабатывает платежи с них.
Платежная система — центральное звено между банком эквайером и банком эмитентом, через нее проходят абсолютно все платежи, и она знает какой банк какому сколько должен перевести денег. Платежных систем в мире не мало, кроме всем известных Visa и MasterCard есть ещё и American Express, China UnionPay и российская платежная система МИР.
Хорошо, карта и ридер могут общаться. Они посылают друг другу APDU-команды в виде Tag-Length-Value т.е. передается название тэга в шестнадцатеричном виде, его длина и само значение. Все команды описаны конечно же в документации и выглядят примерно так:
Стандартная EMV транзакция проходит в несколько этапов, я опишу полный алгоритм взаимодействия в случае контактного интерфейса, для бесконтактного интерфейса алгоритм несколько укорочен:
Коротко рассмотрим каждую операцию.
Выбор приложения. Часто бывает, что на одной карте может быть несколько приложений. Например, банковская карта и проездной билет. И терминалу как-то необходимо разобраться, где и какой алгоритм ему использовать. Для выбора приложения используются так называемые Идентификационные Коды приложения (Application Identifier – AID).
Что бы в этом разобраться терминал посылает команду SELECT. Например, AID карты Visa Classic будет выглядеть следующим образом: A0000000031010. Если в ответ придет несколько таких кодов и терминал умеет работать с несколькими приложениями, то терминал выведет на экран список и предложит выбрать нужное нам приложение. Если терминал не поддерживает ни один из кодов приложений, то операция будет отклонена терминалом.
Инициализация обработки приложения. Здесь сначала проверяется географическое место пребывания. Например, карты Maestro Momentum могут работать для оплаты только в России. Этот этап сделан для того, чтобы предоставить эмитентам возможность применять существующие онлайн методы риск-менеджмента при проведении офлайн операций.
На этом этапе EMV-транзакция может быть отменена по инициативе самой карты, если данный тип операции запрещен в данной стране мира эмитентом. Далее карта передает терминалу набор специально структурированной информации, содержащей описание функциональности карты и приложения.
Считывание данных приложения. Терминалу передаются различные данные карты необходимые для транзакции, например номер карты, expiration date, счетчик транзакций и много других данных. О некоторых из них будет сказано далее.
Пример данных:
Также передается сертификат публичного ключа банка эмитента и самой карты. Для того чтобы терминал был способен проверить цифровую подпись некоторых данных карты используется PKI-инфраструктура (Public Key Infrastructure). Вкратце, у платежной системы есть пара ключей — публичный и приватный и платежная система является для всех участников CA (Center Authority).
По сути платежная система для каждого банка эмитента выпускает новую пару ключей, и при этом формирует сертификат публичного ключа банка эмитента, подписывая его приватным ключом CA. Далее, когда банк выпускает новую карту, он соответственно генерирует для карточки пару ключей, и также формирует сертификат публичного ключа карты, подписывая его с помощью приватного ключа банка.
В терминалах обычно зашит сертификат публичного ключа для различных платежных систем. Таким образом, когда карточка передает сертификат публичного ключа банка эмитента и сертификат самой карты, терминал может с легкостью проверить всю цепочку, используя публичный ключ платежной системы.
Терминал с помощью публичного ключа платежной системы сначала проверяет подлинность сертификата банка эмитента, если он подлинный, то значит ему можно доверять и теперь с помощью сертификата банка эмитента можно проверить сертификат самой карты. Более подробней в статье про безопасность EMV .
Офлайн аутентификация. Терминал определяет тип поддерживаемого метода оффлайн аутентификации. Существует статичная (Static Data Authentication – SDA), динамическая (Dynamic Data Authentication – DDA) и комбинированная (Combined Data Authentication – CDA).
Эти методы также построены на основе PKI. SDA это просто подписанные данные на приватном ключе банка эмитента, DDA — терминал посылает какое-то случайное число и карточка должна подписать его, используя свой приватный ключ, а терминал проверит эту подпись используя полученный ранее сертификат карты, таким образом терминал удостовериться в том, что карточка и правда обладает приватным ключом — следовательно является подлинной. CDA это просто комбинация обоих способов.
Обработка ограничений. Здесь терминал проверяет полученные ранее данные с карты на условие пригодности для данной операции. Например, проверяет срок начала/окончания действия приложения Application Expiration Date (Tag ‘5F24’) и Application Effective Date (Tag ‘5F25’).
Также производится проверка версии приложения. Результаты операций, проводимых на данном этапе, также записываются в отчет TVR (Terminal verification results). По результатам этого этапа транзакция не может быть отменена, даже в случае, если, например, срок действия приложения истек.
Проверка держателя карты. Верификация держателя карты производится для того, чтобы аутентифицировать человека, предоставившего карту и проверить, является ли он подлинным владельцем карты. Стандарт EMV предоставляет различные методы верификации держателя карты (Cardholder Verification Method).
Список поддерживаемых методов верификации:
Вот
также есть интересная информация на эту тему.
Риск-менеджмент на стороне терминала. На этом этапе терминал проводит внутреннюю проверку параметров транзакции, исходя из установок риск-менеджмента банка-эквайера. Процедуры риск-менеджмента могут быть выполнены терминалом в любое время между моментами завершения процесса чтения данных карты и формирования терминалом первой команды GENERATE AC. Риск-менеджмент на стороне терминала включает в себя три механизма:
Анализ действий терминала. На этом этапе терминал анализирует результаты предыдущих шагов транзакции. По результатам анализа терминал принимает решение о том, следует ли провести операцию в online-режиме, разрешить ее проведение в офлайн режиме или отклонить операцию.
Риск-менеджмент на стороне карты. Карта, получив из команды GENERATE AC данные, касающиеся транзакции, терминала и результатов проверок терминала, в свою очередь выполняет собственные процедуры управления рисками и выносит собственное решение о способе завершения операции.
Анализ действий карты. На этом этапе карта завершает проведение процедур риск-менеджмента и формирует ответную криптограмму терминалу. Если карта решает одобрить транзакцию, то формируется Transaction Certificate. Если карта принимает решение о выполнение операции в режиме реального времени, то она формирует ARQC (Authorization Request Cryptogram).
Еще одна криптограмма ARPC (Authorization Response Cryptogram) нужна для аутентификации эмитента. Эмитент формирует криптограмму ARPC и отсылает криптограмму карте, если карта подтвердит пришедшую криптограмму, то следовательно, эмитент аутентифицирован картой.
Немного о безопасности ключей и взаимной аутентификации карты и эмитента из книги И. М. Голдовского:
Смысл взаимной аутентификации заключается в том, что карта и терминал аутентифицируют друг друга с помощью проверки подлинности криптограмм ARQC и ARPC. Криптограммы представляют собой данные, формируемые с использованием секретного ключа (который известен карте и банку эмитенту), номера транзакции, случайного числа, сгенерированного терминалом, а также некоторых реквизитов транзакции, терминала и карты. В случае ARPC к перечисленным данным еще добавляется авторизационный код ответа эмитента. Без знания секретного ключа карты для генерации криптограммы вычислить значения ARQC/ARPC невозможно за обозримое время с текущим уровнем технологий, и потому факт их успешной верификации указывает на подлинность карты и эмитента. Онлайн аутентификация является наиболее надежным способом аутентификации карты. Это связано с тем, что она выполняется непосредственно эмитентом, без посредника в виде терминала. Кроме того, для онлайновой аутентификации используется алгоритм 3DES с временным ключом размером 112 битов, криптостойкость которого соответствует криптостойкости алгоритма RSA с длиной модуля асимметричного ключа, используемого для офлайн аутентификации приложения карты, более 1700 бит. Использование на карте асимметричных ключей такой длины все еще достаточная редкость. Обычно используются ключи с модулем длиной 1024, 1152 или 1408 бит.
В конечном итоге онлайн транзакция проходит по цепочке: Карта <—> POS-Терминал <—> Банк Эквайер <—> Платежная Система <—> Банк Эмитент.
Rfid — биометрический паспорт и глобальный контроль
С виду — обычный паспорт, но специальный символ в нижней части сигнализирует, что в документе используется чип RFID — метод автоматической идентификации объектов посредством радиосигналов…
Биометрический паспорт — это документ, дающий право на выезд за пределы страны и въезд в иностранные государства.
Биометрический загранпаспорт отличается от обычного тем, что в него встроен специальный чип, который содержит двухмерную фотографию его владельца, а также его данные: фамилию, имя, отчество, дату рождения, номер паспорта, дату его выдачи и окончания срока действия.
Новоорлеанское соглашение, признавшее биометрию лица основной технологией идентификации для загранпаспортов и въездных виз следующего поколения, было подписано 188 странами мира после событий 11 сентября 2001 года.
После чего правительство США заявило, что документы, полученные после 2006 года и используемые для безвизового въезда в страну граждан стран-участниц программы Visa Waiver, должны быть биометрическими.Благодаря хранению биометрических данных в паспорте, сравнение предъявителя паспорта и данных, хранящихся в паспорте (фотография лица, отпечатки пальцев и другие) выполняет автоматика.
Концепция RFID предусматривает полное избавление от паспортов, кредитных карточек и бумажных денег.
Только представьте: заходите в магазин, берете большой торт и спокойно топаете домой, а соответствующая сумма автоматически перечисляется с вашего банковского счета , благодаря крошечным радиочипам, которые помещаются в товар (или в человека) для идентификации, отслеживания или совершения платежей.
Недостатки? Любой обладатель считывателя RFID сможет узнать, кто вы, что покупаете и услугами какого банка пользуетесь.
Примитивные RFID-чипы (метки) с миниатюрными антеннами и модулями памяти сегодня используются во многих супермаркетах. Обычная метка может не только хранить информацию (цена, наименование товара), но и перезаписывать ее. Обмен данными происходит в радиодипазонах от 2,45 до 900 МГц, достаточно лишь пронести предмет с радиочипом на расстоянии до пяти метров от сканера.
Почему здесь не используются такие популярные интерфейсы, как Wi-Fi и Bluetooth? Ответ прост: RFID-чипы удивительно экономичны. Мало того, что стоят копейки, так еще и энергию в большинстве случаев получают в буквальном смысле из воздуха.
Сканер посылает в пространство радиосигналы, которые антенночка RFID-чипа принимает и преобразует в ответный сигнал с данными. А вот модули Wi-Fi и Bluetooth стоят немалых денег, требуют постоянного питания и обладают совершенно ненужными в RFID-системах возможностями.
Одежда от Prada, шины Michelin, лезвия Gillette уже сегодня получают метки, несущие уникальную идентификационную информацию. С одной стороны — ничего страшного, что в предмете осталась внедренная на заводе метка для контроля продаж, с другой — владельцы считывателей будут знать обо всех перемещениях пользователей помеченных предметов. Тут возникают очевидные вопросы о неприкосновенности частной жизни.
Не менее опасными могут оказаться биометрические паспорта (e-passport), которые сегодня вводятся в обращение по всему миру. С виду электронный паспорт ничем не отличается от обычного, но одна страничка чуть толще — в ней находится RFID-чип, на котором хранятся все необходимые сведения о владельце (двумерная и трехмерная фотографии, отпечатки пальцев, рисунок сетчатки глаз и запись голоса).
Специалисты убеждены — биометрические паспорта позволят легко вычислять преступников и заметно сократят бюрократические заморочки. Однако повод призадуматься более чем серьезный — где гарантии, что наше правительство не станет злоупотреблять собираемыми сведениями?
Как мы уже сказали, RFID-чипы можно вживлять людям. Смело можно забыть о кошельке и кредитной карте. Достаточно провести рукой над терминалом, чтобы совершить покупку — сканер считает номер карты, зашитой в руке, запросит подтверждение и после этого снимет деньги со счета.
Компания VeriChip разработала простой способ вживления пассивных чипов в кисть и трицепс — между локтем и плечом. Делается операция с помощью большого шприца под местной анестезией за какие-то пять-десять минут. Такие вживленные чипы для идентификации личности успешно используют закрытые ночные клубы в Нью-Йорке, Барселоне и Роттердаме.
В 2004 VeriChip имплантировала метки 18 служащим мексиканского государственного учреждения, чтобы только они могли получить доступ к комнате с секретной информацией.
Термин RFID (Radio Frequency Identification, радиочастотная идентификация) означает автоматический способ идентификации, основанный на хранении и дистанционной передаче информации. Существуют два вида RFID-меток: пассивные и активные.
Первые наиболее распространены и встречаются повсюду — от автомобильных ключей до бирок в магазинах. Пассивные чипы черпают энергию от радиоволн сканера и могут служить очень долго, однако серийный ключ в них обычно записывается только один раз (при изготовлении).
Активные чипы оснащают батарейкой и модулями памяти, информацию в которых можно изменять. Батарейки таких чипов работают до 10 лет. Активные метки объединяют с датчиками температуры, влажности и сейсмографами и используют для мониторинга окружающей среды.
RFID-чипы сильно напоминают штрих-коды. Кассирша берет пачку жвачки и проводит ею над световым сканером. Раздается сигнал — информация о жвачке получена. Затем сведения поступают в компьютер, который расшифровывает код, выбивает чек на определенную сумму и отмечает в своей базе, что одной жвачкой на полках стало меньше.
Принцип работы RFID-систем весьма прост. Данные системы включают в себя два основных компонента: считыватель (ридер) и идентификатор (метка, чип, тег). Ридер излучает электромагнитную энергию. Метка улавливает этот сигнал и передает ответный, который уже принимается антенной ридера.
RFID-метки можно подразделить на несколько категорий. Во-первых, по используемому диапазону радиочастот на:
* — низкочастотные (125 или 134.2 КГц);
* — высокочастотные (13.56 МГц);
* — UHF, т.е. ультравысокочастотные (868-956 МГц);
* — микроволновые (2.45 ГГц).
— для RFID не нужен контакт или прямая видимость;
— RFID-метки читаются быстро и точно (приближаясь к 100% идентификации);
— RFID может использоваться даже в агрессивных средах, а RFID-метки могут читаться через грязь, краску, пар, воду, пластмассу, древесину;
— пассивные RFID-метки имеют фактически неограниченный срок эксплуатации;
— RFID-метки несут большое количество информации и могут быть интеллектуальны;
— RFID-метки практически невозможно подделать;
— RFID-метки могут быть не только для чтения, но и для записи информации
Как это всегда бывает, у технологии, подобной RFID, появляется множество сторонников и противников. Несмотря на все удобства, привносимые применением RFID, у многих людей ее внедрение вызывает большие опасения. И не зря.
Во-первых, радиометки по сути своей являются радиомаяками — ведь именно в этом качестве их использовала советская разведка в 50-х. И незаконное слежение еще не единственное, что вызывает опасения, гораздо большие опасения вызывает безопасность самой технологии. Сам Брюс Шнайер, на планы оснащения паспортов RFID-метками, заявил, что «это чистая угроза национальной безопасности».
О внедрении электронных паспортов говорят ну очень много. Постоянно в прессе мелькают сведения, что ЭП универсальное и совершенное средство идентификации личности. Но это в теории. На практике же вырисовывается куча проблем.
Главные претензии общественности к паспортам нового образца – наличие дистанционно считываемых RFID-чипов и отсутствие шифрования личной информации, прописанной в памяти микросхемы. Из-за этого содержимое важного, удостоверяющего личность документа становится доступно любому, кто имеет к такой информации интерес.
Для постоянно растущих в числе «краж личности» новые электронные документы предоставляют прямо-таки бескрайнюю урожайную ниву. Да и вообще, люди предпочитают предъявлять личные документы лишь в тех случаях, когда считают это необходимым, а не любому встречному.
Короче говоря, государство, на словах заботясь о безопасности граждан, в данном случае создает лишь новые проблемы и угрозы, защищаться от которых каждому придется самостоятельно. Например, храня RFID-паспорт в непроницаемой для электромагнитных волн оболочке.
Почему власти отдали предпочтение радиочастотной форме считывания информации, а не заведомо более безопасной контактной, внятно объяснять никто не хочет. Правда, в спецификациях ICAO говорится, что этот способ и был выбран из-за возможности считывания информации без ведома владельца паспорта… (Юмор уловили?)
По той же причине, судя по всему, в качестве базовой технологии биометрической идентификации в паспортах США выбрано опознание по лицу – гораздо менее надежное, чем по радужке глаза, но зато применимое на куда больших расстояниях и опять же без ведома владельца.
Дабы успокоить недовольных и облегчить внедрение новой перспективной технологии, индустрия RFID разработала новые чипы, так называемые Gen 2, которые выдают прописанные в них данные лишь в том случае, если ридер отправляет правильный пароль считывания. Кроме того, ридер может передать и другой пароль, «на самоуничтожение», приняв который, метка стирает свое содержимое — например, когда покупатель покидает магазин с оплаченным товаром.
На первый взгляд, новая схема выглядит гораздо привлекательнее, нежели RFID первого поколения, особенно если принять во внимание, что хранимые в чипе и передаваемые в эфир данные защищены шифрованием от перехвата и использования злоумышленниками. Однако при более пристальном изучении Gen 2 выяснилось, что предельная дешевизна чипов-меток сыграла фатальную роль и на самом деле защита новой технологии намного слабее, чем хотелось бы.
В частности, стойкость RFID к так называемому дифференциальному анализу питания, с помощью которого в свое время было вскрыто большинство имевшихся на рынке смарт-карт оказалось сопротивлением школьницы перед групповым изнасилованием.
Как правило, RFID-метки не имеют собственного источника питания, используя энергию излучения прибора-считывателя. Но когда это происходит, то каждая операция вычисления в схеме RFID поневоле видоизменяет электромагнитное поле вокруг чипа. Благодаря чему с помощью нехитрой направленной антенны можно отслеживать и регистрировать динамику потребления энергии чипом — в частности, различия в побочных сигналах, излучаемых при приеме правильных и неверных битов пароля.
Аналитики, имеющие соответствующий навык, легко выявляли на экране осциллографа пики, соответствующие неверным битам, то есть, каждый раз начиная процедуру заново с небольшой модификацией неправильного бита, удавалось довольно быстро восстановить пароль, инициирующий «самоубийство» чипа.
Проанализировав необходимый для подобной операции инструментарий, исследователи пришли к выводу, что в принципе достаточного обычного, особым образом запрограммированного сотового телефона, чтобы автоматически вычислять пароль самоуничтожения и убивать все попавшие в зону облучения RFID.
Как известно метки RFID обнаруживаются считывателем, когда попадают в зону его действия. Считыватель поддерживает связь с метками, переключаясь между каналами в выделенном диапазоне частот (902-928 МГц). Считалось, что это надежно, так как в случае помех считыватель может перейти на другую частоту.
В ходе хакерских испытаний насыщали частотный диапазон, используемый метками, что не позволяло им соединяться со считывателем. Использование скачкообразной перестройки частоты не спасает от DoS-атак, так как метки не способны перестраивать частоту самостоятельно.
В связи со всем вышеперечисленным стремление некоторых компаний вживлять радиочастотные метки людям выглядит по меньше мере странным. Владелец такой «чёрной метки» не может чувствовать себя в безопасности. Ну а как же электронные паспорта, неужели они так же беззащитны перед кровожадными хакерами?
К счастью, да! Недавно в прямом эфире голландского телевидения специалисты IT-технологий за два часа сломали код доступа к информации, записанной на чипах RFID. «Хакерам» удалось считать отпечаток пальца, фотографию и остальные паспортные данные, сообщает Engadget.
Выяснилось, что код паспорта шифровался на основе даты рождения, даты выдачи паспорта и срока его действия.
Что ж, и это ещё не все беды. По сообщению The New York Times, на компьютерной конференции в Италии, эксперты заявили, что система радиочастотной идентификации уязвима для вируса, который при сканировании может попасть в компьютер.
RFID-метки содержат гораздо больше информации и быстрее считываются компьютерами, чем традиционные штрих-коды. Новые бирки получают все более широкое распространение, в том числе применяются для отслеживания багажа в аэропортах. А это таит опасность: террористы и контрабандисты могут воспользоваться изъянами технологии, чтобы обойти сканирующие системы аэропорта, пишет The New York Times.
Почему же при всех многочисленных недостатках RFID продолжает шагать по планете и отказываться от него никто не собирается? Есть две точки зрения на данный вопрос. Первая – все проблемы прежде всего связаны с тупостью, разгильдяйством и вороватостью человеческого материала. Тут ни RFID v2, ни RFID v10 не поможет. Часть решения проблем — это банальные административные меры. Или лоботомия.
Вторая точка зрения… Впрочем, если не хотите портить себе настроение, не читайте дальше. Живите себе спокойно и ни о чем не беспокойтесь…
Для тех, кто не послушался доброго совета:
- RFID-меткам не нужен контакт или прямая видимость; данные о вас могут быть получены без вашего непосредственного участия.
- RFID-метки читаются быстро и точно, что позволяет контролировать огромное количество людей одновременно.
- RFID-метки можно использоваться даже в агрессивных средах, через грязь, краску, пар, воду, пластмассу, древесину и, естественно, человеческую кожу и кости.
- Пассивные RFID-метки имеют фактически неограниченный срок эксплуатации, обладают низкой себестоимостью.
- RFID-метки несут большое количество информации, в том числе и так называемой «служебной».
- RFID-метки легко отследить; пусть на небольшом расстоянии, но именно там, где нужно – метро, офисы, банки, магазины, остановки.
- RFID-метки могут быть не только для чтения, но и с записью достаточно большого объема информации.
RFID и права человека
Дебра Боуэн, сенатор штата Калифорния, на слушаниях 2003 года[18]
Использование RFID-меток вызвало серьёзную полемику, критику и даже бойкотирование товаров. Четыре основных проблемы этой технологии, связанные с неприкосновенностью частной жизни, следующие:
Покупатель может даже не знать о наличии RFID-метки. Или не может её удалить
Данные с метки могут быть считаны дистанционно без ведома владельца
Если помеченный предмет оплачивается кредитной картой, то возможно однозначно связать уникальный идентификатор метки с покупателем
Система меток EPCGlobal создаёт или предполагает создание уникальных серийных номеров для всех продуктов, несмотря на то, что это создаёт проблемы с неприкосновенностью частной жизни и совершенно не является необходимым для большинства приложений.
Основное беспокойство вызывается тем, что иногда RFID-метки остаются в рабочем состоянии даже после того, как товар куплен и вынесен из магазина, и поэтому могут быть использованы для слежки и других неблаговидных целей, не связанных с инвентаризационной функцией меток.
Считывание с небольших расстояний также может представлять опасность, если, например, считанная информация накапливается в базе данных, или грабитель использует карманный считыватель для оценки богатства проходящей мимо потенциальной жертвы.
Серийные номера на RFID-метках могут выдавать дополнительную информацию даже после избавления от товара. Например, метки в перепроданных или подаренных вещах могут быть использованы для установления круга общения человека.
Эксперты по безопасности настроены против использования технологии RFID для аутентификации людей, основываясь на риске кражи идентификатора.
Для примера, атака Mafia Fraud Attack делает возможным атакующему в реальном времени украсть идентификатор личности. На данный момент, из-за ограничений в ресурсах RFID меток, теоретически не представляется возможным защитить их от таких моделей атак, поскольку это потребует сложных протоколов передачи данных.
Хакер Крис Паджет придумал, как на расстоянии до 9 метров считывать и клонировать метки RFID-паспортов. Для этого ему понадобились RFID-ридер Symbol XR400 производства Motorola, антенна AN400 той же компании и ноутбук Dell 710m.
[Подробнее об успешно проведенном эксперименте >>>]Все оборудование Крис приобрел на аукционе eBay примерно за $250. На ноутбук хакер установил разработанную им программу, которая, собственно, и заставляет ридер искать метки.
Проехавшись со своей техникой по Сан-Франциско, он успешно скопировал две RFID-метки паспортов прохожих, оказавшихся в зоне действия ридера.
«Мне важно было предъявить этот аргумент тем, кто говорит, что все это лишь теории и в реальной жизни такое проделать нельзя», – поясняет господин Паджет.
Паспорт с RFID можно прочитать с расстояния в 70 метров
Информацию из идентификационных радиометок в американских паспортах можно считывать с расстояния в десятки метров, как продемонстрировал исследователь Крис Паже на конференции Black Hat 2021.
Пользуясь доступным в продаже оборудованием, которое он приобрел за 2,5 тыс. долл., исследователь собрал систему, позволяющую считывать RFID в паспортах с расстояния в 66 м, но по его утверждению, в более удачных условиях дистанцию можно увеличить и до 300 м.
По официальной информации, в RFID-чипах содержится те же сведения, что и в самом паспорте, то есть имя, национальность, возраст, адрес держателя и т. д. По сведениям Паже, такие же радиометки — EPC Gen 2 — используются в канадских паспортах, в водительских правах в штате Нью-Йорк и в системах контроля товаров в магазинах Wal-mart.
Чтобы RFID-метка передала информацию, ей необходима энергия, которую она получает от радиоволн. RFID работают в диапазоне 900 МГц, как и любительские радиостанции.
Паже увеличил мощность передатчика для RFID со стандартной 1 Вт до максимально допустимой для любительской радиостанции в 1,5 кВт, за счет чего ему и удалось добиться возможности считывания метки с большого расстояния.
Внедрение биометрического загранпаспорта а РФ идет полным ходом
В России вручили юбилейный по счету, 12-миллионный биометрический загранпаспорт.
Как сообщили в Минкомсвязи, в скором времени наш биопаспорт станет общепринятым в мировом масштабе. Информацию с него будут мгновенно считывать компьютерные системы всех стран. Пока еще, по словам чиновников, в редких случаях он не воспринимается электроникой.
Что же касается российских аэропортов, то их планируют оснастить специальными модулями, которые будут проверять данные, указанные в паспорте, всего за 15 секунд. Пока же такие документы проходят обычную проверку — как и загранпаспорта старого образца.
…подделали за час
Голландский ученый Джероен ван Бик из Амстердамского университета сумел подделать биометрический паспорт. Во время эксперимента голландец взял два чипа реально существующих британских паспортов и создал их точные копии.
После этого он изменил данные на копиях чипов, вставив в паспорта фотографии Усамы бен Ладена и палестинской террористки-смертницы Хибы Дарагме. Программа, рекомендованная для проверки паспортов в международных аэропортах, признала подделанные паспорта настоящими.
По заказу британской газеты The Times ван Бик, исследователь систем безопасности, разработал метод чтения и копирования микрочипов, а также изменения содержащихся на них данных.
Причем полученные чипы признает настоящими программа Golden Reader, используемая Международной организацией гражданской авиации для проверки паспортов в аэропортах. Ван Бик основывался на исследованиях, проведенных в Великобритании, Германии и Новой Зеландии.
После разработки метода голландцу потребовалось меньше часа на изготовление двух поддельных микрочипов, готовых к тому, чтобы имплантировать их в бумажную часть паспорта. Денежные затраты также были невелики, ван Бику потребовались два чипа, стоимость которых составляет 20 долларов, и устройство для чтения информации за 80 долларов.
Группа экспертов по безопасности THC/vonJeek представила эмулятор для ePassport. Этот эмулятор позволяет создать резервную копию вашего паспорта. Подробная информация о том, как сделать копию электронного паспорта опубликована на сайте freeworld.thc.org
источник
На источнике есть интересный комментарий: «чтобы уничтожить чип, нужно положить его в микроволновку 5 раз на 2 секунды» Может кто-нибудь проверял? Это правда? Работает?
§
[Spoiler (click to open)]
Инженерный корпус армии США, Агентство противоракетной обороны США, Европейское командование вооруженными силами США в Европе, ВМС США и Министерство экономики Польши презентовали базу ПРО США в Польше.
Вот в каких целях она строится (по заявлениям презентующих):
«В качестве демонстрации наших непрекращающихся усилий создать противоракетную оборону, обеспечивающую возможность для американских и европейских союзников по НАТО [реагировать] против существующих (выявленных) и возникающих угроз».
На мероприятии предоставлена информация потенциальным подрядчикам о том, как они могут конкурировать за правительственные контракты:»Противоракетная оборона является критически важной частью безопасности НАТО, и Соединенные Штаты глубоко ценят вклад Польши в усилиях по ракетной обороне НАТО. Польша планирует потратить $ 10 миллиардов долларов США на интегрированные воздушные и ракетные системы обороны в течение ближайших десяти лет. Это в дополнение к решению Польши разместить у себя американскую ПРО базу в Редзиково»
Батюшки светы — ни слова про Иран?
Из Вики: В начале октября 2006 года, отправляясь с визитом в Варшаву, министр иностранных дел РФ Сергей Лавров заявил, что «Россия примет соответствующие меры в случае, если Польша разместит на своей территории элементы системы ПРО США».
В июле 2007 сенат США утвердил поправку к закону о военных расходах на 2008 год, согласно которой создание системы ПРО будет являться официальной государственной политикой США, а система ПРО будет официально создаваться для противодействия ракетно-ядерной угрозе со стороны Ирана.
Утверждение произошло практически единогласно (90 из 100 присутствующих сенаторов).8 декабря 2021 года — По словам Клинтон, система ПРО направлена не против РФ, а против Ирана, добавив, что «это не повод для военных контрмер со стороны России
Почему в День американской промышленности в Варшаве не упомянули Иран? Чудеса!
Эти милые чудаки забыли?
Строительно-сметную документация на строительство объекта в Редзиково обещают раскрыть нам не позднее 3 кв. 2021 года.
А пока Инженерный корпус США (который планирует активно отстраиваться в Прибалтике, Польше (и почему-то на Украине) размещает запрос предложений желающих поучаствовать в столь нашумевшем строительстве.
Яростные поляки и западенцы должны бесплатно наниматься на эту стройку, чтобы по её завершении выколоть на груди что-то:»Строил щит против ватников».
Вот запрос предложений.
Предполагаемые стоимость строительства: от 100 до 250 млн. $Предполагаемая продолжительность проекта: 600-900 календарных днейСооружения проходят по категории: гражданские, высокой сложности.Цель строительства: missile defense in Europe and defense of the United States — то бишь оборона Европы и США.
Владислав Булахтин
http://www.politonline.ru/interpretation/22880533.html
§
§
А США себя уже изжили.
Им, как государству, также как и любой выработавшей свой ресурс технике, требуется капитальный ремонт. Там идут определённые социальные процессы, одни из которых необходимо, с точки зрения ГП, блокировать, другие изжить, а на основе третьих построить новое государство. То есть чтобы США «перезапустить».
Как раз на этот период и нужен другой мировой жандарм, в качестве которого ГП хотел бы использовать Россию.
Чтобы русские парни были бы по всему миру, погибали бы в разных войнах. Если американцы такие вопросы решают дистанционно, то русские могут это делать более точно и эффективно, если их на это дело направить.
Таким образом, из нас хотят сделать мировую супер-державу, что противоречит русскому духу, ибо
русские никого не завоёвывают и никого не порабощают.
ГП сейчас действительно содействует мировому возвышению России, но
только лишь в собственных интересах.
И это потому, что ГП глобальное управление «довёл до ручки»:
мир встал на грани экономической, экологической и военно-политической катастрофы.
А рецептов, как от этого края отодвинуться, у ГП нет.
Но они есть у России и реализуются Путиным.
Вот только эти русские рецепты интересам ГП не отвечают совсем.
Поэтому ему приходится стоять перед дилеммой:
- если России помогать по полной программе, наступит конец монополии власти ГП в мире;
- если же России не помогать возвышаться, мир может погибнуть; и погибнет вместе с ГП.
Оттого ГП принимает некое половинчатое решение:
России помогать, и при этом – всячески ей мешать.
То есть:
Пусть Россия решит глобальные проблемы ГП, но – без приобретения собственного государственного суверенитета.
В России сейчас вопрос стоит не о том, чтобы построить какое-то конкретное государство.
А к сожалению, речь о том, чтобы у нас вообще было бы государство, и чтобы оно обладало суверенитетом.
Потому что мы, особенно в 90-е годы, практически ничем не отличались от современной Украины:
У России не было никакой государственности.
У нас была государственность, необходимая только лишь для извлечения дани с российской территории и передачи её в Соединённые Штаты или другие страны, которые ГП назначит для этого.
И только с приходом Путина мы начали постепенно выходить из этого состояния и строить собственное государство.
Перед приходом его в стране шла гражданская война (Чечня), наличествовала раздробленность. Были готовы к отделению Дальневосточная, Сибирская республики. Сибирская республика делилась непосредственно на Сибирскую, во главе с генералом Лебедем, и Кемеровскую область, с Тулеевым, который уже создавал свой собственный золотой запас. В Уральской республике, во главе с Росселем, уже был полный комплект: вся атрибутика, и даже деньги уже напечатали – уральские франки. И так далее.
То есть в России страны, как таковой, не было.
И Путин всё это срастил и возобновил жизнедеятельность России как государства.
Сейчас речь идет о том, чтобы завершить это государственное строительство, а уже потом начать определяться,
каким это государство должно быть.
Поэтому, что делает ГП?
Он пытается сохранить у власти те компрадорские кланы, которые помогают Россию грабить. И для того, чтобы
не дать России выпрыгнуть из упряжки ГП.
Всё, конечно же, меняется. И когда-нибудь начнутся кадровые чистки.Но, как говорится, всякому овощу своё время – нельзя забегать вперёд.Можно, к примеру, проредить какую-то овощную культуру, чтобы она лучше росла. Но ведь корни оторвутся, и весь урожай может погибнуть.
Поэтому надо сперва
создать условия для смены кадров, чтобы эти кланы потом заменить.
Сейчас же представители этих кланов ездят в США за инструкциями на то, как нагадить России.
Им, вызывая на ковёр, говорят:
– Почему Путину позволяете так решать те или иные вопросы?
– Мы санкции наложили, а вы не можете добиться того, чтобы они сработали против элиты.
– Почему до 100-200% не взвинтили ссудный процент?
– Почему держите курс доллара на таком низком уровне?
Поэтому ГП, если и помогает России, то вовсе не от хорошей жизни.
ГП просто хочет ЖИТЬ.
Но при этом вынужден всячески России мешать – палки в колёса вставлять.
А если потребуется, то и нож в спину воткнёт.
Без проблем.
Использованные материалы: Пякин В.В. Глобальный Предиктор и Россия
См. также
Откуда появился «Левиафан»
Почему не любят русских
Когда рухнет доллар
§
Какую цель преследуют исламисты, эмигрируя в Европу? Не является ли это специальной программой, разработанной слиянием экстремистских организаций? А может быть, кто-то специально спонсирует и позволяет террористам осваиваться в своих странах, чтобы в дальнейшем использовать их силы против других стран? Эти и многие другие вопросы я задаю сам себе, и прихожу к таким рассуждениям.
Давайте зайдем в какую-нибудь европейскую школу (ну, например, французскую), и посчитаем в одном из классов детей коренных французов и детей иммигрантов.
Итак, что получается? А получается то, что число местных жителей уже резко уступает приезжим, и в скором времени этот процесс перевеса в количестве иммигрантов уже можно считать необратимым.
Европа так основательно увязла в своей толерантной демократии, что наплыв беженцев просто не остановить.
Процесс запущен, а нам остается только с любопытством наблюдать.
В связи с этим (и это ни для кого не секрет) ЕС ожидает глобальная исламизация, так как приезжие — в основном мусульмане.
Причем, количество представителей радикальных течений просто огромное, и прибывают они с горячих точек.
Из этого вполне логично предположить, что вероятность терактов может увеличиться. Этому способствует так же и то, что европейские тюрьмы нынче превращаются в натуральный инкубатор для пополнения экстремистских организаций.
Молодые люди массово попадают под влияние вербовщиков террористических группировок.
Причем, пропагандистов не так-то просто обнаружить, более того, иногда этого сделать практически невозможно. Они умело проводят свою агитацию, используя тонкие психологические приемы и методы убеждения. Чаще всего, в местах заключения им удается отлично интегрироваться, разбираться в тюремной обстановке и в связи с этим они могут с легкостью выйти на контакт с любым заключенным в прогулочном дворе.
Надо понимать, что заключённые немульсульмане в связи с тем, что их становится меньше по численности, испытывают сильное давление. По их рассказам, сокамерники мусульмане нередко насильно заставляют их читать исламскую литературу, подвергают унижениям и физическому насилию, чтобы склонить к формальному принятию ислама и отречению от других религий.
Многим обещают приятный бонус, а именно, если заключённые-одиночки принимают ислам, независимо от его статьи новые единоверцы обязуются защищать новообращённого. Члены террористических группировок пользуются особым авторитетом и уважением среди молодых и вновь прибывших. Принятие ислама является своеобразным продвижением по уголовной кастовой иерархии.
Из всего вышесказанного становится понятно, что присходящее в европейских тюрьмах — это благодатная основа для вербовки боевиков и выращивания нового поколения экстремистов.
Теперь спецслужбы Франции ломают себе голову, как им научиться выявлять влиятельных «одиноких волков» исламского фундаментализма и бороться с ними. Но не только Франция столкнулась с этой проблемой, массовый пропагандизм радикального ислама представляет значительную угрозу и для других стран.
Если Европа не предпримет никаких действий, то этот конвейер по выпуску боевиков будет продолжать плодить новых и новых боевиков, и теракты станут обыденностью.
§
Порошенко за мир, Яценюк – за войну. Нет, я не ошибся в этой фразе. Все складывается именно так. Премьер министр Украины в последнее время ведет себя очень, даже чрезмерно, активно, то отказываясь на 100% от российского газа (в прошлом году, кстати, он уже сделал подобную попытку – не вышло), то делает громкие заявления, расходящиеся с решениями президента страны.
Встает вполне закономерный вопрос – кто на Украине все таки главный, раз нет единой политики?
Конкретный пример расхожести мнений: в то время, как Порошенко подписывает минский мирный договор. Яценюк требует возвести на границе с Россией средства поражения. То есть, провоцирует на продолжение военных действий. (http://vz.ru/news/2021/2/18/730371.html)
И это не пустые слова высшего чина ради показухи. Он вполне конкретно поручил Авакову лично контролировать выполнение требований. Тоталитаризм – он такой, не требующий отлагательств. Если строить границу, так конкретно и на все деньги.
«Европейский вал» — новое название старого проекта «Стена», — это проект стены и некоего количества рвов, которые должны отгородить Россию от Украины… но пройдет она, в плане, по тем границам, которые определят украинские власти. Как вам идея? А ведь рыть уже начали – пограничники Украины отчитались о том, что уже сделано. (http://www.nfcphones.ru/online/news/1979508/)
Первоначальная стоимость стройки – 9 миллиардов долларов! Девять (!) миллиардов (!) долларов (!). Очень умно разбрасываться сотнями миллионов на бесполезный, но амбициозный (!) проект, в то время, как страна тонет в болоте кризиса. Украина уже несколько месяцев плавает на кредитах США и ЕС. Но «Стена» — как мечта, она должна быть у влиятельного украинского политика, иначе нельзя. (http://inform-24.com/3653-cena-proekta-velikoy-ukrainskoy-steny-podrosla-v-neskolko-soten-raz.html)
И даже не в самой стене дело, как в политических принципах премьер-министра, немножко тиранических: «Государственная граница строится и будет построена. Кто выступает против обустройства границы и линии безопасности, мы дадим возможность получить билет в одну сторону — по ту сторону границы. Это касается и пророссийских политических сил, которые уже подняли голову в стенах парламента, пророссийских и антиукраинских сил, которые пытаются создать хаос в стране» (с) Яценюк.
А теперь немного слов от Порошенко: «Сегодня стена защиты демократии проходит по границе Украины. Верю, что украинские земли так же объединятся и не позволят Злу разъединить Украину. Мы сильные и мы победим, ведь искусственные стены между людьми рано или поздно обязательно разрушаются». Ровно диаметрально противоположное мнение, однако. (http://fakty.ictv.ua/ru/index/read-news/id/1533008)
Так кто же на Украине главный — строитель стен, или их разрушитель? Как бы не открылся третий фронт гражданской войны — теперь на стороне премьер министра!
§
Как-то так получается, что постоянно меня что-то останавливает от того, чтобы начать читать книги. Ощущение такое, что тот, кому надлежит ведать моей судьбой, окончательно спятил и решил запихивать мне палки в колеса при каждой удобной возможности. Сначала у меня порвалась сумка.
Порвалась она именно в тот момент, когда я взял в библиотеке новую книгу. Порвалась наглухо, а сама книга категорически отказывалась помещаться в карман. Это было обидно до слез. Конечно, всегда была возможность носить книгу в руке. Но не в такой мороз.
Затем случилась еще одна беда. Мой любимый пес соизволил разъебать к хуям экран моего айфона до такой степени, что читать на нем не представляется никакой возможности. Теперь я могу видеть исключительно паутинку. Отличный план.
Ну, а сегодня случилась еще одна напасть. Теперь я точно не смогу почитать достаточно долго: я раздавил свои очки. Вот такой пиздец.
Месячник страшного лузерства объявляется открытым. Что еще получится сломать, разбить, уничтожить для того, чтобы не почитать в ближайшее время?..
§
Президент Чили Сальвадор Альенде — единственный лидер, призвавший народ не подставляться под пули военных ради его защиты и погибший на посту, который ему доверил Народ от пули путчистов.
19 февраля, Минск. Президенту Белоруссии Александру Лукашенко во время посещения Министерства обороны подарили автомат Калашникова. Подарок в специальном футляре преподнес министр обороны Белоруссии Андрей Равков. Министр отметил, что на протяжении уже нескольких десятков лет это надежное проверенное оружие востребовано президентами многих стран мира.
«Хорошее оружие. Мое», — сказал Президент Лукашенко, принимая подарок.
«Вы должны знать: в необдуманные, ненужные для страны авантюры я вас никогда не втяну. Но если придется защищать свою землю и стоять спиной к спине, плечом к плечу, вы можете быть уверены, что меня вы там увидите в первых рядах», — подчеркнул Батька, обращаясь к командному составу Вооруженных Сил Белоруссии.
§
Здесь речь пойдет о заговоре, которому подвержен сейчас практически каждый – о церковной привязке, особенно ярко выраженой в обряде отпевания покойников в церкви.
Отпевание – обряд поддержки Церковного эгрегора, в котором участвует не только покойный, но и его близкие и друзья.
Этот эгрегор поддерживается по любому поводу и имеет очень обширную алгоритмику.
Про церковь, взявшую на себя «право» быть наместником Иисуса Христа, Ф.Тютчев в «Encyclica» писал так:
Был день, когда господней правды молот
Громил, дробил ветхозаветный храм,
И, собственным мечом своим заколот,
В нем издыхал первосвященник сам.
Еще страшней, еще неумолимей
И в наши дни — дни божьего суда —
Свершится казнь в отступническом Риме
Над лженаместником Христа.
Столетья шли, ему прощалось много,
Кривые толки, темные дела,
Но не простится правдой бога
Его последняя хула…
Не от меча погибнет он земного,
Мечом земным владевший столько лет, —
Его погубит роковое слово:
«Свобода совести есть бред!»
Вот только-только, именно сейчас наступает время этой «казни» церковной иерархии.
Хотя ещё тогда, в середине XIX века, Тютчев назвал Церковь лженаместником Христа.
Сразу, как только так Церковь назвалась, и началась борьба.
С первых веков происходила канонизация Нового Завета и разделение церквей на Восточную и Западную. Кто главнее: Восточная церковь, с верхушкой в Константинополе, либо Западная Римская католическая? И до окончательного распада Римской империи, до падения власти Римского папы эстафета первенства пульсировала: папа крестовыми походами разорял Византию, потом Византия возвышалась на пару сотен лет, а затем её завоевали мусульмане.
Церковь, взяв на себя роль наместника Христа, взяла ещё и
роль проведения верующего человека от рождения (и даже раньше – от формирования семьи) до смерти.
То есть, по терминологии спецслужб – полного ближнего сопровождения.
Отпевание – один из обрядов, удерживающих людей из окружения покойника для того, чтобы показать собственную значимость – что церковь заботится о душе покойного.
Т.е. чем более старый человек, тем он чаще ходит в церковь, чтобы заботиться о своей душе.
Хотя на самом деле он здорово ошибается, потому что
имеет дело не с Богом, а с эгрегором церковной иерархии.
Поэтому этот обряд отпевания очень значимый.
Многие завещают, оставляют деньги только для того, чтобы этот обряд обязательно был проведён, ибо считается, что без него душа не попадёт в Рай.
Всё завещается Церкви только ради этого мифа по поводу спасения своей души, что имеет отношение к Доктрине посмертной справедливости:
Человек занимается всем, чем угодно, только не заботится о живущих.
Практически все религиозно-мировоззренческие основы от ведического Востока (буддизм) до библейского Запада по сути одно и то же – расходятся только в культовой практике и религиозной символике.
Доктрина спасения своей души «для будущей жизни», возможную только в «царствии небесном», выдаётся как основной смысл жизни и подменяет собой
фундаментальную земную привязку – жажду жизни.
Это на самом деле – трусливое бегство человека от самого себя и мирской цивилизации на некий духовный остров в мирском море-океане, к которому тянется человек со своими невезениями за спасением. Причём со своими радостями он туда почему-то не едет.
И тут очень важно отметить, что Христос говорил о наступлении«Царствия божьего на Земле», но некто совершил подмену на «Царствие небесное». И теперь первоначальное, христовое, изречение церковными священнослвужителями воспринимается как ересь.
Это некая духовная приманка, зацепка, интрига, в результате которой человек очень плотно попадает в плен церковной иерархии на уровне материальном, а на уровне духовном – церковному эгрегору, что совместно осуществляет очень жёсткую привязку к Церкви как лженаместнику Христа.
Использованные материалы: Славолюбов. Об обряде отпевания церковными служащими
См. также:
Глобальный Предиктор и Россия
Почему не любят русских
Откуда появился «Левиафан»
§
Вот в принципе и наступил февраль, ну как сказать наступил, почти закончился. Но если учесть тот факт, что жизнь начинается после 15 числа, это когда выдают зарплату, то у меня февраль буквально, только-только начался, но что-то пошло не так..
3 дня назад решил посмотреть прогнозы синоптиков и удостоверившись в том, что зима продолжает свою свирепость на просторах наших широт, я не задумываясь пошёл за ватрушкой, пока были на то средства. Придя в магазин и посмотрев на цены своей шалости, я немного охринел, ведь какая-то катальная ватрушка для взрослых, по сути, какой-то кусок резины с дерматином стоит аж 1499 рублей! Но это не было бедой, ведь в кармане лежала зарплата и говорила: «потрать меня сучка!».
Как вы уже поняли, купил наикрутейшую ватрушечку, нашёл охринительную, залитою водой, десятиметровую горку от торгового комплекса «зима-лето», что находится рядом с городом, удостоверился вчера в показаниях метеорологов в том, что на выходных будет около -6, что означало всё чики пуки, морально подготовился с утра, что сегодня пятница и завтра, я поеду как идиот кататься на ватрухе, чтобы наполнить ностальгический сосуд детства, но тут случился пиздец!
Целый день, сучандровский дождь хирачил с мокрым снегом и сделал на улице такое дерьмище, что ноги так и воют от сырости с криком души — высуши нас сволочь!
Ко всему прочему, я даже блять не могу себе представить, как же я поеду кататься, если на улице можно увидеть не снег, а чёртовы лужи с ручейками, по которым можно запускать ебанные кораблики!!!
Почему всё сговорилось против меня? Неужели грёбанная весна не могла отложить свой приход на неделю попозже?
Почему гнидоносные синоптики не работают, а играют в «русскую рулетку» с предсказаниями, пытаясь поднять свой уровень квалификации до Ванги???
Расскажите мне, где в этом чёртовом мире грёбанная С.П.Р.А.В.Е.Д.Л.И.В.О.С.Т.Ь??????
§
Почему люди выходят на улицы, захватывают административные здания и свергают правителей? Желание справедливости? Нет. Тонкая психологическая обработка. Россия будет следующей.
Как и многие, я зарегистрирован в социальных сетях: ВК, Фэйсбук, Твиттер. Терабайты информации ежедневно проходят через мои новостные ленты: фотографии друзей, видеоролики, аудиозаписи, статьи, твиты знаменитостей и т.д. Для того, чтобы оставаться в курсе событий я также подписан на новостные издания (речь идет о Твиттере), в частности на BBC Russia.
В последнее время я начал замечать интересные сообщения с аккаунта данной редакции. Более того, многие из них были помечены как реклама. То есть, эти сообщения могут видеть не только люди, подписанные на BBC Russia, но и любой другой русскоязычный пользователь твиттера. В течение недели я скринил эти «интересные» сообщения. Предлагаю посмотреть на них и проанализировать, что пытаются внедрить в мозг россиян британцы.
Некоторые из сообщений повторялись, некоторые я по глупости не заскринил (например реклама этого полугодовалого интервью знатного оппозиционера Васи Обломова http://www.bbc.co.uk/russian/multimedia/2021/08/140819_final_oblomov_seva_int ). Рассмотрим их по очереди.
Невинное предложение сравнить свою зарплату с зарплатой футболиста. Очевидно, что превосходство будет измеряться в сотни раз. Но какую идею посеет это сравнение? Ответ прост, чувство несправедливости, ущемленности, зависти. Человек морально подготавливается к восстанию, ведь его, бедного, не ценят в его стране.
Едем дальше. Позиция в России в некоем рейтинге свободы СМИ. 152-е место – вдумайтесь. В странах, которые опережают Россию, даже СМИ как таковых нет (Восточный Тимор). А кто знает, какие агентства составляют рейтинги, и самое главное, кто делает заказ этим агентствам на составления рейтингов? Открою тайну, самым крупным заказчиком всевозможных рейтингов являются государственные структуры США. Как говорится, «Совпадение? Не думаю». Для тех кто не верит, вот ссылка на организацию, которая проводила рейтинг. Источники финансирования открыто указаны вот здесь. Либералам советую не врать самим себе. В России реально можно говорить даже больше, чем во многих странах ЕС. Достаточно истории про небезызвестный Шарли и сына президента Саркози (http://www.nfcphones.ru/daily/26325/3210201/)
Ну, и, наконец, набор интересных фактов. Конечно, куда без них. Заманивая русских водочкой (к сожалению, эффективный метод) BBC вам расскажет «об интересных фактах», которые разовьют ваше презрение к власти и желание таки восстановить справедливость.
Дорогие друзья, нас обрабатывают, причем регулярно и филигранно. Враг стал куда более изощренным. Фильтруйте информацию, которая попадается вам в социальных медиа. На фронте этой информационной войны, известным людям не нужна стабильность в нашей стране, им нужен майдан и, желательно, война.
Клонируем карту mastercard в режиме magstripe
Перейдем непосредственно к принципу клонирования. Данный метод атаки на бесконтактные карты был опубликован двумя исследователями
из Австрийского университета. В его основе лежит общий принцип, который называется
Skimming
. Это такой сценарий, при котором злоумышленник крадет деньги с банковской карточки путем считывания (копирования) информации с этой карты. В общем случае здесь важно сохранять PIN-код в тайне и не допускать его утечки. Но в методе австрийских ребят это нам знать не нужно.
(MasterCard PayPass M/Chip)MagStripe (MasterCard PayPass MagStripe)
режим.
MagStripe — это режим поддержки карт с магнитной полосой. Этот режим реализуется на картах MasterCard с бесконтактным интерфейсом. Режим MagStripe скорее нужен для банков которым сложно переводить всю инфраструктуру для поддержки чиповых бесконтактных EMV транзакций. Кстати, у карт Visa также есть аналогичный режим работы — PayWave MSD (Magnetic Stripe Data).
Процесс обработки транзакции для бесконтактных карт урезан в сравнении с чиповыми и обычно работает в следующем режиме:
- Терминал отправляет команду SELECT PPSE (Proximity Payment System Environment). Карта шлет список поддерживаемых приложений.
- Терминал отправляет команду SELECT. В ответ получает необходимые детали приложения.
- Терминал отправляет команду GET_PROCESSING_OPTIONS. Карта отвечает какой тип аутентификации она поддерживает и существует ли там верификация держателя карты.
- Терминал отправляет команду READ_RECORDS. Карта в ответе посылает Track1 и Track2 практически аналогичный тому, что записан на магнитной полосе карты.
- Терминал отправляет команду COMPUTE_CRYPTOGRAPHIC_CHECKSUM. Которая означает, что карта должна на основе переданного Unpredictable Number сгенерировать значение CVC3.
Карта поддерживает специальную команду COMPUTE CRYPTOGRAPHIC CHECKSUM, аргументом которой являются данные, определенные в объекте Unpredictable Number Data Object (UDOL).
В результате карта с помощью алгоритма 3DES и секретного ключа вычисляет динамическую величину CVC3 (Card Verification Code).
В качестве аргумента функции 3DES используется конкатенация данных UDOL и счетчика транзакции (Application Transaction Counter,ATC).
Таким образом, значение величины CVC3 всегда зависит от объектов UN и ATC.
Другими словами, эта команда нужна, чтобы карта сгенерировала некую “подпись” для того, чтобы эмитент мог верифицировать карту. Однако, в этой подписи отсутствует подпись самой транзакции. В подписи содержатся значения ATC — 2 байта, CVC3 (Track1)
— 2 байта, CVC3 (Track2) — 2 байта, которые генерируются картой на основе секретного ключа, который также знает банк-эмитент и счетчика транзакций (ATC). При этом также для генерации подписи POS-терминал сообщает карте UN (Unpredictable Number)
— 4 байта, который также используется в генерации подписи. Unpredictable Number препятствует формированию кодов аутентификации на реальной карте для последующего использования в мошеннических транзакциях. Для атаки нам сильно мешает UN, поскольку 4 байта не представляется возможным перебрать, не выйдя за пределы счетчика транзакций. Однако, в спецификации этого есть некоторые слабости.
Во-первых, спецификация ограничивает UN кодировкой чисел, а именно Двоично-Десятичным Кодом (BCD), что по сути означает что, если мы посмотрим на такое закодированное число в HEX, то мы увидим только цифры от 0 до 9, все остальные значения считаются как бы запрещенными. Таким образом, количество UN уменьшается с 4,294,967,295 до 99,999,999.
Во-вторых, количество значащих цифр UN определяется картой. Таким образом в зависимости от специальных параметров в треках количество цифр в UN может быть от 10 до 10000 в зависимости от типа карты, на практике чаще всего встречается 1000 значений.
Таким образом план атаки выглядит следующий:
- Считываем карту и узнаем количество значащих цифр у UN, которое будет предоставлять терминал
- Перебираем все UN, получаем все возможные значения функции COMPUTE_CRYPTOGRAHIC_CHECKSUM, сохраняем их в соответствующей таблице с мапингом UN -> Result
- Подносим к POS-терминалу, узнаем число, которое просит POS-терминал.
- Выбираем из таблицы нужный результат и подставляем его в ответ терминалу.
- Транзакция уходит.
- PROFIT. Но успех одобрения транзакции не гарантирован, поскольку банк эмитент может отклонить такую транзакцию.
Стоит отметить также, что счетчик транзакций (ATC) препятствует повторному использованию ранее использованных кодов аутентификации, а значит что если мы использовали такую атаку, то необходимо копировать карту заново, поскольку счетчик транзакции уже использовался для получения информации и был использован в подписи, что значит, что если мы имели счетчик транзакций 1000, а после отправили транзакцию в банк, то банк уже не примет транзакции со счетчиком ниже <1001.
В большинстве случаев передаваемые данные с карты статические для всех транзакций. Конечно, кроме COMPUTE_CRYPTOGRAPHIC_CHECKSUM. Для генерации динамического CVC3 кода, приложение карты должно быть прочитано командой SELECT, затем GET_PROCESSING_OPTIONS, а только потом COMPUTE_CRYPTOGRACHIC_CHECKSUM и это довольно важный момент.
Для работы с терминалом и картой использовалась программа Terminal Simulator от MasterCard. Он прекрасно работает с различными NFC-считывателями и считывателями смарт карт. К тому же он абсолютно бесплатен. Он позволяет тестировать карты при различных настройках POS-терминала и ведет подробный лог всех запросов от терминала и ответов карты. Также его можно использовать для тестирования приложения на телефоне, работающего в режиме карты.
Для чтения карты использовался NFC считыватель ACR122.
Теперь давайте попробуем все это преобразовать в код. Приложение будем писать на языке Kotlin под Android. Сначала попытаемся описать общую структуру команды.
data class Command( var CLA: String = 0x00.toString(), var INS: String = 0x00.toString(), var P1: String = "", var P2: String = "", var Lc: String = "", var Nc: String = "", var Le: String = "", var Nr: String = "", var SW1WS2: String = ""
) { fun split(): ByteArray { return getHexString().hexToByteArray() } fun getHexString() = CLA.plus(INS).plus(P1).plus(P2).plus(Lc).plus(Nc).plus(Le).plus(Nr).plus(SW1WS2)
}Для начала нам нужно настроить работу с NFC. На телефоне мы можем работать в двух режимах. В режиме карты, это когда мы отвечаем на команды от терминала, и в режиме терминала когда отсылаем команды и производим считывание, например карты. Т.е. сначала мы можем клонировать карту, а потом сделать так чтобы на запросы от терминала мы отвечали уже заготовленными командами.
Далее упрощенная реализация взаимодействия с NFC:
private var nfcAdapter: NfcAdapter? = null /*!< represents the local NFC adapter */ private var tag: Tag? = null /*!< represents an NFC tag that has been discovered */ private lateinit var tagcomm: IsoDep /*!< provides access to ISO-DEP (ISO 14443-4) */ private val nfctechfilter = arrayOf(arrayOf(NfcA::class.java.name)) /*!< NFC tech lists */ private var nfcintent: PendingIntent? = null
.... override fun onCreate(savedInstanceState: Bundle?) { super.onCreate(savedInstanceState) setContentView(R.layout.activity_main) nfcAdapter = NfcAdapter.getDefaultAdapter(this) nfcintent = PendingIntent.getActivity(this, 0, Intent(this, javaClass).addFlags(Intent.FLAG_ACTIVITY_SINGLE_TOP), 0) cardEmulation = CardEmulation.getInstance(nfcAdapter) nfcAdapter?.enableForegroundDispatch(this, nfcintent, null, nfctechfilter) }
.... override fun onNewIntent(intent: Intent) { super.onNewIntent(intent) tag = intent.getParcelableExtra(NfcAdapter.EXTRA_TAG) cardReading(tag) }
..... override fun onResume() { super.onResume() if (canSetPreferredCardEmulationService()) { this.cardEmulation?.setPreferredService(this, ComponentName(this, "com.nooan.cardpaypasspass.NfcService")); } } override fun onPause() { if (canSetPreferredCardEmulationService()) { this.cardEmulation?.unsetPreferredService(this) } super.onPause() } private fun cardReading(tag: Tag?) { tagcomm = IsoDep.get(tag) try { tagcomm.connect() } catch (e: IOException) { error = "Reading card data ... Error tagcomm: " e.message Toast.makeText(applicationContext, error, Toast.LENGTH_SHORT).show() return } try { when { commands != null -> readCardWithOurCommands() mChip -> readCardMChip() else -> readCardMagStripe() } } catch (e: IOException) { error = "Reading card data ... Error tranceive: " e.message Toast.makeText(applicationContext, error, Toast.LENGTH_SHORT).show() return } finally { tagcomm.close() } } protected fun execute(command: Command, log:Boolean): ByteArray { val bytes = command.split() listLogs.add(bytes.toHex()) val recv = tagcomm.transceive(bytes) listLogs.add(recv.toHex()) return recv }Здесь описывается последовательность команд и перебор значений Unpredictable Number в цикле от 0 до 999, в нужную нам команду изменяем Nc на «00000${String.format(»d», i)}».replace(«..(?!$)».toRegex(), «$0 «). И не забываем выполнять GET_PROCESSING_OPTIONS каждый раз перед COMPUTE_CRYPTOGRAPHIC_CHECKSUM иначе чек сумма подсчитываться не будет.
В результате это все можно записать в файл и использовать уже при работе с настоящим терминалом. Здесь же мы получаем Имя и Номер карточки, можем отобразить это на экране.
