موضوع:

ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی

Security Evaluation of Card Issuer on SHETAB pattern

نویسندگان:

محمدجواد صمدی راد، عضو هیأت مدیره شرکت فناوری شهر، رئیس هیأت مدیره شرکت آشناایمن [email protected]

نادر مرتضی زاده، معاون فنی شرکت فناوری شهر(وابسته به بانک شهر)، [email protected]

مجید یداللهی، مدیر دفتر برنامه ریزی شرکت فناوری شهر(وابسته به بانک شهر)، [email protected]

 

ارائه شده در:

راه پرداخت، اطلاع رسانی بانکداری و پرداخت الکترونیک

مقدمه

کاربردهای گسترده کارت‌های بانکی با الگوی شتاب امری غیرقابل‌انکار بوده و ضرورت توجه به امنیت آن را صدچندان می‌نماید. خوشبختانه با ظهور شاپرک ساماندهی مناسبی در حوزه پذیرندگی کارت‌های شتابی به‌عمل‌آمده است و بخشی از تهدیدات امنیتی در این حوزه مدیریت شده است؛ اما در حوزه صادرکنندگی و تهدیدات امنیتی این حوزه اقدام جدی و مؤثری صورت نپذیرفته است. در این مقاله سعی شده تا با طرح یک سناریوی نفوذ، شرایط امنیتی کارت‌های بانکی صادر شده تحت الگوی شتاب را بررسی نموده و میزان آسیب‌پذیری کارت‌های فعال موجود در کشور را به نسبت این سناریوی نفوذ ارزیابی نماید.

دارندگان کارت‌های بانکی شتابی، بر این باور هستند که صرفاً با داشتن فیزیک کارت‌بانکی و رمز عبور می‌توان در پایانه‌های خرید و یا سایر ابزارهای پذیرندگی حضوری، نسبت به عملیات دریافت (یا خرید) اقدام نمود و لذا اعتماد خود را به امنیت سامانه‌های مرتبط با کارت‌های بانکی بر این اساس بنا نهاده‌اند و ازآنجایی‌که امنیت کارت‌بانکی خود را مبتنی بر دو عامل فیزیک کارت و رمز اول می‌دانند، معمولاً حساسیتی در افشای رمز عبور خود ندارند و شاهد آن هستیم که در فروشگاه‌ها، دارنده کارت، رمز اول خود را جهت وارد نمودن بر روی پایانه به پذیرنده افشا می‌نماید.

از سوی دیگر جرائم سایبری مرتبط با حوزه کارت‌های بانکی غالباً متمرکز بر کپی کردن کارت‌های بانکی است و با تهیه کپی از کارت‌بانکی و رمزهای افشاشده، جرائم مرتبط سازمان‌دهی می‌شوند. با توجه به ضعف ذاتی فناوری کارت‌های مغناطیسی، امکان کپی کردن کارت‌های مغناطیسی بسیار سهل است. ولی حداقل یک‌بار کارت باید در ترمینالی غیرمجاز کشیده شود تا امکان کپی آن فراهم گردد.

در سناریوی نفوذ پیشنهادی در این مقاله سعی شده است تا برای تهیه کپی از کارت، حتی نیاز به کشیدن آن بر روی پایانه غیرمجاز هم نباشد و بتوان بخش عمده‌ای از اطلاعات نوارهای مغناطیسی کارت‌های بانکی را با اطلاعات دیداری آن‌ها که بر روی کارت چاپ شده است بازسازی نمود و با کارت‌های بازسازی شده شرایط سوءاستفاده از حساب‌های بانکی را فراهم نمود. البته در شرایطی که بانک‌های صادرکننده، حداقل شرایط امنیتی را برای کارت‌های مغناطیسی فراهم کرده باشند، این روش نفوذ ناموفق خواهد بود.

صادرکنندگی کارت‌های شتابی

بر اساس الگوی شتاب، مسئولیت صدور کارت‌های بانکی منطبق بر شتاب، بر عهده بانک‌ها و مؤسسات مالی مجاز است که توسط مرکز شتاب و اداره نظام‌های پرداخت احراز صلاحیت شده‌اند. بر اساس آخرین دستورالعمل منتشر شده در زمینه مرکز شتاب که در سایت بانک مرکزی قابل‌دسترس است، شرایط عضویت و اتصال یک عضو جدید به تشریح بیان شده است.

مستقل از تست‌هایی که در زمان عضویت انجام می‌پذیرد، در این دستورالعمل شرایط بازرسی‌های بعدی و نظارت بر رعایت اصول امنیتی در شرایط بهره‌برداری مغفول مانده است که پیشنهاد می‌گردد در این خصوص نیز رویه‌های نظارتی مناسبی تدوین و اجرا گردد.

از سوی دیگر در این مستندات، شرایط کنترل، تست و ارزیابی فیزیک کارت، بسیار کمرنگ بوده و صرفاً محدود به ارجاع به برخی از استانداردهای رایج این حوزه است.

ارزیابی امنیتی بخش صادرکنندگی کارت‌های شتابی

تصویر شماره ۱- مستند فرآیند تراکنش‌های شتاب- فرآیند عضویت

امنیت در پردازش تراکنش‌های کارتی شتابی

با توجه به معماری شتاب و فرمت پیام‌های تعیین شده در مستندات فنی آن، مسئولیت احراز صحت پیام (به‌عنوان‌مثال تراکنش خرید) و احراز دارنده کارت (از طریق رمز) بر عهده بانک صادرکننده است. بر اساس همین مستندات، ارسال اطلاعات نوار مغناطیسی (Track 2) در کلیه تراکنش‌های حضوری (Card Present) الزامی بوده و صحت سنجی آن بر عهده صادرکننده کارت است.

ارزیابی امنیتی بخش صادرکنندگی کارت‌های شتابی

تصویر شماره ۲- توپولوژی کلان شتاب

ارزیابی امنیتی بخش صادرکنندگی کارت‌های شتابی

تصویر شماره ۳- شرح جزئیات اقلام اطلاعاتی و قالب تراکنش شتاب – شرایط بهره‌گیری از شیار ۲ نوار مغناطیسی در شتاب

ارزیابی امنیتی بخش صادرکنندگی کارت‌های شتابی

تصویر شماره ۴- شرح جزئیات اقلام اطلاعاتی و قالب تراکنش شتاب- الزامات امنیتی

جزئیات محتوای شیار ۲ (Track 2) نوار مغناطیسی:

جزئیات محتوای شیار ۲ نوار مغناطیسی در استاندارد ISO7813 به تشریح بیان شده است و دربرگیرنده اطلاعاتی مانند شماره کارت (PAN) و تاریخ انقضا است.

ارزیابی امنیتی بخش صادرکنندگی کارت‌های شتابی

تصویر شماره ۵- اجزای اطلاعاتی شیار ۲ نوار مغناطیسی

همان‌گونه که در تصویر فوق نمایان است، بخشی از این اطلاعات همان اطلاعات دیداری کارت (شماره کارت، تاریخ انقضا، PVV/CVV2) است و بخشی از اطلاعات مانند Service Code و CVV/CVC به‌صورت دیداری افشا نشده است و ضرورت دارد صادرکننده به نحوی این اطلاعات را در سمت سامانه صادرکنندگی خود نگهداری نماید. درصورتی‌که صادرکننده این بخش از اطلاعات را کنترل ننماید، امکان بازسازی اطلاعات شیار دوم با اطلاعات دیداری مقدور می‌گردد.

تشریح سناریوی نفوذ

با توجه به ساختار نوار مغناطیسی و ضرورت درج اطلاعاتی نظیر CVV/CVC در شیار دوم کارت و ضرورت کنترل صحت آن توسط صادرکننده، سناریوی نفوذی بر اساس همین ایده طراحی گردید:

۱-    با بهره‌گیری از دوربین مداربسته یک پذیرنده، تصاویر کارت‌های بانکی استخراج گردید و اطلاعات دیداری آن‌ها استخراج شد.

۲-    بر اساس اطلاعات دیداری کارت‌ها، کارت شبیه‌سازی شده معادل هر کارت تهیه گردید.

۳-    به دلیل افشای رمز توسط دارندگان کارت در زمان استفاده از کارت، رمز کارت‌ها نیز به‌سادگی در اختیار نفوذگر قرار گرفت.

۴-    به‌منظور ارزیابی امنیت بانک‌های صادرکننده در کنترل محتوای شیار دوم نوار مغناطیسی با کارت‌های شبیه‌سازی شده و رمزهای شنیده شده، تراکنش خرید ۱۰۰۲ ریالی انجام شد و نتایج زیر حاصل گردید.

تعداد بانک‌های عضو شتاب ۳۳
تعداد بانک‌هایی که کارت آن‌ها در سناریو مشاهده گردید ۲۵
تعداد بانک‌های آسیب‌پذیر ۱۲

ارزیابی امنیتی بخش صادرکنندگی کارت‌های شتابی

تصویر شماره ۶- درصد بانک‌های آسیب‌پذیر

پیش‌بینی تعداد کارت‌های آسیب‌پذیر

بر اساس آخرین آمار منتشر شده از سوی بانک مرکزی، تعداد کارت‌های فعال بانک‌های صادرکننده به شرح زیر است:

ارزیابی امنیتی بخش صادرکنندگی کارت‌های شتابی

با فرض آنکه کارت‌های صادر شده توسط هر یک از بانک‌های فوق توسط صرفاً یک سوییچ صادرکنندگی مدیریت می‌گردد و رفتار امنیتی با کلیه کارت‌های یک بانک یکسان است، تعداد کارت‌های آسیب‌پذیر در کشور به شرح زیر است:

ارزیابی امنیتی بخش صادرکنندگی کارت‌های شتابی

تصویر شماره ۷- درصد کارت‌های آسیب‌پذیر

نتیجه‌گیری

۱- وضعیت کنونی صادرکنندگی کارت‌های شتابی بسیار پر ریسک بوده و احتمال سوءاستفاده از حداقل ۳۲ درصد از کارت‌های صادر شده مطابق با سناریو طرح شده مقدور است.

۲- تهیه برنامه کوتاه‌مدت جهت بهبود وضعیت امنیت بانک‌های آسیب‌پذیر ضروری به نظر می‌رسد.

۳- برنامه بلندمدت جهت مهاجرت به کارت‌های با فناوری امن (ترجیحاً سازگار با EMV)، توصیه می‌گردد.

۴- تهیه برنامه کلان جهت ارتقاء شتاب از یک سوییچ واسط ملی به یک شپک استاندارد منطقه‌ای پیشنهاد می‌گردد.

منابع:

۱- بانک مرکزی جمهوری اسلامی ایران، سال ۱۳۹۲، مستندات فنی شتاب – جلد یک تا پنج، نسخه ۷.۰.۲

۲- سازمان بین‌المللی استاندارد، سال ۲۰۰۶، ISO/IEC 7813:2006 Information technology — Identification cards — Financial transaction cards

۳- وب‌سایت بانک مرکزی جمهوری اسلامی ایران