BIZTONSÁGTECHNIKA
İSZI ARNOLD
A PAYPASS BANKKÁRTYÁS FIZETÉSI MÓDSZER BIZTONSÁGTECHNIKAI ELEMZÉSE
SECURITY ANALISIS OF THE PAYPASS DEBITCARD PAYING SYSTEM
A cikk bevezetéseként PayPass bakkártyák mőködését mutatom be. Röviden vázolom a kártya lemásolhatóságának a problémáját. Végül kitérek a másolás elleni hatékony védekezés gyakorlati megvalósítására.
In the introduction I write shortly how the PayPass debitcard works. I shortly present the problem of making copies of this card. Finally I make a mention of the protection device which efficiently can be used against making copies.
1
1
Az ábrát a szerzı készítette
153
A PAYPASS BANKKÁRTYÁS FIZETÉSI MÓDSZER BIZTONSÁGTECHNIKAI ELEMZÉSE
Bevezetés A cikk célja, hogy a MasterCard PayPass – ISO/IEC 14443 Implementation Specification version 1.1 rendszerő kártyákat biztonságtechnikai szempontból elemezze. A Maestro PayPass a bankkártyák legújabb generációját képviseli, amelyek a hagyományos bankkártyákkal szemben lényegesen gyorsabb vásárlást tesznek lehetıvé, hiszen csak közelítenünk kell a kártyát a leolvasóhoz és egy másodperc alatt lezajlik a fizetés. A PayPass funkcióval felruházott bankkártyák a készpénz elsıdleges versenytársává válhatnak. A PayPass kártya tökéletes fizetési alternatíva azokon a helyeken, ahol jelenleg a készpénzes fizetés dominál: gyorséttermekben, trafikokban, tömegközlekedésben, stb. Ezek a kártyák a hagyományos mágnescsíkos és chip megoldásokat egyaránt tartalmazzák, így a hagyományos bankkártya-elfogadó helyeken is lehet velük fizetni. Ezt a típusú bankkártyát 2003-ban kezdték el bevezetni Amerikában, Magyarországon pedig 2009-ben jelent meg egy hazai fiókokkal rendelkezı bank új kártyatípusaként. A PayPass érintés nélküli technológia bevezetése 2009-ben egy budapesti tesztidıszakkal indult, így Budapest belvárosában található gyorséttermekben, kávézókban, újságárusoknál lehet PayPass kártyával érintés nélküli módon fizetni. A használatát tekintve egy olyan érintés nékül használható fizetıeszközrıl van szó, amelyhez nincs szükség PIN-kód megadására, így gyorsabbá és egyszerőbbé válik a vásárlás.2 Mivel a PayPass funkciót kifejezetten kis összegő vásárlásokra fejlesztették ki, ezért Magyarországon az érintés nélküli funkció kizárólag 5 000 Ft alatti vásárlások esetében használható. 5 000 Ft feletti vásárlások esetén a PayPass kártya a „hagyományos” bankkártyákhoz hasonlóan (a terminálon lehúzva) használható vásárlásra. Ez a limit nem módosítható. Az érintés nélküli vásárlás során a kártyabirtokos a vásárlás teljes ideje alatt magánál tartja a kártyát, így kizárva a kártya átadásából származó kockázatot, például, hogy lemásolhassák a kártya bármely informatikai adatát. 2
https://www.otpbank.hu/paypass/hu/Miez letöltve: 2010.12-hó
154
BIZTONSÁGTECHNIKA
Természetesen, ahogy a hagyományos bankkártya használat esetében, úgy a PayPass kártya használata során is annak tulajdonosa a legfontosabb biztonsági tényezı. A bankkártya készpénzt helyettesítı fizetési eszköz, ezért legalább ugyanúgy kell vigyázni rá, mint a készpénzre!3
A rendszer normál mőködése A PayPass megoldás alapját a Near Field Communication (NFC) alkalmazás képezi, amely a rádiófrekvenciás azonosítás (RFID) továbbfejlesztéseként jött létre. Az NFC biztonságos vezeték nélküli adatátvitelt tesz lehetıvé néhány centiméteres hatókörön belül, amely számtalan területen alkalmazható (alacsony összegő fizetések, beléptetési jogosultság igazolása, jegyvásárlás rendezvényekre, stb.) Ezek a megoldások olyan nemzetközi szabványokon alapulnak, amelyek a terminál körüli mágneses mezı által mőködésbe hozott eszközök adatátviteli képességét alkalmazzák mőködésük során. A PayPass kártya – a terminál hatókörébe érve – a másodperc töredéke alatt kapcsolódik az elfogadóeszközhöz, amely az ügyfél azonosítását követıen, feldolgozza a tranzakciót.4
A kártya biztonsági hibája A következı biztonsági problémát elemeztem a rendszer mőködésével kapcsolatban: a kártya lemásolható a tulajdonosa tudta nélkül. Ehhez arra van szükség, hogy egy olvasóegységgel megközelítsük a tulajdonos kártyáját, leolvassuk a kártya adatait és már írhatjuk is az ugyanolyan adatokkal rendelkezı másolatot. Így az elkészített ál-kártyával már vásárolhatunk is az eredeti tulajdonos költségére. A másolat-chipet elkészíthetjük bakkártya-formátumban, de akár óránkba vagy kulcstartónkra is integrálhatjuk a másolatot, mivel az eredeti termék is rendelkezik ilyen opciókkal. A pénztárosnak sem fog feltőnni, hiszen már Magyarországon is lehet a karóránkba épített chip segítségével fizetni. A fizetéshez nincs szükség PIN-kód megadására, így elég magáról a kártyában 3 4
https://www.otpbank.hu/paypass/hu/Biztonsag letöltve: 2010.12-hó https://www.otpbank.hu/paypass/hu/Mukodes letöltve: 2010.12-hó
155
A PAYPASS BANKKÁRTYÁS FIZETÉSI MÓDSZER BIZTONSÁGTECHNIKAI ELEMZÉSE
található chip-rıl másolatot készíteni.5 Természetesen amennyiben készítünk egy ilyen másolatot, akkor akár többet is tudunk készíteni, így több személy tud több helyen vásárolni a kártyával, mielıtt azt a bank letiltaná. A bankok felhívják az ilyen kártyák tulajdonosainak figyelmét, hogy a PayPass módon végrehajtott tranzakciókról nem kap SMS értesítést (kártyakontrollt), és a PayPass tranzakcióval elköltött összeg a számlaegyenlegét csak másnap csökkenti.6 Ezáltal a másolat kártyát használva a tulajdonos nem tudhatja, hogy éppen valaki vásárol az ı kártyájáról készített másolattal. Ráadásul a tulajdonos feleslegesen ellenırzi az egyenlegét, hiszen a bank csak másnap jeleníti meg a PayPass kártyahasználatokat. A bankok úgy védekeznek az általam felvázolt probléma ellen, hogy az olvasási távolságot relatív kevésre választották.7 A ISO/IEC 14443 Implementation Specification technology szabvány szerint a Paypass kártyának 10cm az olvasási távolsága a szabványnak megfelelı leolvasót alkalmazva.8 Ez a távolság a gyakorlatban 4cm-t éri csak el a MasterCard mérései szerint.9 Gyakorlati méréseim azt mutatták, hogy ez a távolság egyezik az általam végzett mérések eredményeivel is. Így valóban megnehezedik a kártya tulajdonos tudta nélküli illegális lemásolása a de nem lehetetlen és egyes emberek ezt ki is használhatják. Kész kártyaolvasó modul Olyan kártyaolvasó rendszert kell létrehozni, amely képes a kártya által tárolt digitális adatot kiolvasni. A kártya és a leolvasó 13,56Mhz-en 5
PayPass POS Host/Payment Software Implementation Guide megjelenés: 2007. szeptember, kiadó: MasterCard International Incorporated (p.35) 6 https://www.otpbank.hu/paypass/hu/Biztonsag letöltve: 2010.12-hó 7 http://www.mastercard.com/us/personal/en/aboutourcards/paypass/security.html letöltve: 2010.12-hó 8 MasterCard® PayPass™ M/Chip, Acquirer Implementation Requirements v.1-A4 6/06 PayPass—ISO/IEC 14443 Implementation Specification technology, megjelenés: 2006, Kiadó: MasterCard International Incorporated (p.9) 9 MasterCard PayPass– Combination Test Version 2.0 - megjelenés: 2006. november, Kiadó: MasterCard International Incorporated (p.93)
156
BIZTONSÁGTECHNIKA
kommunikál egymással.10 Így egy 13,56Mhz-en mőködı, ISO 14443 szabvány szerint megvalósított olvasóra van szükség, valamint egy adatok tárolását végzı eszközre továbbá a tápellátás megoldására. A feladat ellátásra alkalmas lehet például az Otiglobal cég egy terméke: Mifare RFID Module RFID - Mifare module (read / write) antennával egybeépítve, amely ISO 14443 Type A/B és Mifare kompatibilis és integrált antennával rendelkezik. Ez a modul képes nemcsak a PayPass kártya olvasására, de új kártyák megírására is. Hogy néz ki egy ilyen másolást végzı komplett egység? Az általam elkészített változatban a leolvasó egység a jogellenes tevékenységre készülı személy csuklójára van erısítve. A felsıruházata teljesen eltakarja azt, így az személyen nem látható semmi feltőnı vátozás. A leolvasó egység nagyságrendileg 7x4cm mérető, ez tartalmazza a leolvasó áramkört és az olvasáshoz szükséges antennát. Az áramforrás és a rögzítı egység a felsıtesthez rögzített. A rögzítı egység egy Atmega mikrovezérlıbıl áll, melynek feladata az adatkommunikáció vezérlése a leolvasó felé, a kiolvasott adatok letárolása, jelzésadás a használónak a sikeres leolvasásról és az USB interfészen keresztül az adatok PC-re való áttöltésének vezérlése. Áramforrás számára sorbakötöttem egy 9V-os elemet két AAA mérető ceruzaelemmel, amely így biztosította az eszközök mőködéséhez szükséges 12V feszültséget. Az így létrehozott áramforrás kis tömegő és gond nélkül képes a célnak megfelelı ideig mőködtetni a berendezést. A teljes egység így kényelmesen viselhetı hosszabb idın át is, ugyanis rendkívül kis tömeggel rendelkezik. Honnan tudja a jogellenes tevékenységre készülı személy, hogy hol keresse a tulajdonos PayPass kártyáját? Elıször is a másolást végzı személy megfigyeli a kártya tulajdonosát. Ha lát valamelyik zsebében pénztárca mérető dudorodást, máris próbálkozhat a leolvasással úgy, hogy a csuklóját közelíti a másik személy pénztárcát tartalmazó zsebéhez. Ez feltőnés nélkül megtehetı tömegközlekedési eszközön, tömeg10
2006 MasterCard International Incorporated, PayPass – M/Chip Vendor Testing Guide (Terminals) Annex D: Background information, megjelenés: 2006. március, Kiadó: MasterCard International Incorporated (p.61)
157
A PAYPASS BANKKÁRTYÁS FIZETÉSI MÓDSZER BIZTONSÁGTECHNIKAI ELEMZÉSE
ben való áthaladáskor vagy akár sorban állás közben is. A kártyaolvasással lehet próbálkozni továbbá a nadrág elsı és hátsó zsebeinél, illetve a táskák zsebeinél, amennyiben ez kivitelezhetı, figyelve arra, hogy a kártya tulajdonosát véletlenül se érintsük. Egy kisebb embertömeg „átvizsgálása” után már rendelkezhet a leolvasást végzı személy néhány kártya adatával, így megkezdheti a saját kártyáinak írását is. Továbbmenve megoszthatja az általa készített kártyákat ismerıseivel, így még több vásárlást tudnak elkövetni az áldozat számlájára. Természetesen az is elegendı, ha egy karórába szerelt chip-et programoz fel, hiszen így is lehet fizetni a PayPass rendszer alkalmazásával.
Megoldás a problémára A problémára egy speciális bankkártya tartó tokot javasolok. Ez egy kemény PVC tok, átlátszó fedlappal és hátlappal. A fogyasztói ára várhatóan 100Ft/darab, így gyakorlatilag fillérekbe kerül. A bankok is adhatnának ilyen típusú kártyatartó tokból a PayPass rendszert használó ügyfeleiknek. A kártyatartó tokot magam is elkészítettem és laboratóriumi méréseket végeztem vele. Magába a kártyatartó tokba egy speciális anyagból készítettem a rácsot alkotó hálót, amely Faraday-kalitka elvét alkalmazva megakadályozza a kártya jogellenes leolvasását. Mért jó ez a tok és kinek ajánlom A probléma megoldásán dolgozva fontos szempont volt számomra, hogy egy olyan eszközt és eljárást dolgozzak ki, amely az átlagos, PayPass-t használó magánszemélyek számára kényelmesen alkalmazható. Így nemcsak a biztonsági rés teljes eltüntetését jelenti, de használata könnyő és egyszerő. Az általam bemutatott PVC tok elınyei A fizetés mővelete egyszerő marad a tok alkalmazásával is, hiszen egy mozdulattal kivehetjük belıle a kártyát, egy mozdulattal fizethetünk vele, és már el is tehetjük a kártyát a saját tokjába. Ez a hatalmas elınye a megoldásnak, hiszen nincs szükség semmilyen bonyolult megoldásra, 158
BIZTONSÁGTECHNIKA
vagyis a használat kártyahasználat egyszerő marad. A kártyát nem takarja el az átlátszó tok, így a tulajdonos közvetlenül látja, hogy melyik kártyáját tartja a kezében. A tok a kártya méretét alig növeli meg, így ugyanúgy lehet tárolni a bankkártyát, mint tok nélkül. A PayPass megalkotásával az volt a cél, hogy egy gyors fizetési módot hozzanak létre. A kártya megfelelı védelmének megtervezésekor elsıdleges szempontom volt, a fizetés sebessége ne csökkenjen és maradjon egyszerő. Egy ilyen speciális tok alkalmazásával teljes biztonságban tudhatjuk a pénzünket miközben a PayPass redszerő fizetés minden elınyét élvezhetjük. Kísérletek a kártyatartó PVC tok elkészítéséhez A kereskedelmi forgalomban kapható PVC bankkártya tartó tokot választottam a megoldás alapjául. Erre építettem rá egy árnyékoló réteget, amellyel megakadályozható a kártyán lévı adatok kiolvasása. A háló lyukméretét úgy választottam, hogy az a hullámhossz tizedénél kisebb legyen. Tehát a PayPass rendszereknél alkalmazott 13,56Mhz-es mőködési frekvencián (2,21 cm hullámhossz) 2 mm-es lyukmérető háló már összefüggı árnyékoló lemeznek látszik, és blokkolhatja a kártya elektromos leolvasóval történı olvasását. A továbbiakban bemutatott mérések elvégzéséhez névlegesen 10cm olvasási távolsággal rendelkezı olvasót alkalmaztam. Természetesen léteznek ettıl nagyobb olvasási távolsággal rendelkezı leolvasók is. Elsı kísérletsorozatban meghatároztam a kártya normál leolvasóval történı olvashatósági távolságát. A leolvasó egységet közelítettem a kártyához, és a sikeres leolvasás pillanatában dokumentáltam a közöttük lévı távolság értékét. A mérést többször megismételtem különbözı szögbıl közelítve, az olvasót tengelyei mentén is elforgattam. Fontosnak tartom a valós illegális leolvasás pontos szimulálását, ezért néhány mérés elvégzésekor az elrendezést úgy módosítottam, hogy ruhaanyagot és pénztárcát is elhelyeztem az olvasó és a kártya között. Ezt az eljárást alkalmaztam mindegyik mérés elvégzésénél. A kísérleteim alkalmával az olvasási távolságok átlaga a speciális tok nélkül 3,7cm-re adódott. A második kísérletben a kártyatartó tok egyik oldalát 2mm-es lyukmérető vékony alumíniumszálakból készült hálóval borítottam. Így 159
A PAYPASS BANKKÁRTYÁS FIZETÉSI MÓDSZER BIZTONSÁGTECHNIKAI ELEMZÉSE
az átlagos olvasási távolság a borított oldal felıl lecsökkent 1,4cm-re. Látjuk, hogy az olvasási távolság az eredeti érték 40%-ára csöknet, ami már sikeres mérési eredmény, de nem oldja meg a problémát. Elvben lehetséges olyan olvasót készíteni, amely nagyobb teljesítményő, így képes nagyobb távolságról is leolvasni a kártyát. A harmadik kísérletben szintén 2mm-es lyukmérető vékony alumíniumszálakból készült hálóval borítottam a kártyatartó tokot, de ezúttal annak mindkét oldalát. A tokban lévı kártyát már csak 1,1cm távolságról tudta olvasni a leolvasó. Ez az eredmény már elfogadható, de ennél a pontnál nem adtam fel a méréseket, létrehoztam egy új hálót, amely az elızıtıl néhány paraméter tekintetében eltérı volt. A negyedik mérésben egy speciális anyagból készítettem a rácsot alkotó egyedi mintázatú hálót, és csak az egyik felét borítottam be a kártyatartó toknak a hálóval. Így az átlagos érzékelési távolság a rácsot nem tartalmazó oldal felıl 1,1cm-re adódott. A rács felıli oldalon 0mm távolságra sem sikerült az olvasás. Ez a gyakorlatban azt jelentette, hogy közvetlen fizikai érintkezés esetén sem valósult meg a sikeres leolvasás. Ötödik, záró mérés-sorozatomban a kártyatartó tok mindkét oldala be volt borítva a harmadik mérés alatt is alkalmazott speciális kialakítású ráccsal. A mérési eredmények ekkor azt mutatták, hogy az olvasás mindkét irányból gyakorlatilag lehetetlenné vált. Az olvasások átlagos sikertelensége 100%-ra adódott úgy, hogy minden olvasási kísérletben a kártya és az olvasó fizikai kapcsolatba került. Egy ilyen speciális bankkártya tartó tok alkalmazásával még növelt hatótávolságú leolvasók sem képesek a kártyát leolvasni. A speciális tokkal kártya teljes mértékben védetté vált, miközben megırizte a PayPass rendszer minden elınyét.
Összefoglalás A cikk megírásával az volt a célom, hogy felhívja a figyelmet a bemutatott problémára és ezzel egyidejőleg egy teljes biztonságot nyújtó védekezési lehetıséget ajánljon. Nem célom, hogy a jogellenes másolás technikai részleteit publikáljam, ezért a leolvasáshoz vagy a másoláshoz általam alkalmazott eszközök kapcsolási rajzait és programkódjait erkölcsi megfontolásból nem adom tovább bármilyen kérés is legyen az. 160
BIZTONSÁGTECHNIKA
A megoldásként alkalmazott bankkártya tartó tok részleteit nem publikálom, ameddig a szabadalmazási eljárás be nem fejezıdik. Így egyelıre nem publikusak a háló pontos adatai valamint a gyártási technológia sem. Természetesen várom azokat a támogatókat, akik befektetési lehetıséget fedeznek fel a termék piacra történı bevezetésében.
161
A PAYPASS BANKKÁRTYÁS FIZETÉSI MÓDSZER BIZTONSÁGTECHNIKAI ELEMZÉSE
Felhasznált irodalom 1.
Az ábrát a szerzı készítette
2.
https://www.otpbank.hu/paypass/hu/Miez letöltve: 2010.12-hó
3.
https://www.otpbank.hu/paypass/hu/Biztonsag letöltve: 2010.12-hó
4.
https://www.otpbank.hu/paypass/hu/Mukodes letöltve: 2010.12-hó
5.
PayPass POS Host/Payment Software Implementation Guide megjelenés: 2007 szeptember, kiadó: MasterCard International Incorporated (p.35)
6.
https://www.otpbank.hu/paypass/hu/Biztonsag letöltve: 2010.12-hó
7.
http://www.mastercard.com/us/personal/en/aboutourcards/paypass/s ecurity.html letöltve: 2010.12-hó
8.
MasterCard® PayPass™ M/Chip, Acquirer Implementation Requirements v.1-A4 6/06 PayPass—ISO/IEC 14443 Implementation Specification technology, megjelenés: 2006, Kiadó: MasterCard International Incorporated (p.9)
9.
MasterCard PayPass– Combination Test Version 2.0 - megjelenés: 2006 november, Kiadó: MasterCard International Incorporated (p.93)
10. 2006 MasterCard International Incorporated, PayPass – M/Chip Vendor Testing Guide (Terminals) Annex D: Background information, megjelenés: 2006 március, Kiadó: MasterCard International Incorporated (p.61)
162
