Уязвимость в банковской системе: PIN-код за 15 попыток
Счет, которым якобы воспользовались злоумышленники, помог выявить уязвимость в системе банковской безопасности. Существующая лазейка позволяет нечистому на руку банковскому служащему угадать секретный PIN – код пластиковой карты в среднем за 15 попыток. И теперь специалисты по компьютерной безопасности настаивают, чтобы банки провели ревизию в процедурах рассмотрения претензий клиентов по поводу исчезновений денег со счетов. В феврале 2000 года, спустя всего двое суток после того, как южноафриканский бизнесмен Анил Сингх, владелец пластиковой карты Diners Club, стал обладателем нового секретного кода, кто–то в Лондоне успел 190 раз снять наличные с его счета. В результате бизнесмен недосчитался почти 80 тысяч долларов, сам Сингх клянется, что не имеет к этим к этим операциям ни какого отношения, так как был за 6000 километров – в Дурбане, ЮАР. И, естественно, отказывается платить. А Citibank, выдавший оную пластиковую карту, теперь предъявляет ему иск. В подобных ситуациях виновными чаще всего оказываются клиенты, ведь банки уверены, что их системы надежно защищены от злоумышленников, говорит специалист по безопасности Росс Андерсон из Кембриджского университета. Однако он и его аспирант Майк Бонд (знакомая фамилия, не правда ли? смогли доказать, что это далеко не так. Оказывается компьютеры, отвечающие за сохранность секретных кодов, вовсе не такие непреступные крепости, какими их считают. Иными словами, южноафриканский бизнесмен получил весомый аргумент в свою защиту. «Вся система рассчитана на то, что никто не знает секретный PIN код клиента, кроме него самого», - объясняет Бонд. И часто клиенты сами должны доказывать, что никому его не сообщали. На самом же деле свою непричастность надо доказывать банкам, говорит он. Исследования Андерсона и Бонда продемонстрировали, что недобросовестный служащий банка может узнать 7000 секретных кодов в течение 30 минутного перерыва на обед. А уж потом можно их либо продать, либо использовать самому данную информацию. Такая ситуация, говорит Бонд, стала возможно из–за несовершенства компьютерной системы, которую применяют для авторизации пользователей. Действительно, любой, кто попытается угадать код методом подбора, воспользовавшись банкоматом, будет заблокирован системой после трех неверных попыток. Однако оказывается, что банковские служащие могут до бесконечности подбирать код, до тех пор, пока не угадают верный. Чтобы угадать, какая из 10 тысяч возможных перестановок и есть четырехзначный код, в среднем необходимо выполнить 5000 попыток. Тем не менее, Андерсон и Бонд продемонстрировали, что система, применяемая в большинстве банков Великобритании, позволяет найти нужный вариант всего за 15 попыток. Сандра Куин из Association for Payment Clearing Services говорит, что одно дело провести эксперимент в лабораторных условиях, и совсем другое – в действующем банке. «Никто не утверждает, что это невозможно. Однако маловероятно, что бы Британскую банковскую систему было так легко пробить», - считает она. Другие возражают. « Это действительно слабое место», - говорит Адам Хоули из компании Caplin Systems, которая разрабатывала программное обеспечение для систем безопасности. Но у вас должен быть очень высокий уровень полномочий, чтобы воспользоваться существующей лазейкой».