V průběhu léta byly zpracovány a vyhodnoceny výsledky zajímavého experimentu, který proběhl na Fakultě informatiky (FI). Předmětem experimentu byla bezpečnost plateb kartami v „kamenných“ obchodech za fyzické přítomnosti karty a jejího držitele. Ukázalo se, že bezpečnost těchto platebních operací je velmi malá, zejména u autorizace podpisem. Motivací pro experiment byl dlouholetý spor příznivců dvou rozdílných metod pro potvrzení platby kartou ze strany uživatele – buď podpisem, nebo zadáním PINu. V mnoha zemích na světě začínají banky vydávat jen ty platební karty, u kterých je nutné autorizovat platby zadáním uživatelova PINu. PIN v tomto případě slouží pouze pro přístup k funkcím karty samé, které umožní potvrdit platbu pomocí silných kryptografických funkcí podporovaných čipem, což magnetický proužek neumožňoval.
Zatímco o vyšší úrovni bezpečnosti informací uložených v čipu platební karty (oproti uložení na magnetickém proužku) nejsou větší pochyby, pohled na bezpečnost samotných plateb v obchodech, s ohledem na příležitostného útočníka (nebo malou skupinu spolupracujících lidí), už není tak jednoznačný. Zpochybnění platební transakce, o níž existuje záznam v podobě více či méně zdařilého podpisu provedeného útočníkem, je z pohledu okradeného/podvedeného vlastníka karty daleko jednodušší než u platby, u které existuje pouze záznam o tom, že byl zadán správný PIN.
Skupina pracovníků FI, věnující se otázkám bezpečnosti informačních technologií, se tedy rozhodla uskutečnit experiment. Ten byl rozdělen do dvou částí: první z nich proběhla na jaře 2005 v knihkupectví P. Marečka na FI a druhá pak v nejmenovaném brněnském supermarketu v březnu 2006.
Na experimentu, který se uskutečnil v rámci prací v oblasti identity v informační společnosti (EC NoE FIDIS) a za pomoci společností VaF, Monet+, knihkupectví P. Marečka (na fotce) i nejmenovaného obchodního řetězce, se podílelo téměř osmdesát studentů, zaměstnanců a přátel FI, jimž všem patří za tuto pomoc velké poděkování. Detailní popis experimentu lze nalézt na webové adrese http://www.fi.muni.cz/usr/matyas/Experiment_PlatKarty_CZ.html.
V první (zkušební) fázi byla bezpečnost autorizace karetních plateb zkoumána v simulovaném prostředí. Více než třicítka studentů se coby nakupující ve fakultním knihkupectví Pavla Marečka postupně vydávala na simulovaný nákup platební kartou. Pro zadání PINů byla využita dvě platební zařízení – bez ochranného štítu a s masivním štítem. Druhá fáze experimentu se odehrála v supermarketu za běžného provozu a v reálných podmínkách. V obou fázích pak byly také provedeny nákupy, při nichž byl podpis držitele karty podvržen.
A výsledky? V první fázi při použití zařízení s ochranným štítem pozorovatelé správně zjistili přes 48 % číslic všech PINů. Při použití zařízení bez velkého ochranného štítu, kterých se v obchodech u nás i ve světě nachází drtivá většina, pak zjistili zcela správně přes 70 % zadaných číslic.
Ve druhé fázi bylo úspěšně odpozorováno asi 42 % číslic PINů. Velký rozdíl jsme pozorovali v podpisové části, kde v druhé fázi experimentu nebyl odhalen jediný (!) zákazník falšující podpis někoho jiného, zatímco v první fázi experimentu bylo odhaleno 70 % falešných podpisů.
Co tedy říci na úplný závěr? Z výsledků je vidět, že autorizace podpisem, která v současné době převládá ve většině obchodů, není velmi bezpečná a v případě ztráty karty může velmi rychle dojít k jejímu zneužití. Co se týče autorizace PINem, zde je situace jen o málo lepší. V případě falšování podpisu stačí útočníkovi pouze karta; v případě autorizace PINem musí útočník nejprve úspěšně odpozorovat PIN a pak získat platební kartu. To je jen o něco málo složitější – ovšem se zpochybněním transakce to bude právě naopak.
Václav Matyáš,
katedra počítačových systémů a komunikací FI
