Similar presentations:
Обеспечение безопасности транзакций с использованием транспортных карт
1.
Обеспечение безопасноститранзакций с использованием
транспортных карт
Выполнил Аверьянов
Данил ИС191-9
2.
Что такое транспортная картаТранспортная карта — это бесконтактная карта, предназначенная для оплаты проезда на общественном транспорте, подключенном к
автоматизированной системе оплаты проезда (далее — АСОП).
Транспортная карта предоставляется в пользование оператором системы при условии оплаты активации в размере 50 руб.
Персональные транспортные карты с фотографией и именем владельца предоставляются оператором системы бесплатно. Для
получения такой карты нужно заполнить заявку на сайте оператора системы, в пункте обслуживания оператора или в МФЦ. Срок
изготовления персональной карты — 14 дней.
Для того, чтобы начать пользоваться транспортной картой, нужно выбрать выгодный для Вас тариф, оплатить его и затем записать на
транспортную карту.
На транспортную карту записываются тарифы двух типов: «Электронный кошелёк» или «Электронный проездной билет».
Транспортные карты работают при помощи NFC(Технология беспроводной связи)
3.
Определение NFC и историяNFC (Near Field Communication, «Коммуникация ближнего поля» или «связь
ближнего действия») — это технология беспроводной высокочастотной
связи малого радиуса действия, обеспечивающая обмен данными между
устройствами на расстоянии нескольких сантиметров.
Технология NFC была разработана в начале 2000-х годов Sony и Philips. Он
основан на радиочастотной идентификации (RFID), аналогичной технологии,
которая десятилетиями использовалась для идентификации объектов, таких
как домашние животные или складские запасы, с помощью радиоволн.
NFC использует так называемую связь «ближнего поля», потому что она
работает только тогда, когда взаимодействующие устройства расположены
очень близко друг к другу - не более чем на несколько дюймов друг от
друга.
4.
Уязвимости платежей на основе NFCNFC работает на дистанции не более 10 сантиметров на частоте
13,56 МГц. Технология подразумевает обязательное наличие
инициатора и цели. Инициатор генерирует активное поле, а цель
считывает его в пассивном режиме.
Над получением доступа к данным, передаваемым по NFC, уже
сейчас бьются учёные и хакеры. Исследователям из британского
Университета Суррей удалось считать данные, передаваемые с
помощью NFC-решений в супермаркете. Для этого использовались
портативные гаджеты, которые не вызывали подозрения у
покупателей. При этом они находились на расстоянии 45
сантиметров от получателя информации.
5.
Основные угрозы на основе NFC в транспортныхкартах
Подслушивание - MitM
Технология NFC сама по себе не может защитить себя от прослушки. Важно отметить,
что данные, передаваемые в пассивном режиме значительно труднее перехватить, но
пассивный режим в большинстве решений и приложений не применим.
Кража устройства
Получив мобильное NFC-устройство, злоумышленник может также получить права
суперпользователя, подключив это устройство к другому, таким образом, получить
всю необходимую информацию и использовать ее для осуществления нелегитимных
транзакций.
Ошибки в программном коде
6.
Модель угрозы MitMЕсли предположить, что А и B используют активный и пассивный
режим работы NFC-модуля соответственно, то будет создана
следующая ситуация. А генерирует ВЧ-поля и отправляет данные B.
Если злоумышленник (Е) находится достаточно близко, то он может
подслушивать данные, посланные А. Кроме того, Е должна активно
мешать передаче А, чтобы убедиться, что B не получает данных.
Пример атаки MitM
7.
Признаки атаки MitMАтаки «человек посередине» трудноуловимы, но их присутствие всё
же оставляет следы в обычной сетевой активности, а
профессионалы в области кибербезопасности и конечные
пользователи могут обнаружить эти следы. Принято считать, что
лучше предотвратить, чем обнаружить.
Признаки
Неожиданное или повторяющееся отключение
Вы входите в общедоступную или незащищенную сеть Wi-Fi
8.
Обеспечение безопасностиCоблюдение общих правил кибербезопасности поможет вам
защититься от атак типа «человек посередине»:
Подключайтесь только к защищенным маршрутизаторам
Используйте VPN
Обновляйте систему для защиты от вредоносных программ
Используйте менеджер паролей
9.
ЗаключениеАтаки типа «человек посередине» будут оставаться эффективным
инструментом в арсенале злоумышленников до тех пор, пока они смогут
перехватывать важные данные, такие как пароли и номера банковских карт.
Между разработчиками программного обеспечения и поставщиками
сетевых услуг с одной стороны, и киберпреступниками с другой идет
постоянная гонка вооружений для устранения уязвимостей, которые
злоумышленники используют для запуска своих атак.
Современные тенденции таковы, что количество сетей и подключенных к
ним устройств растет, а это означает, что у злоумышленников больше
возможностей использовать методы «человека посередине». Знание явных
признаков атаки «человек посередине» и применение методов
обнаружения может помочь вам обнаруживать атаки до того, как они
нанесут ущерб.