Jsou čipové karty bezpečné?

27. 3. 2006
Doba čtení: 7 minut

Sdílet

Autor: 29
Čipové karty jsou zajímavým řešením pro uložení citlivých dat; data jsou oddělena od počítače a pro případného útočníka není tak lehké se k nim dostat jako v případě, kdy jsou data uložena přímo na pevném disku. Ale i bezpečnost čipových karet, případně biometrických údajů, někde končí.

Čipové karty podle normy FIPS 140–1 level 2 současně umožňují i generování nových klíčů (privátního a veřejného), které mají být následně určeny pro tvorbu elektronického podpisu, případně jeho ověřování. Vlastností, kterou zatím nikdo nezpochybnil, je to, že pokud je na takové čipové kartě vytvořen privátní klíč, tak tento klíč po celou dobu své existence neopustí kartu. Operace, při kterých je třeba privátní klíč použít, jsou prováděny na čipové kartě.

Na první pohled se tedy jedná o vynikající řešení pro zajištění spolehlivé identifikace uživatele a pro důvěryhodnou tvorbu elektronického podpisu.

Podobně zajímavým řešením pro identifikaci osob jsou také biometrické snímače, které se připojují k běžnému počítači a snímají otisky prstů, dlaně, vzory oka nebo jiného parametru lidského těla. Variant těchto snímačů je celá řada, některé například v případě otisků snímají pouze papilární čáry, jiné snímače také kontrolují teplotu prstu, případně srdeční tep.

Logo COS
Vybírejte ve čtyřech kategoriích (software, projekt, akce a osobnost) to nejlepší z české open-source scény. Hlasujte ve velké anketě CZECH OPEN SOURCE 2006 a vyhrajte hodnotné ceny.

Z pohledu uživatele nebo informatika, který se zajímá o žhavé novinky z oblasti IT, se jedná o zajímavá řešení s nádechem Jamese Bonda a super tajných počítačů. Naprosto odlišný pohled na tuto oblast má a z podstaty své práce musí mít specialista na bezpečnost počítačů nebo hacker. Tito odborníci, pokud jsou skutečně odborníky, za které se vydávají, vám řeknou, že data uložená na čipové kartě jsou podle zatím veřejně dostupných informací na této kartě v bezpečí, tedy pokud se jedná o čipovou kartu alespoň podle FIPS 140 – 1 level 2. Současně by vám ale měli zdůraznit, že pokud není možné zneužít přímo čipovou kartu, tak je možné velice elegantně zneužít komunikaci mezi počítačem a čtečkou karet nebo snímačem biometrických parametrů.

K takovému názoru je nutné mít jednak rozsáhlé praktické, nikoliv obchodnické znalosti z oblasti bezpečnosti IS. Současně musíte mít zázemí, které vám umožní k takovýmto závěrům dojít, a poslední a možná i nejdůležitější podmínkou je odvaha, nebo možná i drzost takovou informaci zveřejnit. Marná sláva, trh s čipovými kartami a biometrickými snímači se rok od roku rozrůstá a pro mnoho obchodníků je výhodnější prodat několik tisíc čteček a čipových karet než se zabývat zveřejňováním špatných zpráv.

Možná někdo vidí v předchozích větách rozpor. Na jedné straně je čipová karta bezpečným úložištěm pro citlivá data a na druhé straně je možné tato data zneužít. Ten rozpor je pouze zdánlivý, protože jak jsem již uvedl, útok není nutné vést přímo na čip. Proč také, když mnoho lidí již dříve při takovém pokusu neuspělo. Jednodušší cestou s jistějším výsledkem je směřovat útok na komunikaci mezi počítačem a čipovou kartou.

Výchozí úvaha o útoku na čipové karty je velmi jednoduchá. Systém – a nikoliv pouze ten počítačový – je tak bezpečný, jak bezpečný je jeho nejslabší článek. V případě čipových karet je možné považovat tyto karty (pokud odpovídají normě FIPS 140 – 1 level 2) za bezpečné, odolné proti dnes známým „komerčním“ útokům. Druhou částí systému a mnohonásobně zranitelnějším je v tomto případě počítač. Klasické PC s operačním systémem Windows či Linux, se kterým čipová karta komunikuje přes jasně definované a veřejně známé rozhraní. To, že je rozhraní pro komunikaci s čtečkou čipové karty veřejně známé, jinými slovy znamená, že tuto komunikaci může využívat programátor, například pro vytvoření verze internetového bankovnictví nebo jiné aplikace s čipovými kartami. Stejný komunikační kanál ale může zneužít i programátor – podvodník pro vytvoření vlastního škodlivého programu pro falešnou komunikaci se stejnou čipovou kartou.

Zdá se vám tento postup málo pravděpodobný, nebo to dokonce vypadá jako sci-fi? Pro někoho určitě. Ostatně to samé říkali v roce 2002 někteří specialisté a soudní znalci i o slabině v internetovém bankovnictví. Uteklo pár let a zveřejněné informace se potvrzují, opravdu se přes internetbanking občas vykrádají bankovní účty. To, že sledování a zachytávání komunikace mezi počítačem a čipovou kartou nebo biometrickým snímačem není rozhodně žádná sci-fi, dokazují dnes ve škodlivých kódech často používané snímače klávesnic, keyloggery.

Jak zneužít čipovou kartu?

Pokud někdo očekával ukázku zdrojáku, tak jej musím zklamat. Nic takového zde uvádět nebudu. Informací, podle kterých si můžete dále uvedené skutečnosti ověřit, jsou plné odborné stránky na Internetu.

Způsob podvodu, útoku na čipovou kartu, by mohl mít například následující podobu. Na počítač uživatele, který používá internetové bankovnictví nebo jinou aplikaci s čipovou kartou, se dostane speciálně připravený škodlivý kód, trojský kůň či spyware. Není podstatné konkrétní pojmenování, podstatné je, jak by se takový program choval. Program by detekoval zapojení čtečky čipových karet k počítači a následně i přítomnost čipové karty. Na pozadí by sledoval zadání PIN kódu pro komunikaci s touto kartou, to není nic nového, dnes to zvládne každý keylogger.

ovladač

Po získání PIN kódu by škodlivý program sám ve vhodný okamžik vyzval čipovou kartu ke komunikaci. Bez vědomí uživatele by kartě podstrčil jeho PIN a následně předem připravenou bankovní transakci nebo jiný dokument, resp. hash takového dokumentu. Čipová karta v domnění, že se jedná o normální komunikaci, by vytvořila digitální podpis k předloženému dokumentu.

Výsledek – výsledný podpis bankovní transakce a podobně – by byl podle současných pravidel ověřování elektronických podpisů platný. Výsledek ověření by tedy zněl: operaci provedl skutečný vlastník karty.

Už slyším některé čtenáře, jak křičí, že i v tomto případě si za vzniklé problémy může uživatel sám, má používat pořádný antivir, nejlépe od firmy XYZ (doplňte podle vlastních zkušeností), má používat pořádný personální firewall a antispyware od firmy ABC (opět doplňte podle vlastních zkušeností). Ono to ale nemusí stačit. Pokud podvodník použije nějaké známé knihovny pro sledování klávesnice nebo portu, na kterém je připojena čtečka čipových karet, je reálná šance jeho škodlivý program objevit. Jenže co když škodlivý program bude vytvářet skutečný profesionál, který si nebude ulehčovat práci používáním cizích knihoven, a nebude riskovat, že jeho kód odhalí nějaký antispyware freeware program z důvodu již mnohokrát použité funkce pro sledování klávesnice?

Někdo může mít dojem, že se ve výsledku jedná o velmi komplikovanou konstrukci škodlivého programu. Jenže vždy je nutné posuzovat náročnost konkrétního řešení ve vztahu k předpokládanému zisku a případnému riziku. To by v tomto případě bylo minimální, protože po ověření digitálního podpisu vytvořeného podvodníkem by vše vypadalo, jako by podpis vytvořil skutečný vlastník čipové karty, protože mimo jiné by byl podpis vytvořen na počítači vlastníka karty v době, kdy on byl u počítače a čipovou kartu měl vloženu do čtečky. Určitě je v tomto případě dobré mít na paměti, jak rychle jdou kupředu možnosti počítačových programů a schopnosti programátorů. To, co před několika lety umělo vytvořit několik málo guru, je dnes téměř samozřejmost pro každého programátora. Tyto posuny znalostí platí v případě administrace sítí, tvorby databází, ale i při vytváření nových škodlivých programů.

Podobný postup by bylo možné použít i v případě biometrických snímačů. S tím rozdílem, že v těchto případech by se informace ze snímače uložily do paměti (souboru) škodlivého kódu, a ten by je následně podstrčil pro ověření uživatelovi identity počítači. Výsledek by byl opět stejný jako v případě zneužití čipové karty. Aplikace na počítači by falešná data vyhodnotila jako správnou identifikaci uživatele.

Bourání businessu?

Čipové karty jsou často pokládány za další zdokonalení identifikace uživatelů, a tak k tomu mnoho firem i přistupovalo a přistupuje. Doba se změnila. Rafinovanost škodlivých programů stoupá a pro zachování důvěry v čipové karty a biometrické snímače je třeba se dohodnout, jak se budou řešit případné problémy spojené s reklamací transakce, která byla elektronicky podepsána s privátním klíčem uloženým na čipové kartě, ale vlastník karty přísahá, že takovou transakci neprovedl.

Jednou z možných cest je jednoduše prohlásit, že za bezpečnost počítače si odpovídá uživatel, podobně jako to říkají české banky klientům, kterým vykradli bankovní účty přes internetová bankovnictví, nebo jak to říkají autoři zaručeného elektronického podpisu pro komunikaci mezi občany a státními úřady.

Jenže stále se objevují nové a nové bezpečnostní díry v používaných programech a přenášet i nadále zodpovědnost pouze na běžné uživatele je neúnosné. Mimo jiné i proto, že takový přístup odrazuje běžné uživatele od používání moderních aplikací.

S případy, kdy dojde ke zneužití současného způsobu komunikace mezi počítačem a čipovou kartou nebo biometrickými snímači, se prostě musí do budoucna počítat. Způsob, jak podvod provést, je veřejně znám a záludnost tohoto podvodu je mimo jiné i v tom, že by byl proveden v době, kdy by byl oprávněný uživatel u počítače a čipovou kartu měl vloženu ve čtečce.

Používáte čipové karty?

Autor článku

Autor vystudoval obor sdělovací a zabezpečovací systémy a vzdělání si v 90-tých letech rozšířil o studium podnikové ekonomie. Pracoval ve VVÚ 060, později na BCPP, a. s.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).