Разработка мер защиты информации при платежных операциях через банкоматы

Введение
Постановки задачи на проектирование, требования к объекту (предмету) проектирования
Понятие «банкомат»
Уязвимые места банкоматов
Способы построения сети банкоматов
Логическая структура (функции, процессы, протоколы, способы передачи, обработки, хранения информации и т.д.)
Физическая (аппаратная) структура: анализ и выбор средств и их связей. Схема физической структуры объекта (предмета) проектирования
Программная структура: анализ и выбор состава и структуры общего и специального мат. обеспечения объекта проектирования
Выбор показателей, способов оценки и оценка эффективности принятых проектных решений
Меры защиты банкоматов и POS терминалов
Функциональные возможности Safe'n'Sec TPSecure
Заключение
Список литературы

Разработка мер защиты информации при платежных операциях через банкоматы

Практика показывает, что для предотвращения и регистрации нештатных ситуаций необходимо установить систему видеоконтроля и встроенное охранное оборудование — комплект тревожных датчиков (датчики открытия верхнего и нижнего шкафа, датчик удара, датчик отсутствия основного питания и т.д.). Однако необходимо учитывать, что использование видеосистемы и датчиков ОПС по отдельности вызовет значительные неудобства, напрямую влияющие на оперативность реагирования на тревожную ситуацию. Это связано, прежде всего, с несогласованием работы охранных датчиков и системы видеорегистрации, например срабатывание датчиков не вызывает начала записи видеоролика. В комплексной же системе все устройства управляются централизованно и взаимодействуют друг с другом, что позволяет моментально реагировать на действия предполагаемого злоумышленника: наблюдая за ситуацией удаленно, оператор принимает адекватные меры (включает сирену, блокирует карточку клиента или же вызывает на место происшествия группу захвата). В условиях, когда одна ошибка при проектировании может стоить заказчику потери десятков тысяч долларов, использование продуманного комплексного решения становится суровой необходимостью.
Этим требованиям отвечает появившаяся недавно интегрированная система TRASSIR-Банкомат™, разработанная компанией DSSL совместно с украин­ской компанией «Явир-2000», одним из направлений деятельности которой является охрана банкоматов. Интеграция была осуществлена как на программном уровне (создание единого интерфейса), так и на аппаратном (установка плат видеоввода и плат приема сигналов с датчиков в общем системном блоке).
В чем же заключаются преимущества подобного решения? Во-первых, это высокий уровень безопасности — встроенная система сигнализации способна передавать до 255 различных команд (неисправность, открытие шкафов, срабатывание датчиков), которые принимаются пультовой частью программы. При отключении банкомата или обрыве сети электропитания система продолжает работать и сообщает об этом оператору. Во-вторых, немаловажным достоинством является комплексность решения задачи без дополнительных затрат — для постановки банкомата под охрану на существующие системы пультовой охраны TRASSIR-Банкомат™ не требует подвода дополнительной линии: передача и прием команд осуществляются по уже имеющейся линии, не создавая помех работе АТМ. При обрыве канала связи с банкоматом программа немедленно выдает оператору сигнал тревоги. В-третьих, охранный комплекс независим от самого банкомата (то есть не требует доступа в систему банкомата), поэтому в случае возникновения необходимости проведения каких-либо работ не нужно останавливать банкомат и прерывать обслуживание клиентов.
Система отличается простотой установки и гибкостью: для организации места просмотра видеоархивов не требуется отдельного сервера — достаточно иметь любой компьютер, подключенный к сети банка. Что касается надежности работы, то об этом можно не беспокоиться — в пакет программного обеспечения входит программа, выполняющая контроль над циклической перезаписью видеоархива, и программа удаленного контроля за работоспособностью системы.
Устройство системы
Система состоит из двух основных частей: серверной и клиентской.
Серверная часть — это обычный компьютер, подсоединенный к сети предприятия, на который устанавливается комплексное программное обеспечение, позволяющее управлять всеми устройствами клиентской части, расположенной в терминале банкомата. В него входит:
- программное обеспечение пультовой охранной сигнализации с архивацией данных и информацией о состоянии каждого клиента;
- программное обеспечение просмотра видеоизображений on-line;
- программное обеспечение просмотра видеоархива, накопленного на клиентском компьютере;
- программное обеспечение управления исполнительными устройствами (замки, освещение, двери, кнопки и т.д.);
- программное обеспечение синхронизации времени.
Клиентская часть, установленная в терминале банкомата, включает:
- малогабаритный системный блок с возможностью резервирования питания;
- платы видеоввода TRASSIR™ Grand (от 1 до 4 плат по 4 канала);
плату приема сигналов с датчиков и ввода в системный блок (от 8 до 64);
- плату приема сигналов с возможностью удаленного расположения (до 150 м) и возможностью управления электронными ключами Touch memory (от 7 до 49 шлейфов);
- плату исполнительных устройств (от 8 до 64 устройств);
- программное обеспечение видеорегистрации и аудиозаписи TRASSIR™;
- программное обеспечение клиентской части сигнализации;
- видеокамеры (от 1 до 16).
Рис.4. Сеть банкоматов
Каждый терминал оборудуется датчиком открытия верхнего и нижнего шкафа (сейфа), датчиком удара (вибродатчиком), датчиком отсутствия основного питания (сети), датчиком отсутствия видеосигнала.
Принципы работы
Интегрированное в охранный комплекс программное обеспечение TRASSIR™ позволяет использовать все возможности полнофункциональной системы цифровой видеорегистрации. Система видеорегистрации способна функционировать по одному из режимов записи (по таймеру, программному детектору или внешнему датчику движения, одному или нескольким датчикам), а ее аппаратная часть — плата видеоввода TRASSIR™ Grand поддерживает от 1 до 4 камер с разрешением до 450 ТВЛ цветного или черно-белого изображения. Гибкость настройки системы позволяет для первого видеовхода использовать режим записи по условию приема карты картридером, а для второго активизировать запись только при нештатных ситуациях, при этом сигнал со второго видеовхода может передаваться на удаленный компьютер. Удобно и то, что видеоархив имеет большую информационную емкость. При 200 транзакциях в день емкости архива хватает на 6-8 месяцев работы.
Как только в терминал вставили карточку, система снимает 10-секундный ролик с высоким качеством изображения (этого достаточно для опознания клиента). В случае срабатывания одного из датчиков система сообщит об этом на один из серверов (пунктов наблюдения) по компьютерной сети, что позволит оперативно реагировать на поступающие тревожные события.
Постановку тревожных шлейфов на охрану можно осуществлять как с помощью клавиатуры, так и с помощью ключей Touch memory: для этого в составе системы предусмотрен специальный ключеприемник. Также существует возможность удаленной постановки под охрану (с сервера).
Клиентская часть может работать как самостоятельно, так и в составе сети под управлением сервера. Например, находясь в офисе, можно не только контролировать все происходящее на удаленном складе, но и управлять им.
Если система оснащена платой исполнительных устройств, оператор легко может дистанционно включить сирену (пугающий фактор), корректно включить или выключить терминал, например при пропадании питания, или перебросить питание UPS, заблокировать карточку клиента (например, при некорректном обращении к терминалу) и т.д.
Логическая структура (функции, процессы, протоколы, способы передачи, обработки, хранения информации и т.д.)
На сегодняшний день большинство моделей банкоматов рассчитано на работу в режиме реального времени (on-line) с картами с магнитной полосой, однако появились банкоматы, способные работать со смарт-картами в автономном режиме (off-line).
Автономный режим (off-line) работы банкомата характе­рен тем, что банкомат функционирует независимо от компьютеров банка. Запись информации о транзакции производится на внутренний магнитный диск и выводится на встроенный принтер. Достоинствами автономного режима банкомата являются его относительная дешевизна и независимость от качества линий связи. Это весьма важно для стран с плохой телефонной связью. В то же время низкая стоимость установки напрямую обусловливает высо­кую стоимость эксплуатации таких банкоматов [18,46]. Чтобы обновлять "черные списки" (стоп-списки) утраченных карточек, необходимо хотя бы раз в день специально выделенному человеку обходить и обслуживать такие банкоматы. При большом числе таких устройств подобное обслуживание затруднительно. Отказ же от ежедневного обновления списков может привести к значительным потерям для банка в случае подделки карты или при пользовании краденой картой.
Сложности возникают также при идентификации (аутентификации) клиента. Для защиты информации, хранящейся на карте с магнитной полосой, применяется ее шифрование. Для того чтобы банкоматы одного и того же банка воспринимали пластиковые карты с магнитной полосой, в них должен быть использован один ключ для шифрования (расшифрования). Компрометация его хотя бы на одном из банкоматов приведет к нарушению защиты на всех банкоматах
Режим реального времени (on-line) характерен тем, что банкомат должен быть подсоединен непосредственно или через телефонную сеть к главному компьютеру банка. В этом случае регистрация транзакций осуществляется непосредственно на главном компьютере банка, хотя подтверждение о транзакции выдается на принтер банкомата. При реализации транзакции банкомат обменивается с главным компьютером банка тремя сообщениями (рис 5)
1) запрос банкомата;
2) ответное сообщение банка;
3) сообщение банкомата о платеже.
Рис 5. Схема обмена сообщениями между банкоматом и главной ЭВМ банка
при идентификации и платеже
Запрос банкомата включает следующие данные:
• идентификатор банкомата;
• номер счета и другая учетная информация клиента;
• серийный номер карты,
• защитный символ;
• зашифрованный PIN клиента;
• количество требуемых денег;
• номер транзакции;
• проверочный код для всех данных сообщения
Ответное сообщение банка включает следующие данные.
• идентификатор банкомата,
• код операции, разрешающий (запрещающий) платеж,
• номер транзакции;
• проверочный код для всех данных сообщения
В этом обмене сообщениями для проверки целостности данных используется код аутентификации сообщения MAC (Message Authentication Code).
Режим реального времени имеет ряд преимуществ по сравнению с автономным режимом. Он дает возможность клиенту не только получить наличные деньги, но и осуществлять манипуляции со своим счетом. Централизованная идентификация/аутентификация позволяет существенно повысить устойчивость системы к компрометации ключей шифрования Централи­зованная проверка идентификатора пользователя делает возможным оперативное обновление списков запрещенных к ис­пользованию карт, а также введение ограничений на количество наличных денег, которые может получить клиент в течение одного дня (для защиты от использования украденных карт).
Однако этот режим возможен лишь при наличии надежных каналов связи между банкоматами и банком, что делает его до­вольно дорогим. Кроме того, наличие канала связи порождает и другие угрозы безопасности по сравнению с автономным режимом работы. Это - анализ трафика между банкоматом и главным ком­пьютером и имитация работы главного компьютера компьютером злоумышленника. При анализе трафика можно получить инфор­мацию о счетах, суммах, условиях платежей и т. п. При имитации работы главного компьютера банка компьютер злоумышленника может выдавать положительный ответ на запрос банкомата о результатах идентификации/аутентификации
Сети банкоматов являются в настоящее время распро­страненной формой эксплуатации банкоматов, в которой участву­ют несколько банков. Банки-участники такой сети преследуют следующие цели:
• уменьшение стоимости операций для участников,
• разделение затрат и риска при внедрении новых видов услуг между участниками,
• преодоление географических ограничений и соответственно повышение субъективной ценности услуг для потребителей
При совместном использовании несколькими банками сети банкоматов возникает серьезная проблема - защита конфиденциальной информации банков друг от друга (ключи шифрования и т.п.) Для разрешения этой проблемы предложена схема централизованной проверки PIN каждым банком в своем центре связи с банкоматами. Усложняется также система распределения ключей между всеми участниками сети.
Физическая (аппаратная) структура: анализ и выбор средств и их связей. Схема физической структуры объекта (предмета) проектирования
Рассмотрим схему прохождения информации о PIN клиента между банкоматом, банком-эквайером (которому принадлежит банкомат) и банком-эмитентом (который выпустил карту клиента) (рис. 6).
Рис. 6. Схема прохождения информации о PIN клиента между банкоматом, банком-эквайером и банком-эмитентом.
Пусть клиент Банка 2 (Эмитента) обратился к банкомату Банка 1 (Эквайера). При этом в сети банкоматов происходят следующие действия.
1. Считывающее устройство банкомата считывает информацию, записанную на банковской карте, предъявленной клиентом, и затем банкомат определяет, имеет ли этот клиент счет в Банке 1 - Эквайере.
2. Если клиент не имеет счета в Банке 1, транзакция направляется в сетевой маршрутизатор, который, используя идентификационный номер Банка 2 - Эмитента BIN (Bank Identification Number), направляет эту транзакцию на главный компьютер Банка 2 или производит проверку PIN для Банка 2.
3. Если проверка PIN производится на главном компьютере Банка 2, то этот компьютер получает полную информацию о транзакции и проверяет достоверность PIN.
4. Независимо от результата проверки компьютер Банка 2 пересылает сообщение с этим результатом через сетевой маршрутизатор компьютеру Банка 1.
Как следует из примера, к банку-эмитенту предъявляются следующие требования:
• выпускаемые им карты должны восприниматься всеми банкоматами сети;
• банк-эмитент должен обладать технологией проверки PIN соб­ственных клиентов.
К банку-эквайеру предъявляются другие требования:
• в банкомате или главном компьютере банка должна быть реа­лизована проверка принадлежности транзакции;
• если нет возможности проверить правильность чужого PIN, банк-эквайер должен передать данные о транзакции на сетевой маршрутизатор.
Для защиты взаимодействия компьютеров банков друг с другом и с банкоматами должно применяться оконечное (абонентское) шифрование информации, передаваемой по линиям связи. Обычно используется следующий подход: вся сеть банкоматов разбивается на зоны, и в каждой из них используется свой главный зональный управляющий ключ ZCMK (Zone Control Master Key). Ключ ZCMK предназначен для шифрования ключей при обмене между сетевым маршрутизатором и главным компьютером банка. Ключ ZCMK индивидуален для всех участников сети. Обычно он генерируется случайным образом маршрутизатором и передается неэлектронным способом в банк. Раскрытие ключа ZCMK приведет к раскрытию всех PIN, которые передаются между маршрутизатором и главным компьютером банка
Для шифрования информации, поступающей от главного компьютера банка-эмитента на маршрутизатор, используется рабочий ключ эмитента IWK (Issuer Working Key). Его сообщает главному компьютеру банка-эмитента маршрутизатор в зашифрованном на уникальном ZCMK виде. Ключ IWK может меняться по запросу пользователя в процессе работы.
Аналогичный по назначению ключ для обмена между банком-эквайером и маршрутизатором называется рабочим ключом эквайера AWK (Acquirer Working Key). Для шифрования информа­ции при передаче от банкомата к главному компьютеру банка-эквайера используется связной ключ эквайера АСК (Acquirer Communication Key).
При рассмотрении функционирования системы защиты введены следующие обозначения:
ЕY (X) - шифрование сообщения X по алгоритму DES с использованием ключа Y;