Bankomatlarning avtomatlashtirilgan xavfsizligi - Security of automated teller machines

Eronning janubi-g'arbiy qismida, Dezfullda avtomatlashtirilgan teller mashinasi

Avtomatlashtirilgan kassalar (Bankomatlar) firibgarlik, talonchilik va xavfsizlikni buzish uchun nishonlardir. Ilgari bankomatlarning asosiy maqsadi naqd pullarni banknota ko'rinishida etkazib berish va tegishli bank hisobvarag'idan chiqarish edi. Biroq, bankomatlar tobora murakkablashib bormoqda va ular ko'plab funktsiyalarni bajaradilar, shuning uchun qaroqchilar va xakerlar uchun ustuvor maqsadga aylanmoqda.

Kirish

Zamonaviy bankomatlar yuqori xavfsizlikni himoya qilish choralari bilan amalga oshiriladi. Ular operatsiyalarni bajarish uchun murakkab tizimlar va tarmoqlar ostida ishlaydi. Bankomatlar tomonidan qayta ishlangan ma'lumotlar odatda shifrlanadi, ammo xakerlar akkauntlarni buzish va hisob balansini olish uchun ehtiyotkorlik bilan buzish moslamalaridan foydalanishi mumkin. Shu bilan bir qatorda, malakasiz qaroqchilar bank homiylarini olib qo'yilgan pullarini yoki hisob raqamlarini talon-taroj qilish uchun qurol bilan qo'rqitishadi.

Bankomatlarni talon-taroj qilish usullari

Bankomat buzuvchilar yoki naqd pul olish uchun bankomatni jismoniy buzishi yoki ish bilan ta'minlanishi mumkin kredit karta skimini foydalanuvchining kredit karta hisobvarag'i ustidan nazoratni qo'lga kiritish usullari. Kredit karta bilan firibgarlik klaviatura yoki kredit karta o'quvchisiga ehtiyotkorlik bilan skimma moslamalarini kiritish orqali amalga oshirilishi mumkin. Kredit kartalaridagi firibgarlikning muqobil usuli bu PIN-kodni klaviatura yonida yashiringan kameralar kabi qurilmalar bilan to'g'ridan-to'g'ri aniqlashdir.

Bankomatlarning xavfsizlik choralari

Mahalliy operatsiyalar uchun PIN-kodni tasdiqlash sxemalari

On-layn PIN-kodni tasdiqlash

On-layn PIN-kodni tekshirish, agar ushbu terminal markaziy ma'lumotlar bazasiga ulangan bo'lsa, sodir bo'ladi. Mijoz tomonidan taqdim etilgan PIN kod har doim moliya muassasalarida qayd etilgan PIN-kod bilan taqqoslanadi. Biroq, bir noqulaylik shundaki, tarmoqdagi har qanday nosozlik bankomatni tuzatmaguncha yaroqsiz holga keltiradi.

Off-Line PIN-kodni tasdiqlash

Off-line PIN-kodni tasdiqlashda bankomat markaziy ma'lumotlar bazasiga ulanmagan. Off-line PIN-kodni tekshirish sharti shundaki, bankomat mijozning kiritilgan PIN-kodini mos yozuvlar PIN-kodi bilan taqqoslash imkoniyatiga ega bo'lishi kerak. terminal amalga oshirishi kerak kriptografik operatsiyalar va u zarur bo'lishi kerak shifrlash kalitlari uning ixtiyorida.

Oflayn tekshiruv sxemasi juda sekin va samarasiz. PIN-kodni oflayn tekshiruvi endi eskirgan, chunki bankomatlar markaziy serverga himoyalangan tarmoqlar orqali ulangan.

O'zaro almashtirish operatsiyalari uchun PIN-kodni tasdiqlash

Yuqori darajadagi almashinuv operatsiyasini bajarish uchun uchta PIN-protsedura mavjud. Taqdim etilgan PIN-kod kirish terminalida shifrlanadi, bu bosqichda maxfiy kriptografik kalit ishlatiladi. Boshqa tranzaksiya elementlaridan tashqari, shifrlangan PIN-kod sotib oluvchi tizim. Keyin, shifrlangan PIN-kod ekvayer tizimidan a-ga yo'naltiriladi apparat xavfsizligi moduli. Uning ichida PIN kod shifrlangan. O'zaro almashish uchun ishlatiladigan kriptografik kalit yordamida shifrlangan kalit darhol qayta shifrlanadi va emitent tizimiga oddiy aloqa kanallari orqali uzatiladi. Va nihoyat, yo'naltirilgan PIN-kod emitentning xavfsizlik modulida parolini ochib, so'ngra mahalliy PIN-kodni tasdiqlash texnikasi asosida tasdiqlanadi.

Umumiy bankomatlar

Umumiy bankomatlarda PIN-kodni shifrlashda turli xil tranzaksiya usullari qo'llaniladi va ular orasida xabarlarni autentifikatsiya qilish "zonalarni shifrlash" deb nomlanadi. Ushbu usulda banklar guruhi nomidan bankomatlarning to'lovlarini tasdiqlash uchun xabarlarni almashtirishlari uchun ishonchli organ tayinlanadi.^[1]

Uskuna xavfsizligi moduli

Banklar va bankomatlar o'rtasida muvaffaqiyatli aloqa o'rnatish uchun odatda xavfsizlik moduli deb nomlanadigan kriptografik modulni kiritish banklar va mashinalar o'rtasida to'g'ri aloqalarni saqlashning muhim tarkibiy qismidir. Xavfsizlik moduli shunday bo'lishi uchun yaratilgan buzishga chidamli.^[2] Xavfsizlik moduli juda ko'p funktsiyalarni bajaradi va ular orasida PIN-kodni tekshirish, almashtirishda PIN-kodni tarjima qilish, kalitlarni boshqarish va xabarni tasdiqlash. O'zaro almashinuvda PIN-koddan foydalanish xavfsizlikni tashvishga solmoqda, chunki PIN-kod xavfsizlik moduli tomonidan almashinish uchun ishlatiladigan formatga tarjima qilinishi mumkin. Bundan tashqari, xavfsizlik moduli foydalanuvchi tarmog'i bilan bog'liq barcha kalitlarni yaratish, himoya qilish va saqlashga qaratilgan.

Haqiqiylikni tekshirish va ma'lumotlar yaxlitligi

Shaxsiy tekshirish jarayoni foydalanuvchining shaxsiy tasdiqlash ma'lumotlarini etkazib berishidan boshlanadi. Ushbu ma'lumot PIN-kodni va mijozning bank hisob raqamiga yozib qo'yilgan ma'lumotlarini o'z ichiga oladi. Bank kartasida kriptografik kalit saqlanadigan holatlarda u shaxsiy kalit (PK) deb nomlanadi. Shaxsiy identifikatsiyalash jarayonlari autentifikatsiya parametri (AP) orqali amalga oshirilishi mumkin. U ikki usulda ishlashga qodir. Birinchi variant - bu AP vaqt o'zgarmas bo'lishi mumkin. Ikkinchi variant - bu AP vaqt varianti bo'lishi mumkin. Vaqt varianti ma'lumotlariga va bitim so'rovi xabariga asoslangan IP mavjud bo'lgan holat mavjud. Bunday holda, AP a sifatida ishlatilishi mumkin xabarni tasdiqlash kodi (MAC), xabarni autentifikatsiya qilish orqali aloqa yo'liga yo'naltirilishi mumkin bo'lgan va soxta va xavfsiz bo'lmagan aloqa tizimlarini aylanib o'tishi mumkin bo'lgan o'zgartirilgan xabarlarni aniqlash uchun eskirgan yoki soxta xabarlarni aniqlash uchun murojaat qilinadi. Bunday hollarda AP ikki maqsadga xizmat qiladi.

Xavfsizlik

Elektron pul o'tkazmalari tizimidagi xavfsizlikni buzish ularning tarkibiy qismlari chegaralanmasdan amalga oshirilishi mumkin. Elektron pul o'tkazmalari tizimlari uchta tarkibiy qismdan iborat; bu aloqa aloqalari, kompyuterlar va terminallar (bankomatlar). Birinchidan, aloqa aloqalari hujumlarga moyil. Ma'lumotlarni passiv yoki to'g'ridan-to'g'ri vositalar yordamida olish mumkin, bu erda ma'lumotlarni olish uchun qurilma joylashtiriladi. Ikkinchi komponent - bu kompyuter xavfsizligi. Kompyuterga kirish huquqini olish uchun turli xil usullardan foydalanish mumkin, masalan, unga masofaviy terminal yoki kartani o'quvchi kabi boshqa atrof-muhit qurilmalari orqali kirish. Xaker tizimga ruxsatsiz kirish huquqini qo'lga kiritgan, shuning uchun dasturlar yoki ma'lumotlar xaker tomonidan boshqarilishi va o'zgartirilishi mumkin. Shifrlash kalitlari terminallarda joylashgan holatlarda terminal xavfsizligi muhim tarkibiy qism hisoblanadi. Jismoniy xavfsizlik bo'lmasa, suiiste'molchi uning o'rnini bosadigan kalitni tekshirishi mumkin.^[3]

Shuningdek qarang

ATMIA (ATM sanoat assotsiatsiyasi)

Adabiyotlar

^ D.W. Devies va W. L. Price (1984). Kompyuter tarmoqlari uchun xavfsizlik: teleprocessing va elektron pul o'tkazmalarida ma'lumotlar xavfsizligiga kirish. ISBN 0-471-90063-X.
^ Teshik, Kjell J. (2007). Avtomatik sotuvchi mashinalar (PDF). NoWires tadqiqot guruhi, informatika bo'limi, Bergen universiteti. Arxivlandi asl nusxasi (PDF) 2008-11-19. Olingan 2009-03-16.
^ Ross Anderson (1992). Perspektivlar - avtomat sotuvchi mashinalar. Kembrij universiteti. Arxivlandi asl nusxasi 2008-03-27 da. Olingan 2008-03-16.

Tashqi havolalar

https://www.lightbluetouchpaper.org/ - Xavfsizlik tadqiqotlari, kompyuter laboratoriyasi Kembrij universiteti

[1] D.W. Devies va W. L. Price (1984). Kompyuter tarmoqlari uchun xavfsizlik: teleprocessing va elektron pul o'tkazmalarida ma'lumotlar xavfsizligiga kirish. ISBN 0-471-90063-X.

[2] Teshik, Kjell J. (2007). Avtomatik sotuvchi mashinalar (PDF). NoWires tadqiqot guruhi, informatika bo'limi, Bergen universiteti. Arxivlandi asl nusxasi (PDF) 2008-11-19. Olingan 2009-03-16.

[3] Ross Anderson (1992). Perspektivlar - avtomat sotuvchi mashinalar. Kembrij universiteti. Arxivlandi asl nusxasi 2008-03-27 da. Olingan 2008-03-16.

[1]

[2]

[3]