spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

Ana Menü

Anasayfa
Etkinlikler
Güvenlik Bildirileri
Teknik Yazılar
Kılavuzlar
Herkes İçin Güvenlik
Raporlar
Duyurular
Terimler Sözlüğü
Site İçerisinde Arama
İçerik Arşivi
TR-BOME KM
TR-CERT
Ortak Kriterler
 

spacer.png, 0 kB
 spacer.png, 0 kB
Yazarın bu bölümdeki diğer yazıları...
Manyetik Şeritli Kartlar ve CHIP&PIN Uygulaması Yazdır E-posta
Erkut BEYDAĞLI, TUBİTAK-UEKAE   
05.07.2009

Kredi kartlarında CHIP&PIN uygulamasına geçilmesine rağmen bu kartlar üzerinde bulunan manyetik şeritler, CHIP&PIN uygulamasının bulunmadığı noktalar için bir alternatif olarak,  aynı kredi kartı üzerinde CHIP&PIN uygulaması ile birlikte hala kullanılmaya devam etmektedir. Bu durum uygulamada kart sahibinin her zaman ve her yerde kredi kartını kullanmasını sağlamakta fakat saldırganlar tarafından da bir zayıflık olarak kullanılmaktadır.

Herhangi bir kredi kartında CHIP&PIN uygulaması yanında manyetik şerit uygulaması da bulunuyorsa, saldırganlar en zayıf halka mantığıyla daha güvensiz olan manyetik şeritlerden yola çıkarak kart sahiplerini zarara uğratmaktadırlar. Kredi kartı kullanıcıları, kredi kartları üzerinde bulunan çipi (akıllı kart) gördüklerinde belirli bir seviyede güvenlikte olduklarını düşünebilmekte fakat kredi kartı arka yüzünde bulunan ve güvensiz bir uygulama olan manyetik şeritin hala kullanımda olduğunu dikkate almamaktadırlar.

Bu yazıda; Mevcut uygulamanın getirdiği zayıflığın saldırganlar tarafından kullanılması sonucu İngiltere’de gerçekleştirilen saldırı senaryosu kart kullanıcılarında farkındalığı sağlamak amacıyla anlatılacak, saldırı analiz edilecek ve bu tür saldırıların tekrarlanmaması için alınması gereken idari ve teknik karşı önlemlerden bahsedilecektir. Ayrıca manyetik şeritli kartların güvenli olmaması sebebi ile ek bir güvenlik önlemi olarak getirilen CHIP&PIN uygulaması için de olası saldırı tekniklerinden kısaca bahsedilecek ve alınması gereken önlemler belirtilecektir.

ATAK SENARYOSU & ANALİZİ

Manyetik şerit uygulamasını içeren kredi kartlarına yönelik İngiltere’de gerçekleştirilen saldırının senaryosu aşağıda belirtilmiştir:

  1. Saldırganlar, alışveriş merkezi veya akaryakıt istasyonlarında bulunan kart okuyucuları elde etmektedir.

  2. Saldırgan grupta bulunan teknik uzmanlar, alışveriş merkezi ve akaryakıt istasyonlarından temin edilen kart okuyucular üzerine manyetik şeriti ve PIN bilgisini okuyacak mekanizmayı kurmakta ve bu işlem sonrası kart okuyucular tekrar alışveriş merkezi ve akaryakıt istasyonlarında bulundukları yere konulmaktadır.

  3. Herhangi bir müşterinin kartı ile manyetik şerit kullanılarak işlem yapıldığında, ilgili müşterinini kartında bulunan manyetik şeritteki bilgiler ve müşteri tarafından işlem sırasında girilen PIN bilgisi akıllı kart okuyucu üzerine kurulan mekanizma ile kayıt edilmektedir.

  4. Saldırganlar daha sonra kart okuyucular üzerinden akıllı kartlara ait bu bilgileri kayıt altına almaktadır.

  5. Elde edilen bilgiler kullanılarak, her bir kurban için ayrı kopya kartlar oluşturulmakta ve çipin güvenlik özelliklerinin kullanılmadığı veya çipin kullanılmadığı, manyetik şeritlerle işlem yapmaya izin veren para çekme makinalarında saldırı gerçeklenmektedir.

Bu atak senaryosu çip içeren bir kredi kartı için gerçeklenebilir gerçek bir ataktır. Fakat, atağın gerçeklenmesi sırasında çipin sağladığı güvenlik özellikleri kullanılmamaktadır. Mevcut atak uygulamasında manyetik şeritli kartlara yapılan atak senaryosu tekrarlanmaktadır.

Saldırganlar kart bilgilerini (isim, kart numarası, son kullanma tarihi ve PIN) yukarıda belirtilen yöntem ile elde etmektedirler. Bu bilgiler, PIN dışında, manyetik şerit üzerinde bulunmaktadır. PIN bilgisi ise, kart sahibi modifiye edilmiş akıllı kart okuyucuya PIN değerini girdiğinde saldırganlar tarafından kayıt altına alınmaktadır. Gerekli tüm bilgilerin elde edilmesinin ardından, saldırganlar manyetik şeritli yeni kopya kartlar üretmekte ve CHIP&PIN uygulamasının kullanılmadığı ATM makinalarından para çekerek, kart kullanıcılarını  zarara uğratmaktadırlar. Burada var olan güvenlik zaafiyeti, çipin kullanılmadığı ATM makinalarının dünya genelinde kullanımının devam etmesidir. Yani, manyetik şeritli kartlar güvensiz olmasına rağmen, uygulamada hala kullanılmaktadırlar.

CHIP&PIN UYGULAMASININ MEVCUT ATAK İÇİN ANALİZİ

CHIP&PIN uygulamasının kullanıldığı ATM makinalarının mevcut atak senaryosu kapsamında saldırganlar tarafından tercih edilmesi durumunda, CHIP&PIN uygulamasının getirdiği güvenlik özellikleri mevcut atak senaryosu ile devre dışı bırakılamamakta ve başarılı atak gerçeklenememektedir.

CHIP&PIN uygulaması güvenlik önlemleri sonucu olarak, kart okuyucu ile akıllı kart arası trafiğin dinlenmesi ve  dinlenen bu bilgiler kullanılarak farklı bir zamanda saldırı gerçeklenmesi mümkün olamamaktadır. CHIP&PIN uygulamasının desteklendiği akıllı kartlar içerisinde tüm sistemler için aynı olmayan bir şifreleme algoritması ve yine tüm sistemler için aynı olmayan bir şifreleme anahtarı bulunmaktadır. Şifreleme işleminde güvenliği sağlayan şifreleme anahtarı, güvenli bir CHIP&PIN uygulamasında hiç bir şekilde akıllı kartın dışına çıkarılmadığından, mevcut saldırı yönteminde saldırgan trafiği dinleyerek şifreleme anahtarını elde edemeyecek ve dolayısı ile CHIP&PIN uygulamasının kullanıldığı herhangi bir noktada mevcut saldırı yöntemi ile başarılı bir atak gerçekleyemeyecektir.

CHIP&PIN UYGULAMASINA KARŞI OLASI SALDIRI TEKNİKLERİ

CHIP&PIN uygulamasında, sistemin güvenliğini sağlayan bileşenlerden bir tanesi şifreleme yapmak amaçlı kullanılan, akıllı kart içerisinde saklanan ve akıllı kart dışına çıkarılmasına izin verilmeyen şifreleme anahtarıdır. Saldırganın kullanılan şifreleme anahtarını elde edebilmesi ve atak gerçekleştirebilmesi için bu aşamada dünya genelinde bir çok akıllı kart güvenlik analizi laboratuarının da üzerinde çalıştığı; Yan Kanal Analizi (Side Channel Analysis) ve Tersine Mühendislik (Reverse Engineering) türü gelişmiş atak tekniklerini kullanması gerekmektedir. Yan Kanal Analizi ve Tersine Mühendislik türü gelişmiş atak tekniklerine karşı yeterli güvenlik özellikleri olmayan akıllı kartların içerisinde bulunan şifreleme anahtarının elde edilebilmesi mümkün olabilmektedir. 

MEVCUT ATAK YÖNTEMLERİ İÇİN GEREKLİ KARŞI ÖNLEMLER

Bu yazıda tanımlanan atak tekniklerine karşı alınması gereken karşı önlemler aşağıda belirtilmiştir:

  1. CHIP&PIN uygulamasının getirdiği çipin (akıllı kart) kullanılmadığı bir uygulamanın, dünya genelinde herhangi bir para çekme makinasında, alışveriş merkezinde, vd. bulundurulmaması önerilmektedir. Tüm uygulamaların sadece CHIP&PIN uygulamasını desteklemesi ve sağladığı güvenlik özelliklerini kullanması gerekir. Herhangi bir koşul altında, çipin kullanımının kullanıcı veya sistemin inisiyatifine bırakılmaması ve alternatif bir doğrulama yöntemi olarak kredi kartları veya benzer kartlar üzerinde bulunan manyetik şeritlerin doğrulama amacı ile kullanılmasına izin verilmemesi önerilmektedir.

  2. Akıllı kartların, Yan Kanal Analizi ve Tersine Mühendislik saldırılarına karşı güvenilir olduğunun bağımsız kuruluşlar tarafından sertifikalandırılması gerekmektedir. Uluslararası alanda 26 ülke tarafından akıllı kart uygulamaları için de uygulanan Bilişim Teknolojisi ürün ve sistem güvenlik değerlendirme standardı, Türkiye’de Ortak Kriterler olarak bilinen TS ISO/IEC 15408 standardıdır. Bu kapsamda,TS  ISO/IEC 15408 sertifikası olmayan akıllı kartların tercih edilmemesi önerilmektedir. Ortak Kriterler sertifikasyonu ile akıllı kartların; Yan Kanal Analizi saldırılarına, Tersine Mühendislik saldırılarına, Dış Dünya İle Haberleşme Temelli Kullanılan Protokol saldırılarına ve Akıllı Kart İşletim Sistemi saldırılarına karşı güvenilirlik seviyesi tespit edilmektedir.


Favori olarak ekle (1) | Görüntüleme sayısı: 2222

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.
 
[ Geri ]
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2012 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB