Bezpečnost magnetických karet

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 15.8.2007
Hodnocení/Hlasovalo: 1.2/25

Na karty s magnetickým pruhem jsme si všichni již moc dobře zvykli. Jaká je však jejich bezpečnost? Máme si při placení kreditní kartou dávat na něco pozor nebo se můžeme cítit bezpečně?

Magnetická karta Známe je všichni… kartičky z rubové strany obsahující magnetický pásek, které nám umožní vstup do chráněných prostor, nebo nám dovolí získat peněžní hotovost z bankomatů. Za jejich rychlé rozšíření vděčíme zejména snadné výrobě, nízkým pořizovacím nákladům a flexibilitě. Karty s magnetickým páskem, které slouží k naší identifikaci jsme si již natolik zvykli používat, že se už ani nezastavujeme nad principem jejich fungování a už vůbec ne nad jejich bezpečností.

Čeho si člověk na magnetických kartách všimne asi nejdříve je magnetický pásek, který je umístěn na jedné straně karty. Svou funkcí je to blízký příbuzný pásku ve videokazetě nebo magnetofonové kazetě, který slouží pro uložení dat v magnetické vrstvě, která lze kdykoliv z pásky přečíst pomocí čtecího zařízení. Zapsáním dat se na pásce vytvoří krátké úseky s různou polaritou, která jim byla při zápisu vnucena silnou magnetickou indukcí. Při čtení z pásky naopak přejíždí čtecí hlava po zmagnetizovaném povrchu a malý permanentní magnet, který je ve čtecí hlavě umístěný, je páskou přitahován nebo odtahován, čímž dochází k indukci kladného nebo záporného napětí.

Páska na magnetických kartách obsahuje celkem tři stopy, z nichž každá má svůj specifický význam a umožňuje uložit určité množství specifické informace.

Magnetická karta

1.stopa - Tato stopa byla definována Mezinárodní asociací leteckých dopravců IATA (International Air Transportation Association), aby usnadnila automatické odbavení cestujících, již v roce 1969. Následně tuto normu přijaly v roce 1970 i americké banky. Tato první stopa je schopna pojmout až 79 alfanumerických znaků.

2.stopa - ABA (American Bankers Association) vytvořila standart pro tuto stopu, aby tím umožnila použití karet při on-line finančních transakcích, kde se používá nejvíce. Do této stopy je možné uložit 40 numerických znaků 0-9 a rovnítko.

3.stopa - I tato třetí stopa byla vytvořena bankami (THRIFT) pro finanční transakce. Tato stopa se nejčastěji používá pro uložení informací, které umožňují ověřit PIN při bankovních operacích. Na rozdíl od zbývajících dvou vrstev je tato vrstva definována jako read/write, což znamená, že je možné informace uložené v této stopě přehrávat, například při odečítání kreditů, apd. Do této stopy je možné uložit až 107 numerických znaků 0-9, rovnítko a dvojtečku.

O datových strukturách se můžete více dočíst například v normě ISO 3554, která je definuje.

Dále bychom mohly magnetické proužky rozdělit ještě na dva typy podle hustoty s jakou jsou schopny informace zaznamenat. Na této informaci záleží, zda bude vaše zařízení schopno s danou kartou pracovat, či nikoliv. Karty tak dělíme na:
LoCo (Low Coercivity) s nízkou hustotou záznamu
HiCo (High Coercivity) s vysokou hustotou záznamu

Teď, když již víme, jakým způsobem jsou data na magnetické kartě zaznamenána, podíváme se trochu na jejich bezpečnost. Již z principu, že magnetický proužek není aktivní a nemůže proto zjistit, kdo k němu přistupuje, je zřejmé, že přečíst data z magnetické pásky nebude pro nikoho, kdo vlastní čtecí zařízení, nejmenší problém. Aby se k informaci uložené na magnetické kartě nemohla dostat nepovolaná osoba, ukládají se data často v šifrované nebo speciálně kódované podobě, která případnému útočníku znemožní zjistit pravý význam uložených dat. Co však nejsou magnetické karty schopny odrazit, jsou útoky zkopírováním. Pokud je totiž známa informace uložená na magnetické kartě, může ji kdokoliv, kdo vlastní zapisovací zařízení, zapsat na čistou kartu a vytvořit tak identickou kopii karty originální. Pokud se tedy útočník jednou dostane byť jen na pár vteřin (aby mohl přečíst obsah) k vaší magnetické kartě, nemůžete si být již nikdy jisti, že si nevytvoří přesnou kopii karty a nepoužije ji například ke vstupu do vašeho pokoje.

.Asi si říkáte, že zařízení potřebná k přečtení obsahu magnetické karty a k zápisu dat na ni, jsou natolik nákladná a nedostupná, že si je může dovolit jen velká organizovaná skupina, opak je však pravdou. Veškerá potřebná zařízení jsou volně v prodeji a dokonce ani ceny těchto zařízení nejsou nijak vysoké. Na náš trh je uvádí například firma Codeware, kde se dá čtecí zařízení sehnat za cenu kolem 1.500,- Kč a čtecí/zapisovací zařízení nabízí v ceně kolem 15.000,-Kč. Cena prázdných médií (magnetických karet) se pak pohybuje kolem hranice 20,-Kč. Jak vidíte je dostupnost všeho, co útočník potřebuje velice příznivá a útočníkovi se investice může velice brzy vrátit.
Navíc, nechce-li útočník investovat do zapisovacího zařízení může navštívit firmu zaměřenou na záznam dat na magnetické karty, kterou je u nás například firma presscard a nechat si data zaznamenat na kartu tam. Další možností, která se útočníkovi nabízí, je vlastní zhotovení čtecího a zapisovacího zařízení podle návodů, které se dají sehnat na Internetu. Pro čtení se tak dá využít například čtecí hlava ze starého magnetofonu. Je potřeba si však uvědomit, že magnetický pásek na kartě má tři stopy, čemuž je potřeba věnovat pozornost při nákupu nebo stavbě vlastního zařízení. Ne všechna totiž umí se všemi třemi stopami pracovat.

Na to, jakým nenápadným způsobem může útočník okopírovat vaši kartu, se můžete podívat například v tomto videu.

Tato vlastnost magnetických karet, totiž jejich nulová ochrana proti klonování, je již dlouhou dobu veřejně známa a proto se karty s magnetickou páskou začínají pomalu nahrazovat čipovými kartami, které nabízí daleko lepší ochranu proti přečtení uložených dat. O těch si však povíme třeba zase někdy příště.

Odkazy na pár návodů ke stavbě čtečky magnetických karet:
http://members.cox.net/berniekm/card.html
http://camelspit.org/handyswipe/