« Разрушители мифов» против заговора замалчивания

    Ведущий популярной передачи телеканала Discovery «Разрушители мифов» (Mythbusters) оказался в центре неприятной истории, на пару дней захватившей умы конспирологов по всему миру. На неделе в сеть просочилась видео-запись выступления Адама Сэвиджа (Adam Savage) на июльской конференции Last HOPE, проходившей в Нью-Йорке. Перед аудиторией в несколько тысяч человек он заявил, что давно планируемый выпуск программы, посвященный развенчанию мифа о невзламываемости карт бесконтактной оплаты, так и не вышел в эфир из-за давления, которое оказывали на канал American Express, Visa и Texas Instruments.

    О своем нежелании наблюдать в эфире краткую инструкцию по обходу защиты RFID-карт вышеназванные компании якобы заявили во время телеконференции, которую собрала TI по просьбе самих «разрушителей». Со стороны телевизионщиков в ней участвовал коллега Адама Грант Имахара (Grant Imahara).

    После того, как история получила широкое распространение, представители Texas Instruments (одного из лидеров в направление RFID) выступили со своей версией произошедшего. В ходе той самой конференции, рассказывает пресс-секретарь компании Синди Хафф (Cindy Huff), были заданы технические вопросы, на которые были даны ответы. Вопросы касались собственно принципов работы системы бесконтактных платежей. Через несколько недель, однако, коллектив Mythbusters передал TI, что сюжет программы решено изменить и помощь им больше не требуется.

    Все разрешилось, когда в среду издание CNET добилось комментария от Сэвиджа. В нем ведущий говорит, что он все слегка напутал. В своем новом заявлении он подтверждает версию Синди Хафф и, кроме того, выводит из истории руководство канала Discovery: «решение не развивать сюжет с RFID было принято внутри нашей студии Beyond Productions».

    Стоит ли говорить, что такой поворот в истории «международного заговора замалчивания» только подогрел к нему интерес. И в ближайшее время мы наверняка увидим не одно расследование состояния дел с защищенностью злосчастных платежных систем.

    Средняя зарплата в IT

    113 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 10 037 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 48

      +4
      Взломать можно все, что угодно. Вопрос только в ресурсах и времени, которые кто-то готов направить на взлом и в возможных последствиях. Взломщикам всегда проще, чем тем, кто защищает.
      И неудивительно, что на эту передачу оказали давление, чтобы они не разглашали способы взлома в эфире — зачем обычным людям знать про это? Меньше людей будут знать про это — меньше бояться взлома и меньше будут взламывать.
        +11
        Те кто будет взламывать, скорее всего, уже и так все знают. А вот обывателей предупредить, да еще бы какие-нибудь меры защиты посоветовать, лишним не будет.
          +3
          Ну их нафиг, предупреждать — нервничать начнут, меньше Американ Экспрессом пользоваться…
            +2
            Вы так говорите потому, что сами не пользуетесь этим… если бы были обладателем сабжа… то наверняка бы опасались того, что какой-то редиска украдёт все ваши данные… включая деньги.
              0
              Почему вы думаете, что я не пользуюсь RFID картами?
            0
            Тех, кто будет взламывать не так уж и много, т.к. это заговор молчания создает впечатление, что взломать или украсть с карточки — это очень сложно. Поэтому этим занимаются только те, кто как-то заинтересовался и смог про это узнать. А какие могут быть методы защиты при работе с RFID картами? :)
              –7
              Так ведь и я о том же. Наверняка сложность взлома несопоставима со взломом популярного форумного движка и только единицы смогут воспользоваться инструкцией по взлому, если таковая будет обнародована. Потому ничего вредного в огласке я не вижу. Ну, разве что для Amex и Visa — они не обрадуются, это понятно.
              Про технические меры защиты ничего сказать не могу, не эксперт. На бытовом уровне — не пользоваться RFID-картами, или не хранить на карточном счету весь семейный бюджет.
                –1
                Я думаю, что любое разглашение данных о том, как можно что-то взломать — это зло. Даже если взлома сложно.
                У меня все деньги на картах и я не хочу, чтобы кто-то их взламывал :)
                  –5
                  К сожалению от нашего желания тут мало что зависит %)
                  У меня тоже когда-то все деньги были на карточках. Номера нигде не светил. А в один прекрасный день порциями по 10 т.р. (видимо, банкомат больше не позволял) кто-то за несколько минут снял половину моих накоплений. Спасли смс-уведомления — я был за компом и успел карточку заблокировать. Про скиммеры я тогда ничего не слышал, это мне уже потом в службе безопасности банка рассказали и показали. Деньги, кстати, к чести банка, удалось вернуть. Но осадок остался %)
                  Карточками я конечно все равно пользуюсь, куда без них в наше время. Но только для оплаты, никак не для хранения.
                    +2
                    Ну, я в Европе. Тут у всех карточки и никто особо не боится, т.к. знают, что банки всегда вернут деньги в случае кражи. С этим тут строго.
                    Для хранения, конечно, стоит ложить на депозиты, но это когда много денег.
                    А пока есть только 2-3 зарплаты сбережений — можно и на карточке хранить, имхо.
                      –3
                      Простите за занудство, но всё-таки лучше «класть».
            +2
            А я считаю, что всё-таки этот факт можно было бы осветить общественности хотя бы в кратце. Не думаю, что шквал взломов захлестнул бы Америку, зато люди объективно представили реальность — «Взломать можно все, что угодно».
            Информация должна быть доступна.
              0
              Ну, для передачи простого факта «Сломать можно все, что угодно» — мало. У них в передаче всегда пытаются разобраться до мелочей и денег у них достаточно. Так что был бы не просто «Сломать можно все, что угодно», а «ломать вот так». А это кому какую пользу принесет?
                0
                это принисёт пользу обществу. во-первых потому что общество будет предупреждено о ненадёжности технологии, на это согласитесь у общество есть право, а во-вторых потому что у компаний будет дополнительный стимул улучшить защиту, что уже в непосредственных интересах общества.
              –1
              Взломщикам всегда проще, чем тем, кто защищает.
              Защищающим всегда проще, чем взломщикам. :)
              Если бы в бесконечной борьбе этих сущностей был значительный перевес в одну сторону, эта тема не была бы актуальной.
                –5
                Защитники в софте обычно работают вторым номером — клепают заплатки на дырки. А взломщики их ищут.
                Можно, конечно, писать код так, чтобы дырок было совсем мало, но это дорого, да и все равно немного дырок останется.
                Так что перевес до сих пор, к сожалению, в сторону взломщиков.
                  0
                  У разработчика, создающего защиту, практически неограниченный выбор методов, как в количественном, так и в качественном выражении, свободный доступ к ресурсам. Взломщик же поставлен перед фактом. Принимать априори что система огромна, и где-то найдется дыра не совсем корректно, если мы говорим не о конкретной системе. Еще можно добавить, что процесс взлома обычно незаконен, что добавляет психологическое давление на взломщика.
                    0
                    Всё не так. Разработчик — создает. Взломщик — ломает. Ломать всегда проще, чем создавать и защищать.
                    Это как с оружием — всегда проще сделать более мощное оружие, чем защититься от него.
                      +1
                      Заканчикаю холивар, извините. Мне не понравилось слово «всегда», но я его принимаю. Оставлю другие аргументы при себе. Истина где-то рядом ))
                        0
                        Да, согласен.
                        «Никогда не говори никогда». То же верно и про «всегда».
                        Перефразирую в «почти всегда».
                        0
                        В случае с ПО как раз нет. Взломщик ПО ничего не ломает. Взломщик лишь находит тропинки, которые специально или случайно оставил ему разработчик (нет тропинок — взломщик в жопе).
                  0
                  Почитайте криптографию, есть несколько открытых протоколов и алгоритмов которые при достаточной длине ключей не подвержены взлому за приемлемое время.
                    0
                    А разве обязательно взламывать эти ключи? Данные можно получить и другим способом, например, узнав логин и пароль, взломав программу, которая общается по защищенному протоколу.
                      0
                      Понятно, что социальную инженерию никто не отменял, но тут то просчет чисто технический, и люди должны быть о нем осведомлены.
                        0
                        А вы знаете какой там технический просчет?
                        Есть ссылка почитать?
                    +1
                    Если для взлома потребуется 1000 лет работы специализированного вычислителя, выполняющего 10^20 операций в секунду, то следует ли это называть 'можно'? Всё же пока большие квантовые компьютеры не построены, криптосистемы с открытым ключом вполне надёжны. А если квантовые компьютеры всё же будут построены, то остаются системы с закрытым ключом. И для особо параноидальных личностей — щиты Вернама.

                    Другое дело, что почему-то в коммерческих системах это всё не используется. И криптография там какая-то отвратительно слабая. И RFID в ряду подобных систем — не первая. Сигнализации, замки, etc…
                      –5
                      Квантовые компьютеры с 512 и 1024 кубитами уже запланированы на 2009 год. Так что, я бы не советовал расслабляться)
                      –6
                      Просто часто возможность взлома появляется из-за того, что разработчики халатно (или намеренно ослабили?) отнеслись к проработке системы защиты (просто вяли деньги и слепили как придется). К сожалению, наказать разработчика/заказчика в данной ситуации никак нельзя (по крайней мере, я не слышал про такие случаи), вот и страдают потребители.
                      Что же касается беспроводных платежей (и беспроводных паспортов), здесь нужно *очень* тщательно подходить к вопросам безопасности (а первые б/п паспорта, если я помню, не шифровали обмен информацией), другой вопрос, комунужна эта безопасность?
                        0
                        >Взломать можно все, что угодно.

                        Вам знакомо понятие «одноразовый шифроблокнот»?

                        >Меньше людей будут знать про это — меньше бояться взлома и меньше будут взламывать.

                        «… при оценке надёжности шифрования необходимо предполагать, что противник знает всё об используемой системе шифрования, кроме применяемых ключей» (Принцип Керкгоффса ака Принцип Шеннона).
                        –16
                        Похоже теле рейтинги у «Разрушителей» стали падать, вот Сэвидж и пиарится таким образом.
                          –7
                          Откусил бы руку тому, кто поставил минус этому топику.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Электронные паспорта пока можно ломать. Но карты оплаты уже нет, они слишком распространены. И даже нельзя показывать этот процес: пострадают ведь не только компании, но и многие люди.
                              –2
                              Нет, а всё же, знание КАК взламывать например меня не сподвигнет на нарушение закона (я тока музыку и софт могу скомуниздить, хватит и этого), но зато даст почву звдуматься как защититься, например я понятия не имею как выглядит и работает скример.

                              А как сказали выше — кто хочет скомуниздить — тот знает, ну или узнает, в инете инфы достаточно.
                                +12
                                вот как выглядит скример:
                                а так скиммер:
                                  +1
                                  Спасибо, теперь я ЗНАЮ как выглядит и работает скример!
                                  +1
                                  В любом случае, пропаганда по телевидению способов взлома карт оплаты, привела бы к увеличению взломов карт в несколько раз.
                                  Вы можете задуматься о том, как обезопасить свою карточку и даже найти способ защиты (если такой существует), но огромное количество людей так и будет надеятся на саму защиту карт оплаты, а потом хлопать ресницами, обнаружив на счету 0 долларов 5 центов.
                                    +1
                                    Не ужели взлом настолько лёгок, что посмотрев по телику передачу описывающую как взломать это можно сделать просто раз и всё?!
                                    Или вы рассчитываете примерно так:
                                    «Понадобится коробок спичек, моток проволки, туба с полонием и пользоватль с картой. Приматываем тубу к пользователю проволкой и начинаем жечь спичками пока не скажет пин и не отдаст карту....»?
                                    Сомневаюсь, покажут скиммер, в кратце раскажут что его можно прилепить и скопировать карту (не сказав где болванку взять), про камеру расскажут руки снимающую, итд итп.
                                    А пропагандировать, это вообще… за это и канал может пострадать…
                                      0
                                      Думаю дело не в том, что это просто. Дело в том, что это возможно в разумные сроки и без использования каких либо очень специализированных инструментов, и то, что показывая как это делается по ящику, передача разогреет интерес.
                                      По этой же причине запрещена, например, реклама сигарет. Купить то не сложно, но тем ни менее.
                                +1
                                вот пара статей в компьютерре на эту тему — www.computerra.ru/focus/295193/ и offline.computerra.ru/2008/728/352810/
                                  +2
                                  Насколько я понимаю, речь шла о RFID чипах вообще и они обратились в TI за описанием технологии, архитектурой и т.п. TI их «подставил», пригласив на телефонную конференцию представителей AMEX. MasterCard и Visa, после чего они отказались от выпуска этой серии в эфир, т.к. доход Discovery идут в основном от рекламы. Адам говорит обо всем этом в том ролике, который доступен по ссылке в посте, а вообще это боян и было на рэддит'е неделю назад:

                                  +3
                                  Не страшны так хакеры как кулхацкеры.
                                  Обычно человек у которого хватает ума найти самостоятельно уязвимость, хватает ума и предупредить разработчика дырявого продукта о ней. Я сужу о сайтах. Мне нравится практика, когда ставят в известность владельца сайта о дыре на сайте, перед тем как трубить в инет, что нашел дыру в ресурсе.

                                  А вот кулхацкеры, сопливые дети, которые прочитали, разжеванный взрослыми дядями ман, о взломе или нашли эксплоит. И первое что они делают, это бегут отметится на данный ресур. Дефейсить, удалять базы прочие вредительства.

                                  Поэтому я против ресурсов которые раздают палки в лапы обезьянам.
                                    0
                                    А если разработчику глубоко наплевать на найденные вами уязвимости. и вместо «Спасибо» к вам пришлют наряд милиции (чтоб никому больше не рассказал)?
                                      0
                                      Ну вы на всякий случай ему своих паспортных данных не присылайте.
                                      А если у вас не настроена цепочка анонимных проксей, то не переживайте, вы не хакер и ничего такого сверхсекретного и важного не поломали.

                                      А вообще хотел бы посмотреть на рожу дежурного мента которому звонят и кричат в трубку.
                                      — Срочно наряд ОМОНА, ломают мой сайт!!!
                                    +2
                                    «Разрушители легенд» один из моих любимых сериалов на дискавери )
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        +1
                                        Дело в том, что если не е**ть периодически производителей софта, эмитентов карт, разработчиков технологий — они пойдут по минимально затратному для себя (т.е. минимально безопасному для пользователей) пути.

                                        Я вот хочу, чтобы ради моей безопасности устраняли уязвимости, а не делали так, чтобы вместо 10000 воров о дыре знали 1000.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое