ну а 130 это ещё ничего.. до 1000 пока время есть
а в визе наверное уже давно за 1000 .. статеечка про атаки на визу попалась. "фиктивные сертификации" - они и для кошельков ведь возможны.. хотя думается тут надо сертифицировать не только кошелек но и ось с которой он работает
https://3dnews.ru/815613на примере лишь одной из конкретных стычек ученых с банками — достаточно выделить ключевые элементы такого рода исследований, проводимых с единственной, в общем-то, целью — таки заставить банки наконец реально озаботиться защитой платежных карт, а не списывать свои собственные проколы на беспечность клиентов и ошибки торговых структур.
В качестве живого примера, наглядно демонстрирующего реальную ситуацию с защитой современных кредитных карт, следует взять знаменитую историю с компрометацией платежных терминалов или PED (от PIN Entry Device — «Устройство ввода ПИН-кода»).
Во-первых, потому что все прежние «кембриджские атаки» против платежных карт были сосредоточены вокруг слабостей карточек с магнитной полосой, а эту древнюю технологию уже вполне можно считать безнадежно устаревшей и доживающей свои последние годы. Во-вторых, потому что атака Андерсона со товарищи против PED стала первой серьезной компрометацией новой технологии Chip-n-PIN, известной также под более официальным названием EMV (от первых букв коллективного хозяина стандарта: Europay – Mastercard – Visa) и считающейся куда более защищенной от мошенничества, нежели карты с магнитной полосой. Ну и в-третьих, эта история настолько выпукло и рельефно отобразила «неискренность», мягко говоря, банковских инстанций при обсуждении проблем защиты информации, что тут даже ни тени сомнения нет в том, какая из спорящих сторон оказывается правой.
Если совсем вкратце, то дело было так. Массовое внедрение карт EMV и соответствующей инфраструктуры в банках и торговле Великобритании пришлось на начало 2006 года. Уже на следующий год, к осени 2007-го, специалисты Кембриджа выявили в новой системе и первую серьезнейшую уязвимость. Слабость, как уже сказано, была обнаружена в терминалах PED.
Проанализировав наиболее распространенные из этих устройств (выпущенных разными производителями),
ученые в каждом из них выявили участок, где содержательные данные о карточках покупателей проходят в открытом, а не в зашифрованном виде. Иначе говоря, злоумышленник, подсоединившийся к такому месту схемы, может похищать все реквизиты каждой вставленной карты, включая ее PIN-код доступа, а затем изготавливать карту-клон с магнитной полоской. (Чип-карты EMV оснащены магнитной полосой ради обратной совместимости с прежней технологией, поэтому и «неполный клон» — фальшивую карту без чипа — можно применять в старых банкоматах, еще не оснащенных считывателем микросхемы.)
Не публикуя поначалу свое открытие широко, исследователи сразу известили банковскую индустрию (британскую платежную ассоциацию APACS, транснациональную карточную сеть Visa) о серьезной слабости новой технологии. Ну а банковские структуры, по давно заведенной там традиции,
ученых полностью проигнорировали, назвав их атаку оторванными от жизни «лабораторными экспериментами». Выждав почти полгода, но так и не дождавшись никакой конструктивной реакции на серьезные предупреждения, кембриджские исследователи теперь уже открыто опубликовали свои результаты для сообщества инфобезопасности в феврале 2008 года.
По убеждению ученых, выявивших зияющую дыру в защите технологии, особой критике должен быть подвергнут в высшей степени непрозрачный, ущербный по самой сути своей процесс сертификации и оценки безопасности устройств PED, обрабатывающих критично важные данные.
Корпорация-гигант Visa и банковская ассоциация APACS сертифицировали устройства как безопасные, официально санкционировав их широчайшее распространение. Но при этом «компетентные инстанции», проводившие оценку, не сумели увидеть в PED тех серьезнейших уязвимостей, что были выявлены кембриджской командой. Более того, при выдаче своих сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемом «подлог». Вполне официально было объявлено, что устройства PED прошли «оценку на соответствие Common Criteria», или CC, то есть международному набору стандартов для инфосистем безопасности, принятому в Британии, США и других странах НАТО.
В Великобритании выдачей сертификатов о соответствии требованиям Common Criteria ведает правительственная спецслужба GCHQ. Однако в GCHQ на запрос из Кембриджа сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC. Вот тут-то и выяснилось, что «оценка на соответствие CC» и «сертификат о соответствии СС» — это две существенно разные вещи. Результаты тестирования на предмет сертификации СС по закону положено открыто публиковать,
а Visa и APACS категорически отказываются показывать кому-либо отчеты об оценке безопасности терминалов PED. Более того, строго
засекречены даже сами инстанции, проводившие эту оценку...
Подводя своеобразный итог данной фазе истории (вскоре за которой последуют и другие, еще более поразительные фазы), профессор Росс Андерсон высказался о порочных подходах индустрии к проблемам безопасности в таких выражениях:
«Уроки, которые мы здесь получаем, вовсе не ограничиваются банкингом. В самых разных областях, от электронных машин для голосования до автоматизированных систем учета медицинских данных,
постоянно появляется одна и та же комбинация — из глупых ошибок, фиктивных сертификаций и сопротивления властей, тормозящих исследования. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых открыто публикуются и проверяются независимой экспертизой».Помимо этих чрезвычайно важных мыслей, к которым еще будет повод вернуться, некрасивая, но очень показательная история вокруг PED рассказывается здесь с подробностями также и вот по какой причине. Спустя еще несколько месяцев, к осени 2008-го стало известно, что как минимум в полудюжине европейских стран полиция обнаружила преступную сеть хай-тек-воров — свыше сотни миниатюрных закладок в PED-терминалах розничной торговли. Эти закладки, как выяснилось, скрытно внедрялись в PED сразу после производства на фабрике, работали в точках продажи уже около года и похищали реквизиты платежных карт именно через ту дыру, которую ученые Кембриджа выявили, а банковская индустрия решила «не замечать».
В общей сложности, по грубым оценкам, с помощью этой массово внедренной закладки неведомым преступникам удалось похитить свыше 100 миллионов долларов со счетов владельцев скомпрометированных банковских карт... Поймать же столь ушлых жуликов, насколько можно судить по сообщениям прессы, полиции так и не удалось. Когда Интерпол уже висел у мошенников на хвосте, что называется, вычислив точное географическое местоположение их сервера, который через сеть GSM собирал похищенные данные и управлял работой закладок, в работу следствия
неожиданно вмешалась довольно странная в данном контексте сила.
Гуру-безопасник о технологиях.. у кого аглицкий хороший на слух можете прокомментировать ?
https://3dnews.ru/815613область творчества и научных исследований
профессора Росса Андерсона — инфобезопасность в ее наиболее широком смысле — обладает такой спецификой, что люди здесь год за годом и раз за разом почему-то очень упорно совершают одни и те же ошибки, наступая на одни и те же грабли. Пытаясь осмыслить эту ситуацию и обобщая опыт собственных многолетних исследований, в начале 2000-х годов Андерсон написал специальную монографию — совершенно уникальный по охвату тем справочник под названием
«Инженерия безопасности. Руководство по созданию надежных распределенных систем» (Ross Anderson, Security Engineering: A Guide to Building Dependable Distributed Systems, 2001, John Wiley & Sons).
На огромном количестве примеров из реальной жизни Росс Андерсон не только объясняет, как надо и как не следует использовать те или иные шифры, механизмы контроля и системы защиты, но и демонстрирует с их помощью решение множества инженерных проблем системного уровня, будь то выбор процента для ложных тревог, соотнесение прочности системы с ее гибкостью или практичности использования с гарантиями надежной работы.
Через несколько лет после первого издания книги, к 2006 году, этот автор сумел-таки убедить издательство Wiley & Sons в том, что его «Руководство» целесообразно в полном электронном виде выложить в Интернет — в свободный онлайновый доступ для всех интересующихся.
Согласно убеждениям и расчетам Андерсона, подобный шаг (а) не только предоставляет нужные и важные сведения всем тем, кто не имеет возможности купить недешевую «настоящую» книгу, но и (б) не сокращает, а, напротив, увеличивает продажи бумажного варианта книги (ибо информация о ценном ресурсе распространится так намного шире, а, легко скачав по собственному выбору отдельные главы и оценив качество работы, состоятельные читатели, скорее всего, захотят иметь книгу целиком в качестве настольного справочника). Хотя обычно идея о свободном доступе к их продукции книгоиздателям очень не нравится, в данном случае автору пошли навстречу. И очень скоро стало ясно, что эксперимент Андерсона полностью себя оправдал. Когда все главы «Инженерии безопасности» стали свободно доступны в Сети, продажи бумажной версии книги действительно заметно подскочили...
В 2008 году вышло второе — существенно дополненное и переработанное — издание «Руководства». А еще через четыре года, в 2012-м, уже без всяких сомнений и возражений со стороны Wiley & Sons, и эта версия книги — наряду с первым изданием — также стала свободно доступной для скачиваний непосредственно на сайте Росса Андерсона.
https://www.cl.cam.ac.uk/~rja14/book.htmlhttps://www.cl.cam.ac.uk/~rja14/musicfiles/manuscripts/SEv1.pdf 
почему бы и нет.