27. helmikuuta 2008

Sirukorteissa tietoturvaongelmia

Lyhyesti sanottuna, meille on uskoteltu, että uudet, sirulla varustetut luotto/maksu/plussa/pankkikortit ovat turvallisia lukulaitteineen. Voi miten väärässä onkaan oltu.

Manipuloimalla lukulaitetta on mahdollista saada napattua paitsi kortin PIN-koodi talteen, niin myöskin kaikki kortin sisältämät tiedot kuten tili- ja/tai luottokortinnumero. Näillä tiedoilla voidaan kloonata samanlaisen kortin magneettiraidalla varustettu versio, joka puolestaan käy miltei kaikkialla maksuun ja ehkä käteisnostoihinkin, koska siruversion käyttö ei ole pakollista vielä. Lisäksi noilla EMV-kortista imetyilla tiedoilla voidaan tietysti ostaa netistä mitä lystää, koska luottokortin numero saadaan napattua talteen.

Varsinaista sirun kloonaamista ei ole vielä virallisesti onnistuttu tekemään, mutta tämän tiedon valossa tuskin sekään kaukana on (ainakin voidaan spekuloida että EMV-sirulla olevat avaimet voidaan erilaisia virrankulutus- ja muilla hyökkäystoimin vaarantaa, kuten miltei kaikki älykortit). Nyt ovat vaarassa "vain" sirun sisältämät tiedot, joita sirukortit syytävät hallitsemattomasti maksulaitteille.

Ongelmana on, että lukulaitteet eivät ole manipuloinnilta suojattuja eikä edes siten tehtyjä, että ne varoittaisivat jos niitä on peukaloitu. Lisäksi, kortin ja lukulaitteen välinen yhteys ei ole (yleensä) salattu, vaan PIN-koodit ja kortin tiedot kulkevat salaamattomana lukulaitteen muistiin saakka, jossa ne vasta salataan. Lukulaitteelta ne siirtyvät tietysti salattua yhteyttä pitkin eteenpäin. Kaikki lukulaitteet eivät suinkaan ole haavoittuvaisia - tämän hetkisten tietojen mukaan, mutta jos voit olettaa että rikollinen pääsee peukaloimaan lukulaitetta, hän voi tietysti aina vaihtaa sen haavoittuvaiseen versioon, koska "kaikki versiot toimivat" kortin kanssa.

Ratkaisuehdotuksiani ongelmaan:
- EMV-kortit pitäisi laittaa sellaisin asetuksin, että ne hyväksyvät vain salatut ja todennetut yhteydet lukulaitteiden tai päätteiden kanssa.
- Jokainen lukulaite ja pääte pitäisi olla siis (suojatulta ohjelmistoltaan ja muistiltaan) autentikoitu pankin tai Luottokunnan toimesta, joten laitteiden käyttäminen olisi aina turvallista, täysin riippumatta siitä miten hämärä taho laitetta pääsee peukaloimaan.
- EMV-korttien tietojen pitäisi olla aina erilaiset kuin kortissa olevan magneettiraidan tiedot ovat. Näin ollen toisen tiedoilla ei voitaisi vaarantaa toista.
- Magneettiraitaisten korttien käytöstä tulisi kokonaan pyrkiä luopumaan, sekä mahdollisuuksien mukaan tulevaisuudessa ylipäätään luottokorttinumeroihin perustuvasta järjestelmästä. Maksutapahtuman pitäisi aina, kotitietokoneellakin, tapahtua sirukortin ja turvallisen PIN-näppäimistön kautta, jolloin väärentäminen ja hyväksikäyttö olisi miltei mahdotonta.
- Edelliseen liittyen, olisi tietysti tietoturvan kannalta erittäin hyvää, jos olisi mahdollista käyttää aina maksaessaan omaa sirukortin lukijaa- ja näppäimistöä, jolloin voisi olla varma ettei PIN-koodi päädy vääriin käsiin. Tähän on ehkä vielä matkaa... :)

http://news.bbc.co.uk/1/hi/programmes/newsnight/7265437.stm
http://www.cl.cam.ac.uk/research/security/banking/ped/
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-711.pdf
https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf

On hieman epäselvää toistaiseksi, miltä osin Suomessa käytetyt maksupäätteet ja systeemit ovat haavoittuvaisia tälle hyökkäykselle. EMV-kortit joka tapauksessa ovat, koska samoja sirukortteja voi käyttää myös ulkomailla, joissa hyökkäyksiä on tehty ja joissa haavoittuvuuksia on ollut (tai kääntäen, jos Suomessa käytettävät EMV-sirukortit olisivat suojattuja tältä hyökkäykseltä, ne eivät voisi toimia ulkomailla niissä laitteissa, joissa hyökkäykset ovat mahdollisia).



20.3.2008 päivitystä:
Lukaiskaapa Turun Sanomien artikkeli asiasta. Heh.

2 kommenttia:

Anonyymi kirjoitti...

Tere!

Hyvä kun muistutat tämänkin toimivuutta!

Olin juuri viikonpäivät Virossa jälleen työreissulla ja periaatteessakaan minulla ei ole reissussa mukana paikallista valuuttaa, koska suomessakaan en ole käsitellyt käteistä ainakaan neljään vuoteen. Joten ehdottomasti turvallisimmalta tavalta maksaa vaikuttaa tuo siru -pin kyselyineen. Toki korttiani höylättiin magneettiraidaltakin, mutta eipä vielä ole pankista kyselty, että jotenkin olisin muuttanut korttini käytöstapoja reissussa. Toki varmennan aina maksutapahtumien tallentamisen saatavalla kuitilla- ja toki voin helposti todentaa muutkin liikkumiseni ja tekemiseni epäselvissä tapauksissa.

Mutta hyvä olla valppaana!

Juha Pätsi- muovirahan käyttäjä.

Markus Jansson kirjoitti...

Varminta olisi rikkoa magneettiraita vaikkapa magneetilla sivelemällä ja käyttää vain sirua. Ongelmaksi tulee tietysti sitten se, ettei kaikkialla ole toimivia sirukortinlukijoita.