30. maaliskuuta 2011

Sirukorttien tietoturvassa (uusia) puutteita

Kirjoitin jo yli kolme vuotta sitten blogissani, että turvallisiksi mainostetuissa sirukorteissa on vakavia tietoturvaongelmia. Aihepiiriä ei ole juurikaan viitsitty mediassa käsitellä, eikä parannuksia ole tullut tietoturvaan, vaan päinvastoin sirukorttien tietoturva on vain murentunut entisestään. Sirukortin avaamiseen tarvittava pin-koodi voidaan nykyään urkkia suoraan kortilta.
"Normaaleissa tilanteissa koodi siirtyy kortin ja lukijan välissä ainoastaan offline-tilassa eli silloin, kun lukijan tietoliikenne pankkiin on kytketty pois päältä. Lisäksi siirto salataan varmennuksella. Kun koodi lähetetään pankkiin, lukija ja siru eivät ole enää yhteydessä. Muuntamalla kortin ja lukijan välistä tiedonsiirtoa tutkijat pystyivät murtamaan offline-tilassa tehtävän varmennuksen. Näin pin-koodi siirtyy ilman salausta ja se voidaan kaapata."

Kuten kirjoitin jo yli kolme vuotta sitten, tältäkin uhalta vältyttäisiin kokonaan, jos
"EMV-kortit pitäisi laittaa sellaisin asetuksin, että ne hyväksyvät vain salatut ja todennetut yhteydet lukulaitteiden tai päätteiden kanssa."

Mikä näin yksinkertaisissa asioissa on liian vaikeata miljardien ja miljardien eurojen liikevaihtoja pyörittävien pankkien ja luottokorttiyhtiöiden tajuta? Mikä? Ihan oikeasti, mikä? Mistä siellä tietoturvapuolen ihmisille oikein palkka juoksee, kun eivät noin perustavaa laatua olevistakaan asioista tajua yhtään mitään?

Toisaalta, mikä insinöörin ideapieru on alunperinkin ollut, että sirukorteissa on myös helposti kopioitava ja väärennettävä magneettiraita JA sirukorttien lukulaitteet eivät ole sellaisia, että sinne voisi työntää kortista VAIN sen sirukorttiosan (eikä suurin osa magneettijuovaa päätyisi myöskin laitteen uumeniin)? Mikähän järki tuossakaan on?

2 kommenttia:

Anonyymi kirjoitti...

Yritykset tuottavat tehokkaimmat ja parhaat ratkaisut. Taidat olla kommunistidemari kun yrityksiä noin parjaat.

jaska kirjoitti...

Vaikka sirukorttien tietoturvassa on paljon ongelmia ja taas on paljastunut yksi lisää, niin ei tarvitsisi silti liioitella asiaa keltaisen lehdistön tyyliin. "urkkia suoraan kortilta" on oikeastaa täysin virheellinen ilmaus niin kuin tivi:n "kaivaa sirulta".

Lainasit toki ihan oikein jutusta sen kohdan, jossa kerrotaan ongelman todellinen luonne, mutta miksi apinoit myös tivi:n liioittelun?