6. helmikuuta 2012

Kriminaalit kiittävät: Langattomat maksukortit tulevat nyt

Olen aikaisemminkin kirjoittanut blogissani langattomien maksukorttien tietoturvaongelmista. Nyt tuli vastaan pikku-uutinen, jonka mukaan nyt ollaan ottamassa käyttöön langattomat (NFC) Plussa-kortit. Seuraavaksi siirrytään etäluettavien pankki- ja luottokortteihin, niihin soveltuvia maksupäätteitä ovat tarkkasilmäiset jo voineet bongata kaupoissa. On se vaan hienoa, kun kehitys laukkaa eteenpäin. Vai onko?

Kuluttajat varmasti nauttivat suuresti, kun sen sijaan, että sirukortti pitäisi työntää sen vaatimaan aukkoon, korttia voikin vain vilauttaa maksupäätteen lähellä ja maksu hoituu sillä...tai vähintäänkin maksuun tarvittavat tiedot siirtyvät sitä kautta päätteelle, jossa asiakas hyväksyy ne pin-koodillaan. Pieni ongelma: Kun vaatimus kortin sirun laittamisesta maksupäätteeseen poistuu, poistuu myös kaikki fyysinen turvallisuus, mikä tuohon toimenpiteeseen on liittynyt. Langattomaan korttiin pääsee käsiksi, vaikkei siihen pääsisikään fyysisesti käsiksi, eli vaikka kriminaali ei saisikaan sitä konkreettisesti näppeihinsä. Hurraa!

Mistä näin idioottimainen ajatus on sitten tullut, sitä ei voi kuin ihmetellä.

Yleensä on ajateltu, että turvallisuus ja tunnistaminen voi luottaa kolmeen eri asiaan: 1) Johonkin, jota sinulla on hallussasi, kuten luottokortti 2) Johonkin, jonka sinä tiedät, kuten kortin pin-tunnus 3) Johonkin, jota sinä olet, kuten biometrinen tunniste.

Luottokorttiyhtiöt ovat ahneuksissaan siirtymässä tietoturvasta tietämättömiä ja väliinpitämättömiä kansalaisia miellyttääkseen yksinkertaiseen turvallisuuteen ja tunnistamiseen, eli systeemiin, jossa turvallisuus pohjimmiltaan nojaa vain johonkin, jonka sinä tiedät, kuten kortin pin-tunnus. Kun sitten pin-koodi on menetetty, kaikki on menetetty. Kaikki muut tiedot voidaan huomaamatta varastaa radiotaajuuksilta ihan missä tahansa ikinä kuljetkin. Niin ja sivuhuomautuksena mainittakoot, että näissä systeemeissä ei pin-tunnuksen kaappaaminenkaan ole vaikeaa eikä aina edes lainkaan välttämätöntä, joten se oikeastaan se siitäkin turvallisuusominaisuudesta...kauppa ja sitä kautta myös kuka tahansa hakkeri voi veloittaa alle 20 euron ostoksia ilman mitään pin-koodilla tapahtuvaa hyväksyntää...miten monta tahansa peräkkäin, jos niikseen tulee...ajatelkaas sitä!

NFC-systeemit ovat tietoturvattomia, piste ja aamen.

NFC-systeemit voisivat teoriassa olla turvallisia, jos ne eivät olisi noin simppeleitä, vaan ne liittyisivät vaikka yhtenä osa älypuhelimien kanssa tehtävään maksutapahtumaan. NFC on hyvä tapa siirtää tietoa nopeasti pieniä matkoja, mutta pirun huono tapa, mikäli tuon tiedonsiirron pitäisi pysyä salaisena. Kuten aikaisemmassa blogikirjoituksessani kuvailin, olisi parasta olla luottamatta pätkän vertaa langattoman tiedonsiirron tietosuojaan, sekä sen lisäksi olisi parasta olla luottamatta pätkän vertaa kauppiaan tms. lukulaitteen tietoturvaan. Maksusysteemi, joka toimisi näin, olisi myös käytännössä mahdollista tehdä ja vieläpä varsin pienillä kustannuksilla. Sen jälkeen näitä kortteja kopioivat tai muulla tavoin väärinkäyttävät kriminaalit jäisivät varmuudella nuolemaan näppejään.

Ilmeisesti maksu- ja luottokortteja tehtailevat yritykset mieluummin hyssyttelevät ja kärsivät nahoissaan pienet väärinkäytökset, kuin puuttuvat ongelmiin. Tai maksattavat väärinkäytökset uhreilla, väittäen vain, että asiakas on itse tehnyt jonkun virheen tai ollut huolimaton. Kun kyseessä on uusi tekniikka, josta kukaan ei oikeasti tunnu tietävän mitään ja korttifirma vain hokee mantraansa "asiakkaan vika, systeemimme on turvallinen", niin asiakashan siinä maksumieheksi päätyy. Niin, asiakas päätyy muuten maksumieheksi silloinkin, kun korttifirma myöntää virheen tai väärinkäytöksen: Nämähän rahoitetaan asiakkailta perittyjen maksujen muodossa joka tapauksessa.

Muistelkaapa vain, miten pankkikorttien kopiointien tai nettipankkien hakkerointien kanssa on käynyt. Pankit ovat aina väittäneet, että ongelmia ja vikaa ei ole, kunnes lopulta koko touhu on räjähtänyt käsiin ja pankin on ollut pakko myöntää, että kortteja on kopioitu ja nettipankkeja hakkeroitu. Sen jälkeen pankit ovat pistäneet laskut kaikkien asiakkaidensa maksettaviksi ja korvanneet kärsineille rahat jos nämä ovat osanneet niitä vaatia.

Neuvoni kaikille lukijoilleni:
Älkää suostuko ottamaan käyttöön langattomia kortteja ja kertokaa syyksi juurikin tietoturvattomuus. Mikäli firma yrittää pakottaa teidät käyttämään ko. kortteja, vaihtakaa suosiolla puljua ja kertokaa siitä paitsi ko. firmaan, niin myöskin ystävillenne ja tuttavillenne. Teitä on varoitettu, vastuu on nyt teillä itsellänne.

3 kommenttia:

Anonyymi kirjoitti...

Eiköhän olisikin parasta siirtyä takaisin käyttämään pankkikonttoreiden asiakaspalvelupisteitä ja hylätä kaikki lukulaitteet ja automaatit.
Vai mitä?

Anonyymi kirjoitti...

^Kuulostaa hyvältä. Ainakin minun mielestäni tulisi siirtyä käyttämään vain arvometalleja sisältäviä kolikoita.

Anonyymi kirjoitti...

http://www.kauppalehti.fi/5/i/talous/uutiset/etusivu/uutinen.jsp?oid=201203136627