Video: Jukka Lindström & Noin viikon uutiset: Bonuskortit (Lokakuu 2024)
Yhdysvaltain lukijoillemme luottokortilla maksaminen tarkoittaa magneettinauhan pyyhkäistä. Mutta ihmisille suuressa osassa Eurooppaa ja muita maita se tarkoittaa, että asetat sirukortin lukijaan ja kirjoitat PIN-koodisi. Tätä ns. Siru- ja PIN-ratkaisua on jo pitkään mainittu niin paljon parempi kuin amerikkalainen pyyhkäisy, ja useimmissa tapauksissa se on. Mutta järjestelmän toteuttamisessa on joitain vakavia ongelmia.
Ross Anderson kertoi tiiminsä historiasta tutkimalla siruja ja PIN-kortteja Black Hatissa tänä vuonna. Järjestelmästä, joka on suunniteltu vaikeammaksi huijata, Andersonilla oli yllättävän paljon sanottavaa.
Virheiden kavalkadi
Pikapäivitys sirulla ja PIN: llä: kuluttajat asettavat korttinsa ostaessaan. Sitten he kirjoittavat PIN-koodin, jonka laitteen kortti vahvistaa - kun se toimii, PIN-koodin ei tulisi koskaan jättää lukijaa. Sitten kortti neuvottelee pankin kanssa tapahtuman valtuuttamiseksi, ja myynti tapahtuu. Paperilla se kaikki kuulostaa hyvältä.
Anderson kävi läpi useita hänen ja hänen tiiminsä löytämiä epäoikeudenmukaisia haavoittuvuuksia sekä muita, jotka ensin havaittiin luonnossa ja sitten turvallisuusasiantuntijoiden suunnittelemiksi.
Monet hyökkäykset keskittyivät laitteisiin, joita kauppiaat käyttivät liiketoimien suorittamiseen, ja pankkiautomaatteihin. Hänen tiiminsä havaitsi, että useita laitteita ei itse asiassa ole tehty niiden turvallisuusvaatimusten mukaisesti, joita he väittivät noudattavan. Hän sanoi vähällä vaivalla, että ne voisivat taputtaa laitteita ja purkaa PIN-koodin myynnin aikana.
Muihin hyökkäyksiin liittyi Andersonin "pahan elektroniikan" asentaminen lukijoille tapahtumadatan sieppaamiseksi. Yhdessä tapauksessa huijarit asensivat pahat tavaransa kortinlukijaan ennen kuin he jopa luovutettiin kauppiaille.
Mutta oli myös monia muita hyökkäyksiä, kuten elektrolyyttien upottaminen suoraan siruun ja PIN-kortteihin, korttien yhdistäminen piilotettuihin laitteisiin, joiden avulla varas sai luvan korttiin millä tahansa satunnaiskoodilla, ja jopa hyökkäyksiä, jotka "toistivat" tapahtumia eri paikoissa.
Teknisesti ylivoimainen, käytännössä ongelmallinen
Kysyin Andersonilta, katsoiko hän edelleen siruilla ja pin: llä havaittujen virheiden jälkeen, että se olisi parempi kuin pyyhkäisevät kortit. Hän oli yksiselitteinen: siru- ja PIN-kortit ovat teknisesti parempia yksinkertaisesti siksi, että niitä on paljon vaikeampi kloonata kuin pyyhkäiseviä kortteja.
Suurempi ongelma on siinä, kuinka siru ja PIN-koodi otettiin käyttöön Euroopassa. Anderson selitti, että saadakseen eurooppalaiset kauppiaat vaihtamaan pankit lupasivat kauppiaille, että he ovat vastuussa vilpillisistä maksuista. Pyyhkäisemällä kortteja petollinen maksu yksinkertaisesti peruutetaan kauppiaalle. Anderson kutsui tätä "vastuun siirtämiseksi".
Kuulostaa hyvältä suunnitelmalta, mutta todellisuus oli melko julma. Anderson kertoi, että pankit syyttivät petosten uhreja usein ja syyttivät heitä PIN-koodin paljastamisesta jotenkin. Muissa tapauksissa pankit vain muuttivat mieltään ja käänsivät kauppiaille maksut. Äärimmäisissä tapauksissa pankit ja luottokorttiyhtiöt kieltäytyivät tuomitsemasta tunnettuja huijareita vastaan ilmeisesti hämmennyksen vuoksi.
Kukaan, näytti, ei halunnut ottaa vastuuta siru- ja PIN-petoksista. Anderson kysyi: "Jos pankki ei maksa petosta, miksi he rikkovat suolen pitääkseen sen turvassa?"
Anderson arvosteli myös sirujen ja PIN-dokumenttien kirjoittajia siitä, että heillä ei ollut selkeää näkemystä ja että he laskivat dokumentaatiospiraalin hallitsematta. Hän kutsui sitä tragedia of commons, ja totesi, että kukaan ei ole edistynyt kirjoittaa päivitetyn version, joka voisi todella tehdä tarvittavat tietoturvamuutokset standardiin.
Tulossa Amerikkaan
Yhdysvaltain lukijamme, jotka ovat tyytyväisiä pyyhkäisevillä korteillaan, saattavat ihmetellä, miksi tämän pitäisi olla heille tärkeä. Siellä on yksi yksinkertainen syy: siru- ja PIN-kortit ovat valmiita tuomaan tähän maahan. Andersonin mukaan pankkien on tarkoitus tehdä siirtyminen vuoteen 2015 mennessä.
Asiat eivät välttämättä mene niin huonosti tässä maassa. Ensinnäkin vain jotkut pankit valitsevat siru- ja PIN-järjestelmät, kun taas toiset pankit ottavat käyttöön siru- ja allekirjoituskortit. Tätä todennussuunnitelmaa on käytetty Singaporessa, ja se on suunniteltu antamaan parempaa kuluttajansuojaa. Anderson totesi myös, että Yhdysvaltain keskuspankin rooli Yhdysvaltain pankkitoiminnassa tarjoaa myös paremman kuluttajansuojan - olettaen, että se ei ole lähiaikoina dramaattisesti heikentynyt.
Hänellä oli myös rooli, että Black Hat -yleisö voisi pelata. "Se ei ole yksi protokolla; se on iso, satunnainen, tyylikäs työkalupakki maksuprotokollien rakentamiseksi", hän sanoi. "Voit joko keksiä jotain, joka on todella turvallinen, tai jotain, joka on todella verisesti kauhea."
Tässä toivon, että saamme entisen.
