Esko
2010-04-01 09:10:03 UTC
Maksukorttien EMV-sirun suojaus on ainakin tällä hetkellä ei-pitävä ja
siis käytännössä murrettu.
Cambridgen yliopiston tutkija Steven J. Murdoch on kehittänyt tähän
murtohomman demonstrointiin selkärepussa kulkevan laitteen. Sen avulla
mikä tahansa sirullinen EMV-kortti toimii kassalla, kun näppäilee
PIN-numeroksi minkä tahansa 4-numeroisen luvun.
http://www.cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf
Murdoch sanoo testanneensa luvan kanssa tusinoittain kaveriensa
luottokortteja, ja tehnyt niillä ostoja. Kertaakan mikään pankki ei ole
huomannut hyökkäystä eikä ole ottanut yhteyttä kortinantajaan.
Tämä EMV:n murtojuttu nousi HS:ssä esille, kun suomalainen asiakas oli
kadottanut EMV-sirukorttinsa. Kortilla oli tehty lukuisia ostoja vaikka
PIN-koodi ei voinut olla löytäjän tiedossa.
Aikaisemmin Luottokunta väitti että tällainen osteleminen ei ole
mahdollista ilman PIN:in tietämistä.
Hesarissa Luottokunta jopa väitti että PIN-koodia ei ole lainkaan
talletettuna sirullisella kortilla, eikä sitä voi hakkeroida sieltä ulos.
Tämä väite kuulosti heti alkuun melkoiselta hätävalheelta. Sillä
EMV-korteissahan on edelleen 'varajärjestelmänä' perinteinen
magneettiraita. Ja magneettiraidalla on salakoodattuna myös kyseisen
kortin PIN-tunnus.
Tällä hetkellä Luottokunnan kanta EMV-suojauksen murtumiseen on että
"Asiaa selvitetään kansainvälisesti, ja myös Luottokunta on mukana."
-Esko
siis käytännössä murrettu.
Cambridgen yliopiston tutkija Steven J. Murdoch on kehittänyt tähän
murtohomman demonstrointiin selkärepussa kulkevan laitteen. Sen avulla
mikä tahansa sirullinen EMV-kortti toimii kassalla, kun näppäilee
PIN-numeroksi minkä tahansa 4-numeroisen luvun.
http://www.cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf
Murdoch sanoo testanneensa luvan kanssa tusinoittain kaveriensa
luottokortteja, ja tehnyt niillä ostoja. Kertaakan mikään pankki ei ole
huomannut hyökkäystä eikä ole ottanut yhteyttä kortinantajaan.
Tämä EMV:n murtojuttu nousi HS:ssä esille, kun suomalainen asiakas oli
kadottanut EMV-sirukorttinsa. Kortilla oli tehty lukuisia ostoja vaikka
PIN-koodi ei voinut olla löytäjän tiedossa.
Aikaisemmin Luottokunta väitti että tällainen osteleminen ei ole
mahdollista ilman PIN:in tietämistä.
Hesarissa Luottokunta jopa väitti että PIN-koodia ei ole lainkaan
talletettuna sirullisella kortilla, eikä sitä voi hakkeroida sieltä ulos.
Tämä väite kuulosti heti alkuun melkoiselta hätävalheelta. Sillä
EMV-korteissahan on edelleen 'varajärjestelmänä' perinteinen
magneettiraita. Ja magneettiraidalla on salakoodattuna myös kyseisen
kortin PIN-tunnus.
Tällä hetkellä Luottokunnan kanta EMV-suojauksen murtumiseen on että
"Asiaa selvitetään kansainvälisesti, ja myös Luottokunta on mukana."
-Esko