*

Teron turvallisuusblogi Maksukortti- ja verkkoturvallisuus

NFC:n tietoturva vai turvattomuus?

Saamme pian markkinoille lähimaksukortit, jotka käyttävät NFC-tekniikkaa. NFC tulee sanoista Near Field Communication. Maksettaessa NFC-kortilla asiakas vie korttinsa maksupäätteen viereen (1-3 cm), ja maksupääte keskustelee kortin sirun kanssa radiosignaalilla. Kyse on siis sirutapahtumasta, joka on kryptattua dataliikennettä. Tällä maksutavalla voi tehdä korkeintaan 25 euron kertaostoksia, eikä PIN-koodia tarvitse näppäillä.

Tänään tuli mediassa esiin kaksi näkökulmaa; maksutavan kätevyys, ja toisaalta sen tietoturva.

Esimerkki: Olet baarissa, ostat oluita pitkin iltaa, pieniä ostoksia. Haluatko joka kerta näppäillä PIN-koodisi? Jos joku sattuu sen näkemään, ja ammattimaisesti vielä näpistää korttisi, pääsee hän tyhjentämään tilisi - edellyttäen, että et ole asettanut vuorokausikohtaista käteisnostorajaa kortillesi etkä sulje korttia ajoissa. Jos maksat lähimaksukortilla (NFC), et näppäile PIN-koodia kuin ehkä joka viidennellä tai kuudennella ostoksella. Ostaminen nopeutuu, PIN-turvallisuus parantuu. Korttivarkaat etsiytyvät muualle, sillä pelkän kortin varastamalla voisi saada vain vähäisen summan rahaa - ei suinkaan koko tilin sisältöä.

Kätevyys ja korttivarkauden ehkäisynäkökulma oli siinä. Entä tietoturva? Voiko joku lukea korttisi tietoja matkapuhelimella tai lukulaittella huomaamattasi, ja mitä se vaatii?

Jos on teknistä osaamista, voi jotain tietoja lukea, mutta mitä? Korttinumeron ja voimassaoloajan lukeminen ei rikollista hyödytä; kortin väärinkäyttöön tarvitaan paljon enemmän tietoa sekä kortista, että kortin haltijasta. Tämäkin vaatii kuitenkin rikolliselta melkoista teknistä osaamista ja viitseliäisyyttä.

Siihen se sitten kaatuukin; rikollisuus perustuu helpon rahan tavoitteluun. NFC-korteissa ei ole mahdollisuutta tehdä helppoa rikollista rahaa siinä mittakaavassa, että se loisi realistisen uhkakuvan.

Oleellista kuluttajan kannalta on se, että jos järjestäytynyt rikollisuus jostain syystä ryhtyisi tällaiseen osaamista ja viitseliäisyyttä edellyttävään hankkeeseen, jonka odotettavissa oleva hyöty olisi varsin vähäinen, ei se kaatuisi kuluttajan maksettavaksi. Kuluttajan vastuu on käyttää korttiaan huolellisesti, ja huolellisuusvelvoitteen täyttyessä on vastuu mahdollisista tappioista kortin myöntäjällä. Se on koko maksukortin idea!

Käteinen on täysin omalla vastuulla, mutta korttituotteisiin on säädetty erilaisia turvatekijöitä ja käyttöehtoja, joita noudatettaessa kortit ovat turvallisia - myös NFC-kortit.

Piditkö tästä kirjoituksesta? Näytä se!

2Suosittele

2 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

Käyttäjän ReijoTervonen kuva
Reijo Tervonen

Mielestäni on huolestuttavaa jos voit lukea kortin numeron ja voimassaolojan.
Oletettavasti tarvitaan melko paljon teknistä osaamista, että onnistut lukemaan ko. tiedot. Ne lienevät kuitenkin kryptatussa muodossa. Mikä ei tietenkään tarkoita sitä, että lukeminen olisi mahdotonta. Hankalaa se kuitenkin on.

Miksei ko. maksutapaa voisi soveltaa myös silloin kun kortti työnnetään lukijaan. Luulisi olevan sama miten se kortti luetaan. Näin tehtynä tapahtuma olisi mahdollisimman turvallinen. Pinnitön tapahtuma, mutta ei siirretä ilmateitse tietoa.

Tosin en usko, että normaalissa maksutilanteessa kukaan voisi monitoroida tietoliikennettä, ellei itse maksupäätettä ole peukaloitu. Ts. siihen on asennettu jokin vempain joka tallentaa korttitietoja. Siis "skimmaus" tyypppinen huijaus. Onkohan skimmaus helpompaa NFC tapauksessa?

pteranodon .

Päätellen esim. Nixun uutisesta 8.5. korttinumero ja voimassaoloaika eivät liiku salattuina. Noilla skannatuilla tiedoilla tehtiin kokeeksi ostos eräässä verkkokaupassa. Skannauksen voi tehdä esim. Samsung Galaxy SIII:lla, jossa on ladattuna sopiva Android-sovellus.

MasterCard PayPass -sirussa ei välttämättä ole kortinhaltijan nimeä.

Pinnitön kontaktillinen maksaminen olisi edistystä verrattuna nykyiseen korttimaksamiskäytäntöön Suomessa. Mutta lähimaksaminen on ylivertainen nopeutensa ja helppoutensa vuoksi.

Niki Klaus

Korttinumerolla ja voimassaoloajalla voi tehdä verkko-ostoksen tietyistä verkkokaupoista, kuten tässä on kerrottu:

http://www.nixu.com/fi/julkaisut/maksukortti-kuin-...

On tietysti totta, että valtaosa verkkokaupoista vaatii lisäksi erillisen turvanumeron, mutta eivät kuitenkaan kaikki.

Tietojen luku ei vaadi erityistä osaamista: hankitaan NFC sirulla varustettu puhelin, johon asennetaan sopiva sovellus, ja lukija on valmis. Salausta ei ole.

Olen samaa mieltä Teron kanssa siitä, että PIN-koodin kyselyn vähentäminen pienissä ostoksissa on tervetullut uudistus, mutta sen olisi tosiaan voinut toteuttaa myös ilman NFC:tä.

Käyttäjän terodirect kuva
Tero Direct

Totta, Niki, monissa maissa monien pankkien myöntämillä korteilla voikin tehdä pieniä siruostoksia ilman PIN-koodia. Tämä onkin järkevää ja kätevää. Se on kortinmyöntäjän ratkaisu. Rikollisliigojen tavoitteena on kuitenkin saada helppoa rahaa paljon. Helpompiakin konsteja on. Sikäli kun teknisiä heikkouksia on, niiden riskialttius täytyy aina suhteuttaa olemassaolevien rikollisorganisaatioiden taktiikkaan. Pelkkä yksittäinen heikkous ei tee mistään vaarallista sinänsä. Lisäksi, kuten tiedät (todennäköisesti paremmin kuin minä), tietojärjestelmät ovat jatkuvan kehityksen alaisia, ja kuten kotitietokoneisiinkin, voidaan maksujärjestelmiin tehdä nopeita päivityksiä, ja huomatut heikkoudet voidaan korjata. Tämä on nykyisten maksujärjestelmien hyvä puoli. Ne kehittyvät jatkuvasti, eikä asiakas yleensä huomaa mitään. Näin tulee ollakin: ammattilaiset pitävät infran turvallisena, ja yhteiskunta jatkaa normaalia pyörimistään.

j .

Eihän tämä asia ole mitenkään uusi. Itse olen NFC-korttien ongelmista lukenut jo pari vuotta sitten.

http://markusjansson.blogspot.fi/2011/07/langattom...

Käsittämätöntä, että silti NFC-ominaisuuksia laitetaan väkisin käytännössä kaikkiin luottokortteihin, vaikka käyttäjä ei moista itselleen haluaisi. Itse esimerkiksi peitän tunnusluvun näpyttelyni joka paikassa, ja harvemmin tulee istuttua kaljalla niin, että ramppaa tiskillä vähän väliä ostamassa yhden.

Tuomas Laatikainen

Ilmeisesti kuitenkin metallinen korttilompakko suojaa etäluennan?

http://www.fiksua.com/2013/08/tietoturvan-abc-suoj...

Kimmo Kalliojärvi

Tiettävästi näitä siruja voidaan lukea oikeilla laittella useiden metrien päästä. Jos kauppa voi veloittaa kortilta 25€, mikä estää rikollisiakin veloittamasta 25€? Pieni menetys yksittäiselle, mutta kierros Stockalla tuottaisi helposti tuhansia.

Käyttäjän terodirect kuva
Tero Direct

Ei pysty velottamaan usean metrin päästä. Kyseesä on lähiluku (Near Field Communication) ei etäluku.
Jos katsot YouTuben vidoita Yhdysvalloista, muista että siellä lähilukukortit perustuvat eri parametreihin kuin Euroopassa.
Missään päin Eurooppaa ei ole tullut esiin kuvaamiasi väärinkäytöksiä, vaikka tekniikka on jo yleisesti käytössä esim Britanniassa ja Puolassa. Rikostorjuntakeinoja on paljon sellaisiakin, joita en tässä blogilla kerro.

pteranodon .

Maksujen veloittamiseen tarvitsee maksupäätteen ja maksuliikennettä varten erinäisiä sopimuksia kauppiaspalvelun tarjoajan kanssa. Siis edes lähimaksujen (4 cm) imurointia ei voisi pitkään harrastaa jäämättä kiinni. Kukaan itseään kunnioittava rosvo tuskin lähtee leikkimään tällaisella.

Käyttäjän terodirect kuva
Tero Direct

Olen samaa mieltä. Helpompiakin konsteja on, mutta en tietenkään voi suositella. Noin filosofisesti ajatellen rikollinen elämäntapa ei kannata, jos haluaa olla rauhassa. Uskokaa pois.