*
 
AfterDawn: IT-alan uutiset

Luottokunta uskoo NFC-korttien tietoturvaan: "Turvallisuusuhat liioiteltuja"

Kirjoittaja Teemu Laitila @ 17.5.2013 22:13 Kommentteja (19)

Luottokunta uskoo NFC-korttien tietoturvaan: "Turvallisuusuhat liioiteltuja" Nets eli entinen Luottokunta pitää viime aikoina julkisuudessa olleita lähimaksukorttien tietoturvaongelmia liioiteltuina. Yhtiön mukaan kortin kopioiminen etänä ei ole mahdollista.
Tällä hetkellä NFC-tekniikalla toimivia lähimaksukortteja myöntävät Suomessa esimerkiksi OP Pohjola sekä Nordea. Korttien määrä kasvanee vauhdilla tämän vuoden aikana, kun pankit tarjoavat automaattisesti NFC-korttia uusimisen yhteydessä. Kaikkia bussikortin tapaan vilauttamalla toimivaan maksukorttiin siirtyminen ei kuitenkaan innosta, varsinkaan sen jälkeen, kun on käynyt ilmi, että ainakin osan kortin tiedoista voi kopioida sopivalla laitteella vaikka bussissa vieruskaverin taskusta.

Netsin mukaan turvallisuusuhkia on kuitenkin liioiteltu. Vaikka joku onnistuisi lukemaan kortin tiedot etänä, tietotvarkaalle päätyisi pelkästään luottokortin numero sekä voimassaoloaika, mutta ei kortin kääntöpuolelle painettua tarkistuslukua (CVC/CVV). Ilman tarkistuslukua luottokortin numerokin on hyödytön, sillä esimerkiksi verkkokaupoissa ostosten teko ei onnistu ilman kolminumeroisen koodin syöttämistä.

Lähimaksukortti voi Netsin mukaan jopa parantaa turvallisuutta, kun esimerkiksi baaritiskillä ei tarvitse näpytellä tunnuslukua kortinlukijaan. Lisäksi NFC-maksukorttia koskevat samat säännöt kuin muitakin pankki- ja luottokortteja. Jos kortti varastetaan tai katoaa, kortin sulkemisen jälkeen kuluttaja ei ole vastuussa kortilla tehdyistä väärinkäytöksistä.

Lisäksi ilman sulkemistakin varastetun kortin väärinkäyttöpotentiaali on normaalia luottokorttia ja urkittua PIN-koodia pienempi, kun yksittäisten ostosten yläraja on 25 euroa ja peräkkäisten pelkällä lähiluvulla tehtyjen ostosten lukumäärää on rajoitettu ennen kuin kortti kysyy taas PIN-koodia.

Edellinen Seuraava  

19 kommenttia

117.5.2013 22:25

Olisi kiva että toi ominaisuus tulisi käyttöön puhelimeillekin. Vaikka Elisa tarjoaa jo jonkilaista ratkaisu. Niin käyttäisin, jos tulisi vaan fiksu ratkaisu siihen ja se tuki kaupoista.


iMac 12.1, Intel Core i5 @ 2,50GHz, 12,0GB RAM
LG G3 (6.0)
Lenovo Yoga 2, 10.1 (5.0.1)

GT-S (White Edition), Asus Blu-Ray Combo x 12, Gigabyte-Z77MX-D3H, NZXT Kraken X40,
Be Quiet Power Zone 750W-80+Bronze, Kingston HyperX Predator XMP 2x4GB 2400MHz + Kingston HyperX Fury 4GB 2100MHz,
Intel Core i7-3770K 3.5GHz, Gigabyte GTX660 OC.

218.5.2013 6:06

"Yhtiön mukaan kortin kopioiminen etänä ei ole mahdollista."

No ei nuo tietenkään myönnä tietoturvaongelmia, kun ne haluaa vaan saada tuotettaan myytyä. Todellisuus kuitenkin on, että NFC-korttien kopioiminen on paitsi mahdollista, myös helppoa, ja se on todistettu jo kymmeniä kertoja erilaisissa tietoturvakonventioissa.

"Lähimaksukortti voi Netsin mukaan jopa parantaa turvallisuutta, kun esimerkiksi baaritiskillä ei tarvitse näpytellä tunnuslukua kortinlukijaan."

Jos kortinlukijaan ei tarvitse näpytellä mitään lukuja vaan se voi lukea kaiken tarvittavan etänä, niin ihan yhtä hyvin voi hyökkääjäkin tehdä saman.

318.5.2013 7:15

Tietoturva asiat ei ole missään vaiheessa kiinnostaneet näitä maksujärjestelmien suunnittelijoita. Siellä on aivan peruslaatua olevia töpäyksiä. Joten en yhtään ihmettele että NFC-korteissa olisi tietoturva reikiä. Onhan ihan tavallisessa verkon kautta tapahtuvassa pankkikorttimaksussa tietoturva ongelmia. Siis kuka näitä suunnittelee ei ymmärrä tietoturvan päälle yhtään mitään.

418.5.2013 8:33

Eikä (CVC/CVV) ole yleensä kuin 3 numeroa = 999 mahdollista yhdistelmää, äkkiäkös sen on jo käynyt läpi.

En tod. jättäis kaikkea sen varmistuskoodin varaan niinkuin tuolla sanotaan.

Noh..en tiedä, kun en ole näihin kerennyt perehtymään vielä.

Kertokaas joku, että jos nfc tekniikka toimii siten, että korttia pidetään vaan lähellä lukijaa joka sitten lukee kortin niin miksi se olisi sen parempi kuin vain yksinkertainen luku siten että tunget kortin koneeseen (fyysinen kontakti vaaditaan), muuten "samalla" lailla kuin nfc? ja ihan yhtä nopeaa. Missasinko nyt jotai oleellista tässä?.

Sen käsitän että kännykkää ei voi helpolla tunkea kortinlukijaan..., mutta mihin tätä ominaisuutta sitten tarvitaan tavallisessa kortissa yhtään, kun sen voisi vain lukea fyysisesti aina. (kortti sisään - kortti ulos) ihan yhtä nopeasti (~sekunti).

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 18.5.2013 @ 08:56

- Always use protection. Safe browsing!

518.5.2013 10:07

Lainaus:
mutta mihin tätä ominaisuutta sitten tarvitaan tavallisessa kortissa yhtään, kun sen voisi vain lukea fyysisesti aina. (kortti sisään - kortti ulos) ihan yhtä nopeasti (~sekunti)

Ongelma on tietyissä paikoissa se, että tuon fyysisen kontaktin tekeminen on hitaampaa (esim. julkisessa liikenteessä NFC-matkustajat voivat vain kävellä päätteen ohi, kun tavallisen maksukortin käyttäjän on pakko käytännössä pysähtyä). Tietyissä paikoissa nuo fyysiset lukijat tuppaavat lisäksi likaantumaan ja sen seurauksena vikaantumaan, kun taas NFC-päätteen suojaaminen on tältä osin helpompaa.

618.5.2013 10:32

Onkohan sitä 2010 haavoittuvuutta vielä edes korjattu?

http://en.wikipedia.org/wiki/EMV#2010:_..._on_stolen_card

Lainaus:
tietotvarkaalle päätyisi pelkästään luottokortin numero

718.5.2013 11:16

Lainaus:
Netsin mukaan turvallisuusuhkia on kuitenkin liioiteltu. Vaikka joku onnistuisi lukemaan kortin tiedot etänä, tietotvarkaalle päätyisi pelkästään luottokortin numero sekä voimassaoloaika, mutta ei kortin kääntöpuolelle painettua tarkistuslukua (CVC/CVV). Ilman tarkistuslukua luottokortin numerokin on hyödytön, sillä esimerkiksi verkkokaupoissa ostosten teko ei onnistu ilman kolminumeroisen koodin syöttämistä.
Entäs sitten bussissa tai kivijalkakaupoissa?
Jos tästä etäluvusta on jotain hyötyä, ei tunnuslukua tarvitse pysähtyä naputtelemaan -> kortilla voi maksaa kassalla ilman tunnuslukua tai CVC/CVV -tarkistuslukua. Jos taas kassalla joutuu tunnusluvun joka tapauksessa naputtelemaan, en näe nfc:stä merkittävää hyötyä. Tietysti puhelimen käyttö korttina houkuttaisi, mutta sekään ei oikein vielä onnistu.

818.5.2013 12:54

Tarkottaisko tää sitä että sitten vois maksaa tuolla NFC ominaisuudella varustetulla kortilla myös dösämatkoja?



918.5.2013 13:36

@Aivan kuten nykyisillä matkakorteilla. Maailmalla ja suomessakin jo hyvin yleisesti käytössä oleva RFID 13.56 ja NFC toimivat samalla taajuudella ja ovat yleisesti yhteensopivia.

Jos sattuu omistamaan nfc:llä varutetun puhelimen, niin matkakortin tietoja voi yrittää lukea. Suojauksista johtuen sieltä ei kuitenkaan kovin paljoaa tietoa saa.

1018.5.2013 14:03

Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:
Eikä (CVC/CVV) ole yleensä kuin 3 numeroa = 999 mahdollista yhdistelmää, äkkiäkös sen on jo käynyt läpi.
No nyt on kyllä jollain jäänyt matikan tunnit käymättä :D

1118.5.2013 14:58

Lainaus, alkuperäisen viestin kirjoitti epoksi:
Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:
Eikä (CVC/CVV) ole yleensä kuin 3 numeroa = 999 mahdollista yhdistelmää, äkkiäkös sen on jo käynyt läpi.
No nyt on kyllä jollain jäänyt matikan tunnit käymättä :D
Tarkentaisitko? En minäkään tuosta saa kuin 1000 eri yhdistelmää, viittaatko 000:n unohtumiseen vai jäikö itseltäsi mahdollisesti matikan tunnit käymättä?

1218.5.2013 15:09

Siis mitä tarkennettavaa tuossa enää on? Itsekin tuossa totesit, että yhdistelmiä on 1000. Vai jäikö sinulta mahdollisesti äidinkielen tunnit käymättä?

1318.5.2013 17:06

Lainaus, alkuperäisen viestin kirjoitti epoksi:
Siis mitä tarkennettavaa tuossa enää on? Itsekin tuossa totesit, että yhdistelmiä on 1000. Vai jäikö sinulta mahdollisesti äidinkielen tunnit käymättä?
Pätemisen tarve on suuri? =)

Onhan se kyllä kännyköissä kätevää, kun saa vilauttaa vain puhelinta kassalla tai missä ikinä onkaan pääte. Sen kyllä olen huomannut, että tunnusluvun "urkkiminen" on todella naurettavan helppoa varsinkin vanhemmilta ihmisiltä, kun näppäilevät koodia suorastaan "avoimesti" koneeseen (hyvä etteivät äänen sitä tavaa).
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 18.5.2013 @ 17:17

- Always use protection. Safe browsing!

1418.5.2013 18:58

Missäs kohtaa minä olen pätemistä harrastanut? Virheistäkö ei saa huomauttaa?

1518.5.2013 20:05

NFC TagInfo - Löytyy Google Plays:ta

Luin oman YTV matka kortin.
Jotain tietoa sieltä löytyy, mutta en hirveenä jaksannut keskittyä tällä hetkellä tulkitsemaan sitä =D .

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 18.5.2013 @ 20:05

iMac 12.1, Intel Core i5 @ 2,50GHz, 12,0GB RAM
LG G3 (6.0)
Lenovo Yoga 2, 10.1 (5.0.1)

GT-S (White Edition), Asus Blu-Ray Combo x 12, Gigabyte-Z77MX-D3H, NZXT Kraken X40,
Be Quiet Power Zone 750W-80+Bronze, Kingston HyperX Predator XMP 2x4GB 2400MHz + Kingston HyperX Fury 4GB 2100MHz,
Intel Core i7-3770K 3.5GHz, Gigabyte GTX660 OC.

1719.5.2013 0:15

Ja koko turvakoodivaatimushan on täysin riippuvainen nettikaupasta.

1819.5.2013 10:45

Rahastaminen on se tärkeitä. Ei sen ole väliä rahastetaanko moneen kertaan tai että joku muu käyttää tietoturvareikiä varastaakseen toisen rahaa. Saahan se kauppa aina sitä rahaa. Asiakkaan oma vika se on jos joku asia menee pieleen. Ei ne jotka suunnittelee vuotavia ja viallisia järjestelmiä ole mistään vastuussa.

Asiakas on tyytyväinen kun se saa uuden kivan "vuotavan" leikkikalun. Se kun on uutta, "trendikästä" ja kivaa, ei se voi olla huono. Typerä ja vanhanaikainen on se ihminen joka vaatii turvallisia, yksityisyyttä kunnioitavia ja toimivia järjestelmiä.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 20.5.2013 @ 07:47

1920.5.2013 9:02

Puhelimissa kai yleensä NFC on aktiivinen vain jos puhelimen näyttö on päällä, mikä estänee ainakin taskusta tehdyt kortinluvut älypuhelimen sisäiseltä NFC:ltä.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 21.5.2013 @ 08:47

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Uusi suomalainen hittipeli julkaistiin myös iPhonelle Uusi suomalainen hittipeli julkaistiin myös iPhonelle (9.12.2016 10:08)
Suomalaisen Fingersoftin kehittämä Hill Climb Racing 2 -mobiilipeli on julkaistu iPhonelle ja iPadille. Peli julkaistiin Andridille jo viime viikolla. Androidilla Hill Climb Racing 2 on menestynyt ....
Poikkeuksellinen päivitys Galaxy Note7:ään – Estää akun latautumisen Poikkeuksellinen päivitys Galaxy Note7:ään – Estää akun latautumisen (9.12.2016 09:37)
Kun markkinoille pääsee mahdollisesti vaarallisia laitteita, pyritään kaikki myydyt tuotteet tietysti kutsumaan takaisin. Entä jos kaikkia myytyjä laitteita ei saadakaan kerättyä takaisin, vaan ....
1 kommentti
Onko maailman kuumin startup pelkkä kupla? Epäilyt Magic Leapiä kohtaan kasvavat Onko maailman kuumin startup pelkkä kupla? Epäilyt Magic Leapiä kohtaan kasvavat (9.12.2016 08:40)
Floridalaiseen Magic Leap -kasvuyrityksen kehittämiin mixed reality -laseihin on ladattu kovia odotuksia – kenties liiankin suuria. The Informationin paljastamien tietojen mukaan Magic Leap ....
Ubisoftin synttärikampanja jatkuu, nyt ilmaiseksi Assassin's Creed 3 Ubisoftin synttärikampanja jatkuu, nyt ilmaiseksi Assassin's Creed 3 (8.12.2016 19:36)
Ubisoft viettää 30. juhlavuottaan ja on juhlistanut sitä ilmaispelien avulla. Kaikkiaan seitsemän peliä on lisätty tarjolle ilmaisina latauksina yhtiön omasta Uplay-alustasta vuoden saatossa. ....
Voit joutua pettymään – iPhoneen ei olekaan tulossa suurta uudistusta Voit joutua pettymään – iPhoneen ei olekaan tulossa suurta uudistusta (8.12.2016 18:23)
Spekulointi seuraavan sukupolven iPhonen sisältämistä uusista ominaisuuksista tuntuu alkavan vuosi vuodelta aikaisemmin. Varhaisessa vaiheessa alkaneiden huhujen huono puoli on siinä, että vaikka ....

Uutisarkisto