tisdag 16 februari 2010

Svensk bank om hacket mot chipkort

Nu har en svensk bank gått ut med lugnande besked om chipkort. "Kort med chip – en säker lösning", skriver de (jag länkar inte till dem eftersom den enskilda banken inte är det viktiga). Jag är dock bekant med mycket säkerhetskunniga personer där så jag har förtroende för deras säkerhetstänk. Låt oss därför gå igenom vad de skriver.

"Media har under veckan rapporterat om säkerhetsbrister i kort som har chip. [Bankens] kortexperter ger dock lugnande besked: Kunderna har inget att oroa sig för. Säkerheten med chiptekniken är hög och PIN-koden går inte enkelt att avslöja."

Avslöja PIN-koder? Det har det aldrig varit tal om. Hacket innebär ju att man kan ange vilken PIN-kod som helst och inte behöver "avslöja" något.

"Inga chipkort har kopierats och PIN koden har inte kunnat missbrukas."

Nej, kopiera några kort har det inte heller varit tal om. En bedragare måste alltså stjäla eller hitta ett kort för att kunna utnyttja det.

"I slutet av förra veckan uppmärksammades en rapport från forskare i Cambridge som argumenterar för att chipkort går att manipulera för att utföra falska transaktioner på kundernas konton."

Falska transaktioner är precis vad det handlar om men det stulna kortet behöver inte manipuleras. Det kan utnyttjas direkt efter stölden, utan justeringar. Det är bara att sätta in i bedragarens kortläsare och sätta igång.

"Rapporteringen om att PIN-koden enkelt skulle gå att avslöja stämmer dock inte."

Nej, det har aldrig varit tal om att avslöja PIN-koden. Bedragarna kan ange vilken PIN-kod som helst!

"De scenarier som målas upp i media bygger på experiment utförda i laboratoriemiljö där ett flertal mindre sannolika faktorer skulle behöva samverka för att ett bedrägeri skulle lyckas."

Nej, forskarna har utfört köp på en riktig, uppkopplad kortterminal och kvittot angav "Verified by PIN". Det finns till och med bilder på allt inklusive kvittot i artikeln:


"Resonemanget bygger på att ett kort först stjäls och att avancerad teknik sen används för att manipulera kortet, genom att påverka kommunikationen mellan kort och terminal, samt att kortet används off-line utan kontakt med banken."

Nej och nej. Det stulna kortet behöver inte manipuleras och hacket fungerar på terminaler som är online. Forskarna skriver om de gamla kända hacken mot offline-terminaler. Det här är något helt annat.

Två viktiga saker dock:
  1. Det kan vara så att svenska terminaler gör en PIN-kontroll online. Om så är fallet så bör bankerna komma med den informationen nu. Och blanda inte ihop det med terminaler som är helt offline.
  2. Det går inte att ta ut pengar i bankomat med det nya hacket. Där sker nämligen PIN-kontollen online.
"[Bankens] kort- och terminalexperter (...) upplyser att ett sådant förfarande inte låter sig göras obemärkt och skulle fångas upp av bankens kontrollsystem."

Det här kan alltså vara sant vilket skulle betyda att Sverige har något sorts specialsystem. Det vore bra om bankerna kom med tydlig information på den här punkten -- sker PIN-kontrollen online vid kortköp i Sverige?

"Som vanligt gäller också att kunder som utsätts för bedrägeri alltid ersätts."

Tack! Det var ett besked vi ville ha. Frågan som berörs i forskningsartikeln är bara hur man övertygar bankerna om att ett bedrägeri har skett när de anser att chip+PIN är säkert.

"- Från vad som hittills framkommit är risken för bedrägerier på grund av detta mikroskopisk och därför är vår uppfattning att bankkort med chip är mycket säkra som betalningsmedel."

Forskarna är mycket tydliga på den här punkten -- bedrägerier är högst realistiska och det finns incidenter som tyder på att de redan sker. Kunskapen i kriminella kretsar är god nog för att tillverka en minivariant av den utrustning som krävs.

"- Även om ett kort skulle stjälas eller tappas bort är risken mycket liten för att kortkunden skulle råka illa ut på det sätt som beskrivs i rapporten. Vi som kortutgivare kan tack vare chiptekniken se hur transaktionen genomförts och hålla kortkunden skadeslös om ett bedrägeriförsök mot förmodan skulle ske."

Det är ju just det som hacket går ut på -- det kommer se ut som ett helt vanligt köp med korrekt PIN-kod. Hur ska man då "se hur transaktionen genomförts"?

"Som Sveriges största kortutgivare och Inlösare av korttransaktioner arbetar [Banken] ständigt med att följa teknikutvecklingen och ligga i framkant avseende säkerhet och användbarhet inom kortlösningar, för såväl kund som butik, och följer givetvis den fortsatta utvecklingen på området. Kunder som utsätts för bedrägeriförsök uppmanas alltid kontakta banken."

Så sant som det var sagt -- spärra ditt kort bums om du förlorar det.

Summerat
Jag får uppfattningen att banken antingen inte har läst forskningsartikeln eller sitter inne på information som är specifik för just svenska kortbetalningar. Därför rubbas inte min uppfattning att chipkorten är knäckta.


Fotnot: Jag arbetar i säkerhetsbranschen och har ingen nytta av att skaffa mig ovänner. Skälet att jag skriver om det här är att jag som säkerhetsexpert och som bankkund vill öka säkerheten. Det här är en allmän fråga.

Inga kommentarer: