Pankkikorttien tunnusluvut vaarassa
24.2.2003 15:58 Cambridgen yliopiston tutkijat kertovat löytäneensä heikon kohdan pankkien pankki- ja automaattikorttien turvallisuuden takaavista tietokonejärjestelmistä. Citibank yrittää vaientaa tutkijat Iso-Britanniassa meneillään olevassa oikeudenkäynissä.
Mike Bond ja Piotr Zielenski julkaisivat aiemmin tässä kuussa "Decimalisation table attacks for PIN cracking" -tutkimuksen, jossa tutkijat selventävät miten pankin työntekijä voisi halutessaan selvittää pankki- ja automaattikortin tunnusluvun 15 yrityksellä. Normaalisti nelinumeroisen tunnusluvun murtamiseen tarvittaisiin 5 000 arvausta.
Tutkijoiden mukaan korruptoitunut työntekijä voisi varastaa menetelmällä miljoonia puntia päivässä. Menetelmän toteuttaminen vaatii hyökkääjältä pääsyä pankin järjestelmiin.
Tavalliset automaatit lukitsevat kortit kolmen yrityksen jälkeen. Järjestelmän sisällä tällaista rajaa ei ole. Työntekijä voisi valmistaa tiedoilla vääriä kortteja tai myydä tunnusluvut rikollisille, tutkijat maalailevat.
Muunnostaulukon muunnos
Vastoin yleistä uskoa tunnuslukuja ei säilytetä tietokannassa, vaan ne lasketaan kortin numerosta erillisessä turvallisuusmoduulissa. Pankkiautomaatti lähettää tunnusluvun heksadesimaali/kymmenjärjestelmä -muunnostaulukon kanssa turvallisuusmodulille, joka varmentaa tunnusluvun ja sitä kautta myös kortin käyttäjän oikeaksi.
Tutkijoiden löytämä heikkous perustuu lukujärjestelmien muunnostaulukon muuttamiseen. Tällä menetelmällä tarvittavien arvausten määrä saadaan tiputettua 15 kappaleeseen.
Puolentunnin ruokatauolla olisi näin mahdollista selvittää 7000 kortin tunnusluvut. Menetelmä toimii vanhassa IBM 3624 -automaatissa ja ilmeisesti myös monissa sen käytössä olevissa seuraajissa.
Oikeudenkäynti käynnissä
Cambridgen tutkijat on kutsuttu Lontoossa käytävän oikeudenkäynnin todistajiksi. Eteläafrikkalaisen Citibankin tytärpankki on haastanut kaksi asiakastaan oikeuteen syyttäen näitä pankkikortin luovuttamisesta rikollisiin tarkoituksiin. Asiakkaiden kortilla nostettiin yhteensä 80 000 puntaa lontoolaisista automaateista marraskuussa 2000 .
Tutkijat saapuvat oikeuteen puolustuksen todistajiksi. Syytetyt asiakkaat yrittävät todistaa "haamunostojen" takana olevan jonkun Citibankin työntekijöistä.
Mike Bondin opettaja, tietoturvaguru Ross Anderson pelkää Citibankin pyrkivän estämään oikeuden päätöksellä pankkien turvajärjestelmien tutkimisen ja tulosten julkistamisen. Anderson kertoo viimeviikkoisessa sähköpostiviestissään Citibankin pyrkivän julistamaan jo julkaistun raportin salaiseksi.
Pankit murtumattomia?
Anderson kertoo "haamunostojen" määrän olevan nousussa. Usein lasku ylimääräisistä nostoista lankeaa asiakkaalle, koska pankit eivät usko turvallisuutensa pettäneen.
- Tuomioistuimiemme ja lainsäätäjiemme pitäisi pakottaa pankit korjaamaan järjestelmänsä pankkien harjoittaman turvallisuudesta valehtelun ja asiakkaiden laskuttamisen sijaan, Andersson kirjoittaa.
Andersonin mukaan useiden maiden pankit pitävät järjestelmiään murtumattomina, joten asiakkaat ovat automaattisesti syyllisiä "haamunostoihin". Anderson kuvaa Bondin raporttia "kammottavaksi" todisteeksi pankkien turvajärjestelmien aukoista.
Jaakko Kuivalainen toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- 23.5. Oracle hävisi Googlelle taas: Ei patenttirikettä
- 23.5. Apple ja Samsung epäonnistuivat neuvotteluissa
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 23.5. Nykyinen televisiosi simahtaa vuonna 2026
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 23.5. Nokia pettyi - halpa-Lumian muisti ei riitä Skypeen
- 23.5. Nokia julkaisi uusia ”luksuskarkkeja”
- 23.5. Taulukko paljastaa – Nokialla ongelmia superhalvoissa ja huippupuhelimissa Kiinassa
- 23.5. Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 23.5. Kodakin ”ilmiselvän” patentointi ei kelpaa
- 23.5. Sony avaa perjantaina Spotify-kilpailijan iPhoneen
- 23.5. Nokia luopuu akun aitouden varmistavista hologrammeista
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 23.5. Kodakin ”ilmiselvän” patentointi ei kelpaa
- 23.5. Amerikkalaiset kaapelioperaattorit yhdistävät wlan-palvelunsa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 23.5. Nokia pettyi - halpa-Lumian muisti ei riitä Skypeen
- 23.5. Nykyinen televisiosi simahtaa vuonna 2026
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 23.5. Taulukko paljastaa – Nokialla ongelmia superhalvoissa ja huippupuhelimissa Kiinassa
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. Nokia luopuu isosta massatapahtumasta
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia 08:36
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- HP irtisanoo ja palaa taulutietokoneisiin 07:19
- Nykyinen televisiosi simahtaa vuonna 2026 10:32
- Amerikkalaiset kaapelioperaattorit yhdistävät wlan-palvelunsa 08:59
- Apple, Microsoft, Ericsson perustivat patenttitrollin 09:59
- Chrome nousi maailman selainjohtajaksi 08:58
- Ballmer lupaa myydä 350 miljoonaa Windows 7-laitetta 07:01
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Tulevaisuuden näyttötekniikka imee energiansa auringosta
26.05.2007 Monen laitteen suurin virtasyöppö on näyttö. Nyt näytöt halutaan valjastaa tuottamaan itse oma energiansa.
Kolme vuotta sitten
F-Secure tarjoaa Mac-tietoturvaa testiin
26.05.2009 Tietoturvayhtiö F-Secure uusii tietoturvapakettiaan. Applen koneiden suosion kasvaessa F-Secure aikoo tarjota Maceille virustorjuntaohjelmaa. Ensimmäinen versio on nyt ladattavissa ilmaiseen testiin.
Taloussanomat
- Vain yksi pankki lellii asuntovelkaista korkokikkailijaa 06:01
- Taloussanomilta KHO-valitus VM:n vakuuspäätöksestä 12:58
- Kreikan rikkaat pitävät matalaa profiilia kriisin keskellä 21:02
- FT: Espanjan valtio pelastaa Bankian 20:02
- Tylyyden huippu? – "Kreikka on epäonnistunut valtio" 19:08
- Yrittäjät tiukkoina: "Hallinnollista taakkaamme ei saa lisätä!" 19:45
- Mauton temppu: EU vei mausteet leffa-popcorneista 12:21
- Kyprosko seuraavana rahajonossa? 17:31
- Suursijoittaja: Pörssi kriisissä, markkinoilla pessimismikupla 14:04
- Tämäkö parasta evästä stressaavaan työhön? 16:45
- » Taloussanomat.fi
