Tunnusluvun ohittaminen helppoa!

nyt se on selvää, että kun kortin hukkaat niin tili ja luotto on sen jälkeen tapissa. kiva.

_fiilistelijä_ kirjoitti:

nyt se on selvää, että kun kortin hukkaat niin tili ja luotto on sen jälkeen tapissa. kiva.

"nyt se on selvää, että kun kortin hukkaat niin tili ja luotto on sen jälkeen tapissa. kiva".

ja on edelleen,
siksi aina neuvon että ei pidä useita turhia kortteja joka päivä lompakossaan,
vaan
vaikka keittiön työpöydällä läpinäkyvän kirjoitusalustan alla ja ottaa sieltä tarvittaessa.

Sillä kokemuksesta tiedä useita tapauksia kun on soitettu että korttisi on palautettu
ja asiakas väittelee vastaan että ei ole mitään kadottanutkaan.

Senkin olen nähnyt kun asiakas pudottaa marketin aulaan,
joku ottaa sen ja seuraa hetken asiakasta,
kun kortin kadottanut häipyy ulos,
aloittaa löytäjä pikkuostosten teon marketissa.

asikastiedot varastettiin? Täytyy oola joku iso liike kun on 100 000 asikasta. Miksi poliisi ei kerro että ihmiset voisivat siirtää korttitililtä enimmät rahat kortittomalle tilille???

lohikkakso kirjoitti:

asikastiedot varastettiin? Täytyy oola joku iso liike kun on 100 000 asikasta. Miksi poliisi ei kerro että ihmiset voisivat siirtää korttitililtä enimmät rahat kortittomalle tilille???

Lue lisää

Rahat pitäisi olla oletusarvoisesti jossain muualla kuin korttitilillä, joten mitä väliä?

Äly-Hohhoi kirjoitti:

Rahat pitäisi olla oletusarvoisesti jossain muualla kuin korttitilillä, joten mitä väliä?

"Rahat pitäisi olla oletusarvoisesti jossain muualla kuin korttitilillä, joten mitä väliä? "

eipä paljoa merkitystä millä tilillä rahat ovat, muuta kuin siinä mielessä että havaitse virheen helpommin jos menee miinukselle,
toiseksi, eihän rahoja mitenkään edes voi pitää, tai ei pitää luottotileillä.

jos korttisi kadotat,
ainoan turvan antaa kai sekin vain vähäisen Elektronikortti ja hieman
aina varmennettavaksi vaaditut Debit kortit, joissa ei oel luotopuolta Kredittiä.

45 kirjoitti:

"Rahat pitäisi olla oletusarvoisesti jossain muualla kuin korttitilillä, joten mitä väliä? "

eipä paljoa merkitystä millä tilillä rahat ovat, muuta kuin siinä mielessä että havaitse virheen helpommin jos menee miinukselle,
toiseksi, eihän rahoja mitenkään edes voi pitää, tai ei pitää luottotileillä.

jos korttisi kadotat,
ainoan turvan antaa kai sekin vain vähäisen Elektronikortti ja hieman
aina varmennettavaksi vaaditut Debit kortit, joissa ei oel luotopuolta Kredittiä.

Lue lisää

Mutta kyllä sen kätisen rahankin voi hukata.

Ainahan pankin voi haastaa oikeuteen. :-) Vieläkö Suomessa on oikeuskäytäntö, jonka mukaan pankki on aina oikeassa?

Tässä lisää PIN-korttimaksamisen reikiä: http://www.cl.cam.ac.uk/research/security/banking/

Miksi reikiä löytyy? Tässä lainaus tuosta PIN-koodin ohitusjutusta http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf :
"A major contributing factor to the fact that these protocol flaws remained undiscovered is the size and complexity of the specification, and poor structure. The core EMV protocols are now 707 pages long, there are a further 2 126 pages of testing documentation"
"Security critical details are scattered throughout, and there is no one section which is sufficient to understand the protocol, overall threat model, or security policy"
"For example, to confirm the existence of the security vulnerability discussed in this paper, we needed to establish:
* Lack of authentication in transport layer (EMV Book 1 [1])
* Encoding of Verify (EMV Book 3 [3, p71])
* Encoding of the TVR (EMV Book 3, Annex C [3, p171])
* Recommended generation algorithm for the ARPC (EMV Book 2 [2, p89])
* Recommended transaction data items to be included in the ARQC and TC (EMV Book 2 [2, p88])
* Absence of cardholder verification result in ARQC and TC requests (EMV Book 2 [2, p73], EMV Book 3 [3, p58])
* Encoding of the CVM list (EMV Book 3, Annex C [3, p168])
* Algorithm for selecting cardholder verification method (EMV Book 3 [3, p103])
* Transaction flow (EMV Book 3 [3, p83])
* Values of the TVR for signature transaction (EMV Book 4 [4, p49])
* Whether the actual cardholder verification method used is included in the CDOL (unspecified, found by experimentation)
* Whether issuer checks value of IAD in online transactions (unspecified, found by experimentation)
* Whether terminal attempts to decode the IAD (unspecified, found by experimentation)
* Encoding of the IAD (proprietary, specified in Visa Integrated Circuit Card Specification, Appendix A [8, p222])"

Koko sirukorttimaksaminen on siis niin huonosti ja sekavasti määritelty, että tuskin kukaan pystyy hallitsemaan kokonaisuutta. Onkohan reikiä vielä lisääkin?

Pankeille kirjoitti:

Ainahan pankin voi haastaa oikeuteen. :-) Vieläkö Suomessa on oikeuskäytäntö, jonka mukaan pankki on aina oikeassa?

Tässä lisää PIN-korttimaksamisen reikiä: http://www.cl.cam.ac.uk/research/security/banking/

Miksi reikiä löytyy? Tässä lainaus tuosta PIN-koodin ohitusjutusta http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf :
"A major contributing factor to the fact that these protocol flaws remained undiscovered is the size and complexity of the specification, and poor structure. The core EMV protocols are now 707 pages long, there are a further 2 126 pages of testing documentation"
"Security critical details are scattered throughout, and there is no one section which is sufficient to understand the protocol, overall threat model, or security policy"
"For example, to confirm the existence of the security vulnerability discussed in this paper, we needed to establish:
* Lack of authentication in transport layer (EMV Book 1 [1])
* Encoding of Verify (EMV Book 3 [3, p71])
* Encoding of the TVR (EMV Book 3, Annex C [3, p171])
* Recommended generation algorithm for the ARPC (EMV Book 2 [2, p89])
* Recommended transaction data items to be included in the ARQC and TC (EMV Book 2 [2, p88])
* Absence of cardholder verification result in ARQC and TC requests (EMV Book 2 [2, p73], EMV Book 3 [3, p58])
* Encoding of the CVM list (EMV Book 3, Annex C [3, p168])
* Algorithm for selecting cardholder verification method (EMV Book 3 [3, p103])
* Transaction flow (EMV Book 3 [3, p83])
* Values of the TVR for signature transaction (EMV Book 4 [4, p49])
* Whether the actual cardholder verification method used is included in the CDOL (unspecified, found by experimentation)
* Whether issuer checks value of IAD in online transactions (unspecified, found by experimentation)
* Whether terminal attempts to decode the IAD (unspecified, found by experimentation)
* Encoding of the IAD (proprietary, specified in Visa Integrated Circuit Card Specification, Appendix A [8, p222])"

Koko sirukorttimaksaminen on siis niin huonosti ja sekavasti määritelty, että tuskin kukaan pystyy hallitsemaan kokonaisuutta. Onkohan reikiä vielä lisääkin?

Lue lisää

Lisäksi reikien korjaaminen tapahtuu todella todella hitaasti. Joten kun reikiä löydetään, niitä voidaan käyttää pitkään ja hartaasti.

Holenator kirjoitti:

Lisäksi reikien korjaaminen tapahtuu todella todella hitaasti. Joten kun reikiä löydetään, niitä voidaan käyttää pitkään ja hartaasti.

Virheiden korjaaminen ei yleensä edes ole kovin kiireistä pankeille, sillä ne ovat ulkoistaneet vastuun maksamisen turvallisuudesta: jos tapahtuma varmennetaan PIN-koodilla, niin asiakas vastaa ja allekirjoitetusta maksusta vastaa kauppa.

PIN-koodin ohitusbugi onkin mielenkiintoinen, koska se vetaisee maton alta perusoletukselta asiakkaan törkeästä huolimattomuudesta, jos varas on maksanut tunnusluvulla hyväksyttyjä tapahtumia. Eihän varas ole voinut saada PIN-koodia haltuunsa ilman asiakkaan karkeaa huolimattomuutta, joten asiakas kantakoon vastuunsa.

Nyt onkin kinkkinen tilanne: se, että maksu on "PIN-varmennettu" ei todistakaan sitä, että varas on saanut PIN-koodin haltuunsa. Mielenkiintoista nähdä, kuinka pankit ja kuluttajaviranomaiset reagoivat tilanteeseen. Voi olla, että PIN-maksamisesta jopa luovutaan kunnes bugi on korjattu.

pankeille kirjoitti:

Virheiden korjaaminen ei yleensä edes ole kovin kiireistä pankeille, sillä ne ovat ulkoistaneet vastuun maksamisen turvallisuudesta: jos tapahtuma varmennetaan PIN-koodilla, niin asiakas vastaa ja allekirjoitetusta maksusta vastaa kauppa.

PIN-koodin ohitusbugi onkin mielenkiintoinen, koska se vetaisee maton alta perusoletukselta asiakkaan törkeästä huolimattomuudesta, jos varas on maksanut tunnusluvulla hyväksyttyjä tapahtumia. Eihän varas ole voinut saada PIN-koodia haltuunsa ilman asiakkaan karkeaa huolimattomuutta, joten asiakas kantakoon vastuunsa.

Nyt onkin kinkkinen tilanne: se, että maksu on "PIN-varmennettu" ei todistakaan sitä, että varas on saanut PIN-koodin haltuunsa. Mielenkiintoista nähdä, kuinka pankit ja kuluttajaviranomaiset reagoivat tilanteeseen. Voi olla, että PIN-maksamisesta jopa luovutaan kunnes bugi on korjattu.

Lue lisää

On täälläkin ollut pitkiä keskusteluita siitä, kuinka korttia on PINin kanssa väärinkäytetty vaikka tunnusluku EI ole vuotanut.

Nuo ovat käsittääkseni aina päätyneet siihen, että pankki on väittänyt että tunnusluku on vuodettu.

On se mukavaa joutua oikeusmurhan kohteeksi. Siinä sitten syylliseksi todettu voi miettiä miten hieno yhteiskuta ja järjestelmä meillä on.