Jepp, offline PIN på svenska kort

Godmorgon! Nya ideér!

I går kväll innan jag somnade slog det mig att den ena biten av pusslet; om korten accepterar offline PIN eller inte, är enkelt att testa: (1) tag ett stycke bankdosa från Nordea, (2) stoppa in kort, (3) ange kortets PIN-kod, (4) voilà, offline-PIN. Som minst borde det alltså fungera med Nordeas kort men jag har även testat det med SEB:s kort och det fungerade utmärkt.

(Om jag var personrånare skulle jag ha med mig en Nordea-dosa för att kunna verifirera att mitt offer inte gav mig fel kod till bankkortet.)


Kvar är den andra biten i pusslet; terminalerna. Har de något att säga i frågan? Kan de kräva hur PIN-koden ska kontrolleras?

Uppdatering @ 08:21:
Såja! Nu har Björn Brolin på TrueSec pratat med CS och berättat att korten visst accepterar offline PIN verification:

Nu uppger säkerhetsexperter på Truesec att de har återskapat attacken och testat en rad kort från svenska banker. Samma brister hittades där som i de brittiska korten. Det avgörande är att korten accepterar verifiering med ickekrypterad pin-kod. Det säger Björn Brolin, säkerhetsexpert på Truesec.

Med hjälp av en kortläsare kopplad till en dator har han gått igenom de svenska korten och kartlagt vilken typ av kodverifiering de godkänner. Slutsatsen är att samma typ av bedrägeri som utfördes av Cambridgeforskarna mycket väl kan genomföras med ett svenskt kort.

[...]

Nu arbetar Björn Brolin och hans kollegor med att ta fram hårdvara och mjukvara för att praktiskt verifiera angreppet.

– Målsättningen är att vara klara inom de närmaste dagarna, säger han.


Artikeln uttrycker sig lite illa, det är rätt stor skillnad på att "återskapa attacken" och att "kartlägga vilken typ av kodverifiering de godkänner". Hoppas att de kommer längre med hårdvaran.

--
Stefan Pettersson

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0