European Commission Larang Semua Staff Menggunakan BlackBerry

Negara-negara Eropa seperti Jerman, juga telah menekan pihak Research In Motion untuk melonggarkan tingkat keamanan BlackBerry sehingga semua komunikasi dapat dimonitor. Pemerintah Jerman bahkan mendesak semua staf untuk tidak menggunakan BlackBerry, dan beberapa kementerian di Jerman telah mengeluarkan larangan, ungkap Reuters. Masih berkait dengan telekomunikasi BlackBerry di jaringan yang sangat terenskripsi European Commission telah menolak BlackBerry sebagai perangkat telekomunikasi bagi semua pegawainya.

European Commission, diberitakan oleh ZDnetAsia (13/8/2010), menyatakan sebagai penggantinya akan menggunakan smartphone buatan HTC dan iPhone buatan Apple.

Research In Motion yang berbasis di Waterloo, Ontario memang menawarkan sistem mobile messaging dan platform e-mail teraman yang ada di pasar. RIM tak hanya mengenkripsi semua komunikasi pada perangkat, tetapi juga menyelenggarakannya di jaringan server-server yang dimiliki sendiri dan mengenkripsi lalu-lintas komunikasinya.

Pesaing RIM seperti platform-platform; Nokia, Apple atau Android tidak memberikan keamanan seketat RIM. RIM menempatkan server-server di negaranya Kanada serta di negara-negara lainnya, termasuk Inggris. Daya tarik terbesar RIM bagi para pelanggannya perusahaan dan pemerintah adalah layanan-layanannya dengan tingkat keamanan yang ketat.

Banyak kritik yang dilontarkan terhadap RIM, terkait dengan tindakan kompromi terhadat proteksi data pengguna BlackBerry yang telah dilakukan oleh RIM untuk memenuhi tuntutan sejumlah negara, yang akhirnya akan membuat RIM kehilangan keunggulan utamanya yaitu keamanan.

RIM menyatakan bahwa BlackBerry Enterprise service memungkinkan pelanggan untuk membuat kunci-kunci keamanannya dimana RIM sendiri tak memiliki akses. Perusahaan ini juga mengklaim tidak ada satu trik "back door" yang dapat dilakukan untuk memecahkan enkripsi BlackBerry.

RIM kini sedang melakukan berbagai negosiasi yang ketat dengan berbagai negara yang mempermasalahkan teknologi RIM, namun RIM telah mengeluarkan sebuah statement yang memberikan klarifikasi bahwa BlackBerry menjamin proteksi semua pelanggannya dan tidak mengkompromikan aspek keamanan.

RIM dalam statementnya menyatakan tidaka dapat mengungkapkan diskusi-diskusinya dengan pihak-pihak pemerintah, tetapi perusahaan menyatakan melakukan kerjasama dengan pihak-pihak berwenang "dalam semangat mendukung persyaratan-persyaratan hukum dan keamanan nasional, namun tetap melindungi secara penuh sesuai hukum semua kebutuhan warga dan korporasi".

Perusahaan menyatakan akses yang diberikan kepada pemerintah-pemerintah terbatas hanya dalam empat prinsip pokok :

1 Kapabilitas-kapabilitas operator telekomunikasi (carrier) dibatasi hingga ke konteks akses yang memenuhi ketentuan hukum yang ketat dan persyaratan-persyaratan keamanan nasional yang diselenggarkan dengan pengawasan yudisial pemerintah dan peraturan-peraturan hukum

2 Kapabilitas-kapabilitas operator telekomunikasi harus netral dalam teknologi dan vendor, tidak diperbolehkan adanya akses yang lebih besar bagi pelanggan-pelanggan layanan BlackBerry dibandingkan dengan apa yang telah diterapkan oleh operator-operator dan regulator-regulator kepada pesaing-pesaing RIM dan perusahaan-perusahaan telekomuniksi sejenis.

3 Tidak ada perubahan terhadap arsitektur keamanan BlackBerry Enterprise Sever dengan pelaksanaan hal-hal diatas tersebut, hal ini tak sesuai deng rumor yang beredar, arsitektur keamanan tetap sama di seluruh dunia dan RIM benar-benar tak memiliki kemampuan untuk memberikan kunci-kunci enkripsi pelanggannya. Juga posisi tawar RIM merupakan sebuah fakta bahwa enkripsi yang kuat adalah sebuah persyaratan komersial yang fundamental bagi negara manapun untuk menarik minat dan menjaga hubungan bisnis internasional apapun dan umumnya enkripsi yang kuat saat ini juga digunakan secara luas di dalam jaringan VPN tradisional baik yang kabel dan nir kabel untuk melindungi komunikasi-komunikasi korporasi dan pemerintah

4. RIM tetap menjaga standar global secara konsisten bagi syarat-syarat akses yang dilindungi hukum yang tidak mencakup kesepakatan-kesepakatan khusus dengan negara-negara tertentu.

Pemerintah Jerman kini sedang mempertimbangkan untuk menekan penggunaan perangkat-prangkat telekomunikasi RIM. Berbeda dengan  negara-negara lain yang mengkhawatirkan penyalahgunaan teknologi enkripsi RIM untuk aksi-aksi terorisme dan mempersulit pemerintah melakukan pengawasan terhadap organisasi-organisasi teroris, Jerman mengkhawatirkan sistem enkripsi milik RIM dinilai janggal terhadap kemamanan yang ditawarkan oleh sistem-sistem enkripsi milik pemerintah Jerman.

Rendahnya kontrol terhadap jenis enkripsi yang dimiliki oleh RIM dan digunakan pada smartphone telah membuat  lembaga keamanan IT federal Jerman BSI mengeluarkan sebuah rekomendasi "mendesak" kepada pemerintah. Menteri Dalam Negeri Jerman, Thomas de Maizière, dikutip dari pocketpicks.co.uk (10/8/2010) menyatakan dukungannya untuk menentang kontrol RIM terhadap enkripsinya, dengan menyatakan bahwa akses standar (bagi jaringan-jaringan pemerintah) harus dapat diatur oleh pemerintah dan tidak oleh sebuah perusahaan swasta.

(Martin Simamora) 


Source:http://plazaegov.blogspot.com/2010/08/european-commission-larang-semua-staff.html
16 Agustus 2010

Betulkah RIM Menerapkan Perlakuan Yang Sama Di Semua Negara?

Semenjak Research In Motion menghadapi berbagai perselisihan dengan banyak negara yang menggugat teknologi enkripsi BlackBerry yang tak dapa diintip oleh badan keamanan negara dan memaksa RIM untuk melakukan serangkaian kompromi agar tak berbenturan frontal dengan kebijakan disetiap negara, RIM selalu menegaskan dalam membangun kesepakatan tak pernah mengarah kepada eksklusifitas tertentu sehinga terjadi kekhususan tertentu. Benarkah demikian? Banyak ahli yang meragukan hal tersebut.

Dalam sebuah pernyataan terbuka kepada publik yang dikeluarkan setelah serangkaian negosiasi berlangsung dengan pemerintah India yang menghendaki akses ke komunikasi BlackBerry yang terproteksi, RIM menegaskan bahwa negosiasi tidak akan mengakibatkan adanya perlakuan yang berbeda pada tiap negara, akan tetapi klaim RIM ditolak oleh seorang pakar keamanan dengan kekhususan Cyber Conflicts, Jeffrey Carr.

Sebagaimana dikabarkan oleh SoftPedia.com beberapa waktu lalu, pemerintah India telah memberikan tenggat waktu kepada semua opeartor telekomunikasi : 31 Agustus 2010 untuk segera mendapatkan solusi tehnikal yang dapat memberikan akses tanpa batas ke semua bentuk komunikasi BlackBerry yang terproteksi.

Laporan-laporan terkini mengklaim bahwa RIM telah mencapai kesepakatan dengan pemerintah India mengenai bagaimana pemerintah India dalam hal ini semua badan keamanan nasional negara tersebut akan mendapatkan akses ke data ada di dalam BlackBerry Messenger Service untuk kasus-kasus tertentu, seperti investigasi aktivitas teroris.

Kondisi lainnya adalah :" Tidak ada perubahan pada arsitektur security pada BlackBerry Enterprise server pelannggan BB yang diakibatkan oleh pemberian akses tersebut, membantah rumor-rumor sebaliknya, arsitektur keamanan sama di seluruh dunia dan RIM pada dasarnya tidak dapat menyerahkan kunci-kunci enkripsi pelanggannya."

Belum jelas apakan hal ini akan benar-benar memuaskan keinginan pemerintah India yang terbilang sangat instrusif terhadap layanan-layanan BlackBerry, karena layanan email korporat juga menjadi bagian dari masalah utama yang digugat oleh pemerintah India.

RIM telah menawarkan akan menyediakan informasi identifikasi untuk BES dan perangkat-perangkat BlackBerry yang diharapkan akan membantu pihak-pihak berwenang untuk menyita data namun hal ini akan diketahui oleh pemilik dan dapat membahayakan investigasi.

RIM hingga kini mengklaim selalu menjaga konsistensi standar global bagi pemenuhan persyaratan untuk melakukan akses sah yang tak mencakup kesepakatan-kesepakatan khsusus bagi negara-negara tertentu.

Namun dimata Jeffrey Carr, CEO Grey Logic, sebuah perusahaan dengan spesialisasi

Jeffrey Carr
pada investigasi konflik-konflik cyber baik oleh aktor-aktor negara dan non negara, sekaligus pendiri dan ketua nvestigator of Project Grey Goose dam penulis Inside Cyber Warfare, tak mempercayai klaim RIM.

Dalam tulisannya di blog GreyLogic, dia membuktikan maksudnya dalam tulisannya yang berjudul FSB Receives Decrypted Blackberry Messages From Mobile TeleSystems.

FSB sendiri adalah badan intelijen Rusia, pengganti badan intelijen tersohor di era USSR : KGB. Artinya Federal Security Service Federasi Rusia melalui Mobile TelSystems (MTS) dapat mengintip komunikasi BlackBerry sebab melalui MTS, RIM menjalankan layananannya.

Carr, dilansir Softpedia.com memiliki sejumlah argumen atas statementnya. Pertama, sebuah amandemen telah dilakukan terhadap Hukum Negara Rusia pada Januari 2008, yang mempersyaratkan semua lisensi dan sertifikasi perangkat telekomunikasi dengan kemampuan enkripsi yang kempemilikannya dapat diperoleh melalui FSB.

Ini artinya untuk dapat menjual sebuah smartphone berkemampuan enkripsi seperti BlackBerry di Rusia, RIM membutuhkan persetujuan dari badan keamanan nasional, tidak seperti di negara-negara lain.

BlackBerry Masuk ke Rusia pada 2008

Argumen kedua, bahwa pejabat Vice President Corporate Security pada Mobile TeleSystem adalah mantan anggota FSB, dan hal ini semakin menegaskan bahwa BlackBerry mustahil beroperasi diluar hukum Rusia.

".... Ada sedikit keraguan bahwa MTS mematuhi hukum Rusia yang mempersyaratkan bahwa pesan-pesan yang dienkripsi harus dipecahkan (decoded).

"Juga diperlukan akses remote dari sebuah konsol yang diinstal di markas-markas FSB yang melaporkan nama-nama pengirim dan penerima panggilan telpon, e-mail atau pesan melalui SMS, pesan itu sendiri, dan lokasi geografis pengirim serta akses ke database pelanggan dan catatan tagihan, catat Carr.

Lebih lanjut, ahli ini juga menunjuk kepada sebuah kasus spionase tahun 2006 di Moscow yang melibatkan badan intelijen Inggris MI6 dan sejumlah aset Rusia yang digunakan untuk menyamarkan penggunaan BlackBerry untuk komunikasi, memberikan dugaan kuat bahwa FSB menyadari kapabilitas perangkat BlackBerry.

"Ketimbang mengeluarkan pernyataan publik seperti diatas, RIM seharus mengakui saja bahwa RIM tak ada bedanya dengan penyedia telekomunikasi lainnya yang harus mematuhi hukum-hukum pengawasan yang berlaku di setiap negara yang menjadi pasarnya, sehingga pelanggan korporatnya di negara-negara tersebut tak menikmati komunikasi BlackBerry yang dikatakan aman terproteksi,"simpulnya.

(Martin Simamora)

Source:http://plazaegov.blogspot.com/2010/08/betulkah-rim-menerapkan-perlakuan-sama.html
31 Agustus 2010

ITU Desak RIM Buka AKses Informasi Kepada Semua Negara

Semua pemerintah dan negara yang memerangi terorisme berhak menuntut kepada pembuat BlackBerry untuk memberikan akses informasi pengguna BlackBerry, ungkap Kepala Badan Telekomunikasi Perserikatan Bangsa-Bangsa.

Pejabat tersebut menyatakan bahwa RIM harus mengizinkan semua lembaga penegak hukum untuk mengakses data pelanggannya, semua pemerintahan di seluruh dunia memiliki hak yang sah untuk mengupayakan keamanan yang tak boleh diabaikan.

Sekeretaris Jenderal International Telecommunication Union, Hamadoun Toure, dilansir TheStar.com (2/9/2010) menyatakan bahwa semua pemerintah yang melakukan perang melawan teroriosme memiliki hak untuk menuntut akses ke data informasi pengguna BlackBerry yang berbasis di Waterloo, Ontario Kanada.

"Tuntutan-tuntutan tersebut memiliki dasar yang kokoh," ujarnya kepada Associated Press pada Rabu (1/9/2010)." Sehingga dibutuhkan kerjasama antara pemerintah dan sektor privat dalam menangani isu-isu keamanan.

RIM telah menyatakan akan mematuhi semua ketentuan hukum, namun tidak dapat memberikan informasi teks semua email yang dikirimkan melalui layanan korporat RIM, yang didisain berdasarkan keamanan komunikasi.

ITU memang tidak memiliki kekuatan sebagai regulator, tetapi pernyataan Toure menjadi barometer sentimen 192 negara anggota ITU, yang berharap agar Toure kembali terpilih kembali pada pemilihan untuk periode kedua pada akhir tahun ini.

Setidaknya ada 5 negara anggota ITU - India, Indonesia, Liabnon, Saudi Arabia dan United Arab Emirates- yang telah mempertimbangkan pemblokiran beberapa layanan BlackBerry tertentu terkait sistem enkripsi yang sangat ketat pada perangkat BlackBerry dan berpotensi disalahgunakan untuk menggelapkan aktivitas terorisme dan kriminal.

Isu ini memang tak sepenuhnya disambut gembira. Bagi kelompok kemerdekaan sipil tekanan terhadap BlackBerry tak disambut baik, faktanya menurut kelompok ini, tekanan terhadap RIM lebih banyak dimotori oleh pemerintah-pemerintah yang otoriter dan tak mampu memantau warganya yang menggunakan BlackBerry.

Tentu saja pendapat ini tidaklah tepat sebab penentangan terhadap teknologi RIM juga datang dari Jerman dan Uni Eropa.

Berbagai pemerintahan di Amerika Serikat dan negara-negara lain tak memiliki masalah dengan teknologi enkripsi. Email masih dapat diselidiki malalui jalur-jalur legal, misalnya melalui surat perintah pengadilan untuk memeriksa server-server korporat milik perusahaan-perusahaan pengguna BlackBerry.

Namun solusi semacam ini belum memuaskan banyak pejabat di Asia dan Timur Tengah, yang telah mengajukan tuntutan agar RIM melakukan modifikasi sehingga mereka dapat melakukan akses penuh terhadap semua email BlackBerry saat ditransmisikan.

RIM telah menegaskan bahwa sistemnya dirancang untuk menangkal siapapun kecuali pelanggannya dari komunikasi yang dideskripsi.

Perwakilan RIM di London belum menanggapi permintaan Toure tersebut.

(Martin Simamora)

Source:http://plazaegov.blogspot.com/2010/09/itu-desak-rim-buka-akses-informasi.html

07 Sep 2010

EMV PIN verification “wedge” vulnerability

by Steven J. Murdoch, Saar Drimer, Ross Anderson and Mike Bond

Executive summary

The EMV protocol is used worldwide for credit and debit card payments and is commonly known as “Chip and PIN” in the UK. Our analysis of EMV has discovered flaws which allow criminals to use stolen cards without knowing the correct PIN. Where these flaws are exploited – in the “wedge” attack – the receipt and bank records would show that the PIN was correctly verified, so the victim of this fraud may have their request for a refund denied. We have confirmed that this attack works in the UK, including for online transactions (where the terminal contacts the bank for authorization before completing the purchase). It does not apply to UK ATM transactions, which use a different method for PIN verification.

Our academic paper which describes the vulnerabilities in detail, along with ways in which they can be protected against, was circulated privately within the banking industry since early December. The paper will be published at the IEEE Security and Privacy Symposium in May 2010; a working draft is available now.

Background

In a normal transaction the customer enters their PIN into the payment terminal, and the terminal sends the PIN to the card to check if it is correct. The card then sends the result to the terminal so that the transaction continues if the PIN was correct (see top part of above figure).

The attack uses an electronic device as a "man-in-the-middle" in order to prevent the PIN verification message from getting to the card, and to always respond that the PIN is correct. Thus, the terminal thinks that the PIN was entered correctly, and the card assumes that a signature was used to authenticate the transaction (see bottom part of above figure).

Questions and answers

Is this the same as the “Yes-card” attack?

Statements from the French banking industry have incorrectly claimed that the attack we have identified is the same as the “Yes-card” attack. Here, a criminal copies a legitimate EMV smart card, but modifies the copy such that it will accept any PIN. The attack we have discovered is different.

The yes-card attack works for transactions for which the point-of-sale terminal does not contact the bank before completing the purchase (an offline transaction). The attack we have discovered works for both online and offline transactions. We have confirmed this by successfully placing an online point-of-sale transaction in the UK, despite entering the wrong PIN.

In this new attack, the criminal must first steal the legitimate card and insert a device, known as a “wedge” between the card and the terminal. It does not involve copying the card.

In what types of transaction does the “wedge” attack work?

We have confirmed this attack to work in online chip-based point of sale transactions, and believe it to work in offline transactions too (although these are rare in the UK). It does not work for ATM transactions, at least in the UK, because a different method of PIN verification is used here. It does not apply to Internet or phone purchases because the PIN is not used to authorize these transactions.

Is this attack too sophisticated for criminals to use?

No, the expertise that is required is not high (undergraduate level electronics) and the equipment can be well hidden without the merchant detecting it. Remember that it only takes a single criminal to design and industrialize the kit required to carry out the attack. Then, other criminals simply buy it online and use it without needing to understand how the attack works

How easy would it be to miniaturize the equipment needed?

For our evaluation of the vulnerability we used cheaply available off-the-self equipment. However, should criminals wish to exploit the vulnerabilities, they would find it easy to create a small and unobtrusive device which would serve the same purpose. We dispute the assertion by the banking industry that criminals are not sophisticated enough, because they have already demonstrated a far higher level of skill than is necessary for this attack in their miniaturized PIN entry device skimmers.

Have you communicated your findings with the banking industry?

Yes, we sent a copy of our findings to various industry representative and regulatory bodies in early December 2009. We have yet to receive any response from the industry, other than through their press releases.

Aren't you helping criminals?

No, security systems improve as vulnerabilities are disclosed to the people that can fix them.

Source:http://www.cl.cam.ac.uk/research/security/banking/nopin/

EMVCo Investigasi Celah Keamanan Chip & PIN Kartu Kredit dan Debit

Pihak MasterCard telah mengkonfirmasi, sedang berkoordinasi dengan semua penyelenggara kartu pembayaran untuk melakukan peninjauan kemanan menyeluruh pada Chip dan PIN, dan prosesnya masih berlangsung.

Lembaga yang bertanggungjawab terhadap seluruh proses pembayaran berbasiskan Chip dikabarkan akan melakukan investigasi terkait sejumlah celah keamanan yang diungkapkan sejumlah lembaga semisal Cambridge University. Sikap yang ditunjukan EMVCo dapat dipahami dan layak mendapat apresiasi mengingat transaksi finansial selalu menjadi target para kriminal keuangan cyber.

EMVCo sebagai lembaga spesifikasi berujar akan menganalisa sebuah paper yang dikeluarkan oleh para ilmuwan Cambridge University yang telah mendemonstrasikan sebuah serangan dengan menggunakan sebuah kartu pembayaran (kartu kredit/debit) yang valid, yang bahkan tak memerlukan PIN untuk melakukan transaksi dengan mulus.

EMVCo yang dimiliki oleh American Express, JCB, MasterCard and Visa bilang bahwa lembaga keuangan atau bank penerbit kartu kredit dan debit yang digunakan dalam demonstrasi pun akan turut serta meneliti makalah ilmiah celah kemanan Chip & PIN yang dilakukan oleh Cambridge University.

"EMVCo akan melakukan analisa dan akan menyimpulkannya," jelas lembaga ini pada Rabu (17/2) lalu. Demikian juga dengan seluruh sistem pembayaran akan melakukan hal yang sama.

Beberapa waktu lalu para peneliti dari Cambridge University mengungkapkan hal paling sensitif berkait keamanan transaksi kartu kredit dan debit yaitu; adanya celah keamanan yang sangat fundamental pada EMV, sebuah protokol yang bekerja di dalam Chip dan PIN kartu-kartu kredit/debit.

Celah kemanan ini memungkinkan tim Cambridge University dapat menciptakan sebuah alat yang dapat memodifikasi dan mengintersepsi seluruh komunikasi antara sebuah kartu dengan sebuah POS terminal, dan memperdaya terminal tersebut sehingga menerima verifikasi PIN sebagai valid, yang jelas-jelas palsu.

Pihak MasterCard telah mengkonfirmasi, sedang berkoordinasi dengan semua penyelenggara kartu pembayaran untuk melakukan peninjaun kemanan menyeluruh pada Chip dan PIN, dan prosesnya masih berlangsung.


"Standard EMV selalu dalam peninjauan berkala oleh MasterCard dan oleh banyak pemain utama dalam industri ini untuk memastikan sistem keamanannya selalu berkembang seiring dengan bertumbuhnya kebutuhan produk," terang pihak MasterCard. Termasuk didalamnya peninjau rutin dan berkala agar sistem keamanan terkinilah yang diterapkan demikaina juga mekanisme prakteknya.

Sementara itu Professor Ross Anderson, Cambridge University yang memimpin riset Chip dan PIN berujar tak akan ada cara yang mudah untuk memperbaiki protokol yang bekerja dibalik Chip dan PIN ini.

"Ada terlalu banyak ketidaksepakatan dengan aspek keefektifitas untuk memperbaiki celah keamanannya, jika anda memperhatikan ulasan blog kami yang mempublikasikan kelemahan Chip dan PIN, sejumlah pihak yang mengklaim dirinya sebagai pakar pun tak menyetujuinya,"ujarnya.


Seorang peneliti Cambridge University dalam makalah tersebut (Chip and Pin is Broken) menyatakan bahwa konsumen akan menanggung risiko transaksi atas kartu kredit/debit jika transaksi-transaksi yang terekam menunjukan adanya PIN lain yang masuk ke terminal.

UK Payments Administration yang berkapasitas sebagai Advisor bagi para penyelenggara kartu pembayaran berpendapat bahwa serangan cyber semacam ini dapat dideteksi, dan menegaskan sehingga sangat mungkin bagi bank atau penerbit kartu kredit/debit untuk menentukan mana transaksi yang menjadi tanggung jawab konsumen dan mana yang bukan tanggung jawab konsumen.


"Jejak forensik atau "forensic signature" yang diciptakan oleh serangan cyber terhadap transaksi finansial kartu kredit/debit dapat dilihat dengan meneliti 3 elemen data yang muncul, baik pada saat sebuah permintaan otorisasi berlangsung dan dalam tahapan penyelesaian pembukuan yang diterima oleh penerbit kartu, ungkap UK Payments Administration.


Dalam sebuah serangan yang diskenariokan oleh tim Cambridge University, atau yang dikenal sebagai "Wedge Attack" , yang terjadi adalah: terminal diduplikasi oleh sebuah alat yang disisipkan di tengah-tengah proses verifikasi pembayaran. Sebagai akibatnya, terminal menjadi 'percaya" bahwa PIN telah diverifikasi oleh kartu. Tetapi terminal tidak akan merekam bahwa sebuah PIN yang valid telah dimasukan, sebab dalam proses manipulatif ini, PIN sama sekali tak diperlukan, dan transaksi dianggap sebagai sebuah verifikasi offline atau signature. Dalam kasus semacam ini maka tanggungjawab resiko tidak dibebankan kepada konsumen.


Menanggapi pendapat UK Payments Administration, Anderson berkomentar bahwa dalam prakteknya, bank masih akan tetap mempertanyakan apakah konsumennya yang harus menanggung resiko. Anderson mengacu hal ini dengan perselisihan hukum antara Halifax dengan nasabahnya, Alin Job yang menuduh Halifax telah menghilangkan catatan-catatan data yang telah diotentifikasi berkait dengan transaksi-transaki bermasalah.

Anderson menyatakan jika mengacu ke skenario yang digunakan oleh UK Payments maka fraud hanya akan terdeteksi setelah adanya fakta dan bukan saat fraud berproses. Anderson pun mengungkapkan bahwa semua sitem nampaknya tak melakukan deteksi secara otomatis, deteksi baru dapat terjadi sangat bergantung pada permintaan konsumen untuk melakukan pemeriksaan forensik jika konsumen mencurigai sejumlah transaksi yang fraud telah terjadi.

Anderson mengungkapkan, kala salah satu tim Cambridge University menggunakan kartunya yang diterbitkan oleh Halifax Bank untuk melakukan transaksi tanpa PIN tak ada peringatan atau "warning" yang dimunculkan oleh bank saat transaksi bermodus jahat dilakukan.

"Inti soal adalah, fraud tak pernah terdeteksi, Halifax telah menjadi korban dan hingga kini bank tersebut tak jua menemukan fakta atas semua transaksi manipulatif.

(ZDNet | Martin Simamora)


Source:http://plazaegov.blogspot.com/2010/02/emvco-investigasi-celah-keamanan.html