Gepubliceerd: Donderdag 16 oktober 2008
Een groep criminelen uit Azië heeft de rekeningen van duizenden Britten geplunderd, waarschijnlijk met behulp van reeds in de fabriek gemanipuleerde pinautomaten.
Toon volledig artikel
Het wordt tijd dat onze bank- en girorekeningen beter beveiligd worden dan alleen met een makkelijk te kopieren pasje en een makkelijk te achterhalen 4-cijferige code.
Gebruik van biometrie begint nu echt steeds noodzakelijker te worden.
Ik heb liever dat mijn geld gejat wordt dan mijn vinger/oog/etc...
Laat de banken dit maar lekker zelf oplossen en niet mijn biometrische eigenschappen daarvoor in de waag stellen!
/Simon
Een van de argumenten om digitaal te betalen is het geen of minder geld contant op zak hebben, en daardoor minder kans op diefstal/ beroving. Als je alle authenticatiemiddelen echter bij je hebt wordt het mogelijk je deze onder dwang af te laten staan. Het komt al voor dat mensen onder dwang moeten pinnen. De buit is dan het maximaal te pinnen bedrag.
Het is dan onderhand beter gewoon met contant geld te betalen en daarbij te zorgen dat je niet teveel bij je hebt.
Ik zie biometrie niet als een oplossing. Het probleem is dat je alle data om je betaling te authoriseren overhandigd aan dezelfde persoon c.q. apparaat van de verkoper. Je geeft bij een betaling je kaartnummer en je super-geheime pincode af aan een kistje dat je maar moet vertrouwen. Zo heel veel veiliger dan een credit card maak je het er niet mee, met het bijkomende feit dat een credit card betaling ook nog eens eenvoudiger is te annuleren dan een pin betaling.
Als je nu ook nog je biometrische data toevertrouwd aan zo'n ding, dan kunnen ze die ook nog eens stelen en andere enge dingen mee doen.
De enige echte oplossing is een authorisatie waarbij twee totaal gescheiden wegen hebt om de betaling te valideren. Een idee (ik weet niet of het handig is in de praktijk): Je gebruikt je GSM als identificatie (zegmaar, je pinpas nummer), de verkoper stuurt een aanvraag voor een betaling naar "de bank" en "de bank" stuurt via het GSM netwerk de vraag om je betaling te bevestigen via een pincode. Beide verbindingen worden versleuteld en op deze manier is het praktisch heel erg moeilijk om beide componenten te bemachtigen van een gebruiker: de persoonlijke ID en de pincode.
Zo'n apparaatje dat nu al veel bij telebankieren word gebruikt zou het ook prima doen. Je krijgt een challenging key, toetst die in op je eigen 'calculator', en je eigen pincode, de calculator berekent een antwoord en je toetst het antwoord in op de pin-terminal of geldautomaat. Ietsje(...) onhandiger, wel totaal veilig, ookal omdat calculator-apparaatje en je pinpas totaal gescheiden zijn. Zodra je de pinpas zelf laat valideren, danwel je pincode intoetst op de pin-terminal zelf maak je het systeem al inherent kwetsbaar. Mobieltjes zouden dit werk inderdaad ook kunnen doen, maar vind ik zelf een zwakke schakel ivm zowel storingsgevoeligheid als privacy, de onhandigheid van overtoetsen van codes zou je kunnen beperken met bijvoorbeeld infrarood of near-rfid techniek.
Die methode komt in bijna overeen met de methode die MaxiMil beschreef, alleen stuur je in dit geval je pincode niet mee.
Het meenemen van een extra apparaat vind ik juist onhandig, je moet dan je pincode en je "key generator" ding meenemen. In principe kun je die dan beter integreren met je PIN pas (met als nadeel dat je pas niet meer in de gleuf past van de geldautomaat bijv...). Ik weet hoe lastig ik het vind als ik de "E-dentifier" ben vergeten en niet kan inloggen bij "de bank".
Het grootste voordeel van een GSM lijkt me, dat je geen extra dingen hoeft mee te nemen. Een dergelijke "challenge key generator" zou je inderdaad ook in een GSM kunnen inbouwen en de data via RF of IR kunnen oversturen, als je het GSM netwerk niet vertrouwd i.v.m. beschikbaarheid.
Om het dan ook nog wat door te drijven, je kunt zelfs het payment terminal als tijdelijk access point gebruiken voor je eigen payment device (GSM, etc.) en via een "D-H handshake" weet je zeker dat jij contact legt met "de bank" en dat er niemand tussen zit. In dit geval ben je niet afhankelijk van het functioneren van een GSM netwerk.
Het (inherente) probleem van GSM is dat het apparaat met een netwerk verbonden is. Bovendien kunnen er andere applicaties op draaien. Hierdoor is er niet uit te sluiten dat er door 'digitaal afluisteren' of een scamming-applicatie/website alsnog misbruik word gemaakt.
Een zelfstandige calculator heeft zulks probleem niet. Dus linksom of rechtsom, voor gemak lever je aan veiligheid in, helaas..
Dat zou wel eens de toekomst kunnen zijn. Het zijn allemaal prachtige ideeën die hier genoemd worden, maar men vergeet dat 40% van de bevolking boven de 60 is en er heel veel niet eens een mobiel hebben, laat staan weten hoe het allemaal werkt. Als ik hier in het dorp kijk, dan is 70% van de bevolking boven de 65 en er zijn heel weinig mensen met mobieltjes, want de meeste hebben nog steeds de oude vertrouwde T65 van de PTT in de huiskamer staan. Trouwens er kan hier zelfs bij sommige winkels niet eens gepint worden, nu zijn er maar 7 winkels waarvan er 5 geen pinapparaat hebben omdat er zoveel ouderen hier wonen en die liever cash betalen dan het overlaten aan een vaag digitaal medium.
Als de apparaten al gesaboteerd worden in de fabriek dan heeft dat allemaal geen nut.
Kortom die fabrieken moeten gewoon streng bewaakt worden 24/7.
Daar zit namelijk het gevaar en van daaruit wordt het geëxporteerd.
Verder moet men een soort software en hardware controle in de fabriek bedenken die skinners het onmogelijk maakt.
Ik ken twee soorten pinautomaten:
- Pinautomaten die inbellen over "ouderwetse" telefoonlijnen. Meestal ook te herkennen aan de lange transactietijd.
- Pinautomaten die hun transactie over IP versturen. Dat zijn de automaten waar je binnen een seconde je betaling hebt gevalideerd (of afgekeurd ;).
Pin automaten die inbellen, zullen dan sporadisch eens moeten inbellen bij de partij die de skimming operatie voltrekt. Dat zou tot op zekere hoogte wel traceerbaar moeten zijn.
Pin automaten die over IP functioneren, zitten in principe altijd op een soort van VPN en zouden niet daarbuiten moeten kunnen communiceren, in dit geval maken skimmers dus weinig kans. Nu kan het natuurlijk zo zijn dat dat in de UK iets lakser is en dat daar PIN automaten publiek aan het Internet mogen worden gehangen. In dat geval, maak je het skimmers wel heel erg makkelijk.
Als de VPN opgezet wordt door de automaat en daar is mee geknoeid dan kan de automaat dus ook een andere vpn opzetten of langs de vpn het net op.
Toevallig heb ik onlangs de papieren van Equens/Interpay voor Pinnen over IP mogen c.q. moeten doornemen. De VPN wordt niet door de PIN terminal zelf getermineerd en er zijn diverse andere veiligheidsmaatregelen die ervoor zouden moeten zorgen dat zo'n kastje niet publiek aan het Internet komt te hangen. Om als aanbieder "Pinnen over IP" te mogen aanbieden, moet je je ook confirmeren aan ondermeer die eisen en moet je netwerk daarvoor worden gecertificeerd.
Je kunt natuurlijk nooit uitsluiten dat er niet her en der mee wordt geknoeid, maar veel ruimte voor een grootschalige skimming-operatie is er in die setup niet, of je moet al met criminele elementen binnen de netwerk operators zelf te maken hebben.
Natuurlijk kan dat wel ...
Webcam bewaking , personeel voorzien van toegangspassen.
Alarm voor als er ergens een raam sneuvelt of een deur geforceerd wordt welke direct in verbinding met de politie staat.
Wachtposten opstellen, waakhonden.
Noem maar op genoeg mogelijkheden.
Jup, regelrechte onzin.
Die waakhonden en videocamera's bewaken natuurlijk ook de ADSL router bij de klant, de DSLAM in de telefooncentrale en de installateur die het zooitje bij de klant installeert?
Er zijn zoveel mogelijkheden om te knoeien, dat het nagenoeg onmogelijk is om het bullet-proof te maken. Daarom is het huidige PIN systeem ook verouderd en langzaam maar zeker toe aan vervanging. De beveiliging van het PIN netwerk zelf zal de skimming problemen nooit volledig op kunnen lossen.
"Passieve skimming", waarbij de terminal zelf of een apparaat wat erop bevestigd is de data opslaat is nog steeds mogelijk, ook al is het communicatie netwerk volledig beveiligd.
Oh, en hoe vaak heb jij in de winkel al eens gecontrolleerd of het apparaat waar je je kaart doorheen haalt wel een gecertificeerd apparaat is? Er staat CCV of Banksys op, dus moet ik het maar vertrouwen?
Volgens mij hangen PIN automaten NOOIT publiek aan het internet, zelfs niet in de UK, maar goed...
Het is natuurlijk wel een erg kwalijke zaak dat dit type aangepaste pinautomaten gebruikt wordt in Europa (en misschien ook wel daarbuiten). Zijn ze overigens al niet bezig met een nieuw system. Ik weet dat mijn creditcard een half jaar geleden vervangen is door een exemplaar met een chip (lijkt op de chipknip) erop en nee je kunt hem niet als chipknip gebruiken. Had iets te maken met de vervanging van de magneetstrip door dus de chip.
Ik heb diverse IP pin apparaten geïnstalleerd op een KPN zakelijk ADSL lijn en die hangen dus via een simpel ADSL routertje rechtstreeks aan het internet. Als je in de router de NAT uitzet dan zit het pin apparaat zelfs gewoon op een publiek ip adres.
Eisen van PIN B.V. tenopzichte van de "datacomleverancier":
Eis S02:
Datacomleveranciers dienen ervoor te zorgen dat de transactiestroom door geen andere partij kan worden
gezien of benaderd dan de PINterminal en de Acquiring Host.
Eis S03:
Datacomleveranciers dienen ervoor te zorgen dat noch de PINterminal, noch de Acquiring Host kan
worden gezien of benaderd door andere partijen dan de Acceptant en de Acquiring Processor.
das mooi dat dat daar staat, maar wij, als pin leverancier o.a. op schiphol hebben hele andere ervaringen.
Op schiphol hebben wij een dedicated verbinding (geen internet dus). Op andere locaties in nederland hangen de automaten gewoon op een zakelijke dsl verbinding van KPN. Hetzelfde met UMTS/GPRS automaten. Wij hebben zelfs automaten over WLAN dus ik vraag me af of dat stukje wat je daar neerzet voor iedereen geld.
We weten allemaal het internet niet veilig is en inmiddels ook er een groot probleem met het TCP/IP protocol is.
Dan lijkt het mij verstandig om nooit en te nimmer nog een pin automaat aan internet te hangen.
Dan mogen we ook nog hopen er geen Windows als OS onderlaag zit.
Het lijkt mij een noodzaak om deze pin automaten die mogelijk geskind zijn teruggeroepen moeten worden.
Ik denk niet dat iemand zit te wachten op duizenden euro's verlies.
Misschien erger nog dat de klanten van de banken ook nog eens andere pincode's moeten nemen.
Dit alleen al om de mogelijke leaks tegen te gaan.
Het geldt voor de certificering van netwerkoperators die pinnen over IP willen aanbieden, dus het geldt in principe voor iedereen.
Jij dient als netwerkleverancier er voor te zorgen dat niemand bij die terminals komt, tevens worden er eisen gesteld aan uptime, etc. Het transportmedium zelf is niet heel erg boeiend en de transactie zelf wordt versleuteld door de terminal. Onbeveiligde WLAN verbindingen of WLAN met WEP zal wellicht niet goedgekeurd worden.
Voor UMTS/GPRS geldt hetzelfde, PIN terminals mogen niet publiek aan het Internet hangen. Het is geen enkel probleem om PIN betalingen over ADSL lijnen te doen, als die lijnen maar voldoen aan de uptime, latency en bandwidth availability garanties die PIN B.V. eist en als je ervoor zorgt dat het verkeer tussen PIN terminal en payment gateway volledig geisoleerd is. Dit kan zondermeer op zakelijke ADSL lijnen, door bijv. een extra PVC door te trekken of een VPN te termineren in de router.
Recent was er nog een probleempje op het zakelijke ADSL netwerk van KPN. Dag garanties.
Elke hardware heeft firmware. Die firmware spreekt een taal, en die firmware zit op een vervangbare/overschijfbare (EE)PROM. Als je die firmware aanpast kun je er een trojaans paard in zetten. Er zijn legio andere potentiele zwakheden (zoals bijvoorbeeld TEMPEST) maar dit is IMO de meest voor de hand liggende. En de reden waarom de NSA destijds een eigen Alpha fabriekje had.
De garanties zullen dankzij de storingen op het bitstream netwerk van een aantal maanden geleden inderdaad niet gehaald zijn gedurende die maand. Het ergste wat PIN B.V. kan doen, is je certificering afpakken en de koppeling met de payment gateway dicht zetten, echter, voordat ze het hele land gaan afsluiten zullen ze wellicht nog even wat uitzonderingen maken ;)
Wat betreft de firmware; inderdaad, nagnoeg elk apparaat dat een microcontroller heeft, heeft ook firmware. Veel firmware is vervangbaar. Echter ben je met je firmware updates nog steeds beperkt tot de functionaliteiten van je hardware. In dit geval, als je de communicatie kanalen van een PIN terminal beperkt op verbindingsniveau, is het al weer een heel stuk onwaarschijnlijker dat het ding misbruikt kan worden voor skimming aanvallen op afstand.
Ok dan, gratis en voor niks een oplossing voor banken: integreer een pinpas met iets als RSA securid. Dat is dus een telkens wijzigende code, de autorisatie server weet welke code op dat moment de juiste is, en weet zo dus of de bankpas geldig is of niet.
Het kopieren van de gegevens van de bankpas, daar heb je dus niks aan, omdat je daarmee niet de "key generator" kopieert.
Je moet dus EN de pincode weten EN fysiek de enige echte bankpas in bezit hebben.
Dat kost natuurlijk geld, vervangen van pinpassen en aanpassen pinautomaten, maar niks doen gaat steeds meer geld kosten.
Een eerste stap in die richting is volgens mij al de pinpas met chip. Ik weet niet of daar een derde partij aan te pas komt voor de validatie of dat er een rekensommetje op wordt losgelaten.
Is het alleen wachten op het moment dat de chip is gekraakt en te kopiëren.
Als het echt zo'n groot probleem is zou je zeggen dat de banken samen wel een controlesysteem in fabrieken kunnen verzinnen. Nu ze blijkbaar al in de fabriek zitten zou je ook na inspectie alle electronica kunnen ingieten. Het minder slimme deel van de skimmers moet je zo zeker kunnen uitsluiten.
Een challenge key die wordt berekend door de chip op de pinpas zou een oplossing kunnen zijn om meerdere transacties met dezelfde pinpas tegen te gaan. Je kunt echter nog steeds de gaande transactie kapen (dat is ook de algemene truuk bij fraude met Internet banking). De vraag is alleen, wat is de grootste schade die je dan kunt aanrichten? Wellicht kun je alleen het bedrag veranderen, de crediteur wordt nl. bepaald door de pas ID en de challenge code en de debiteur door het payment terminal zelf.
Pinautomaten moet je ook niet in China laten maken maar in een beveiligde fabriek in Nederland ! Dat is de enige manier om dit te voorkomen. Je bouwt daarom heen een goed beveiligde circuit die alarm slaat indien iemand het probeert te kraken om de electronica aan te passen.
Maar wie gaat de schade vergoeden aan de klanten?
Stel 1000 klanten pinnen bij een kleine winkel waar geskimmed is ... de criminelen jatten per klant 1000 euro.
Dat is 1.000.000 euro schade en dat zal die winkel wel niet kunnen ophoesten en de banken zullen zich er ook wel uit proberen te lullen.
En de overheid zal dit vast ook wel niet doen ... de fabriek waar de sabotage plaats heeft gevonden dan?
Dat lijkt mij nog al een groot probleem te worden.
Alles moet nu in feite nagegaan worden of elk pin apparaat in Nederland niet geskimmed is.
Daarbij moet ook nog eens nagegaan worden welke pinpassen gedupeerd zijn en pincodes aangepast worden.
Doet men dit niet dan kan de schade enorm oplopen.
Om te kunnen reageren, dient u ingelogd te zijn.
1 jaar geleden: 14 februari 2011
4 jaar geleden: 14 februari 2008
5 jaar geleden: 14 februari 2007
6 jaar geleden: 14 februari 2006
12 jaar geleden: 14 februari 2000
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
