Gepubliceerd: Woensdag 15 april 2009
Hackers kunnen de versleuteling van PIN-codes kraken. Om het probleem op te lossen moet "het hele betalingssysteem op de schop".
Toon volledig artikel
Ik heb een paar vragen neergelegd bij de Nederlandse Vereniging van Banken. Tot nu toe nog geen reactie.
Ik vermoed dat je de antwoorden ook al half geschreven hebt, want we weten zo al wat de reactie zal zijn.
Een ontkenning dat er in Nederland een probleem is, maar dan zodanig verwoord in voorlichtersspeak dat er niet glashard ontkend wordt dat de PIN kraakbaar is. Alleen de woorden "gaat u gerust slapen" zullen ontbreken, maar daar zal het wel op neer komen.
Next up: wachten totdat de mainstream media met het verhaal aan de haal gaan. Op de voet gevolgd door scorings-geile politici. Alhoewel, aangezien hier echt niets aan te doen valt op afzienbare termijn, zou de hele boel weleens onder het tapijt geveegd kunnen worden.
Mischien gaan ze nu eindelijk es dat hele pinsysteem weggooien en op die chip over
Zijn we direct van die rot skimmers af
Smartcards worden inderdaad nooit gehacked! Ik vraag me toch echt af waarom Canal Digitaal mijn smartcard vervangen heeft. Hopelijk houd EMV-CAP het lang vol, maar eens zal er een swakheid gevonden worden.
Encryptie bij banktransacties en de DRM zooi op je Canaal Digitaal zijn fundamenteel verschillend.
Encryptie heeft doorgaands een heel eenvoudig basisbeginsel:
Alice die data wil versturen naar Bob (en vaak omgekeerd). Verder is er een evil Carol die graag zou willen weten wat Alice en Bob elkaar hebben te vertellen.
Belangrijk is dat Carol de data niet in handen kan krijgen door:
1) Het verkeer af te luisteren en te decrypten. De versleuteling moet dus complex genoeg zijn dat het voor Carol niet haalbaar is om die te ontsleutelen.
2) Te doen alsof ze Bob is. Bob moet zich dus eenduidig kunnen identificeren als Bob. Ook hier zijn veilige methodes voor.
Bij jouw smartcard is Canal Digitaal Alice en jij bent Bob... Alleen heeft Alice jouw een doosje gegeven waar je niet in mag kijken, dat doosje decrypt voor jouw het zooitje. Als je echter in het doosje kijkt, dan kun je ervoor zorgen dat niet alleen jij (Bob) naar Canal Digitaal kunt kijken, maar ook David.
Bij een banktransactie is het anders, de bank is Alice en jij bent Bob. Je gaat jouw geheime doosje, kaart, etc. niet even afgeven aan David, Eduart of Frits. Encryptie tussen banken, met chips, smartcards, etc. kan dus zeer zeker extreem veilig zijn, voorwaarde is wel dat het goed gebeurd. Als de encryptie te zwak is, dan valt het hele verhaal om, het heeft NIETS met het medium smartcard te maken.
Het PIN-systeem was al onveilig genoeg, de pincode is zonder encryptie al te kraken!
Het hele decryptieverhaal zit nl. IN het pinapparaat dat in de winkel staat. Trek de telefoonkabel maar eens uit het pinapparaat, ga dan pinnen, en tik een foute pincode in. Het apparaat meldt dan dat de pincode onjuist is. Doe het dan nog een keer en tik de goede pincode in, nu meldt het apparaat ineens dat er een communicatieprobleem is, oftewel het reageert verschillend op een foute of goede pincode.
Op deze manier is het dus wel heel makkelijk om achter de pincode te komen, alleen nog ff een brute-force scriptje eromheen schrijven die 0000 t/m 9999 probeert...
Dit is dan dus toch wel vergelijkbaar met Canal Digitaal!
Het huidige "pincode" verhaal is sowieso onveilig, omdat je je identificatie en authorizatiecode geeft aan een apparaat waarvan je maar moet aannemen dat het veilig is. Vandaar ook het hele skimming probleem met gemanipuleerde PIN terminals. Nu blijkt ook dat de communicatie zelf een probleem kan zijn, omdat het blijkbaar haalbaar is om de encrypted data te ontsleutelen. Als dat waar is, dan is het voldoende om de data over die bewuste telefoonlijn af te luisteren.
Het idee achter de chip is dat er een extra challenge code wordt meegestuurd bij de transactie. Die challenge code wordt op je chip gegenereerd en zolang dat algoritme veilig is, kan een skimmer dat niet namaken, zonder in het bezit te zijn van de private key op je chip.
Op deze manier is het dus wel heel makkelijk om achter de pincode te komen, alleen nog ff een brute-force scriptje eromheen schrijven die 0000 t/m 9999 probeert...
Het blokkeren van je pas gebeurt ook offline.
Dus bruteforcen werkt nog steeds niet, na 3 pogingen wordt je pas toch wel geblokkeerd. (of die pogingen onderdeel zijn van het algoritme, dat weet ik niet, ik denk 't wel, want het is niet de lezer die dat bijhoudt, Als ik in mijn (offline) randomreader een foutieve PIN code opgeef, dan zeurt de eerstvolgende (online) pinautomaat erover dat ik nog 2 pogingen over heb.)
Logischerwijs denk ik dan dat de 3 pogingen onderdeel zijn van het algoritme.
Het blokkeren van je pas gebeurt ook offline.
Dus bruteforcen werkt nog steeds niet, na 3 pogingen wordt je pas toch wel geblokkeerd. (of die pogingen onderdeel zijn van het algoritme, dat weet ik niet, ik denk 't wel, want het is niet de lezer die dat bijhoudt, Als ik in mijn (offline) randomreader een foutieve PIN code opgeef, dan zeurt de eerstvolgende (online) pinautomaat erover dat ik nog 2 pogingen over heb.)
Logischerwijs denk ik dan dat de 3 pogingen onderdeel zijn van het algoritme.
Bij de meeste random readers wordt aan de chip gevraagd of de ingevoerde pincode correct is. Bij de derde verkeerde poging wordt de data in de chip vernietigd. Daarna werkt de chip dan niet meer.
De magneetstrip is echter de zwakke schakel in het geheel. Het is namelijk allang mogelijk om met de hash die op de magneetstrip staat 15 mogelijke pincodes te genereren. De correcte pincode kan men met een offline pinapparaat zoals MartinMeijerink beschreef achterhalen. Waarom deze methodiek niet vaker gebruikt word is mij een raadsel.
OK daar gaan we!
Miljoenen (miljarden?) uitgeven aan een compleet nieuw PIN systeem.
En dat is dan wel waterdicht???
Bij elke switch wordt de data zichtbaar gemaakt en daarna weer versleuteld met de goede sleutel voor de volgende etappe van de af te leggen weg.
Ik vraag me af waarom steeds die data moet worden ge-decrypt om vervolgens weer opnieuwe te worden versleuteld. Zou het niet veiliger zijn om dat NIET te doen maar de PIN code versleuteld door het netwerk te laten gaan tot hij bij de uiteindelijke ontvanger is ? Of is dat weer te makkelijk gedacht ?
Ik vraag me af waarom steeds die data moet worden ge-decrypt om vervolgens weer opnieuwe te worden versleuteld. Zou het niet veiliger zijn om dat NIET te doen maar de PIN code versleuteld door het netwerk te laten gaan tot hij bij de uiteindelijke ontvanger is ? Of is dat weer te makkelijk gedacht ?
Dit heeft te maken met het feit dat het een off-line systeem is: van te voren moet de versleuteling vastgelegd zijn, je kan niet (zoals bij bv. een ssl sessie) even onderling een sleutel bepalen. En hier zit meteen de tweede reden: er zijn vele partijen bij betrokken, en iedere partij heeft haar eigen sleutels, dus moet er steeds "vertaald" worden.
Dit is overigens meteen weer een extra beveiliging: afhankelijk van de betrokken partijen zijn er andere sleutels in gebruik. Het is dus niet zo dat de enige moederleutel gekraakt is (er is immers niet 1 overall moedersleutel)
Voor het "vertalen" (ontsleutelen, en opnieuw versleutelen) wordt de HSM gebruikt. Iedere partij heeft haar eigen sleutels en zal die nooit zo maar afgeven aan andere partijen. Wat je wel kan doen is zo'n sleutel laden in een HSM van een vertrouwde partij. Deze partij kan daarna informatie die voor jou bedoeld is versleutelen met jou sleutel, zonder dat men zelf toegang tot die sleutel heeft (zit in de HSM, en kan daar niet meer uit gehaald worden).
Het verhaal lijkt nu dat men manieren heeft gevonden om toch sleutelmateriaal uit een HSM te krijgen
Hebben we het hier over een geldautomaat of over een PIN betaling bij een retailer, dat is wezenlijk wat anders qua beveiliging. Het plaatje bij dit artikel suggereert een GUA maar ik denk dat het probleem zit in de PIN-apparatuur bij de retailers en het netwerk naar Equens toe die eigen (onveilige = kraakbare) encrypties hanteren.
25 jaar geleden was er al een eenvoudige oplossing voor de geldautomaten in Den Haag e.o. De PIN hoeft namelijk helemaal niet encrypted over het netwerk maar kun je met de interbancaire masterkey (die de banken met elkaar delen) voor elke pas gewoon lokaal in de GUA/GEA controleren, in speciale hardware om manipulatie in software te voorkomen. In spoor 3 van de pas (in NL gebruikt, andere landen soms spoor 1 of 2) staat alle informatie die je nodig hebt, inclusief de offset van de PIN. Spoor 3 is met een eenvoudige kaartlezer op elke kaart te zetten en dat is een risico, een chipkaart maakt het wat ingewikkelder en daarmee kun je ook de data in de chipkaart zelf encrypten. Overigens bestaat een PIN uit 16 cijfers alleen gebruiken we er maar 4 voor de match (in NL, andere landen ook wel 5 of 6).
Vervolgens gaat alleen de transactie (mits je online werkt, maar offline doet niemand meer) van bank naar bank of een clearing house (ooit BGC, nu direct via Equens naar de back-ends van banken).
PIN was al heel lang onveilig, maar daar werd weinig aan gedaan omdat het goedkoper is om de schade te vergoeden dan om een veiliger systeem te gebruiken.
Ofwel: de kosten van het beter beveiligen zijn hoger dan het verlies. Tot nu toe een juiste beslissing dus om niet verder te beveiligen: jij gaat toch ook niet als anti-diefstal beveiliging een duur GPS tracking systeem op je fiets van 50 euri zetten?
Wat je echter zou kunnen zeggen is dat men niet heeft geanticipeerd op deze encryptie kraak...
Probleem nu is dat er een mogelijkheid ontstaan is om de rekeningen van partikulieren te plunderen op een dusdanige wijze dat niet bekend is of dat de klant een bedrag heeft opgenomen of een kwaadwillende.
De hacks zouden vooral consumenten erg hard treffen. Het geld wordt namelijk direct van de accounts van de individuele rekeningen gehaald. In tegenstelling tot creditcardfraude, moet de consument bewijzen dat hij of zij niet zelf geld heeft gepind.
Je moet dus, als er geld rechtstreeks van je rekening wordt afgeschreven, zelf bewijzen dat jij dat niet geweest bent.
Prettige wedstrijd dan.
Hackers kunnen zowel versleutelde als onversleutelde PIN-data kraken en daardoor grote hoeveelheden persoonlijke data stelen.
De 'nieuwe' Y09K Hype is geboren...
Electronisch betalen is/was al jaren kwetsbaar voor misbruik, wat ik uit andere media heb begrepen is het encrypie algoritme van PIN-over-ADSL gekraakt.
Plof...
Het is heel simpel waarom ze het niet crypten van a naar B
Belasting dioensten zien dan NIKS meer en dat mag niet...
nu kunnen ze niet anders,,,,,,
ik lach me ziek het achterdeurtje voor de viscus blijkt zo lek als een mandje :P
verbaasd me overgens helemaal niks.......
monny its al a big show.......'
Begrijp ik het nu goed dat je pincode dus "encrypted" in de magneetstrip op je pas staat? En dat tijdens het pinnen de ingetoetste pincode vergeleken wordt met de pincode op je pas?
Even los van alle communicatie die er plaats vind en die wel of niet goed encrypted is, maar dan was het systeem dus vanaf dag 1 al zo lek als een mandje.
Begrijp ik het nu goed dat je pincode dus "encrypted" in de magneetstrip op je pas staat? En dat tijdens het pinnen de ingetoetste pincode vergeleken wordt met de pincode op je pas?
Even los van alle communicatie die er plaats vind en die wel of niet goed encrypted is, maar dan was het systeem dus vanaf dag 1 al zo lek als een mandje.
Bijna correct en correct. Er staat een hash van je encrypted pincode op je magneetstrip. En ja, het systeem is eigenlijk vanaf dag 1 onveilig.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
