Gepubliceerd: Zaterdag 13 februari 2010
Britse wetenschappers hebben de beveiliging van PIN-passen gekraakt. Betalingen zijn te doen zonder PIN-code, dankzij vervalsing van de authenticatie. Het EMV protocol moet op de schop.
Toon volledig artikel
We lopen weer achter:
OV-Chipkaart: wij voeren een kaart in gebaseerd op het MiFare systeem op het moment dat de Engelsen EOL aankondigen van hun OV-Chipkaart op basis van dat zelfde platform.
EMV: Alle landen om ons heen zijn over van de gammele magneetstrip op EMV. Wij voeren in als de Engelsen bewijzen dat ook EMV lek is.
Kunnen we niet een keer voorop lopen? Een betaalplatform bedenken dat de komende tien jaar mee gaat?
Begrijp ik nu goed dat je nu de Nederlands politiek ook de schuld geeft van lekken in Engelse betaalautomaten?
Tien jaar gegarandeerd lijkt me sowieso moeizaam. Ik zou eerder zeggen: Streef naar 5 jaar, en zorg dat het financieel uit kan met 3 jaar. Als het langer mee kan dan dat, dan heb je mazzel, maar de veiligheid van betalingsverkeer is geen geschikt onderwerp om op te bezuinigen. Al vinden veel winkeliers van wel.
Ook volgens het bovenstaande is die Mifare Classic natuurlijk een belabberde keuze. Er bestaan al jaren klonen van die chip, dus hij moet ook al jaren als gekraakt beschouwd worden.
Maar dat is hier enigszins off-topic. Dit is een nieuw issue met nieuwe pinpassen. Niet te vergelijken met bekende issues met verouderde technologie.
En bovendien: Eigenlijk best plezierig dat dit nu naar buiten komt, net voordat we alle pin-apparatuur gaan vervangen. Nu kan er misschien nog iets mee gedaan worden. Al zouden we ook hier wel eens voorbij een point of no return kunnen zitten.
Wat wel plezierig zou zijn (ik heb geen idee in hoeverre dit zo is), is dat je dit gewoon met software-updates van je betaalsystemen zou kunnen oplossen. Ongetwijfeld moet er zo nu en dan aan passen iets veranderd worden, maar die worden toch jaarlijks vervangen.
Last not least: Het feit dat je je pas steekt in een apparaat dat niet van jou is (en waarvan je geen idee hebt wat er mee gebeurd is), en vervolgens op het toetsenbord van datzelfde apparaat je pincode ingeeft, is natuurlijk sowieso onveilig. Daarmee geef je dit apparaat de mogelijkheid elk willekeurig bedrag van je rekening te halen, en vertrouw je er alleen maar op dat het dit alleen doet met dat bedrag dat datzelfde apparaat op zijn display toont. Uiteindelijk helpt daar geen technologie aan.
De reden dat we nog geen EMV hebben is dat nog niet alle betaalautomaten ermee kunnen werken. Dit omdat bij de verkoop van de oude machine een gegarandeerde levensduur werd afgegeven. En dat is natuurlijk absurd. Nederland heeft jaren lang voorop gelopen. We waren een van de eerste landen ter wereld er mee.
Maar dat is de wet van de remmende voorsprong. Latere landen konden nieuwere techniek zonder de kinderziekten van de oude gelijk implementeren.
Met dat last but not least heb je een goed punt. Je wordt maar geacht de betaalautomaat te vertrouwen terwijl nu aangetoond is dat je dat beter niet kunt doen.
Daaruit trek ik de conclusie dat je beter zelf een betaalautomaat op zak kunt hebben? Dat apparaat ken je en kun je op elk gewenst moment op de werking (laten) controleren. Misschien in de vorm van je mobiele telefoon? Dat vergt wel een iets andere benadering dan wat ze tot op heden allemaal uitproberen.
Begrijp ik nu goed dat je nu de Nederlands politiek ook de schuld geeft van lekken in Engelse betaalautomaten?
Nee, de schuld ligt primair bij de Nederlandse industrie. Die hadden verder vooruit moeten kijken. We hadden nu in Nederland een open, veilig, contactless betaalsysteem kunnen introduceren dat werkt voor alle betalingen. OV, supermarkt, parkeerautomaat etc. Eén kaartje. Geen elektronische portemonnee meer maar één bankrekening. Volledige controle (stellen van budgetten voor verschillende doelen, aangeven vanaf welk grensbedrag de pincode moet worden gebruikt) en inzicht via het internet.
De techniek is er. Verschillende partijen experimenteren er al mee. Maar in Nederland introduceren we nu verouderde technologie. We hadden deze generatie technologie (apart kaartje voor OV, EMV Pin&Chip) moeten overslaan.
Kunnen we niet een keer voorop lopen? Een betaalplatform bedenken dat de komende tien jaar mee gaat?
Een soort uitwisseling van waardepapieren ofzo? ;-)
Goud- en zilverstukken is beter. Die hebben een intrinsieke waarde. Papier is maar papier, en kan makkelijk nagemaakt worden.
;->
Omdat er maar een beperkte hoeveelheid van is op deze wereld.
Papier (gemaakt van bomen) kun je onbeperkt bijmaken.
Niets heeft intrinsieke waarde. Goud is iets waard omdat mensen er waarde aan hechten.
Is dat dan ook niet wat we noemen de intrinsieke waarde? De intrinsieke waarde is de werkelijke waarde van het materiaal. Die waarde wordt bepaald door vraag en aanbod, hetgeen weerspiegeld welke waarde er aan gehecht wordt.
Volgens mij zijn er een paar redenen waarom goud en zilver betaalmiddelen zijn geworden.
1. Het is vrij zacht, waardoor het voor serieuzere toepassingen niet heel geschikt was.
2. Het is een edelmetaal, dus de waarde roestte niet onder je vingers weg.
3. Het is schaars, waardoor de markt niet ineens overspoeld kon worden.
Het veiligste betaal'platform' is nog altijd cash. Het vervalsen van geld is op grote schaal niet mogelijk: de 'hardware' en de kennis die daarvoor nodig is is immens.
Elektronische manipulatie van pinpassen gaat kennelijk met de meest eenvoudige hardware.
Maar goed, elektronisch betalen is al zover ingeburgerd dat we niet meer makkelijk terug kunnen. Het moet dan maar met een betere beveiliging. De banken zijn aan zet: ik hoop dat ze dit keer eens iets goeds doen, want hun vorige acties waren ook al niet bijzonder strak (dank voor crisis jongens!)
Chip & PIN (=EMV) is niet gekraakt. Banken kunnen deze aanval eenvoudig detecteren door de Terminal Verification Results te vergelijken met de Card Verification Results. Dit werkt voor alle EMV chip kaarten (VIS, M/Chip en CPA).
Het probleem is dat er geen standaard bestaat voor EMV-risico-analyse op de transactie host van een bank.
Samengevat: sommige EMV-implementaties zijn niet kundig uitgevoerd, maar dit is te herstellen zonder enige aanpassing in het EMV protocol.
Wat ik begrijp is dat er aan het systeem een bericht wordt gegeven dat het PIN correct is. Het systeem weet dan niet beter dan dat kaart en PIN bij elkaar horen en de betaling wordt verder afgewikkeld.
Zou je dit willen voorkomen dan zou de gebruikte terminal het ingetoetste PIN moeten doorsturen naar een centrale database waar kaartdetails en PIN opgeslagen zitten.
Een domme vraag, maar kan zo'n centrale database niet gehackt worden?
Het lijkt mij dat je zo het probleem alleen maar verplaatst, en niet oplost.
Banken kunnen deze aanval eenvoudig detecteren door de Terminal Verification Results te vergelijken met de Card Verification Results.
Wat Nederland betreft kunnen ze denk ik wel een stapje verder gaan en alle niet PIN gevalideerde transacties weigeren. Deze 'kraak' lukt omdat het systeem de mogelijkheid bied om een handtekening in plaats van PIN te gebruiken. Dat is in Nederland wel ongeveer uitgestorven en kan volgens mij zonder problemen uitgefaseerd worden.
Zouden jullie wat aandacht/moeite willen steken in het verhelderen van terminologie?
Het begrip "PIN-pas" associeer ik met het "merk" PIN dat door de Nederlandse banken wordt gevoerd en dat gebruik maakt van een magneetstrip. Ik begrijp slechts uit de context dat EMV een protocol c.q. techniek is die gebruik maakt van een chip.
Als je daadwerkelijk wilt bereiken dat er iets verandert (bijv. dat de grote banken niet de macht hebben ons weer een nieuwe fluttechniek aan te smeren) dan zal begrip over de problematiek toegankelijk moeten zijn voor een grotere groep mensen. Ik denk dat het daarbij erg behulpzaam is om op een heldere manier begrippen af te bakenen.
De Nederlands passen hebben zo'n makkelijk magneetstrip waar een hash op staat. Je reader kan zelf controleren of je pincode juist is. Meerdere pincodes hebben (denk ik) dezelfde hash (hoeveel?). Dus door gewoon veel magneetstrips te kopiëren en een mogelijke pincode te berekenen (ben je zo klaar mee, maar 9999 mogelijkheden) kom je een eind en je mag 3 keer proberen.
Tja, wat dacht je van encryptie op AIX servers.Een passphrase die op SSL werkt is ook niet te kraken, al is het maar een lange regel.
Overigens zit de pin niet op de magneetstrip, echter dus 'reverse' wel op de chip van je pas. Belangrijk detail, anders zouden skimmers ook geen camera'tjes of meekijktrucs nodig hebben ;)
Tja, wat dacht je van encryptie op AIX servers.Een passphrase die op SSL werkt is ook niet te kraken, al is het maar een lange regel.
Overigens zit de pin niet op de magneetstrip, echter dus 'reverse' wel op de chip van je pas. Belangrijk detail, anders zouden skimmers ook geen camera'tjes of meekijktrucs nodig hebben ;)
De pincode staat als hash op de magneetstrip. Dit is al jaren bekend.
Beste redactie:
De wetenschappers .... echte betaalautomaten in winkels. Daarbij ... PIN-automaten waar geld wordt opgenomen, zijn niet vatbaar voor deze kraak van de EMV-beveiliging (Europay, Mastercard, VISA).
In de volgende alinea wordt weer gesproken van "geldautomaten" (= een PIN-automaat waar geld wordt opgenomen) waarbij wél gefraudeerd kan worden.
Hoe zit het nu? Kan je alleen bij een betaalautomaat van deze techniek gebruik maken of kan het ook bij een geldautomaat?
Lijkt me eerder dat deze truuk op een betaal automaat (ATM) is toe te passen dan op een pin kast in een winkel. Daar zal men vast wel opkijken als je je pas insteekt met een draad en een laptop er aan vast...
Volgens mij hebben we een definitieprobleem.
Een ATM (Automatic Teller Machine) = geldautomaat = een apparaat van een bank waar je geld uit kunt halen met je pin-pas, je banksaldo kunt bekijken en soms nog wat andere dingen kunt doen. zie hier
Een betaalautomaat is een apparaat(je) waarmee je in een winkel je aankopen kunt betalen.
Een pinautomaat kan allebei zijn.
Een ATM controleert altijd online bij de bank de ingetoetste PIN. De aanval is dan niet mogelijk.
Blijkbaar doen betaalterminals in winkels in Engeland de PIN controle offline met de chip. (En dan kun je als man-in-the-middle tegen de kaart zeggen dat er geen PIN nodig is, en tegen te betaalterminal dat de ingetoetste PIN geaccepteerd is.)
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
