De Britse wetenschappers van de Cambridge-universiteit breiden hun onderzoek naar de PIN-pas uit. Zij gaan nu passen van verschillende landen testen, vertelt professor Ross Anderson aan Webwereld. Hij erkent dat Nederlandse passen mogelijk veilig zijn door het in Nederland gebruikte systeem van online authenticatie. Dat betekent echter niet dat de passen bestand zijn tegen de Britse kraakmethode.
In het buitenland
De online authenticatie gebeurt namelijk lang niet altijd in andere landen. Zo is het in Frankrijk bijvoorbeeld mogelijk om een PIN-betaling te doen zonder de PIN-code in te voeren. Een handtekening volstaat dan. Er vindt geen controle van de PIN-code plaats.
De Britse kraakmethode bestaat uit het onderscheppen van de PIN-controle tussen de betaalautomaat en de PIN-pas. Op de pas staat namelijk de code opgeslagen. De door de wetenschappers gemaakte kraakinstallatie, bestaande uit standaardelektronica en een Python-script draaiend op een laptop, liegt de betaalautomaat voor dat de ingevoerde, willekeurige PIN-code de correcte is.
'Nederland veilig'
Vorige week heeft de woordvoerster van het Nederlandse EMV-projectbureau al aan Webwereld verklaard dat Nederlandse passen niet kwetsbaar zijn voor de Britse kraakmethode. In Nederland wordt er namelijk online gecontroleerd bij betalingen en geldopnames, stelt zij.
Professor Anderson reageert dat dit best mogelijk is. "Als de Nederlandse banken geen enkele offline PIN-verificatie doen, dan gebruik je een pas alleen bij pin-machines en betaalautomaten die in staat zijn de PIN-code te encrypten voor online-verificatie." Dat geldt dus voor gebruik in Nederland.
'Grote puinhoop'
Volgens de Britse PIN-pasonderzoeker kan dat het gebruik van handtekeningen voor sommige betalingen in Frankrijk verklaren. "Daar doen ze aan offline controle. Maar als je Nederlandse PIN-passen en codes kunt gebruiken bij betaalautomaten in Britse winkels dan vermoed ik dat onze aanvalsmethode wel werkt."
Hij stelt dat het stuk voor stuk testen van de passen van verschillende banken de enige manier is om echt te achterhalen welke passen kwetsbaar zijn. Ook voor de banken zelf. "De hele situatie is een grote puinhoop."
"Niets is 100% veilig."
Ten eerste is dat maar de vraag - zo heb je bijv. ook one-time-path systemen. En verder is jouw redenatie helemaal geen reden om bijv. maar geen encryptie te doen.
Als jouw redenatie klopte, hoefde je ook geen sloten op je huis. Immers, 't is toch niet 100% veilig. Dus waarom dan nog moeite doen?
Kolder natuurlijk. Het is gewoon bizar dat er een betalingssysteem op poten wordt gezet, zonder zeer uitgebreid cryptografen, wiskundigen, computerbeveiligers/hackers en electronicaspecialisten daarbij te betrekken.
Pas als de topexperts op al die gebieden groen licht geven, weet je dat je betalingssysteem redelijk goed _kan_ zijn.
Neen !!!
Die opmerking begrijp ik niet helemaal. Ik vatte jouw post op als instemming met het getoonde resultaat ('Nederlandse PIN-passen mogelijk ook gevoelig voor engelse kraak.') terwijl je in vergelijkbare gevallen de motivatie van de kraker in twijfel trok.
Is professor Ross Anderson naar jouw mening nu een 'ziekelijke hacker' of niet?
'En daarom denkt je dat de wereld verotter is dan vroeger.'
Ik denk ook dat mensen vroeger beter op hun grammatica letten. Maar nee, het heeft niets met kranten te maken. Wel met de harde cijfers baar geldgebruik. Net nu we van contant geld afgeholpen worden, ga jij het weer introduceren. Dat betekent dus meer baar geld in omloop, dus meer makkelijke pikkansen. Denk toch na voor je wat opschrijft, man. (Dat geldt ook voor die minderbedeelden die mijn bijdrage minden.)
Gaap !!! erg flauw. Alsof ik geen mening mag hebben en alleen de jouwe telt?
Het probleem is dat jij tegenwoordig te veel kranten ed kan lezen. En daarom denkt je dat de wereld verotter is dan vroeger. De hoeveelheid criminaliteit zal nu echt niet hoger liggen dan in de jaren zestig. Alleen komt elke keer dat iemand gerold is in de krant... Heeft niets met ogen sluiten te maken.
Baar geld is duur, ook fraudegevoelig en traag.
Oh! Ik had een reactie over "ziekelijke hackers" van je verwacht.
Neeeeee ... écht???
Het is zelfs al bewezen dat de nieuwe chippas ook misbruikt kan worden. Niets is 100% veilig.
Ja, inderdaad, goed joh. Laten we teruggaan naar baar geld of cheques. We sluiten de ogen dan maar voor het voorspelbare gevolg: een schrikbarende toename van het aantal straatroven en gewapende overvallen, en valsheid in geschrifte.
Goede reden om ook ik af te schieten. Kost alleen maar, en levert niets op...Gewoon ouderwets blijven betalen met baar geld. Kan niemand je traceren tenzij iedereen een schaduwpersoon achter zich aan krijgt die noteert wat je met je geld doet..Maar zover zal het niet komen.....Al hoewel...je weet het niet he....
Natuurlijk zijn we in Nederland ook kwetsbaar. Zodra de chipknip verdwijnt gaan we in de parkeerautomaat en dergelijke ook betalen met PIN zonder online verificatie. Verder zijn ook in Nederland zometeen diverse creditcardtransacties wel met die chip, maar zonder online verificatie mogelijk.
Sowieso is het ontwerp nogal knullig gemaakt. Er is geen encryptie of digitale handtekening op de communicatie tussen de chip en de terminal in het protocol ingebouwd. Daardoor is de gegevensstroom net als bij de magneetstrip gewoon te lezen en te manipuleren door de criminelen. Het lijkt me dat DNB moet ingrijpen en moet afdwingen dat dit systeem niet gebruikt gaat worden voor offline verificatie en binnen een paar jaar wordt uitgefaseerd en voor een systeem wat wel veilig is wordt vervangen. Nu een complete infrastructuur uitrollen gaat onnodig geld kosten zonder dat daar meer veiligheid voor terug komt.
Alleen twijfel aan de pinpas?
Wat denken we van die geweldige OV-chipkaart?
Het electronisch patienten dossier?
De betrouwbaarheid van de regering? :-)
Reageer
Preview