Nieuwe pinpas kwetsbaar voor skimmers
Het ondersteunen van oude standaarden zorgt ervoor dat de nieuwe pinpas nog steeds kwetsbaar voor skimmers is, aldus onderzoekers. Andrea Barisani en zijn collega's zullen deze week tijdens de Black Hat conferentie laten zien dat het chip-en-PIN systeem, dat de standaard in Europa en Azië wordt, eenvoudig is aan te vallen. Het probleem is dat het systeem "legacy" transacties ondersteunt, waaronder het versturen van de pincode in platte tekst. Door het aanbrengen van een skimapparaat kan een aanvaller de kaartgegevens onderscheppen.
De problemen zijn onder andere aanwezig in het EuroPay-Mastercard-Visa (EMV) systeem dat wereldwijd wordt uitgerold. EMV ondersteunt drie soorten kaarten, de oudere magneetstripkaarten, de huidige chipkaarten en de veiligere chipkaarten. Skimmers kunnen transacties echter via de onveiligste methode laten lopen, zo waarschuwt Barisani. "EMV is stuk. Om het probleem op te lossen, moeten ze de standaarden veranderen en comptabiliteit met oudere kaarten laten vallen."
Oplossing
EMV ondersteunt drie standaarden: statische gegevensauthenticatie, een upgrade van de oudere magneetstripkaarten, dynamische gegevensauthenticatie, een veiligere implementatie die een encryptiesleutel gebruikt om de transacties onleesbaar te maken, en een gecombineerde gegevensauthenticatie, die strengere beveiligingsmaatregelen implementeert.
Een skimmer die een skimapparaat op de automaat kan aanbrengen, kan de onderhandeling tussen de terminal en de pinpas van de klant controleren. Voor consumenten is het echter onduidelijk welke authenticatiemethode wordt gebruikt, aldus de onderzoeker. Hoewel het bonnetje het soort transactie weergeeft, kan de skimappatuur dit manipuleren.
Volgens Barisani hoeven consumenten niet op korte termijn een oplossing te verwachten. Het vervangen van de magneetstrip met alle beveiligingsproblemen duurde meer dan tien jaar. "Het achterlaten van de magneetstrip heeft lang geduurd. Dus als de EMV-problemen niet in de initiële implementatie worden opgelost, dan zullen de beveiligingsproblemen lange tijd aanwezig zijn."
Wat men trouwens vergeet is dat er in NL een online verificatie nodig is waardoor skimmen niet werkt in Nederland.
Met creditcards werkt het trouwens wel.
http://conference.hackinthebox.org/hitbsecconf2011ams/materials/D2T1%20-%20Daniele%20Bianco%20and%20Adam%20Laurie%20-%20Credit%20Card%20Skimming%20and%20PIN%20Harvesting%20in%20an%20EMV%20World.pdf
Ook daar is echter over nagedacht en men doet dit hoewel het vrijwel - niet geimplementeerd - per machine kan alleen bij landelijke grote storingen.
Over oud nieuws:
De kwetsbaarheden in EMV waren in 2001 al bekend (zat er heel, heel erg dicht op) en genotuleerd in het EMV overleg.
Een paar cijfers:
Fraude in 2001/2 was 3.000.000 niet of moeilijk recoverable.
Fraude in 2010 was 30.000.000 niet of moeilijk recoverable.
Kwestie van business case: het snijdt geen hout aan dergelijke verwaarloosbare bedragen aandacht te besteden.
Met EEN maar... publiciteit en reputatieschade. Die is al snel even hoog voor zelfs een klein bankje.
[/quote]
En dat er zelfs op dit forum nog mensen zijn die daar in geloven.
Vaut!
- Magneetstrip heeft drie sporen waarvan er meestal twee worden gebruikt. Info is pure ascii, uitleesbaar met casetterecorder kop en alleen bedoeld ter versnelling van het betaal proces. Later is er iets aan veiligheid gedaan door een HICO voorloopspoor (extra hoge magnetische stroom) maar de helft van de apparatuur ziet dat niet eens. De magneetstrip mag nooit geassocieerd worden met secure betalen, nooit voor ontworpen, nooit voor bedoeld, soms voor misbruikt.
Sorry, maar dit slaat echt nergens meer op.
Aan de infra hoefde ook weinig te gebeuren: de infra (back-end, ik heb het hier niet over windows NT embedded op de terminals) software was al goed (en bij mijn weten nooit gecompromitteerd geweest) en de aanpassingen aan de automaten was in 2007 al afgerond. De POS toestellen in de winkels is een ander verhaal, maar dat betalen de banken niet, maken ze zelfs winst op.
Positief:
In ieder geval is EMV wel ontworpen met enige notie van security in mind.
De infra in Nederland is heel erg volwassen en bepaald future proof gebleken.
http://www.nu.nl/geldzaken/2580709/consumenten-vergeten-pasje-bij-nieuwe-pinnen.html
Aan skimmen opzich kan wellicht gedurende korte tijd wat geld door inbdividuen worden verdiend. Het kan wellicht ook leiden tot reputatieschade. Het heeft tot dusverre echter nooit geleid tot enige directe economische schade van betekenis. Zie de cijfers. Skim interface? Wat dan? Het is gewoon openlijk verkrijgbare standaard hardware. Dan moet je dus net als met de magneetcard rips je devices tamper proof proberen te maken. Dat is niet anders dus, of het nu een smartcard of een magneetstrip is. Zucht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.