"Ook toekomstige pinpas onveilig"
De nieuwe pinpas met EMV-chip, bedoeld om skimmen tegen te gaan, is onveilig en te kraken, zo laten onderzoekers vanavond in het VPRO televisieprogramma Goudzoekers zien. In de uitzending demonstreren twee onderzoekers van de Universiteit van Cambridge een aanval op de nieuwe pinpas die van EMV-chip is voorzien. Om welke aanval het precies gaat is onduidelijk, hoewel het lijkt om een "relay attack" te gaan. Al in 2006 onthulde de universiteit verschillende aanvallen op de EMV-chip, waaronder het afluisteren en relay-aanvallen.
Een aanvaller zou op verschillende manieren de PIN kunnen onderscheppen of de kaart en PIN in real-time kunnen gebruiken. Via een geprepareerde betaalautomaat zou al het verkeer van de kaart via een draadloze verbinding naar een andere crimineel worden verstuurd, die bijvoorbeeld bij de juwelier staat. “Naast deze mogelijkheid, zal ook veel van de fraude zoals die momenteel gepleegd wordt, nog steeds voorkomen. Want ook met het nieuwe systeem zullen de bankpassen waarschijnlijk nog steeds een magneetstrip hebben, om buiten Europa te kunnen betalen", zegt onderzoeker Steven Murdoch
Campagne
De banken starten binnenkort een grote campagne voor "Het Nieuwe Pinnen". In plaats van de magneetstrip, die nu op de bankpas zit, gebruikt men een EMV-chip, waarop de informatie wordt opgeslagen. Tegelijkertijd zal het Nederlandse PIN plaatsmaken voor Maestro of V Pay, beide betaalmerken van grote Amerikaanse creditcardmaatschappijen. Volgens de banken is de overstap nodig om het elektronisch betalen veilig te maken, en aansluiting te vinden op een gezamenlijk Europees pinsysteem. De Nederlandse banken zijn niet ongerust over de bevindingen van de onderzoekers en houden vol dat de nieuwe pinpassen wel veilig zijn. “Pinnen via de EMV-chip is veiliger dan via de magneetstrip.”
Reacties (23)
Geen enkele techniek zal 100% veiligheid leveren. Wat dat betreft moet je de kans op misbruik zo klein mogelijk maken. Overigens denk ik dat er meer mogelijkheden zijn om misbruik aan te pakken m.b.t. skimming door naar het design van de geldautomaten te kijken om vervanging van onderdelen zo moeilijk mogelijk te maken, met ingebouwde detectie die het apparaat uitschakelt en een meldkamer waarschuwt zodra er gerommeld wordt aan het apparaat. Al weten skimmers op dit moment natuurlijk al aardig wat maatregelen te omzeilen.
Een onkraakbare pas is duurder dan het vergoeden van schade door skimming. En een onkraakbare pas levert meer geweld op: pistool tegen je kop en pinnen maar. Criminelen gaan heus geen tomaten plukken.
16-12-2009, 11:18 door
Syzygy
Weer zo'n voordeel van de EU
Nu kunnen de Roemenen lekker dicht bij huis hun skimming technieken uittesten zodat ze het later met alle gemak in Luilekkerland (Nederland) kunnen toepassen.
Nu kunnen de Roemenen lekker dicht bij huis hun skimming technieken uittesten zodat ze het later met alle gemak in Luilekkerland (Nederland) kunnen toepassen.
De banken zeggen niet expliciet dat het pinnen met de EMV-chip veilig is. Ze zeggen dat het volgens hun veiliger is dan via de magneetstrip. Komt er op neer dat ze aannemen dat er meer risico is om geskimmed te worden bij een magneetstrip dan bij een EMV-chip, wat eigenlijk pure onzin is als er geen keuze meer is. Het vervangen en prepareren van de betaalautomaten is voor professionele skimmers een fluitje van een cent gebleken en ze laten zich er niet door tegenhouden.
Die Roemenen kunnen al jaren EMV passen onderzoeken, ze hoeven echt niet op Nederland te wachten.
Deze "aanval" is al jaren geleden beschreven. Deze is erg onpraktisch, en vereist veel coordinatie en medewerking van frauduleuze winkeliers en omstanders. Er worden geen kaarten gekraakt of geskimmed.
Deze "aanval" is al jaren geleden beschreven. Deze is erg onpraktisch, en vereist veel coordinatie en medewerking van frauduleuze winkeliers en omstanders. Er worden geen kaarten gekraakt of geskimmed.
Die Roemenen kunnen al jaren EMV passen onderzoeken, ze hoeven echt niet op Nederland te wachten.
Deze "aanval" is al jaren geleden beschreven. Deze is erg onpraktisch, en vereist veel coordinatie en medewerking van frauduleuze winkeliers en omstanders. Er worden geen kaarten gekraakt of geskimmed.
Deze "aanval" is al jaren geleden beschreven. Deze is erg onpraktisch, en vereist veel coordinatie en medewerking van frauduleuze winkeliers en omstanders. Er worden geen kaarten gekraakt of geskimmed.
Eigenlijk is hier niet de pas onveilig, maar de pasterminal. Voor dit scenario moet je op twee plaatsen pasterminals modificeren. En op de tweede lokatie moet online gereageerd worden. Dat zal op de tweede lokatie wel enige medewerking vereisen van de beheerder van de pasterminal. En de vertragingstijden zijn dan waarschijnlijk opvallend. En je kan niet achteraf de gegevens hergebruiken.
Als je de pasterminals modificeert en samenspant met de kassiers/cassieres, dan kan je nog wel meer trucs uithalen. Maar de pakkans wordt dan wel erg groot.
De banken moeten naast de EMV-chip ook aandacht besteden aan het tamper-proof maken van de pasterminals. Ik veronderstel dat dat ook wel gebeurt.
Als je de pasterminals modificeert en samenspant met de kassiers/cassieres, dan kan je nog wel meer trucs uithalen. Maar de pakkans wordt dan wel erg groot.
De banken moeten naast de EMV-chip ook aandacht besteden aan het tamper-proof maken van de pasterminals. Ik veronderstel dat dat ook wel gebeurt.
16-12-2009, 12:04 door
Syzygy
Ik ben niet zo'n voorstander van die EU wetgevingen, ze duren altijd langer omdat sommige landen de techniek of de funding niet hebben om de zaak tijdig te implementeren.
16-12-2009, 12:45 door
martijno
Even afwachten maar wat ze vanavond nou precies gaan laten zien.
@Anoniem 11:22. Keuze? Dit is volgens mij juist een situatie waar je zo snel mogelijk iedereen naar chip only wilt migreren. Zolang er plekken bestaan waar je met magneetstrip kunt betalen, is je pas kopieerbaar.
@Insider 12:00. De eerste terminal kan helemaal nep zijn toch? Alle data wordt transparant doorgesluisd naar een smart card simulator (een "season interface" [1] oid) die in de tweede (wel echte) terminal zit. De tweede terminal hoef je daar niet voor aan te passen, maar verdacht staat het wel, dus omstanders en cassieres (m/v) moeten even de andere kant op kijken.
[1] http://images.google.com/images?q="season interface"
@Anoniem 11:22. Keuze? Dit is volgens mij juist een situatie waar je zo snel mogelijk iedereen naar chip only wilt migreren. Zolang er plekken bestaan waar je met magneetstrip kunt betalen, is je pas kopieerbaar.
@Insider 12:00. De eerste terminal kan helemaal nep zijn toch? Alle data wordt transparant doorgesluisd naar een smart card simulator (een "season interface" [1] oid) die in de tweede (wel echte) terminal zit. De tweede terminal hoef je daar niet voor aan te passen, maar verdacht staat het wel, dus omstanders en cassieres (m/v) moeten even de andere kant op kijken.
[1] http://images.google.com/images?q="season interface"
Door martijno: Even afwachten maar wat ze vanavond nou precies gaan laten zien.
Zolang er plekken bestaan waar je met magneetstrip kunt betalen, is je pas kopieerbaar.
Zolang er plekken bestaan waar je met magneetstrip kunt betalen, is je pas kopieerbaar.
Want ook met het nieuwe systeem zullen de bankpassen waarschijnlijk nog steeds een magneetstrip hebben, om buiten Europa te kunnen betalen", zegt onderzoeker Steven Murdoch
Dus geen pin-transacties van Europese passen meer buiten Europa toestaan, zodat de magneetstrip afgeschaft kan worden?
16-12-2009, 14:30 door
spatieman
ah, niets aan de hand, slaap maar verder..
chip is veilig hoor, de overheid KAN EN ZAL NIET MEE KIJKEN...
chip is veilig hoor, de overheid KAN EN ZAL NIET MEE KIJKEN...
Door spatieman: ah, niets aan de hand, slaap maar verder..
chip is veilig hoor, de overheid KAN EN ZAL NIET MEE KIJKEN...
chip is veilig hoor, de overheid KAN EN ZAL NIET MEE KIJKEN...
De overheid heeft bij EMV net zoveel mogelijkheden om zaken in te zien als bij de huidige kaarten.
16-12-2009, 15:10 door
martijno
Dus geen pin-transacties van Europese passen meer buiten Europa toestaan, zodat de magneetstrip afgeschaft kan worden?
Wat? Functionaliteit inleveren (al dan niet tijdelijk) voor meer veiligheid? Denk het niet.Je moet in de tussentijd (dat er nog magneetstrippassen en non-EMV betaalpunten zijn) accepteren dat het risico op skimmen er nog steeds is.
Hier zitten te veel mensen die in technische oplossingen geloven. Verplaats je nu eens in zo'n Roemeense (of andere) crimineel. Die ziet hier overal mensen rondlopen die zwemmen in het geld. Ja, ook de mensen die het naar onze maatstaven niet zo breed hebben. Al die mensen zijn voor die Roemeen (of Nigeriaan of wat dan ook) wandelende pinautomaten. Hoe krijg je daar geld uit?
Nerd-criminelen pakken het technisch aan: pinpassen skimmen en zo. De meer fysiek gerichte criminelen rukken je tas van je schouder. Of, als ze veel tv kijken, kopen een mes of een pistool.
Nu is het net als met schoonmaakmiddelen. Als die 99% van alle huishoudbacteriën doden, geven ze de echt gevaarlijke bacteriën ruim baan. Dat zien we nu overal gebeuren. Dat kan ook met criminelen. Blokkeer alle mogelijkheden voor de nerds, en wat houd je over? De echte fysieke rovers. Nou, een geplunderde rekening is één, maar een mes in je ribben is nog heel andere koek.
Dus: laat een gaatje voor de niet-gewelddadige criminaliteit. Zie het als een veiligheidsklep. Het geld ben je toch kwijt, als het niet is aan diefstal, dan wel aan anti-diefstalmaatregelen. Of aan de salarissen van duizenden en duizenden extra politiemensen. (Wil hier trouwens iemand politieagent worden? Nee? Wie wel dan?)
Nerd-criminelen pakken het technisch aan: pinpassen skimmen en zo. De meer fysiek gerichte criminelen rukken je tas van je schouder. Of, als ze veel tv kijken, kopen een mes of een pistool.
Nu is het net als met schoonmaakmiddelen. Als die 99% van alle huishoudbacteriën doden, geven ze de echt gevaarlijke bacteriën ruim baan. Dat zien we nu overal gebeuren. Dat kan ook met criminelen. Blokkeer alle mogelijkheden voor de nerds, en wat houd je over? De echte fysieke rovers. Nou, een geplunderde rekening is één, maar een mes in je ribben is nog heel andere koek.
Dus: laat een gaatje voor de niet-gewelddadige criminaliteit. Zie het als een veiligheidsklep. Het geld ben je toch kwijt, als het niet is aan diefstal, dan wel aan anti-diefstalmaatregelen. Of aan de salarissen van duizenden en duizenden extra politiemensen. (Wil hier trouwens iemand politieagent worden? Nee? Wie wel dan?)
veilig betalen ?
zonder risico voor je privacy...
CASH !
ik hoop dat er nog geen rfid chip in ons briefgeld zit...;)
zonder risico voor je privacy...
CASH !
ik hoop dat er nog geen rfid chip in ons briefgeld zit...;)
Veiligheid word afgekocht met financiële reserveringen voor onoverzichtelijke risico's.
Veiligheids marges worden ingeschat met als argument dat er tot op het moment van schatten zich geen fouten hebben voorgedaan.
Als we het volgende horen of lezen dan kan je er van op aan dat er gelogen en grof gemarchandeerd word met veiligheid, ten gunste van financieel gewin:
- honderd procent veilig bestaat niet
- samenwerken van belangen partijen zoals banken, detailhandel en overheid in een overleg platvorm
- slechts 1% schade op de gehele omzet
- het valt wel mee maar we doen er geen mededelingen over - EMV is veiliger dan strip.
Banken zijn volkomen onnozel over wat de consument van hun qua veiligheid verwacht.
Veiligheids marges worden ingeschat met als argument dat er tot op het moment van schatten zich geen fouten hebben voorgedaan.
Als we het volgende horen of lezen dan kan je er van op aan dat er gelogen en grof gemarchandeerd word met veiligheid, ten gunste van financieel gewin:
- honderd procent veilig bestaat niet
- samenwerken van belangen partijen zoals banken, detailhandel en overheid in een overleg platvorm
- slechts 1% schade op de gehele omzet
- het valt wel mee maar we doen er geen mededelingen over - EMV is veiliger dan strip.
Banken zijn volkomen onnozel over wat de consument van hun qua veiligheid verwacht.
Die chip, in meerdere ontwerpen en evoluties, is al sinds 1997 in productie.
De Nederlandse banken zijn er al sinds 2001 mee bezig, maar wij hadden al een goede debitcard infrastructuur (pin)
Verbaast mij nix dat de technologie nu achterhaald is. Besliskracht kan men interbancair niet bepaald krachtig noemen in dit kikkerlandje.
De Nederlandse banken zijn er al sinds 2001 mee bezig, maar wij hadden al een goede debitcard infrastructuur (pin)
Verbaast mij nix dat de technologie nu achterhaald is. Besliskracht kan men interbancair niet bepaald krachtig noemen in dit kikkerlandje.
Welnu,
de uitzending is geweest. Dat viel behoorlijk tegen. Veel poeha om niets zou ik zeggen.
Het is dus precies dezelfde relay attack als het tweetal in 2007 heeft uitgevoerd.
De VPRO legt helemaal niets uit, alleen maar bombastische stellingen (de pas is nu al gekraakt). Gelukkig ken ik deze aanval.
Dit heeft helemaal niets met EMV te maken. *Elk* protocol tussen betaalterminal en chip dat je zou kunnen bedenken is kwetsbaar hiervoor. Want de chip en de betaalterminal praten met elkaar alleen nu over een grote afstand. De kern is dat mensen hun pasjes in gemanipuleerde apparaten duwen. Het is alsof je aan iemand je pasje geeft en je geeft (typt) er ook nog je pincode bij. Als een onbekend persoon je hierom zou vragen zou je hem uitlachen, maar als een apparaat je hierom vraagt doe je het zonder agwaan. Probleem blijft hetzelfde dus: de mens maar er valt hem niets te verwijten.
de uitzending is geweest. Dat viel behoorlijk tegen. Veel poeha om niets zou ik zeggen.
Het is dus precies dezelfde relay attack als het tweetal in 2007 heeft uitgevoerd.
De VPRO legt helemaal niets uit, alleen maar bombastische stellingen (de pas is nu al gekraakt). Gelukkig ken ik deze aanval.
Dit heeft helemaal niets met EMV te maken. *Elk* protocol tussen betaalterminal en chip dat je zou kunnen bedenken is kwetsbaar hiervoor. Want de chip en de betaalterminal praten met elkaar alleen nu over een grote afstand. De kern is dat mensen hun pasjes in gemanipuleerde apparaten duwen. Het is alsof je aan iemand je pasje geeft en je geeft (typt) er ook nog je pincode bij. Als een onbekend persoon je hierom zou vragen zou je hem uitlachen, maar als een apparaat je hierom vraagt doe je het zonder agwaan. Probleem blijft hetzelfde dus: de mens maar er valt hem niets te verwijten.
Door Anoniem: ....Nu is het net als met schoonmaakmiddelen. Als die 99% van alle huishoudbacteriën doden, geven ze de echt gevaarlijke bacteriën ruim baan. Dat zien we nu overal gebeuren. Dat kan ook met criminelen. Blokkeer alle mogelijkheden voor de nerds, en wat houd je over? De echte fysieke rovers. Nou, een geplunderde rekening is één, maar een mes in je ribben is nog heel andere koek....
Met het voorhouden van drogredenen kijk je niet naar het probleem. In de criminaliteit gaat het om de nodige moeite/tijd/geld om winst te behalen en de hoogte van de winst die daarbij valt te behalen. Maar straatrovers en overvallers zijn van een heel ander kaliber dan de leden van de criminele bendes die de mogelijkheid tot stelen van geld handig misbruiken. Het skimmen heeft de berovingen en overvallen al niet verdrongen, het is er bij gekomen. Het zijn ook andere criminelen die zich er mee bezig houden. En het aantal overvallen en berovingen is er niet door afgenomen. Criminelen hebben ruimte om zich te verplaatsen als er andere criminelen bij komen of hoeven dat niet eens te doen omdat ze elkaar niet in de weg zitten. Skimmen kon al sinds de invoering van het pin systeem maar is pas populair geworden sinds de techniek daarvoor goedkoop en gemakkelijk is geworden. Eigenlijk zijn het gemakscriminelen: zonder veel inspanning of gevaar gemakkelijk veel geld kunnen scoren. Het risico daarop is niet afgenomen door het nieuwe systeem, zeker niet zolang die magneetstrip er nog net zo makkelijk op blijft staan en te gebruiken is in het buitenland. Pinnen is gewoon een nieuwe mogelijkheid om misbruik van te maken, geen vervanging.Relay attacks zoals deze zijn altijd mogelijk, maar in praktijk zijn ze wel heel lastig om uit te voeren. Je moet immers een betaling doen precies op het moment dat een slachtoffer die pas in de reader heeft. Contactloos is het iets makkelijker, maar ook niet zo heel veel makkelijker.
Bovendien, in de backend systemen van de bank gaat het wel opvallen dat je op twee verschillende plekken op nagenoeg identieke tijd met dezelfde pas een transactie doet. Een makkie om eruit te pikken ten opzichte van de geavanceerde detectie die ze op credit card systemen hebben. Vooral omdat we het hier over online transacties hebben (dwz er wordt nog steeds met de bank gechecked of het geld er echt is).
Bovendien, in de backend systemen van de bank gaat het wel opvallen dat je op twee verschillende plekken op nagenoeg identieke tijd met dezelfde pas een transactie doet. Een makkie om eruit te pikken ten opzichte van de geavanceerde detectie die ze op credit card systemen hebben. Vooral omdat we het hier over online transacties hebben (dwz er wordt nog steeds met de bank gechecked of het geld er echt is).
17-12-2009, 12:46 door
martijno
Relay attacks zoals deze zijn altijd mogelijk, maar in praktijk zijn ze wel heel lastig om uit te voeren. Je moet immers een betaling doen precies op het moment dat een slachtoffer die pas in de reader heeft.
Het scenario in de uitzending ('s nachts inbreken om terminal te vervangen) was ook een beetje ver gezocht. Een onbemande terminal (geldautomaat) of medewerking van het winkelpersoneel lijkt me logischer.Bovendien, in de backend systemen van de bank gaat het wel opvallen dat je op twee verschillende plekken op nagenoeg identieke tijd met dezelfde pas een transactie doet. Een makkie om eruit te pikken...
Ik denk dat ze de eerste terminal zo gemodificeerd hebben dat er helemaal geen transactie meer plaatsvindt daar (de bloemist krijgt dus geen geld, de kledingzaak wel). In de backend systemen zie je alleen de transactie bij de kledingzaak.In jouw "nagenoeg dezelfde tijd" opmerking zit mogelijk wel een technische oplossingsrichting voor relay attacks, zie http://en.wikipedia.org/wiki/Distance-bounding_protocol.
17-12-2009, 14:43 door
monica8
Het was oud nieuws over relay attacks, ze zijn die andere ook reeds bekende maar onbelangrijke gaatjes in de EMV chip en lezers vergeten te illustreren.
Het toont wel weer aan dat ook Nederlandse banken bewust voor onveilige systemen/producten kiezen vanwege financieel gewin. Maar ook daar is niets nieuws aan:)
Van mij mogen ze elke week dit soort documentaires herhalen tot dat ze bij de banken wakker worden dat hun gemakzuchtige mentaliteit niet werkt.
We leven tegenwoordig in een maatschappij waar verantwoording voor product foutjes word afgewezen in de levering voorwaarden en in de media worden opgelost door ze te ontkennen en gewoon door te gaan met levering. Overgenomen van de software industrie, die zijn ook nergens verantwoordelijk voor:)
Het toont wel weer aan dat ook Nederlandse banken bewust voor onveilige systemen/producten kiezen vanwege financieel gewin. Maar ook daar is niets nieuws aan:)
Van mij mogen ze elke week dit soort documentaires herhalen tot dat ze bij de banken wakker worden dat hun gemakzuchtige mentaliteit niet werkt.
We leven tegenwoordig in een maatschappij waar verantwoording voor product foutjes word afgewezen in de levering voorwaarden en in de media worden opgelost door ze te ontkennen en gewoon door te gaan met levering. Overgenomen van de software industrie, die zijn ook nergens verantwoordelijk voor:)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
