Nieuws
image

"Opvolger pinpas wel eenvoudig te kraken"

vrijdag 18 december 2009, 12:50 door Redactie, 15 reacties

In tegenstelling tot wat de Nederlandse Vereniging van Bank beweert, is de aanval op de nieuwe pinpas helemaal niet zo ingewikkeld en omslachtig, aldus de onderzoekers die dit woensdag tijdens het VPRO-programma Goudzoekers lieten zien. Het ging hier inderdaad om de "relay aanval", die de onderzoekers van de Universiteit van Cambridge eerder al in 2007 demonstreerden. Het aanvallen van de Nederlandse EMVpinpas ging niet van een leien dakje. In tegenstelling tot de Britse pinpassen, zijn hier betere beveiligingsmaatregelen aangebracht.

Het gaat dan om Dynamische Data Authenticatie (DDA). Dat voorkomt dat aanvallers een chip kunnen klonen om bij offline transacties te gebruiken. Dit zorgt ervoor dat de kaart wel iets duurder wordt. Een ander onderdeel is de versleutelde PIN. In Groot-Brittannië is de door de gebruiker ingevoerde PIN onversleuteld als het naar de kaart wordt gestuurd, waardoor die via een gemanipuleerde betaalautomaat is af te luisteren. Verder beschikt de Nederlandse kaart over een feature genaamd iCVV, die een deel van de magnetische strip in de chip bewaart, terwijl dit bij de Britten de volledige magneetstrip is. Een aanvaller zou dan de magneetstrip weer kunnen klonen.

Tijdgebrek
Ondanks deze aanvullende maatregelen, werkt de relay aanval nog steeds, net als bij de demonstratie in 2007. "Dit laat zien dat één van de misvattingen over de relay aanval, dat DDA kaarten die voorkomen, niet waar is", zegt onderzoeker Steven J. Murdoch. Daardoor was hij ervan overtuigd dat hij de aanval ook in Nederland kon uitvoeren, maar dat ging niet zo makkelijk. De betaalautomaat werkte anders dan de Britse variant. Het grootste probleem was dat de terminal zeer gevoelig voor de vertraging was die door storing op de wireless verbinding werd veroorzaakt. Uiteindelijk kwamen ze met een oplossing, maar die werkte alleen voor de onversleutelde PIN, iets waar de onderzoekers geen rekening mee hadden gehouden. "Het implementeren van de aanval voor versleutelde PIN is lastiger, omdat je de incorrecte PIN moet vervangen met de correcte die met de publieke sleutel van de kaart versleuteld is en die we tijdens het begin van de transactie onderschepten."

Door tijdgebrek en het risico dat als men drie foute PINs invoerde de enige kaart die er was geblokkeerd zou worden, besloot men deze aanval te schrappen. "Dat kan één van de redenen zijn waarom de Nederlandse Vereniging van Banken zegt dat de aanval ingewikkeld en omslachtig is." Criminelen hebben deze beperking niet en kunnen de tijd nemen om de PIN-substitutie voor Nederlandse EMVpinpassen te implementeren, waardoor het beter haalbaar is."

Bescherming
De enige bescherming tegen de relay aanval is "distance bouding", zoals de onderzoekers in dit academisch onderzoek beschrijven. Het grote probleem is dat nog geen enkele smartcard dit ondersteunt. "De relay aanval is ook niet afhankelijk dat magnetische strip transacties worden ondersteund, noch kan versleutelde PIN de aanval voorkomen."

Reacties (15)
18-12-2009, 12:57 door spatieman
logisch.
het mag niets kosten. xD
18-12-2009, 13:12 door Anoniem
dan betaal ik liever 10 euro voor een pinpas die niet zo makkelijk te kraken is dan een gratis pinpas.
18-12-2009, 13:15 door Preddie
Door spatieman: logisch.
het mag niets kosten. xD

Het geen dat het kost wordt straks gewoon door berekend aan de klant ....

Maargoed al zouden ze een systeem kunnen ontwikkelen dat voor 99% veilig is dan verliest de rabobank jou gegevens wel op een USB stick .... :P
18-12-2009, 13:36 door [Account Verwijderd]
[Verwijderd]
18-12-2009, 14:13 door Anoniem
Zoals men in het programma Goudzoekers al opmerkte: banken bieden de betaaldienst maar voor een reden aan, meer geld verdienen. Een pintransactie kost nu 6 cent (al dan niet met een cent korting). Daarmee slepen de banken en verwerker Currence miljarden per jaar binnen. Kosten van het systeem is maar een fractie voor de banken. Daarnaast verdienen ze aan de contracten, het verhuur en de gekoppelde verkoop van service door de leverancier van de pinautomaten. Met de invoering van het nieuwe systeem moet er een investering gedaan worden, maar daar halen ze meer winst door binnen. Hoe? Doordat ze straks de schuld bi het nieuwe systeem en veiligheid kunnen leggen om de prijs omhoog te gooien. Er is nu wel afgedwongen dat winkeliers voorlopig niet meer investering hebben dan het nieuwe apparaat en nieuwe contracten. Maar over een paar jaar hebben de banken en currence een vrijbrief om als monopolist de prijs met centen per transactie omhoog te trekken zonder dat ze daar meer moeite voor hoeven doen om de systemen te beheren.
18-12-2009, 14:18 door Anoniem
Als je het prograam Goudzoekers hebt bekeken, danheb je kunnen zien dat het helemaal niet zo eenvoudig is als dit bericht doet voor komen.
Er kwam best nogal wat apparatuur an te pas en een pinpas waarop en kabeltje was aangesloten die door de mouw van de skimmer loopt.
Maar het is te doen en als het te doen is, dan zal het zeker gedaan worden in de toekomst.
Maar de twee amerikaanse creditcard bedrijven die de kaarten leveren gaan er bakken aan verdienen.
Niet de komende 5 jaar want de prijs ligt 5 jaar vast, maar daarna zullen ze ons dubbel en dwars terug pakken.
In engeland en frankrijk zijn de pinkosten behoorlijk gestegen
18-12-2009, 14:37 door Anoniem
Als hier de vergelijking met britse passen wordt getrokken denk ik, het wordt dus geen europese standaard, als er verschillen zijn.
Hoe zit het met de uitwisseling met het buitenland, ook wat veiligheid betreft?
18-12-2009, 15:16 door Anoniem
Door Anoniem: Zoals men in het programma Goudzoekers al opmerkte: banken bieden de betaaldienst maar voor een reden aan, meer geld verdienen. Een pintransactie kost nu 6 cent (al dan niet met een cent korting). Daarmee slepen de banken en verwerker Currence miljarden per jaar binnen.

Banken bieden de betaaldienst aan om van het contante geld af te komen, dus geen kassa's resp. geen kassiers meer, en geen geldtransporten . Want dat kost eerst geld. Niet in eerste instantie om aan de pin-transactie te verdienen.
Verder is dit artikel is een academisch lulverhaal. Omdat het zo'n makkie is in "Great" Britain nemen ze bij voorbaat al aan dat het overal zo gemakkelijk gaat. Alsof GB de standaard de dingen is. Gelukkig zijn toch wat wijzer (geworden).
18-12-2009, 17:27 door Preddie
Door Anoniem:
Door Anoniem: Zoals men in het programma Goudzoekers al opmerkte: banken bieden de betaaldienst maar voor een reden aan, meer geld verdienen. Een pintransactie kost nu 6 cent (al dan niet met een cent korting). Daarmee slepen de banken en verwerker Currence miljarden per jaar binnen.

Banken bieden de betaaldienst aan om van het contante geld af te komen, dus geen kassa's resp. geen kassiers meer, en geen geldtransporten . Want dat kost eerst geld. Niet in eerste instantie om aan de pin-transactie te verdienen.
Verder is dit artikel is een academisch lulverhaal. Omdat het zo'n makkie is in "Great" Britain nemen ze bij voorbaat al aan dat het overal zo gemakkelijk gaat. Alsof GB de standaard de dingen is. Gelukkig zijn toch wat wijzer (geworden).

academisch lulverhaal heh ? Aan jou taalgebruik te zien zul jij nooit van je leven een academie van binnen zien.

Jou hele beargumentering klopt niet, je betaalt immers zelf voor transport. Je betaalt voor het tellen van het contant geld en ook daar verdienen ze op. PIN is alleen maar een extra mogelijkheid om extra geld binnen te halen, consumenten merken daar niet zoveel van omdat een transactie voor hun gratis is. Het bedrijfsleven kan betalen per abbo of per transactie in beide gevallen zal het duurder worden omdat de bank nu een "geldige" reden heeft om de hoogte van het abbo of van de transactie te verhogen.

Het zal nog wel even duren voor de aanvaller dus danig zijn ontwikkeld zodat ze makkelijk bruikbaar zijn zoals skimming. Dit pinpas bestond namelijk al even voordat er op grote schaal geskimmed werd, dat zal hier ook wel mee gebeuren.

Ik voel meer voor een thee-way-authentication, iets in de trant met een Token of een soort van persoonlijke random reader ofzo ....
18-12-2009, 19:27 door Anoniem
Die onderzoekers moeten natuurlijk ook af en toe met iets bijzonders voor de dag komen. Anders voelen ze dat in hun budget van het volgende jaar. En zo'n pinpas is nu eenmaal gemakkelijk onderzoekbaar; dat scoort wel. Een analyse van de risico's van contant geld is veel lastiger, want dan moet je mensen gaan observeren. Dat duurt langer en je haar raakt er door in de war, want je moet naar buiten, ook als het waait en regent. Lekker binnen prutsen met zo'n kaartje, dat is prettiger. En je kunt beweren wat je wilt, geen journalist die het snapt.

En overigens ben ik van mening dat totale veiligheid in het betalingslverkeer onwenselijk is. Dan is geweld nog de enige mogelijkheid om aan andermans geld te komen. Daar wordt het niet prettiger van op straat. De criminaliteit volledig uitbannen? Hahahaha!
19-12-2009, 07:57 door Anoniem
"academisch lulverhaal heh ? Aan jou taalgebruik te zien zul jij nooit van je leven een academie van binnen zien".
Het is: niet jou maar jouw..., en academisch lulverhaal, hè?

"Het zal nog wel even duren voor de aanvaller dus danig zijn ontwikkeld zodat ze makkelijk bruikbaar zijn zoals skimming. Dit pinpas bestond namelijk al even voordat er op grote schaal geskimmed werd, dat zal hier ook wel mee gebeuren".
en het is ...de aanvallen dusdanig...
en het is niet: ...dit pinpas maar de pinpas...

Jij bent eerder rijp voor een opfriscursus NL.

Een bank is geen sociale maar een commerciële instelling, die zich net als elk ander bedrijf voor zijn diensten laat betalen.
De pinpas op zich is al een token, en jij wilt er nog eentje aan toe voegen, zeer onpraktisch dus volstrekt onuitvoerbaar.
21-12-2009, 05:54 door Anoniem
Tja, hieruit blijkt wat mij betreft, dat pin betalingen nog lang niet veilig genoeg zijn.
Ik blijf gewoon werken zoals ik al jaren doe, pinnen bij en automaat en voor de rest contant betalen.
Wat dat betreft zoeken de banken het maar lekker uit.
21-12-2009, 10:16 door Anoniem
Door Anoniem: Tja, hieruit blijkt wat mij betreft, dat pin betalingen nog lang niet veilig genoeg zijn.
Ik blijf gewoon werken zoals ik al jaren doe, pinnen bij en automaat en voor de rest contant betalen.
Wat dat betreft zoeken de banken het maar lekker uit.

Hier ben ik het helemaal mee eens!

PS Het is ook niet "dit pinpas" maar "deze pinpas" Predjuh :)
21-12-2009, 22:07 door Anoniem
Hoe veilig de nieuwe pas al dan niet is, is niet zo relevant.

Waar het om gaat, is wie er voor de ontstane schade opdraait. Bij de 'oude' creditcards (toen je nog gewoon met handtekening betaalde) had de kaarthouder altijd gelijk: je hoefde maar te zeggen dat je een transactie niet had gedaan en je kreeg je geld terug (en pas als ononstotelijk vaststond dat je het toch echt wel zelf had gedaan moest je alsnog betalen).

In het nieuwe systeem wordt de klant verantwoordelijk voor al het gebruik van de pas in combinatie met de juiste pincode. Dus in het scenario dat iemand je pincode afkijkt tijdens het intoetsen, en vervolgens je pasje uit je zak rolt, ben jij in het vervolg de pineut. De logfile van de bank die aantoont dat de pincode in 1 keer goed is ingetoetst, is al eerder geaccepteerd als bewijs dat ofwel de klant de transactie zelf heeft gedaan, ofwel dat hij onzorgvuldig met z'n pincode is omgegaan - en daarmee verantwoordelijk is voor het gepinde bedrag.
19-01-2010, 17:38 door Anoniem
Het moet goedkoop. Betalen voor extra veiligheid kan niet. Het kost zelfs veel moeite om de kredietfaciliteit van je bankrekening te schrappen. Idem om de standaardbedragen voor afschrijven te wijzigen. De banken willen het liefst dat iedereen royaal rood kan staan en in het buitenland veel geld kan opnemen. Daardoor zijn de meeste bankrekeningen zo lek als een mandje. Zo kan het geld lekker rollen, maar wie de pineut is, is het meestal flink. De bank betaalt alleen terug in duidelijke gevallen, en pas na lange tijd. Intussen zit je met je lekke rekening waar iedere maand je salaris op wordt bijgeschreven, en je weet niet wie daar allemaal bij kan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure