Nieuws
image

Warmtekijker maakt PINcodes stelen kinderspel

woensdag 17 augustus 2011, 13:05 door Redactie, 19 reacties

Het gebruik van warmtekijkers maakt het kinderspel om ingevoerde PINcodes en andere toegangscodes te achterhalen, zo hebben onderzoekers tijdens de vijfde USENIX Workshop on Offensive Technologies (WOOT) laten zien. Volgens de onderzoekers heeft het gebruik van een warmtekijker als voordeel dat het niet nodig is om de codes tijdens het invoeren op te nemen.

De onderzoekers onderzochten de invloed van het soort toetsenbord, de afstand tussen de camera en het toetsenbord en de gebruiker die de code invoert. De kracht waarmee de testgroep de codes invoerde en hun eigen lichaamswarmte bleek enigszins van invloed op de resultaten.

Toch wisten de onderzoekers tachtig procent van de codes te achterhalen. Zelfs 45 seconden na het invoeren was er nog een succesratio van 60% en na een minuut was nog altijd de helft van de ingevoerde codes zichtbaar.

Metaal
Hoewel warmtekijkers duur zijn, zou een grootschalige aanval op een geldautomaat volgens de onderzoekers voldoende codes opleveren, om de aanval financieel haalbaar te maken.

Het gebruik van warmtekijkers is voor zover bekend nog niet door criminelen toegepast, maar wie geen risico wil lopen moet plastic toetsenborden met rubberen toetsen vermijden, aangezien die de warmte van de vingers het langst vasthouden. Bij metalen toetsenborden was het vanwege de samenstelling van het materiaal bijna onmogelijk om de achtergelaten warmte op te nemen.

Reacties (19)
17-08-2011, 13:07 door Anoniem
Dus even flink met je hand over het toetsenbord wrijven, dat deed je toch al om die truc met die druppels op de toetsen te voorkomen ....
17-08-2011, 13:16 door Anoniem
na invoeren van pincode je pincode omgekeerd nog een keertje + twee extra toetsen (of met meer vingers tegelijk meerdere andere toetsen ook even aanraken). Succes met de puzzel dan maar.
17-08-2011, 13:20 door Anoniem
Zo, zijn die onderzoekers even helemaal bij de tijd! Ja t is diep treurig dat dit een zwakke schakel is, maar om in de gedachten van beveiliging te blijven: maatregelen worden genomen op basis van kosten/baten inschatting. Hebben de onderzoekers al bedacht dat er nog tal van andere mogelijkheden zijn om makkelijk aan de pincode te komen?! Het is echt geen nieuws dat warmtesporen informatie kan opleveren die misbruikt kan worden.
17-08-2011, 14:00 door Anoniem

Bij metalen toetsenborden was het vanwege de samenstelling van het materiaal bijna onmogelijk om de achtergelaten warmte op te nemen.
Is het toeval dat de meeste geldautomaten metalen toetsenborden hebben, of is daar allang over nagedacht??
17-08-2011, 14:21 door [Account Verwijderd]
[Verwijderd]
17-08-2011, 14:23 door [Account Verwijderd]
[Verwijderd]
17-08-2011, 14:32 door [Account Verwijderd]
[Verwijderd]
17-08-2011, 15:03 door Anoniem
Door Anoniem:

Bij metalen toetsenborden was het vanwege de samenstelling van het materiaal bijna onmogelijk om de achtergelaten warmte op te nemen.
Is het toeval dat de meeste geldautomaten metalen toetsenborden hebben, of is daar allang over nagedacht??

Vandaaltjes met een aansteker en robuustheid in het algemeen zijn meer reden voor metaal ipv rubber toetsenborden dan nogal vergezochte aanvallen als IR kijkers.
Het is een plezierige bijkomstigheid, maar het zou me verbazen als "laat weinig warmte residu zien" in de design eisen gestaan heeft. Gegeven dat blokkeren van voorzetmondjes al achteraf bedacht moest worden...
17-08-2011, 16:56 door Anoniem
Toetst niet iedereen zijn pincode in met de hersteltoest? werkt tegen warmtezoekers en camera's
< 7 6 [c] 8 3 [c] 2 9 [c] 1> pincode 7821
17-08-2011, 18:18 door Anoniem
Ik heb een hoesje om mijn pinpas, met dit hoesje druk ik altijd mijn pincode in.

Simpel dus.
17-08-2011, 21:05 door Skizmo
Warmtekijkers kosten geen drol en niemand zal ook raar opkijken als je er mee over straat loopt... en ze vinden het helemaal niet raar als je 10 meter van een pinautomaat mee staat te lezen.
17-08-2011, 23:35 door GerBNL
Ah, eindelijk een goede reden om verwarmde toetsenborden in te voeren, handig tegen warmtekijkers en een uitkomt in de winter!
18-08-2011, 08:42 door Anoniem
Wat mij nog steed het meest verbaasd is de lengte van de pincode. 4 cijfers. Waarom niet een flexible aantal. Wordt het al een stuk lastiger, zeker ook met de warmtekijkers.
18-08-2011, 10:25 door Anoniem
Door Anoniem: Wat mij nog steed het meest verbaasd is de lengte van de pincode. 4 cijfers. Waarom niet een flexible aantal. Wordt het al een stuk lastiger, zeker ook met de warmtekijkers.

In andere landen kan dat, Nederland loopt achter. Als je oplet tijdens het nieuwe pinnen kan daar tot 6 cijfers, maar ik geloof niet dat de bank je dat laat instellen.
18-08-2011, 12:28 door Anoniem
omdat het mainframe van de bank dat niet ondersteunt....
18-08-2011, 13:14 door GNOE Inc.
LCD-Toetsen met random numeric-keyboard generator of touchscreen gebruiken met verschillende toets locaties? ;o)
19-08-2011, 14:45 door Anoniem
Door Anoniem:
Door Anoniem: Wat mij nog steed het meest verbaasd is de lengte van de pincode. 4 cijfers. Waarom niet een flexible aantal. Wordt het al een stuk lastiger, zeker ook met de warmtekijkers.

In andere landen kan dat, Nederland loopt achter. Als je oplet tijdens het nieuwe pinnen kan daar tot 6 cijfers, maar ik geloof niet dat de bank je dat laat instellen.

Dat kon ik 2 jaar geleden al instellen (en heb ik ook gedaan) @ ABN. Van de ING weet ik ook vrij zeker dat ze het al doen.

Om pincodes te bemachtigen gebruiken ze over het algemeen een overzet stuk, niet alleen voor de pas-mond maar ook voor het toetsenbord gedeelte, de toetsen die jij indrukt worden dan direct verzonden naar een gsm of andere ontvanger in de buurt. De apparatuur vs de winstmarge vs de pakkans bij het verwijderen maakt het zelfs dusdanig lucratief dat ze de overzet stukken vaak niet eens meer ophalen. (Overigens niks geen nieuws, dit staat al tijden op internet en heb er zelf ooit 1 gevonden en het uiteraard gemeld) :)

--Jeroen
31-08-2011, 14:18 door Anoniem
Tja, wat staat ons nog allemaal te wachten?! Natuurlijk zijn dergelijke 'technieken' , hoewel niet te onderschatten, nog vrij zeldzaam. Het echte probleem is echter dat velen hun (meerdere) PIN codes te gemakkelijk ergens opschrijven, al dan niet simpel versleuteld. Daarom heb ik maar eens een ECHTE OPLOSSING bedacht, die je op de link hieronder kunt vinden. Omdat pincodes onthouden (en vergeten!) een wereldwijd probleem is heb ik het maar in het Engels gedaan – daar is niks moeilijks aan: de tekeningen bij de oplossing spreken absoluut voor zich!
Benieuwd? Ik zie je graag hier terug:
http://www.combibiz.com/page7.php
Wil je toch liever een Nederlandse toelichting, mail me dan even op het mailadres op de home-pagina:
http://www.combibiz.com

O, ja, een bereidwillige kennis van me heeft het PINcode-probleem prachtig op Youtube in beeld gebracht:
http://www.youtube.com/watch?v=q0-g29Zq_-o

Geniet er maar van!
06-01-2012, 00:22 door Anoniem
bedankt voor de tip *koopt een warmtekijker*
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure