Nieuwe pinpas kwetsbaar voor skimmers
Het ondersteunen van oude standaarden zorgt ervoor dat de nieuwe pinpas nog steeds kwetsbaar voor skimmers is, aldus onderzoekers. Andrea Barisani en zijn collega's zullen deze week tijdens de Black Hat conferentie laten zien dat het chip-en-PIN systeem, dat de standaard in Europa en Azië wordt, eenvoudig is aan te vallen. Het probleem is dat het systeem "legacy" transacties ondersteunt, waaronder het versturen van de pincode in platte tekst. Door het aanbrengen van een skimapparaat kan een aanvaller de kaartgegevens onderscheppen.
De problemen zijn onder andere aanwezig in het EuroPay-Mastercard-Visa (EMV) systeem dat wereldwijd wordt uitgerold. EMV ondersteunt drie soorten kaarten, de oudere magneetstripkaarten, de huidige chipkaarten en de veiligere chipkaarten. Skimmers kunnen transacties echter via de onveiligste methode laten lopen, zo waarschuwt Barisani. "EMV is stuk. Om het probleem op te lossen, moeten ze de standaarden veranderen en comptabiliteit met oudere kaarten laten vallen."
Oplossing
EMV ondersteunt drie standaarden: statische gegevensauthenticatie, een upgrade van de oudere magneetstripkaarten, dynamische gegevensauthenticatie, een veiligere implementatie die een encryptiesleutel gebruikt om de transacties onleesbaar te maken, en een gecombineerde gegevensauthenticatie, die strengere beveiligingsmaatregelen implementeert.
Een skimmer die een skimapparaat op de automaat kan aanbrengen, kan de onderhandeling tussen de terminal en de pinpas van de klant controleren. Voor consumenten is het echter onduidelijk welke authenticatiemethode wordt gebruikt, aldus de onderzoeker. Hoewel het bonnetje het soort transactie weergeeft, kan de skimappatuur dit manipuleren.
Volgens Barisani hoeven consumenten niet op korte termijn een oplossing te verwachten. Het vervangen van de magneetstrip met alle beveiligingsproblemen duurde meer dan tien jaar. "Het achterlaten van de magneetstrip heeft lang geduurd. Dus als de EMV-problemen niet in de initiële implementatie worden opgelost, dan zullen de beveiligingsproblemen lange tijd aanwezig zijn."
Wat men trouwens vergeet is dat er in NL een online verificatie nodig is waardoor skimmen niet werkt in Nederland.
Met creditcards werkt het trouwens wel.
http://conference.hackinthebox.org/hitbsecconf2011ams/materials/D2T1%20-%20Daniele%20Bianco%20and%20Adam%20Laurie%20-%20Credit%20Card%20Skimming%20and%20PIN%20Harvesting%20in%20an%20EMV%20World.pdf
Ook daar is echter over nagedacht en men doet dit hoewel het vrijwel - niet geimplementeerd - per machine kan alleen bij landelijke grote storingen.
Over oud nieuws:
De kwetsbaarheden in EMV waren in 2001 al bekend (zat er heel, heel erg dicht op) en genotuleerd in het EMV overleg.
Een paar cijfers:
Fraude in 2001/2 was 3.000.000 niet of moeilijk recoverable.
Fraude in 2010 was 30.000.000 niet of moeilijk recoverable.
Kwestie van business case: het snijdt geen hout aan dergelijke verwaarloosbare bedragen aandacht te besteden.
Met EEN maar... publiciteit en reputatieschade. Die is al snel even hoog voor zelfs een klein bankje.
[/quote]
En dat er zelfs op dit forum nog mensen zijn die daar in geloven.
Vaut!
- Magneetstrip heeft drie sporen waarvan er meestal twee worden gebruikt. Info is pure ascii, uitleesbaar met casetterecorder kop en alleen bedoeld ter versnelling van het betaal proces. Later is er iets aan veiligheid gedaan door een HICO voorloopspoor (extra hoge magnetische stroom) maar de helft van de apparatuur ziet dat niet eens. De magneetstrip mag nooit geassocieerd worden met secure betalen, nooit voor ontworpen, nooit voor bedoeld, soms voor misbruikt.
Sorry, maar dit slaat echt nergens meer op.
Aan de infra hoefde ook weinig te gebeuren: de infra (back-end, ik heb het hier niet over windows NT embedded op de terminals) software was al goed (en bij mijn weten nooit gecompromitteerd geweest) en de aanpassingen aan de automaten was in 2007 al afgerond. De POS toestellen in de winkels is een ander verhaal, maar dat betalen de banken niet, maken ze zelfs winst op.
Positief:
In ieder geval is EMV wel ontworpen met enige notie van security in mind.
De infra in Nederland is heel erg volwassen en bepaald future proof gebleken.
http://www.nu.nl/geldzaken/2580709/consumenten-vergeten-pasje-bij-nieuwe-pinnen.html
Aan skimmen opzich kan wellicht gedurende korte tijd wat geld door inbdividuen worden verdiend. Het kan wellicht ook leiden tot reputatieschade. Het heeft tot dusverre echter nooit geleid tot enige directe economische schade van betekenis. Zie de cijfers. Skim interface? Wat dan? Het is gewoon openlijk verkrijgbare standaard hardware. Dan moet je dus net als met de magneetcard rips je devices tamper proof proberen te maken. Dat is niet anders dus, of het nu een smartcard of een magneetstrip is. Zucht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
