Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
iZettle Veilig?
Deze week wilde ik bij een restaurantje met pin betalen. Dat was geen probleem, maar tot mijn verbazing haalde hij zijn smartphone tevoorschijn. Toen hij een app opstartte ging ik al iets vermoeden. Hij haalde ook een kastje tevoorschijn met een aantal toetsen en een schermpje. Hiermee moest ik gaan pinnen.
Ik zag aan het bluetooth icoontje in het schermpje dat het kastje daarmee verbonden was met de android telefoon. De man was duidelijk trots op het apparaatje en zei dat hij het wel handig vond. Bij mij gingen direct belletjes rinkelen hoe veilig dit eigenlijk zou zijn. Ik heb nog gevraagd of hij dan tenminste een virusscanner op zijn telefoon had die hem bijv. waarschuwt voor malafide apps. Dit bleek niet het geval. Ik heb hem dat toch maar even aangeraden.
Omdat ik geen contant bij had heb ik toch maar betaald, maar heb toch mijn vraagtekens bij deze techniek. Hoe veilig is dit nou? Hoe makkelijk is het voor een cybercrimineel om mijn pas gegevens te stelen, en hoe makkelijk is het voor de eigenaar van de telefoon om dingen met de informatie te doen die niet de bedoeling zijn? De website van iZettle belooft natuurlijk alle veiligheid, maar hoe geloofwaardig is dat als het via een smartphone gaat?
Deze vragen heb ik overigens ook over payleven, wat en vergelijkbare techniek is.
Ik zag aan het bluetooth icoontje in het schermpje dat het kastje daarmee verbonden was met de android telefoon. De man was duidelijk trots op het apparaatje en zei dat hij het wel handig vond. Bij mij gingen direct belletjes rinkelen hoe veilig dit eigenlijk zou zijn. Ik heb nog gevraagd of hij dan tenminste een virusscanner op zijn telefoon had die hem bijv. waarschuwt voor malafide apps. Dit bleek niet het geval. Ik heb hem dat toch maar even aangeraden.
Omdat ik geen contant bij had heb ik toch maar betaald, maar heb toch mijn vraagtekens bij deze techniek. Hoe veilig is dit nou? Hoe makkelijk is het voor een cybercrimineel om mijn pas gegevens te stelen, en hoe makkelijk is het voor de eigenaar van de telefoon om dingen met de informatie te doen die niet de bedoeling zijn? De website van iZettle belooft natuurlijk alle veiligheid, maar hoe geloofwaardig is dat als het via een smartphone gaat?
Deze vragen heb ik overigens ook over payleven, wat en vergelijkbare techniek is.
Reacties (18)
Dit hanteren ze bij Mycom winkels ook...ik heb vriendelijk geweigerd en ben naar de concurrent gelopen.
Banken zouden dit soort "oplossingen" niet moeten ondersteunen/toestaan. Het druist m.i. in tegen de regels die ze zelf opgesteld hebben m.b.t. het veilig omgaan met je bankpas en pincode. Bedrijven die op deze manier met PIN omgaan, zouden dus gewoon geblokkeerd moeten worden.
De (software op de) kaartlezers van iZettle zijn EMV goedgekeurd (http://www.emvco.com/approvals.aspx?id=85#I) dus dat wil ik wel geloven.
De vraag luidt idd, hoe zit het met de telefoon en tablet. Banking malware is er genoeg.
Nu zeggen ze wel dat alles op de cardreader wordt versleuteld en lokaal niets wordt opgeslagen maar aangezien ze ook een SDK leveren om je eigen betaal apps te bouwen, heb ik daar meteen weer ernstige twijfels over.
De vraag luidt idd, hoe zit het met de telefoon en tablet. Banking malware is er genoeg.
Nu zeggen ze wel dat alles op de cardreader wordt versleuteld en lokaal niets wordt opgeslagen maar aangezien ze ook een SDK leveren om je eigen betaal apps te bouwen, heb ik daar meteen weer ernstige twijfels over.
Door mcb: De (software op de) kaartlezers van iZettle zijn EMV goedgekeurd (http://www.emvco.com/approvals.aspx?id=85#I) dus dat wil ik wel geloven.
De vraag luidt idd, hoe zit het met de telefoon en tablet. Banking malware is er genoeg.
Nu zeggen ze wel dat alles op de cardreader wordt versleuteld en lokaal niets wordt opgeslagen maar aangezien ze ook een SDK leveren om je eigen betaal apps te bouwen, heb ik daar meteen weer ernstige twijfels over.
De vraag luidt idd, hoe zit het met de telefoon en tablet. Banking malware is er genoeg.
Nu zeggen ze wel dat alles op de cardreader wordt versleuteld en lokaal niets wordt opgeslagen maar aangezien ze ook een SDK leveren om je eigen betaal apps te bouwen, heb ik daar meteen weer ernstige twijfels over.
Nou laat zien hoe het moet dan?
13-03-2015, 18:47 door
Dick99999
Goedgekeurd of niet, er onstaat een wildgroei die als consument niet bij te houden is zonder aanvullende maatregelen. Ik zou zo'n oplossing willen kunnen valideren/authentiseten op mijn smartphone. En dat geldt ook voor al die mobiele terminals die opveral opduiken.
Door Anoniem: Dit hanteren ze bij Mycom winkels ook...ik heb vriendelijk geweigerd en ben naar de concurrent gelopen.
niet naar mycom maar naar de concurrent is misschien helemaal wel een goed idee
http://www.npo.nl/rambam/28-01-2015/VARA_101373256
13-03-2015, 19:31 door
Spiff has left the building
Door Anoniem, 13:55 uur:
Nou laat zien hoe het moet dan?
Hoe wat moet?Nou laat zien hoe het moet dan?
Wat bedoel je precies?
Het op een verantwoorde manier toepassen van die techniek?
Of bedoel je wat anders?
Het lijkt me hoe dan ook volstrekt legitiem dat mcb twijfels aangaf.
Dat iemand twijfels aangeeft, dat betekent niet dat daarmee ook de verplichting zou bestaan aan te geven hoe het beter kan.
Wat mij betreft - niet aanbieden, dit soort combinaties van technieken met onduidelijke en potentieel ongunstige implicaties.
En wordt het me aangeboden te betalen via zo'n techniek, dan doe ik daar niet aan mee. Ik pin desnoods wel geld om de hoek, om daarna terug te komen om af te rekenen.
14-03-2015, 14:29 door
[Account Verwijderd]
-
Bijgewerkt: 14-03-2015, 14:53
[Verwijderd]
Ik pin principieel niet. Problem solved... (ben ik m;n tijd nou alweer vooruit?)
Door pe0mot: Yep, net zo veilig (of onveilig voor de negatieven) als de normale pin machines.
De standaard machines kunnen ook over de Chinese router van de winkelier en een dubieuze provider,
Als de end-to end encryptie goed is dan maakt het niet uit of je een postduif of een leased encrypted lijn gebruikt.
De dozen waar het doorheen gaat zijn onbelangrijk.
Of je gelooft in de encryptie en security van de bank of je moet alleen nog contant betalen.
Heb een andere variant in het buitenland gezien waarbij je de (scherm) toetsen van de Iphone moet gebruiken, die variant gaat mij wel te ver. :-)
Wrong. Er zit wel degelijk verschil tussen een "closed" pin automaat en je smartphone... Je kan er namelijk voor kiezen om andere applicaties te draaien, die potentieel bij andere applicaties kunnen.De standaard machines kunnen ook over de Chinese router van de winkelier en een dubieuze provider,
Als de end-to end encryptie goed is dan maakt het niet uit of je een postduif of een leased encrypted lijn gebruikt.
De dozen waar het doorheen gaat zijn onbelangrijk.
Of je gelooft in de encryptie en security van de bank of je moet alleen nog contant betalen.
Heb een andere variant in het buitenland gezien waarbij je de (scherm) toetsen van de Iphone moet gebruiken, die variant gaat mij wel te ver. :-)
16-03-2015, 16:18 door
[Account Verwijderd]
-
Bijgewerkt: 16-03-2015, 16:19
[Verwijderd]
Door pe0mot: Yep, net zo veilig (of onveilig voor de negatieven) als de normale pin machines.
De standaard machines kunnen ook over de Chinese router van de winkelier en een dubieuze provider,
Als de end-to end encryptie goed is dan maakt het niet uit of je een postduif of een leased encrypted lijn gebruikt.
De dozen waar het doorheen gaat zijn onbelangrijk.
Klopt, maar alleen als het pinkastje zelfstandig de transactie afhandelt (die wel op de smartphone mag zijn voorbereid) en de smartphone verder alleen de versleutelde uitkomst transporteert. De pincode mag bijvoorbeeld nooit van zijn leven op de smartphone terechtkomen.De standaard machines kunnen ook over de Chinese router van de winkelier en een dubieuze provider,
Als de end-to end encryptie goed is dan maakt het niet uit of je een postduif of een leased encrypted lijn gebruikt.
De dozen waar het doorheen gaat zijn onbelangrijk.
iZettle heeft twee pinkastjes:
https://www.izettle.com/nl/card-readers
De 'lite'-versie heeft geen eigen display wordt met een kabeltje met de smartphone verbonden. De 'pro'-versie werkt met bluetooth en heeft een eigen displaytje. De vraagsteller heeft zo te lezen met de pro-versie te maken gehad. Die kan veilig zijn, aangenomen dat alles goed geïmplementeerd is en er geen bewerkingen met gevoelige gegevens (pincode) aan de smartphone worden uitpesteed. De lite-versie heeft geen eigen display, wat impliceert dat het bedrag alleen op de display van de smartphone zichtbaar is. De lite-versie handelt de transactie daarmee *niet* volledig zelfstandig af. Dat maakt het mogelijk dat de klant een ander bedrag pint dan hij op de smartphone ziet staan.
De lite-versie lijkt me dus niet waterdicht. En toch is hij goedgekeurd als PIN-apparaat. Dat roept de vraag op aan wat voor eisen precies voldaan moet worden om die goedkeuring te krijgen. Wellicht beschouwt men een procedurele beveiliging als voldoende: als het bedrag niet klopt kan je verwachten dat vrijwel direct mensen aan de bel beginnen te trekken. De bedragen zullen volledig traceerbaar zijn, zodat iemand die op die manier denkt te kunnen frauderen snel door de mand valt. Dat kan werken, maar ik zou liever geen risico lopen om met al het gedoe daar omheen geconfronteerd te worden. Ik zie liever systemen die dat soort steekjes al bij voorbaat niet laten vallen.
18-03-2015, 10:27 door
[Account Verwijderd]
-
Bijgewerkt: 18-03-2015, 19:33
[Verwijderd]
Door pe0mot:
Het intypen van een PIN mag dus alleen op een goedgekeurd, verzegeld en beveiligd doosje.
Dus moeten we, als pro's, de banken en Currence aanraden om de lite versie alsnog af te keuren.
Update 19:32
Heb nog even geïnformeerd bij de Betaalvereniging Nederland.
De Nederlandse banken hebben de Izettle niet op de goedkeurde lijst staan:
http://www.betaalvereniging.nl/werkterreinen/pinnen-en-betaalautomaten/certificering-betaalautomaten/
Echter buitenlandse banken bieden betalen via Izettle wel aan via Nederlandse ondernemers die er een rekening hebben.
Ik heb de vraag nog openstaan of de Nederlandse Bank hier eisen aan kan stellen. Dit omdat Nederlandse rekening houders grote risico's lopen.
Het intypen van een PIN mag dus alleen op een goedgekeurd, verzegeld en beveiligd doosje.
Dus moeten we, als pro's, de banken en Currence aanraden om de lite versie alsnog af te keuren.
Update 19:32
Heb nog even geïnformeerd bij de Betaalvereniging Nederland.
De Nederlandse banken hebben de Izettle niet op de goedkeurde lijst staan:
http://www.betaalvereniging.nl/werkterreinen/pinnen-en-betaalautomaten/certificering-betaalautomaten/
Echter buitenlandse banken bieden betalen via Izettle wel aan via Nederlandse ondernemers die er een rekening hebben.
Ik heb de vraag nog openstaan of de Nederlandse Bank hier eisen aan kan stellen. Dit omdat Nederlandse rekening houders grote risico's lopen.
Rond het betalingsverkeer is een aantal bedrijven en verenigingen actief (zoals Currence en de Betaalverenging) die zoals
meestal in dit soort gevallen alleen naar hun eigen belangen kijken. Je vindt 50 "veelgestelde vragen" over een product
dat niemand gebruikt, maar simpele vragen als "hoe weet ik nou of het apparaat waar de winkel mij mee laat pinnen
een betaalterminal of een goedgemaakte fake is" die staan er niet bij. Ze worden ofwel niet veel gesteld, ofwel ze komen
in de belangen van deze clubs niet goed te pas. Ik denk het laatste. Ik ben in het verleden ook wel eens met zo'n soort
vraag (andere vraag maar was ook een lastige) langs dergelijke clubs gegaan en men heeft ofwel niet het fatsoen om te
antwoorden, ofwel men geeft een onbruikbaar antwoord.
In dit specifieke geval zijn de (kennelijk strengere) Nederlandse normen kennelijk "on the way out" om vervangen te
worden door Europese normen. We weten allemaal dat die alleen het handelsbelang dienen, dus het goedkeuren en
toelaten van apparatuur zal ongetwijfeld vervangen worden door een zelfcertificering en -markering systeem ala CE
waarbij de boel automatisch toegelaten is en pas bij aangetoonde fouten de boel uitgezocht wordt.
19-03-2015, 07:36 door
[Account Verwijderd]
[Verwijderd]
Door pe0mot:
Volgens het plaatje geef je ook je pincode op het apparaat zelf, niet op de mobiele telefoon. Anders voldoe je niet aan de PCI standaarden (https://www.pcisecuritystandards.org/security_standards/documents.php?association=PTS).Door Anoniem:
Door pe0mot:
Het intypen van een PIN mag dus alleen op een goedgekeurd, verzegeld en beveiligd doosje.
Dus moeten we, als pro's, de banken en Currence aanraden om de lite versie alsnog af te keuren.
Het intypen van een PIN mag dus alleen op een goedgekeurd, verzegeld en beveiligd doosje.
Dus moeten we, als pro's, de banken en Currence aanraden om de lite versie alsnog af te keuren.
Het belangrijkste criterium is dat de pin nooit onversleuteld op een niet goedgekeurd apparaat komt.
Dit pinkastje bevat eigen autenticatie enencryptiesleutels om met de payment provider te communiceren, waarbij het tussenliggende medium (kabel, bluetooth, iPhone, gehackte chinese router, Internet) niet meer relevant is
Door pe0mot:
Complimenten voor de Betaalvereniging Nederland tot zover.
Het is zo te zien niet de EU maar EMV die bepaalt wat wel en niet mag.
Oftewel we hebben de NL en de EMV normen.
De vraag is of de Nederlandse Bank en de wetgever (die de burger moet beschermen) akkoord gaan met de slappe normen en keuringen van EMV.
Ik zou zeggen: lees de EMV / PCI eisen eens door, dat geeft je waarschijnlijk meer inzicht in die "slappe normen"...Door Anoniem:
De wereld verandert, ik had binnen een half uur een uitvoerig antwoord wat prima paste bij mijn vraag. Door pe0mot:
Update 19:32
Heb nog even geïnformeerd bij de Betaalvereniging Nederland.
Ik ben in het verleden ook wel eens met zo'n soort vraag (andere vraag maar was ook een lastige) langs dergelijke clubs gegaan en men heeft ofwel niet het fatsoen om te antwoorden, ofwel men geeft een onbruikbaar antwoord.Update 19:32
Heb nog even geïnformeerd bij de Betaalvereniging Nederland.
Complimenten voor de Betaalvereniging Nederland tot zover.
Het is zo te zien niet de EU maar EMV die bepaalt wat wel en niet mag.
Oftewel we hebben de NL en de EMV normen.
De vraag is of de Nederlandse Bank en de wetgever (die de burger moet beschermen) akkoord gaan met de slappe normen en keuringen van EMV.
Mbt. tot de rol van DNB: de betaal instanties die de EMV normen hebben opgesteld zijn degenen die het risico van slechte beveiliging dragen, en ook zeer gemotiveerd zijn om dit veilig te houden. DNB heeft hier weinig toegevoegde waarde.
Waar wel een rol voor de wetgever is, is ervoor zorgen dat de banken ook verantwoordelijk blijven voor schade door bv. slechte systemen en niet de klant: leg de verantwoordelijkheid bij diegene die in staat is het risico te adresseren, niet bij een gebruiker.
Q
20-03-2015, 09:46 door
[Account Verwijderd]
-
Bijgewerkt: 20-03-2015, 09:48
[Verwijderd]
Leg de verantwoordelijkheid bij de Banken en niet bij de Consument, is het beeld dat men hier graag oproept, maar daar voelen de Banken niet voor, en zullen zich met allerlei trucs aan eventuele wettelijke regels trachten te onttrekken.
Hun strategie is het voorstellen van een gedragscode zonder enige verplichting hunnerzijds, als men (de Banken) zich daar niet aan houden. (gedragscodes zijn in alle branches die zich belemmert voelen door wettelijke regels zeer populair.)
Last but not least, regeringen zijn allemaal marionetten van een kleine machtige economische en intellectuele bovenlaag.
Hun strategie is het voorstellen van een gedragscode zonder enige verplichting hunnerzijds, als men (de Banken) zich daar niet aan houden. (gedragscodes zijn in alle branches die zich belemmert voelen door wettelijke regels zeer populair.)
Last but not least, regeringen zijn allemaal marionetten van een kleine machtige economische en intellectuele bovenlaag.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
