Hackers kraken in Duitsland en België gebruikte pin-modules
Het Duitse SRLabs claimt dat pin-apparaten van het bedrijf Verifone zwakheden bevatten die ervoor kunnen zorgen dat kwaadwillenden de pin van gebruikers kunnen achterhalen. Ook kunnen financiële transacties worden gemodificeerd.
SRLabs voerde het onderzoek uit met betaalapparaten van Verifone die in Duitsland worden gebruikt. Daarbij gaat het specifiek om het model Artema Hybrid. De bewuste pin-modules staan echter niet alleen in Duitsland, maar ook in verscheidene Belgische winkels. Het is niet duidelijk of er al misbruik van de ontdekte kwetsbaarheden is gemaakt, maar de meeste bekende betaalkaarten zouden vatbaar zijn voor de gehackte pin-module.
Volgens SRLabs, onder leiding van de bekende Duitse beveiligingsonderzoeker Karsten Nohl, werden er in de firmware van de pin-modules exploits ontdekt. Hackers kunnen door middel van een buffer overflow eigen code draaien op de apparaten, waardoor kaartinformatie zoals de pin kan worden achterhaald. Met de vergaarde informatie kan een betaalkaart worden gekopieerd, waarmee kwaadwillenden bijvoorbeeld geld op kunnen nemen bij een geldautomaat. Ook kunnen hackers transacties die met de pin-module zijn gemaakt aanpassen, of zelfs neptransacties creëren.
De hack kan zowel op afstand als lokaal worden uitgevoerd: volgens de onderzoekers zit er een exploit in de network stack, waardoor een computer in hetzelfde netwerk de pin-module kan kraken. Ook is het mogelijk om de hack uit te voeren via de seriële of Jtag-poort op het apparaat.
Het verbond van Duitse banken, de Deutsche Kreditwirtschaft, heeft in een reactie laten weten de door SRLabs gepubliceerde zwakheden serieus te nemen, maar claimt dat het vooral om theoretische mogelijkheden gaat. Verifone heeft beloofd de Artema Hybrid-modules te voorzien van nieuwe software.
Reacties (46)
Die worden toch ook ik Nederland gebruikt?
Correct, deze worden zeer zeker ook in Nederland gebruikt!
Als het plaatje klopt worden ze ook in nederland gemaakt! Thales zit in hengelo en maakt meer van zulke apparaten (en bijv. ook de ov chipkaart incheck dingen)...
Heb je fysiek de beschikking over het apparaat dan is het altijd mogelijk ermee te rommelen.
Wellicht is de module die input verwerkt en communiceert met de bank goed beveiligd, je hebt altijd dat low-tech stukje numerieke keypad. Je zou bijvoorbeeld ook onder die toetsen een druk gevoelig sensortje kunnen plaatsen zodat je erg gemakkelijk de pincode van de klant kan achterhalen. Je kan daar wel iets minder mee dan de hack uit dit artikel, maar toch.
Of als je iets beter bent zou je de interface tussen het toetsenbordje en het systeembordje kunnen monitoren. Of een winkelier zou een zo goed als perfect verborgen camera'tje kunnen ophangen met een klein (tele)lensje erop (zoals die ook voor de iPhone te koop zijn.)
Zet hij het pin apparaatje vast op een bepaalde plek dan heeft hij waarschijnlijk 100% score.
http://www.megagadgets.nl/iphone-telelens.html
Wellicht is de module die input verwerkt en communiceert met de bank goed beveiligd, je hebt altijd dat low-tech stukje numerieke keypad. Je zou bijvoorbeeld ook onder die toetsen een druk gevoelig sensortje kunnen plaatsen zodat je erg gemakkelijk de pincode van de klant kan achterhalen. Je kan daar wel iets minder mee dan de hack uit dit artikel, maar toch.
Of als je iets beter bent zou je de interface tussen het toetsenbordje en het systeembordje kunnen monitoren. Of een winkelier zou een zo goed als perfect verborgen camera'tje kunnen ophangen met een klein (tele)lensje erop (zoals die ook voor de iPhone te koop zijn.)
Zet hij het pin apparaatje vast op een bepaalde plek dan heeft hij waarschijnlijk 100% score.
http://www.megagadgets.nl/iphone-telelens.html
[Reactie gewijzigd door procyon op zondag 15 juli 2012 11:16]
De dingen die jij zegt zijn wel goed afgedekt lijkt mij, je weet immers nooit of een bepaalde winkelier slechte bedoelingen heeft. Volgens jou kan een winkelier dus het apparaatje aanpassen naar eigen wens en dan 1 week in een tijdelijk pand een "uitverkoop" houden en vervolgens dubieuze transacties uitvoeren.
Mij lijkt het eerder dat die winkelier het apparaat niet open krijgt zonder dat die breekt of zichzelf helemaal uitschakelt, daarbij als je zo'n camera plaatst en hij wordt ontdekt (het moet immers zichtbaar zijn) dan is hij nog lang niet jarig. Daarbij is skimmen ook een stuk moeilijker in Nederland, de magneetstrip wordt namelijk niet meer gelezen (je kaart verdwijnt hier ook niet meer in het apparaat).
Kortom dat doemdenken van jou is nergens goed voor en al lang achterhaald.
Mij lijkt het eerder dat die winkelier het apparaat niet open krijgt zonder dat die breekt of zichzelf helemaal uitschakelt, daarbij als je zo'n camera plaatst en hij wordt ontdekt (het moet immers zichtbaar zijn) dan is hij nog lang niet jarig. Daarbij is skimmen ook een stuk moeilijker in Nederland, de magneetstrip wordt namelijk niet meer gelezen (je kaart verdwijnt hier ook niet meer in het apparaat).
Kortom dat doemdenken van jou is nergens goed voor en al lang achterhaald.
Dat laatste is wel precies wat banken en de overheid graag willen dat je denkt en napraat.
Beveiligingsexperts waaronder hackers weten dat doemdenken verdraaid nuttig is als het gaat om dit soort dingen! Als je maar genoeg doemdenkt kom je uiteindelijk op een 'in acceptabele mate onveilig' systeem uit. Zover zijn we nog niet en met de verkeerde uitgangspunten gaat dat ook maar heel langzaam lukken.
Ook de banken weten het, want ze hebben expliciet regels afgesproken om klanten schadeloos te stellen in geval van hacken, skimmen, ongelukjes buiten schuld van de klant. Dat ze daar dan vervolgens moeilijk over doen in het nadeel van de klant (lees ervaringen op consumentenfora en dergelijke), is helaas des banks (en zolang dat vervelende oligopolie in stand blijft zal het nog wel zo blijven; wat dat betreft is het verregaande invoeren van Europees betalingsverkeer misschien een zegen).
Beveiligingsexperts waaronder hackers weten dat doemdenken verdraaid nuttig is als het gaat om dit soort dingen! Als je maar genoeg doemdenkt kom je uiteindelijk op een 'in acceptabele mate onveilig' systeem uit. Zover zijn we nog niet en met de verkeerde uitgangspunten gaat dat ook maar heel langzaam lukken.
Ook de banken weten het, want ze hebben expliciet regels afgesproken om klanten schadeloos te stellen in geval van hacken, skimmen, ongelukjes buiten schuld van de klant. Dat ze daar dan vervolgens moeilijk over doen in het nadeel van de klant (lees ervaringen op consumentenfora en dergelijke), is helaas des banks (en zolang dat vervelende oligopolie in stand blijft zal het nog wel zo blijven; wat dat betreft is het verregaande invoeren van Europees betalingsverkeer misschien een zegen).
[Reactie gewijzigd door mae-t.net op zondag 15 juli 2012 18:26]
Het is onmogenlijk om een pincode te achterhalen van een betaalpas simpelweg door naar het transactieverkeer te kijken.
Met een camera kan het, maar op afstand met een een pc? Nee.
De meeste pinautomaten zitten ook VOL met sensors. Net als die oude pc's die vroeg of je nieuwe hardware had geinstaleerd omdat de klep open is geweest.
Het enige verschil is, dat als je een pinautomaat openmaakt, dat hij al zijn gegevens wist, en zichzelf blokeerd.
Transacties bewerken lijkt me ook stug, maar sluit ik niet buiten.
Wat ook niet kan, ik een transactie bewerken en zorgen dat het geld naar je eigen rekening kan. Daar zit veeel mere beveiliging achter.
Allereerst heb je een betaalautomaatcode nodig. Daarmee ga je naar je bank, en die koppellen bij Equens (of bij CCVPay als je CCV hebt) je rekeningnummer aan die code.
Dan moet die code nog in het apparaat zelf geweigigd worden. En bij een beetje leverancier gebeurd dat via de leverancier zelf, en kun je dit niet zelf fysiek in het apparaat zelf zetten.
Dus wat SRLabs heeft gezegt is grotendeels onzin.
Met een camera kan het, maar op afstand met een een pc? Nee.
De meeste pinautomaten zitten ook VOL met sensors. Net als die oude pc's die vroeg of je nieuwe hardware had geinstaleerd omdat de klep open is geweest.
Het enige verschil is, dat als je een pinautomaat openmaakt, dat hij al zijn gegevens wist, en zichzelf blokeerd.
Transacties bewerken lijkt me ook stug, maar sluit ik niet buiten.
Wat ook niet kan, ik een transactie bewerken en zorgen dat het geld naar je eigen rekening kan. Daar zit veeel mere beveiliging achter.
Allereerst heb je een betaalautomaatcode nodig. Daarmee ga je naar je bank, en die koppellen bij Equens (of bij CCVPay als je CCV hebt) je rekeningnummer aan die code.
Dan moet die code nog in het apparaat zelf geweigigd worden. En bij een beetje leverancier gebeurd dat via de leverancier zelf, en kun je dit niet zelf fysiek in het apparaat zelf zetten.
Dus wat SRLabs heeft gezegt is grotendeels onzin.
@DrFurioux
Zo'n ding heeft een verbinding met buitenaf, welke per definitie misbruikt kan worden.
Het lijkt me dat het met dergelijke toegang hoe dan ook mogelijk is om verder te komen.
Een quote van jou:
Wat zou er niet kloppen aan hun beweringen?
Er wordt niet gekeken naar extern betalingsverkeer, maar binnen de apparaten zelf kan alles gezien worden.
Verder vind ik nergens iets over het fysiek openen van de apparaten, dus lijkt mij het verhaal over de sensoren totaal niet van toepassing.
En je derde punt over begunstigde aanpassen wordt niet door SRLabs over gesproken.
Kun jij (of iemand anders) me zelfs maar 1 ding noemen dat onjuist is aan het verhaal van SRLabs?
edit @ hieronder:
Behoorlijke opmerkingen die je daar durft te maken, gewoon ronduit zeggen dat bekende beveiligingsonderzoekers leugenaars zijn. Zij beweren pincodes e.d. uit te kunnen lezen, jij zegt kan niet. Ik neem eerder hun woord aan dan dat van jou.
Ik dacht eerst dat je mss een typfout maakte, over een voorgaande reactie van procyon die deed alsof het eenvoudig was, maar niet dus.
Een evenementen organisator weet het beter dan bekende en erkende beveiligingsonderzoekers. Tuurlijk...
Je weet het blijkbaar zelfs beter dan de fabrikant en de banken, die het wel serieus nemen.
Hadden ze het eerst maar bij DrFurioux nagevraagd, zou ze tijd en geld besparen!
De banken nemen het serieus maar zeggen erbij dat het voornamelijk theoretisch is aangezien de chip die tegenwoordig gebruikt wordt niet gekraakt is. Daardoor zou de originele kaart nog steeds benodigd zijn om geld op te kunnen nemen.
Ik snap niet dat iemand jou positief mod voor ongefundeerde beweringen dat SRLabs onzin praat, dat noem ik ongewenst.
Sluit jij je maar aan bij Nijn, maar ik denk hij niet bij jou.
Bewijs graag! Waar praat SRLabs onzin, noem me 1 ding svp.Dus wat SRLabs heeft gezegd is grotendeels onzin.
Zo'n ding heeft een verbinding met buitenaf, welke per definitie misbruikt kan worden.
Ook een seriële of Jtag poort is aanwezig op dit apparaat, opnieuw is dit een mogelijkheid tot verbinding met buitenaf welke dus per definitie misbruikt kan worden.volgens de onderzoekers zit er een exploit in de network stack, waardoor een computer in hetzelfde netwerk de pin-module kan kraken.
Omdat de quotes zo leuk zijn dan nog maar een die even aangeeft hoe het werkt:Ook is het mogelijk om de hack uit te voeren via de seriële of Jtag-poort op het apparaat.
Eigen code kunnen draaien, wat duidt op het kunnen uitlezen, aanvullen en of aanpassen van de firmware van het apparaat.Hackers kunnen door middel van een buffer overflow eigen code draaien op de apparaten
Het lijkt me dat het met dergelijke toegang hoe dan ook mogelijk is om verder te komen.
Een quote van jou:
Dat staat ook nergens in het artikel. Wat er wel staat is:Wat ook niet kan, ik een transactie bewerken en zorgen dat het geld naar je eigen rekening kan.
Er staat niet dat de begunstigde aangepast wordt. Er staat dat de transacties aangepast kunnen worden en nep transacties gecreëerd. Verander een betaling van 100 euro in 1 euro, maak van 1 betaling twee betalingen etc. etc. Maar wat schokkender is, men kan pincodes e.d. uitlezen wat het mogelijk maakt om:Ook kunnen hackers transacties die met de pin-module zijn gemaakt aanpassen, of zelfs nep transacties creëren.
Waaruit concludeer jij dat SRLabs onzin praat?waarmee kwaadwillenden bijvoorbeeld geld op kunnen nemen bij een geldautomaat.
Wat zou er niet kloppen aan hun beweringen?
Er wordt niet gekeken naar extern betalingsverkeer, maar binnen de apparaten zelf kan alles gezien worden.
Verder vind ik nergens iets over het fysiek openen van de apparaten, dus lijkt mij het verhaal over de sensoren totaal niet van toepassing.
En je derde punt over begunstigde aanpassen wordt niet door SRLabs over gesproken.
Kun jij (of iemand anders) me zelfs maar 1 ding noemen dat onjuist is aan het verhaal van SRLabs?
edit @ hieronder:
Behoorlijke opmerkingen die je daar durft te maken, gewoon ronduit zeggen dat bekende beveiligingsonderzoekers leugenaars zijn. Zij beweren pincodes e.d. uit te kunnen lezen, jij zegt kan niet. Ik neem eerder hun woord aan dan dat van jou.
Ik dacht eerst dat je mss een typfout maakte, over een voorgaande reactie van procyon die deed alsof het eenvoudig was, maar niet dus.
Een evenementen organisator weet het beter dan bekende en erkende beveiligingsonderzoekers. Tuurlijk...
Je weet het blijkbaar zelfs beter dan de fabrikant en de banken, die het wel serieus nemen.
Hadden ze het eerst maar bij DrFurioux nagevraagd, zou ze tijd en geld besparen!
Zullen ze echt doen voor een grove leugen of niet?Verifone heeft beloofd de Artema Hybrid-modules te voorzien van nieuwe software.
De banken nemen het serieus maar zeggen erbij dat het voornamelijk theoretisch is aangezien de chip die tegenwoordig gebruikt wordt niet gekraakt is. Daardoor zou de originele kaart nog steeds benodigd zijn om geld op te kunnen nemen.
Ik snap niet dat iemand jou positief mod voor ongefundeerde beweringen dat SRLabs onzin praat, dat noem ik ongewenst.
Sluit jij je maar aan bij Nijn, maar ik denk hij niet bij jou.
[Reactie gewijzigd door JDVB op dinsdag 17 juli 2012 13:09]
Pincodes uitlezen kan sowieso niet. Dat wordt zwaar gecodeerd verstuurd. Zelfs de pinleverancier kan dat niet.Maar wat schokkender is, men kan pincodes e.d. uitlezen
Al zou je een apparaat erop aansluiten, dan zit je als nog met de manier van communicatie tussen beide apparaten. Dat is geen simpel tcp/ip protocol. Daar zitten verschillende frequenties aan vast, en dat wordt ook nog eens versleuteld verstuurd.Ook een seriële of Jtag poort is aanwezig op dit apparaat, opnieuw is dit een mogelijkheid tot verbinding met buitenaf welke dus per definitie misbruikt kan worden.
De terminal schiet dan meteen in de stress omdat hij dan geen verbinding kan maken met de host omdat hij niet over de juiste firmware beschikt. Hij schiet dan meteen in de beveiligingsmodum en wist al zijn gegevens.Eigen code kunnen draaien, wat duidt op het kunnen uitlezen, aanvullen en of aanpassen van de firmware van het apparaat.
Maar misschien werk jij wel bij een andere pinleverancier waarbij de beveiliging dus niet zo nauw wordt genomen..
@Mae-t.net: Elke beveiliging is inderdaad te omzeilen. Maar dan kunnen we met dat argument elke discussie wel de kop indruken.
Niets is tegenwooridg meer veilig =(
Voor de rest sluit ik me aan bij Nijn. Die snapt ook hoe het werkt =)
Offtopic: Waarom powermod je me als ongewenst? Dankzij die actie neem ik jou mening ontzettend serieus en denk ik oprecht dat jij gelijk hebt!
Als iemand het niet eens is met je, hoef je je niet gelijk als een klein kind te gedragen =')
edit:
Typo's
Typo's
[Reactie gewijzigd door DrFurioux op woensdag 18 juli 2012 09:20]
Jij ziet de onmogelijkheden, een doemdenkende (of gewoon optimistische of naive) hacker ziet de mogelijkheden.
Als je over de hardware kunt beschikken, dan kan je die op je gemak doorlichten en modificeren. Tot nu toe is het de Roemenen (naar verluid vaak studenten aan de technische universiteit aldaar) altijd gelukt om op enige manier het systeem te saboteren dus ik zie niet in waarom dat op slag niet meer zou kunnen. Het wordt met een beetje geluk wel steeds moeilijker.
Kortom: Elke beveiliging is te omzeilen, maar soms is dat te moeilijk en duur in verhouding met het te behalen resultaat. Dan spreek je van een acceptabele situatie.
Als je over de hardware kunt beschikken, dan kan je die op je gemak doorlichten en modificeren. Tot nu toe is het de Roemenen (naar verluid vaak studenten aan de technische universiteit aldaar) altijd gelukt om op enige manier het systeem te saboteren dus ik zie niet in waarom dat op slag niet meer zou kunnen. Het wordt met een beetje geluk wel steeds moeilijker.
Kortom: Elke beveiliging is te omzeilen, maar soms is dat te moeilijk en duur in verhouding met het te behalen resultaat. Dan spreek je van een acceptabele situatie.
[Reactie gewijzigd door mae-t.net op maandag 16 juli 2012 15:01]
Een en ander is gelukkig niet zo simpel als je denkt. Het openen van deze apparatuur, waaronder de keypads, maakt ze direct onklaar. De sleutels worden dan gewist, waardoor ze nutteloos worden.
De communicatie tussen pinpad en terminal is versleuteld, dus daar kun je ook niet vreselijk veel mee.
Vervolgens is een privacyscherm op het keypad verplicht. Daarmee worden camera's al een stuk moeilijker te gebruiken (maar niet onmogelijk, dat ben ik met je eens).
Dit alles en nog veel meer is onderdeel van decertificering die de apparaten moeten ondergaan, voordat ze toegelaten worden. Die certificering is ook nog is voor beperkte duur.
Dat is ook de reden dat er een hoop apparaten een jaar of 2 geleden zijn afgedankt. Je kon d'r niks meer mee want het certificaat was verlopen (en is niet verlengd). Toen is ook het laatste type apparaat wat geen self-destruct functie had verdwenen.
De communicatie tussen pinpad en terminal is versleuteld, dus daar kun je ook niet vreselijk veel mee.
Vervolgens is een privacyscherm op het keypad verplicht. Daarmee worden camera's al een stuk moeilijker te gebruiken (maar niet onmogelijk, dat ben ik met je eens).
Dit alles en nog veel meer is onderdeel van decertificering die de apparaten moeten ondergaan, voordat ze toegelaten worden. Die certificering is ook nog is voor beperkte duur.
Dat is ook de reden dat er een hoop apparaten een jaar of 2 geleden zijn afgedankt. Je kon d'r niks meer mee want het certificaat was verlopen (en is niet verlengd). Toen is ook het laatste type apparaat wat geen self-destruct functie had verdwenen.
Hier een leuke (extreme)teardown van een dergelijk apparaat
http://www.youtube.com/watch?v=n9zPq4_Evvw
in alle hoeken en gaten zit beveiliging tegen het openmaken/modificeren.
electronisch rommelen met zo'n ding is bijna onmogelijk.
extern via t netwerk verbinding kunnen maken met t toestel(zoals in het artikel) is wel slecht zeg...
http://www.youtube.com/watch?v=n9zPq4_Evvw
in alle hoeken en gaten zit beveiliging tegen het openmaken/modificeren.
electronisch rommelen met zo'n ding is bijna onmogelijk.
extern via t netwerk verbinding kunnen maken met t toestel(zoals in het artikel) is wel slecht zeg...
hoe precies dacht je dat zo een ding verifieerde of je balans op je rekening toereikend is, via een kans generator?
er is nog niet gezegd dat jij vanaf een afstand zomaar een connectie met het apparaat kan maken, man in the middle interceptie o.i.d. is waar ik aan zit te denken
er is nog niet gezegd dat jij vanaf een afstand zomaar een connectie met het apparaat kan maken, man in the middle interceptie o.i.d. is waar ik aan zit te denken
dat is wel gezegd:
k snap zelf ook wel dat er n netwerkverbinding moet zijn voor de betaalafhandeling
Dit bedoel ik met "via t netwerk" (als buitenstaander) verbinding makenDe hack kan zowel op afstand als lokaal worden uitgevoerd: volgens de onderzoekers zit er een exploit in de network stack, waardoor een computer in hetzelfde netwerk de pin-module kan kraken
k snap zelf ook wel dat er n netwerkverbinding moet zijn voor de betaalafhandeling
[Reactie gewijzigd door marcel-o op maandag 16 juli 2012 10:35]
De Artema Hybrid is niet goedgekeurd voor gebruik in Nederland en word daarom ook niet in Nederland gebruikt. Andere modellen van Verifone (die erop lijken) wel. Waarschijnlijk is dat de verwarring.
Hier kun je een lijst vinden van de voor in Nederland goedgekeurde pinterminals.
http://betaalterminal.hbd...?app=zoek_vaste_terminals
Hier kun je een lijst vinden van de voor in Nederland goedgekeurde pinterminals.
http://betaalterminal.hbd...?app=zoek_vaste_terminals
Heb grote twijfels bij die bewering, die modellen heb ik tot nu toe alleen nog maar in Duitsland gezien, in Nederland nog nooit.
Alleen het plaatje is geen verifone....
Verifone ziet er heel anders uit.
Overigens worden de mobiele automaten van verifone het meest gebruikt in nederland. Met name de Vx670. Eigenlijk een brak ding, toen ik voor een bedrijf storingen reed verving ik die dingen bij de vleet, en niet omdat ze gestuiterd waren, of in water gevallen, nee. Meestal gaven ze spontaan de geest.
Verifone ziet er heel anders uit.
Overigens worden de mobiele automaten van verifone het meest gebruikt in nederland. Met name de Vx670. Eigenlijk een brak ding, toen ik voor een bedrijf storingen reed verving ik die dingen bij de vleet, en niet omdat ze gestuiterd waren, of in water gevallen, nee. Meestal gaven ze spontaan de geest.
De meeste automatie die ik zie zijn toch echt van CCV en niet van verifone.
Maar CCV heeft geen fabriek die zijn eigen pinautomaten maakt.
CCV verkoopt (net als ICP) automaten in bij Verifone, en verkoopt die vervolgens door en verleend daar service op.
CCV verkoopt (net als ICP) automaten in bij Verifone, en verkoopt die vervolgens door en verleend daar service op.
er is geen veilige manier. Alleen een manier met beperkte veiligheidsrisico's. Ook echt geld is gevaarlijk, oude overschrijvingsformulieren waren onveilig. Dus waarom zouden we moeten denken en geloven dat een pinpas wel 100% kraakvrij is.
De grotere vraag is echter hoe eenvoudig het is om de beveiliging te omzeilen om aan het geld van een ander te kunnen komen.
Nou op deze manier heel eenvoudig. En als het ook al op afstand kan, is de detectie en pakkans erg klein.
De grotere vraag is echter hoe eenvoudig het is om de beveiliging te omzeilen om aan het geld van een ander te kunnen komen.
Nou op deze manier heel eenvoudig. En als het ook al op afstand kan, is de detectie en pakkans erg klein.
Ik zeg altijd: beveiligingssoftware wordt gemaakt door een paar man, maar er springen altijd duizenden hackers bovenop om te kijken of zij het voor elkaar kunnen krijgen om de software te kraken. Dit blijkt ook altijd bij een nieuwe iOS versie, die altijd in verscheidene dagen is gekraakt.
Echter mag je er toch wel vanuit gaan dat ze de meest basic manieren van hacks voorkomen bij zulke machines. Een buffer overflow is echt de meest basic hack die ik me kan voorstellen en ik snap daarom ook niet dat Verifone dit niet heeft gezien voordat ze de apparaten op de markt brachten.
Het zal waarschijnlijk een kat en muisspel blijven, net zoals Apple elke keer een gat dicht, maar een ander, bekend gat, openlaat.
(Ik wil met deze post niet zeggen dat Apple het enige bedrijf is met dit probleem, maar het is zo'n mooi voorbeeld met de snelle jailbreaks enzo
)
Echter mag je er toch wel vanuit gaan dat ze de meest basic manieren van hacks voorkomen bij zulke machines. Een buffer overflow is echt de meest basic hack die ik me kan voorstellen en ik snap daarom ook niet dat Verifone dit niet heeft gezien voordat ze de apparaten op de markt brachten.
Het zal waarschijnlijk een kat en muisspel blijven, net zoals Apple elke keer een gat dicht, maar een ander, bekend gat, openlaat.
(Ik wil met deze post niet zeggen dat Apple het enige bedrijf is met dit probleem, maar het is zo'n mooi voorbeeld met de snelle jailbreaks enzo
)Buffer overflow meest basic Hack?????
Komaan, de meest basic hacks zijn poorten die openstaan of
bekende exploits van softwareonderdelen. die niet zijn geupdate.
Buffer overflows zijn een stuk ingewikkelder om uit te buiten
zeker als je de broncode niet hebt.
Komaan, de meest basic hacks zijn poorten die openstaan of
bekende exploits van softwareonderdelen. die niet zijn geupdate.
Buffer overflows zijn een stuk ingewikkelder om uit te buiten
zeker als je de broncode niet hebt.
En waaruit concludeer je dat?Nou op deze manier heel eenvoudig
Dat het theoretisch kan, betekent niet meteen dat het ook praktisch eenvoudig uit te voeren is.
Er zit alleen een groot verschil tussen echt geld en plastic geld. Bij echt geld wéét ik ten minste wanneer het gestolen is, en kan ik het alleen aan mijzelf wijten. Daarbij komt dat het bedrag beperkt is tot het bedrag wat ik bij mij heb. Bij een pin-hack kan in één keer alles weg zijn.er is geen veilige manier. Alleen een manier met beperkte veiligheidsrisico's. Ook echt geld is gevaarlijk, oude overschrijvingsformulieren waren onveilig. Dus waarom zouden we moeten denken en geloven dat een pinpas wel 100% kraakvrij is.
[edit] Het toeval wil dat mijn vriendin serieus net thuiskwam met het verhaal dat haar Oma gisteren naar de supermarkt was, waarna ze naar huis is gegaan. Voor haar huis stond een vrouw die er slecht aan toe was. Ze heeft die vrouw een glaasje water aangeboden en haar even naar binnen genomen. Uurtje later komt ze erachter dat haar pinpas weg is. Belletje naar de bank = ¤1500 gepind. Ze hebben waarschijnlijk gewoon haar pincode afgekeken in de supermarkt en zijn toen via die smoes haar huis binnen gekomen om haar pinpas te jatten. Omdat het geen skimmen was (het was echt haar pas met haar pincode waarmee er is gepind), krijgt ze niets terug.
@ bilgy_no1 hieronder. Ik weet niet hoe het met jou zit, maar ik heb niet vaak ¤1500 bij me.
[Reactie gewijzigd door kramer65 op zondag 15 juli 2012 17:05]
Je kunt daarom limieten instellen voor maximale betalingen per dag, er zijn al maxima voor geldopname in buitenland en bij andere banken dan je eigen bank. Ik zag laatst zelfs dat je een sms-melding kunt krijgen bij vreemde transacties. Hou verder dus ook je rekeningen goed in de gaten; net zoals je ook regelmatig onder je matras moet kijken om te weten of alles er nog ligt.[...]
Er zit alleen een groot verschil tussen echt geld en plastic geld. Bij echt geld wéét ik ten minste wanneer het gestolen is, en kan ik het alleen aan mijzelf wijten. Daarbij komt dat het bedrag beperkt is tot het bedrag wat ik bij mij heb. Bij een pin-hack kan in één keer alles weg zijn.
Voordeel van giraal geld: als je bent geskimd, dan krijg je meestal je geld terug van de bank. Als je oude sok is leeggeroofd kun je naar de politie, maar is de kans klein dat je ooit een cent terugziet.
Je krijgt meestal geld terug van de bank, maar er zijn genoeg mensen die het na een enkele poging maar opgeven. Banken moeten (om de veiligheid vergelijkbaar te houden met het contante verkeer) coulant omgaan met dit soort gevallen, maar ze zijn liever geen geld kwijt dus in de praktijk lees je zeer regelmatig dat ze èrg moeilijk doen als er ook maar de geringste twijfel is.
Hackers??
Dit zijn toch gewoon onderzoekers?
En die hebben kwetsbaarheden ontdekt in een PIN apparaat...
Meer niet, al doet de titel anders vermoeden.
Dit zijn toch gewoon onderzoekers?
En die hebben kwetsbaarheden ontdekt in een PIN apparaat...
Meer niet, al doet de titel anders vermoeden.
[Reactie gewijzigd door Mars Warrior op zondag 15 juli 2012 10:34]
Onderzoekers: ja.
Hackers? Ook:
Hackers? Ook:
Of ze moeten een hekel hebben aan hun eigen baan.hacker
A person who delights in having an intimate understanding of the
internal workings of a system, computers and computer networks in
particular.
[Reactie gewijzigd door Caelorum op zondag 15 juli 2012 10:37]
Hackers is eigenlijk een woord met een heel wijde betekenis. Hoewel het waar is dat het eerste waar mensen aan denken bij het woord "hacker", is dat dit iemand is die in computersystemen binnendringt om gegevens te stelen om zichzelf te verrijken, is een "hacker" niet meer of midner dan iemand die uitermate geïnteresseerd is in hoe een netwerk/computer werkt. Eén van de aspecten van achterhalen hoe een systeem werkt is idd beveiligingslekken, ie: "hoe veilig is dit systeem". Sommige hackers (zogenaamde black-hat hackers) gebruiken zo informatie voor slechte doeleinden, maar andere (white-hat hackers als ze door het bedrijf in dienst zijn genomen of grey-hat hackers als het om particulieren gaat die een dienst van iemand anders zonder toestemming hebben gekraakt maar hier onmiddelijk melding van maken en geen gegevens stelen) doen dit gewoon uit nieuwsgierigheid, eg:"Goh, zou het lukken om PIN-codes uit dit apparaat te halen?".
Dus ja, hackers kun je beschouwing als onderzoekers in die zin dat ze een systeem onderzoeken. En in deze situatie waren de hackers zelfs in dienst als onderzoekers/beveiligingsexperts, dus het waren zeker zowel hackers als onderzoekers.
Dus ja, hackers kun je beschouwing als onderzoekers in die zin dat ze een systeem onderzoeken. En in deze situatie waren de hackers zelfs in dienst als onderzoekers/beveiligingsexperts, dus het waren zeker zowel hackers als onderzoekers.
Hacken beperkt zich zo ie zo niet alleen tot computers, kunnen ook aanpassingen zijn op electronica en dergelijke.
Zo ie zo? really? dat moest ik sowieso 2 keer lezen om te parsen. Maar dat terzijde.
Je hebt gelijk, maar het is zelfs nog wat breder dan jij zegt. Hackers omzeilen en doorgronden systemen. Dat kunnen ook sociale systemen zijn waar ze geen computer of electronica voor in elkaar hoeven te knutselen. Denk daarbij o.a. aan 'social engineering'
Je hebt gelijk, maar het is zelfs nog wat breder dan jij zegt. Hackers omzeilen en doorgronden systemen. Dat kunnen ook sociale systemen zijn waar ze geen computer of electronica voor in elkaar hoeven te knutselen. Denk daarbij o.a. aan 'social engineering'
als er iets mis gaat met de pin-transactie, dan krijg je je geld terug van de bank
De termen hacker / cracker lopen vaak nogal door elkaar...
Karsten Nohl vind ik toch echt wel een van de beste voorbeelden van een hacker.
Karsten Nohl vind ik toch echt wel een van de beste voorbeelden van een hacker.
Ik heb er een in amsterdam noord zien staan, in een turkse bazaar.
Verifone is al jaren bekend dat ze zwakker zijn. Op m'n vorige werk plaatsten we vooral: http://www.eposhardware.co/products/3.jpg Helaas was hier al van bekend dat deze zeer snel en vaak geskimmed werden. Hierdoor mosten ze aan de lopende band vervangen worden.
Helaas zien de retail support bedrijven (NCR, Torex e.d.) dit niet in, en ook de winkels niet. Hierdoor blijven ze onnodige kosten maken terwijl er keer op keer weer wat fout gaat met die versies.
Helaas zien de retail support bedrijven (NCR, Torex e.d.) dit niet in, en ook de winkels niet. Hierdoor blijven ze onnodige kosten maken terwijl er keer op keer weer wat fout gaat met die versies.
Om dit te doen moet je uitgebreid bij de kast kunnen. Dan zijn er wel eenvoudigere manieren om PIN's uit te lezen.
Dan heb je toch niet goed gelezen.
Overigens is het ook niet de eerste keer dat het misgaat met 'pinapparaten', in Engeland is vrij recent ook een dergelijk onderzoek uitgevoerd.
Ubiquitous retailer debit-card readers vulnerable to hackers, experts say
Redelijk verontrustend weer, dat er blijkbaar pinapparaten circuleren die niet op voorhand uitgebreid getest zijn op beveiligingsrisico's. Een buffer overflow had vooraf getest kunnen worden, het is één van de bekendste beveiligingsrisico's!De hack kan zowel op afstand als lokaal worden uitgevoerd: volgens de onderzoekers zit er een exploit in de network stack, waardoor een computer in hetzelfde netwerk de pin-module kan kraken. Ook is het mogelijk om de hack uit te voeren via de seriële of Jtag-poort op het apparaat.
Overigens is het ook niet de eerste keer dat het misgaat met 'pinapparaten', in Engeland is vrij recent ook een dergelijk onderzoek uitgevoerd.
Ubiquitous retailer debit-card readers vulnerable to hackers, experts say
[Reactie gewijzigd door scorpionv op zondag 15 juli 2012 11:19]
Dat denk ik ook wel ja. Maar toch goed dat ze dit wel meteen als serieus beschouwen en niet meteen denken omdat het in theorie kan dat het nooit zal gebeuren.
Vaak gunt een fabrikant/leverancier zich geen tijd om naar (extra) 'veiligheid' te kijken. Vaak is de commerciële druk zo groot, dat om (alle) exploits te onderzoeken geen tijd/geld is.
Ik weet dat als banken (geldverwerkende) apparatuur aanschaffen, er wel (maanden zo niet jaren) aan testen op functionaliteit en kwetsbaarheid volgen.
Ik vind dat een degelijke test voor alle apparatuur welke transacties verwerken op een dergelijke manier getest moeten worden.
Ik weet dat als banken (geldverwerkende) apparatuur aanschaffen, er wel (maanden zo niet jaren) aan testen op functionaliteit en kwetsbaarheid volgen.
Ik vind dat een degelijke test voor alle apparatuur welke transacties verwerken op een dergelijke manier getest moeten worden.
Wat een white-hatter hoort:Het verbond van Duitse banken, de Deutsche Kreditwirtschaft, heeft in een reactie laten weten de door SRLabs gepubliceerde zwakheden serieus te nemen, maar claimt dat het vooral om theoretische mogelijkheden gaat.
"Uitdaging: schrijf een proof-of-concept"
Wat een black-hatter hoort:
"Stiekem nemen we het toch niet serieus, dus als je dit kunt exploiten dan kun je er nog wel een tijdje ongestoord misbruik van maken"
Een buffer-overflow in een gecertificeerd apparaat... ehm tja, wat moet je daar nou van zeggen.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
