Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieŽn Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 46, views: 26.053 •

Onderzoekers hebben een betaalsysteem gekraakt dat in veel Duitse universiteiten wordt gebruikt. Ze hackten de notoir onveilige chip in de kaart, die ook in de Nederlandse ov-chipkaart zat. Er bleek geen enkele controle op frauduleuze transacties te zijn.

Timo Kasper, lid van het onderzoeksteam aan de Ruhr-universiteit dat de kaart onder de loep nam, presenteerde de bevindingen tijdens de CCC-beveiligingsconferentie in Hamburg. De kaart die de onderzoekers onder de loep namen, met de naam MensaCard, wordt vooral gebruikt om te betalen in kantines van universiteiten. "Ze worden ook gebruikt in kantines van bedrijven, maar sowieso in alle universiteiten", aldus Kasper tegen Tweakers. Er zouden een miljoen van de kaarten in omloop zijn.

Wat het onderzoek vergemakkelijkte, is dat de kaart een Mifare Classic 1K-chip van NXP bevat. Die chip werd ook gebruikt in de Nederlandse ov-chipkaart, maar is inmiddels omgeruild voor een veiligere chip, hoewel er nog veel onveilige kaarten in omloop zijn. De onderzoekers noemen de implementatie van de chip in de MensaCard het 'slechtste betaalsysteem ooit', onder meer omdat alle kaarten dezelfde private key bevatten. Dat maakte misbruik extra makkelijk. Ook was de geldbalans op de kaarten opgeslagen als platte tekst, wat het makkelijk maakte om het saldo te manipuleren.

Daarnaast vond er op transacties geen controle plaats. De onderzoekers waren in staat om zelf frauduleuze kaarten uit te geven en daarmee te betalen; het systeem controleerde niet of de gebruikte kaart überhaupt bestond. "Er was geen enkele controle in de back-end" aldus Kasper. Daarnaast wisten ze de kaart te emuleren op telefoons met near field communication. Daarbij schreven ze software die bij elke transactie een nieuwe kaart emuleerde. "Dat maakt het een stuk moeilijker om fraude te detecteren", stelt Kasper.

De onderzoekers konden niet alleen gratis afrekenen in kantines, maar wisten het saldo op de kaarten ook om te zetten in 'echt' geld. Daartoe kochten ze een anonieme MensaCard van tien euro, waarna ze de kaarten hackten en er het maximumbedrag van 150 euro op zetten. Vervolgens leverden ze de kaart in bij de universiteit, waarna ze het saldo op de kaart in briefgeld terugkregen.

Het team presenteerde daarnaast een kleine rfid-kaartlezer waarmee kaarten met een aantal chips van NXP, waaronder de Classic en de DESfire EV1, kunnen worden getest. Eerder kraakten de onderzoekers een toegangssysteem van Siemens dat werd gebruikt om ruimten en liften te beveiligen; ze konden met een gemanipuleerde kaart elke ruimte betreden. Ook manipuleerden ze een bepaald type autoslot dat op afstand kan worden geopend.

Reacties (46)

Het idee achter betaal kaarten is dat er juist geen actieve controle bij een betaling is. Een betaling via de chipknip is direct. Pinnen duurt veel langer..

Echter de chipknip zit wel een stuk beter in elkaar. Betaalautomaten kunnen alleen transacties toevoegen aan de kaart in een speciaal register. Het oplaadpunt zet het saldo de waarde 'dubbel' op de kaart zowel in plaintext als encrypted. Betaalautomaten encrypten de plain text waarde en controleert deze met de encryptie string gezet door het oplaadpunt. Echter heeft elke kaart zijn eigen sleutel waarvan alleen de publieke sleutel op de kaart staat. De prive sleutel is nodig om de waarde van de kaart te veranderen. Als een kaart in een oplaadpunt wordt geplaatst voor opwaardering of alleen opvragen saldo, worden de transacties uit het register van de waarde afgehaald en wordt de waarde aangepast en is het register weer leeg.

In tegenstelling tot het systeem van de Duitse universiteiten zit er wel een controle op de transacties welke bij Equens worden gedeclareerd door de retailer. Als Equens fraude bespeurt (bijvoorbeeld omdat de betaalautomaat is aangepast en bijvoorbeeld wel transacties bijhoud in de betaalautomaat, maar deze niet (correct) weg schrijft naar de register op de kaart), kan men transacties in quarantaine houden en worden betalingen aan de retailer mogelijk opgeschort..
dit moet bekend zijn geweest
wat ik me afvraag is of ze niet gewoon hebben gezegd van "betere beveiliging kost teveel, bij onveiligheid zal het systeem misbruikt worden maar dat kost minder dan het beter beveiligen"

volgens mij wordt er vaak zo gedacht: onveiligheid kost wat geld maar beter beveiligen veel meer
Je hebt 4x een 0 Off-topic / Irrelevant maar dat vind ik volkomen onterecht. Wat jij benoemt is namelijk hetgeen wat heel vaak gebeurt. En tot op zekere hoogte ook terecht gebeurt!

Uiteindelijk draait alles om geld. Ook beveiliging is een aspect van kosten/baten. Men schat in hoe groot de kans is op misbruik en hoeveel dat misbruik dan kost. Op basis daarvan schat men in hoeveel de beveiliging kan kosten. Diezelfde afweging is gemaakt bij de OV-chipkaart. Dat de afweging een gevaarlijke kan zijn en de gevolgen dikwijls worden onderschat, is een ander hoofdstuk.

Er wordt wel eens gezegd "alles is te hacken". Dat is compleet de andere kant. Maar je kan idioot hoge bedragen investeren in een beveiliging, maar als de schadelijke gevolgen bij een mindere beveiliging maar een fractie zouden bedragen van de investeringskosten, dan is voor 9/10 bedrijven de keuze snel gemaakt.

[Reactie gewijzigd door Eagle Creek op 29 december 2012 22:40]

En hoe weten we zeker dat de betreffende hackers niet zelf een graantje mee hebben gepikt en er niet met een geldbedrag vandoor zijn gegaan?
Mensen zien vaak over het hoofd wat 'hackers' nou precies zijn. Een quote van wikipedia over wat een Hack nou precies is:

"Hacken is het vinden van toepassingen die niet door de maker van het middel bedoeld zijn, speciaal met betrekking tot computers. Complexiteit speelt hierbij geen rol, integendeel, gemakkelijke en snelle alternatieve oplossingen hebben de voorkeur. Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen je fietsketting komt is in principe een hack. "Gewone" uitvindingen en verbeteringen zijn dus geen hacks, zolang ze gebruikt worden waarvoor ze gemaakt zijn."

Waar iedereen hackers mee verward zijn de zgn. 'Crackers'. Dit zijn de personen die hacks (zoals hierboven beschreven) gebruiken/misbruiken om hier hun voordeel mee uit te slaan. Dat voordeel kan op allerlei manieren gewonnen worden, lang niet altijd financieel.

Dit wil overigens niet zeggen dat hoe rechtvaardig of onschuldig een hack ook is, dat het altijd legaal is. Als jij code manipuleert van een closed-source platform ben je net zo strafbaar bezig dan wanneer je ongevraagd even bij de buren inbreekt om hun WiFi routertje beter te gaan beveiligen voor ze.
Richt een organisatie op van een paar goede en betrouwbare hackers in elk land en zorg ervoor dat lekken gedicht worden, doe dit van mijn part met heel Europa, zodat landen van elkaar beveiligingslekken kunnen dichten. (dit voorkomt partijdigheid)
Hoe zie je dit dan voor je?

Een X aantal full-time hackers die op een hoop niet-opensource packets lekken moeten gaan dichten? Nah.
Ik denk dat wij als Nederlanders privacy best hoog in het vaandel hebben staan.
En dat we best bereid zijn om 1 euro per jaar (nog meer!) belasting willen betalen
Jij en ik misschien wel, en een groot deel van de tweakers hier ook nog wel; Het is erg naief om te denken dat 'wij Nederlandsers privacy hoog in het vaandel hebben staan'. Kijk eens op een gemiddelde zaterdagavond op je Facebook? Je kan van 80% van de posters zien waar ze precies uithangen. Hoelaat ze thuis weg zijn gegaan, of ze alleen thuis zijn, waar hun huis precies staat, ga zo maar door. Privacy-behoefte hoog? Don't think so.
De kosten voor extra beveiliging loopt hoger op dan het bedrag dat je eventueel bij fraude moet vergoeden. Zeker bij deze toepassing, zal het systeem niet uitgebuit worden door criminele bendes die hiermee miljoenen § buiten kunnen maken. Sterker nog: niemand gaat dit systeem uitbuiten voor enkele euro's wanneer de kans bestaat dat je onslagen wordt of van de universiteit wordt gegooid als het ontdekt wordt. Dus puur vanuit het management standpunt, begrijp ik deze beslissing.

[Reactie gewijzigd door biglia op 29 december 2012 22:38]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013