Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 137 reacties

Currence heeft aangekondigd dat het mogelijk wordt om pinbetalingen via een 'normale' internetverbinding af te handelen. Tot nu toe waren ondernemers verplicht om een gecertificeerde dataverbinding af te nemen.

PinOm pinbetalingen veilig te kunnen verwerken over normale internetverbindingen, heeft Currence naar eigen zeggen extra veiligheidsmaatregelen genomen in zijn computersystemen en bij de betaalautomaten. Volgens de betalingsverwerker hebben pintransacties die via een adsl-, glas- of kabelverbinding verlopen als voordeel dat ze sneller kunnen worden afgehandeld. Verder zou er een kostenvoordeel zijn, omdat ondernemers voor vrijwel alle breedbandverbindingen een vast bedrag per maand betalen, terwijl bij gecertificeerde lijnen transactiekosten worden berekend.

Een andere reden dat Currence pintransacties voortaan ook via reguliere internetverbindingen verwerkt, is dat veel 'oude' telefonieverbindingen binnen enkele jaren worden uitgefaseerd. De betalingsverwerker laat verder weten dat het mogelijk blijft om door Currence gecertificeerde breedbandverbindingen af te nemen. Currence start een voorlichtingscampagne om de circa 90.000 mkb-ondernemers die nog gebruik maken van inbelverbindingen over de nieuwe mogelijkheden te informeren.

Moderatie-faq Wijzig weergave

Reacties (137)

is dat wel handig? (network sniffers enzo)

edit: waarom wordt deze reactie 2 keer omlaag gemod?

[Reactie gewijzigd door broodjekaas92 op 8 november 2010 10:38]

Ja, al die verbindingen zijn gewoon versleuteld net zoals het verkeer wat jij en je bank uitwisselen. Je kan sniffen wat je wilt maar je krijgt geen nuttige informatie te zien. Je zou ook denken dat hier langer dan twee seconden over is nagedacht.

[Reactie gewijzigd door DataGhost op 8 november 2010 10:02]

nee maar alles wat gecodeert wordt kan ook weer gedecodeert worden
Ja, maar niet door jou. Dat is het hele idee erachter. Zolang jij de juiste sleutels niet weet te krijgen kan je vrij weinig uitspoken.
alles is hackbaar (na een tijdje)
Maar dat zal niet anders zijn voor de huidige verbindingen...
oke maar dit soort verbindingen zijn wel wat belangrijker dan een gewone verbinding

maar dit wordt een eindeloze discussie dus laten we er maar mee ophouden ;)
@broodjekaas92: ga je vooral eens verdiepen in public-key cryptography.

[Reactie gewijzigd door CodeCaster op 8 november 2010 10:26]

@Codecaster

In principe natuurlijk ook bruut te forceren, maar ja, niet iedereen heeft een distributed computing netwerk van grazende koetjes en maanden en maanden de tijd.

Daarnaast het onderscheppen van pin-transacties is ook nog eens tijdsgevoelig (je wilt natuurlijk iets wijzigen, het bankrekeningnummer en bedrag), dus inderdaad met public/private-encryptie meer dan voldoende veilig tegen rechtstreekse hack-aanvallen.

[Reactie gewijzigd door Keypunchie op 8 november 2010 12:16]

Daarbij mag je er vanuit gaan dat er dagelijks, maandelijks en jaarlijks een sleutelwissel plaatsvindt. Dat houd dus in dat wanneer je eindelijk de sleutel hebt gevonden, deze allang alweer waardeloos is.
de vraag is wat er anders is aan die gecertificeerde lijnen. daar ben ik wel benieuwd naar. verder kun je natuurlijk prima gebruik maken van vpn tunnels daar zijn ook prima beveiligingen en encryptie toe te passen. probeer anders eens 's een 4mbit sleutel te kraken de enige manier is als je de sleutel in handen weet te krijgen, maar dan werken die oude cert verbindingen ook niet meer veilig.
Ik gok dat die gecertificeerde lijnen gewoon niets anders inhouden, dan dat je een speciale verbinding direct naar Currence toe krijgt. Dus een dedicated (en controleerbaar) circuit.

Ik ben idd wel benieuwd naar de beveiliging van deze nieuwe manier van aansluiten. Gaat de beveiliging niet verder dan een simpele SSL-connectie met client-certificaten? Of komt er speciale VPN-hardware tussen te staan?

Toch lijkt dit me nog steeds meer een oplossing voor kleine ondernemers die zich niet zo'n dedicated lijn kunnen veroorloven en toch laagdrempelig pin willen aanbieden. Maar je kan natuurlijk geen enkele garantie krijgen vwb 'uptime' als je dit over een goedkope internetverbinding doet.
Currence is slechts een papieren organisatie. Equens doet de daadwerkelijke transactie afhandeling c.q. routering.
Wij hebben met ADSL zakelijk van KPN zo'n 5x meer storing dan de "prive" ADSL verbinding van XS4All. Je zou verwachten dat dit andersom zou zijn, erg jammer...
gecertificeerd lijntje stelt technisch niet zoveel voor. Je netwerk moet aan bepaalde eisen voldoen en als dat zo is dan ben je klaar.

Je krijgt dan gewoon een eigen bgp sessie met hun om pinverkeer overheen te routeren, thats' it eigenlijk. Doordat de ip adressen verder niet announced worden, werken ze alleen over lijnen die met hun gecertificeerd zijn en dus niet verder over het internet. (iig bij ccv)
Wat maakt dit gevaarlijker dan internetbankieren? Lijkt mij even cruciaal dat er geen specifieke data onderschept of gespoofed kan worden, en bij internetbankieren gaat het ook goed (inderdaad, public/private key e.d.)
Ja, maar jij kunt er in 2050 weinig meer mee dat ik vandaag een euro heb gepind bij de supermarkt, om er je voordeel mee te doen moet je veel sneller zijn.
klopt je hebt 1 euro gepint en die winkel moet nog wat 50cent? betalen voor transactie kosten zo lijden ze alleen maar verlies aangezien je tegenwoordig overall kleine bedragen mag pinnen
De transactiekosten zijn lager dan die 50 cent, en het voordeel is dat de winkelier geen geld in de kassa hoeft te hebben (denk aan overvallen), en dat dat geld ook niet weggebracht hoeft te worden naar de bank, wat naast dat daar ook gewoon kosten aan verbonden zijn, ook weer een veiligheidsrisico met zich meebreng.
Ik meen ongeveer 5 cent voor de transactie.
De datacom-kosten met inbellen zijn rond de 4 cent (1 telefoontik) en voor de overige aansluitingen (via een gecertificeerd netwerk) wordt er gewerkt met maandelijkse kosten die onafhankelijk zijn van het aantal transacties.

Totaal tussen de 6 en 10 cent dus.
klopt je hebt 1 euro gepint en die winkel moet nog wat 50cent? betalen voor transactie kosten zo lijden ze alleen maar verlies aangezien je tegenwoordig overall kleine bedragen mag pinnen
Klein geld kost een ondernemer meer dan een transactiebedrag voor de pinauatomaat. Immers die zooi moet ook weer gestort worden als er teveel van is en je moet er wel genoeg van op voorraad hebben. En met kleingeld schiet dat ook niet heel erg op.
Pinnen is niet zo duur hoor - en je vergeet de handlingkosten van munt/papiergeld. Dat is veel duurder en de kans op overvallen is natuurlijk veel groter. Niet voor niets willen winkels dat je alles pint.
Huidige pin transacties worden ook niet gehackt. dus dat zal wel meevallen.

info:
Currence is een Nederlandse organisatie die is opgericht door een aantal vooraanstaande bankorganisaties met als doel "facilitering marktwerking en transparantie met behoud van de kwaliteit en veiligheid van het betalingsverkeer in Nederland." opgericht 1 januari 2005.

[bron: wikipedia]

Dus die weten wel wat ze doen.

[Reactie gewijzigd door _J7_ op 8 november 2010 10:36]

Dus die weten wel wat ze doen.
Hoewel ik je conclusie deel vind ik de gedachtegang redelijk gevaarlijk. Heeft al menig crisis opgelevert (geheime dienst roept iets over weapons-of-mass-destruction en hoppa naar Irak, financiele experts die roepen dat belegen in hypotheken ontzettend slim is...) Allemaal experts die het niet erg bij het rechte eind hadden.
Dat is een enorme dooddoener die te pas en te onpas wordt aangehaald. Voornamelijk door mensen die er geen klap van weten.

Het heeft vrij weinig nut om 3,5 jaar te gaan zitten kraken om 1 transactie te decoderen. De volgende transactie kost je namelijk wéér zolang. Zolang je dit niet instant kunt decoderen (als in on-the-fly) heeft je poging totaal geen zin.
Het heeft vrij weinig nut om 3,5 jaar te gaan zitten kraken om 1 transactie te decoderen. Zolang je dit niet instant kunt decoderen (als in on-the-fly) heeft je poging totaal geen zin.
Je hoeft geen bestaande transactie te hijacken, als er een server is die pintransacties accepteert kan ik een volkomen valse transactie aanbieden als ik weet hoe het werkt. Dat kan nu niet, omdat je een dedicated lijn nodig hebt. Na één valse transactie weet je dan gelijk wie er achter zit. Dat is met een publieke infrastructuur veel lastiger.

Het hoeft natuurlijk niet zo te zijn dat de mogelijkheid van het aanbieden van een valse transactie een enorm veiligheidslek is, dat kan best goed dichtgetimmerd worden, maar je creëert een 'single point of failure', waarbij het, áls het fout gaat, het ook gelijk góéd fout gaat (als criminelen er eenmaal achter zijn hoe het (crypto)-systeem werkt trekken ze gelijk 100.000 bankrekeningen leeg, en wie gaat dat betalen?). Met dedicated lijnen is dat veel moeilijker.
De verbinding zal natuurlijk maar een paar seconden duren. Als het kraken per transactie meer duurt dan een paar seconden is het al veilig genoeg.
verder zoals al verder is gezegt: public private key encryptie.
Klopt maar als je iets als een sterke variant van AES gebruikt kan je wel aardig zeker zijn dat de transactie veilig veloopt denk ik zo. Daarnaast zullen ze vast wel extra maatregelen nemen, als er iets is waarmee geldbedrijven (banken, transactiebedrijven etc) niet spotten dan zijn het financiele transacties.
Ik neem aan dat ze onderliggend geen AES gebruiken - dat was er nog niet toen PIN-automaten werden geïntroduceerd - maar als basis een assymetrisch algoritme gebruiken om de sleutel voor een symmetrisch algoritme te verspreiden, en dat nog aanvullen met een signature algoritme om de databron te verifiëren.
Dit gaat niet om PIN-automaten maar om betaalapparaten zoals je die in winkels tegenkomt om betalingen mee te doen. Die zijn volgens mij nooit ouder dan een paar jaar.

Bovendien, dit systeem is nieuw dus zal gewoon AES ondersteunen. Als je als winkelier je dedicated lijn op wil zeggen en het voortaan via internet wil gaan doen zul waarschijnlijk toch een nieuw apparaat moeten aanschaffen die dit ondersteunt. Dat nieuwe apparaat kan prima AES gebruiken.
Ik hoop dat ze automaten dan direct ook geschikt maken voor chip-pinnen. Is dat probleem ook weg
@ Korben: Correct. Dat is in ieder geval hoe de geldautomaten en andere interchanges werken. Wat betreft de betaalautomaten die aan Interpay en of CCV zijn gekoppeld weet ik het niet zeker, maar gezien het een publieke infrastructuur is, vermoed ik dat het ook via deze manier gaat.

Op deze manier heb je toch de veiligheid van asymmetrische sleutel, maar de performance van een symmetrische versleuteling.

[Reactie gewijzigd door Spacecowboy op 8 november 2010 14:16]

He! Dat is gewoon SSL/TLS wat al sinds jaar en dag ook in je browser zit ;)
Ahum kuch... Weinig tot geen controle op automatische incasso's is er al 1.
Hangt weer af van het type beveiliging? Als alle beveiligingen gekraakt konden worden viel er niks te beveiligen.
ja klopt maar dat zou ook bij een gecertificeerde breedbandverbindingen ook kunnen heb. maar je heb gewoon veel verstand nog ding van de 2 dus ik denk dat het neit zo makkelijk zal zijn
Ik zou je even verdiepen in cryptografie (bijvoorbeeld RSA). Bij sommige algoritmen is gewoon wiskundig bewezen dat deze niet te kraken zijn, behalve met brute-force. In de meeste gevallen duurt het miljoenen jaren om een dergelijk bericht te ontcijferen via brute-force.

In de Verenigde Staten is cryptografie met sleutels langer dan 40 bits lange tijd als munitie geclassificeerd, zodat het niet geëxporteerd mocht worden. Anders waren buitenlandse berichten voor de overheid niet te kraken.
Euh... Voorzover ik weet is enkel van One Time Pad encryptie bewezen dat het absoluut onkraakbaar kan zijn. Zie http://en.wikipedia.org/wiki/Cryptography#The_computer_era
Vanwege praktische problemen (sleutel moet op z'n minst even lang zijn als het te versleutelen bericht dus hoe krijg je de sleutel veilig bij de ontvanger?)

Voor alle andere methodes is op z'n hoogst bewezen dat het onkraakbaar is zolang een bepaalde onbewezen preconditie geldt (b.v. RSA is veilig zolang er geen methode bestaat om snel een getal in factoren op te delen)
een nadeel bij OTP is dat als er een bericht door bijvoorbeeld een storing is misgelopen (lees verstuurd maar niet ontvangen) dan worden alle berichten vanaf dat moment niet meer gedecodeerd omdat de encryptie sleutels niet meer overeenkomen.
Dat is alleen het geval bij de meest simpele, domme implementie van OTP's. Het is voldoende als de afzender "gebruik offset X" meegeeft bij elk nieuw bericht. Zolang de gebruikte delen van het OTP maar niet overlappen is het veilig.
Je kunt ook niet sniffen als je niet op het netwerk zit. De pin automaten zullen niet draadloos verbonden zijn (lijkt me). Dus dat betekend dat je een laptop moet aansluiten op het netwerk daar, wat je ook niet zo 123 kunt doen. Dan kunnen zij er nog een proxy opzetten waardoor je een username/wachtwoord nodig hebt, welke je niet hebt.

Mocht je dat nog lukken zonder ontdekt te worden, moet je nog een 2048 bit (Het kan zelfs 4096 bit worden) SSL verbinding kraken. En dat voor één transactie. Have fun.
Dat is gewoon een kwestie van tijd

De mobiele pinterminals zijn er met een simkaart en dectverbinding, de laatste staan in verbinding met een "eigen" receiver die weer op het eigen transmissienet aangesloten is

Dus waarom dat niet wifi -> AP -> internet kan zijn, dat is een "natuurlijk" verloop van ontwikkeling
Er zullen binnenkort veel meer wireless terminals in omloop komen - klantvriendelijkheid omhoog
Omdat er bij mijn weten geen WiFi betaalautomaten zijn. Ethernet, GSM, PSTN, ISDN, GPRS. Dan heb je het wel zo'n beetje gehad.
Er zijn zat betaalautomaten die WiFi gebruiken. De Ocius Vx670 om er maar eentje te noemen.
I stand corrected, ze zijn er dus wel. Percentueel gezien valt het denk ik wel mee qua aantal.
En hoeveel leveranciers leveren die in Nederland?
Volgens mij heeft CCV het alleenrecht op de Vx6xx lijn in Nederland dus die zal je niet snel hier zien.

Ook snap ik best vanuit een support punt dat je liever _geen_ wifi terminals gebruikt, retailers willen betrouwbaar pinnen, en voor iets wat het liefst 100% van de tijd goed moet gaan zou ik niet laten vertrouwen op een wifi techniek die dat niet waar kan maken.
Dan moet je 2 beveiliging kraken. De AES van de wifi verbinding en dan ook nog de beveiligde verbinding naar de bank. Ik wens iedereen die dat wilt doen veel plezier :)

En dan nog heb je geen pincode ofzo, dus wat moet je ermee?
Succes met sniffen bij een 2048bit SSL encryptie.

Wellicht dat ze zelfs hoger inzetten om iedere kans op brute force decrypten te verkleinen.
Ik zeg met opzet verkleinen, want onmogelijk is het natuurlijk niet.
Wel heb je dan een supercluster van enige honderden processoren nodig die exclusief voor jou bezig zijn met rekenen.
Ze hebben 256-bit nog niet eens gekraakt, dus ze zijn vooralsnog niet geneigd - denk ik - om hoger dan 2048 te gaan.
klopt maar als bank wil je niet de kans lopen dat blaat's botnet een poging waagd. kans is dus dat ze gewoon 4mbit inzetten alleen al om te ontmoedigen er überhaupt aan te beginnen. voor een bank maakt het verschil nauwelijks uit, dat beetje extra rekenkracht is het duurste niet. aan de andere kant. bedrijven gaan wel vaker op het randje zitten dus misschien heb je toch gelijk.
Zoiets wordt gewoon een kosten-baten analyse met een bepaald risico ingecalculeerd. Als een 256b key goedkoper is dan een 4096b key,dan wordt er gewoon gekeken naar het verschil in risico tussen die 2 en de bedragen die daaraanhangen. Op het moment dat de 256b dermate veilig blijkt te zijn dat bij een eventuele breuk de kosten niet meer zijn dan gelijk een 4096b implementatie zullen ze waarschijnlijk gewoon 256b implementeren.
Je kan een versleutelde verbinding wel sniffen, maar daar haal je niet zo heel veel nuttige informatie uit hoor.

Start maar eens een sniffer op, laat 'm b.v. https sniffen en ga eens naar een https website (je bank bijvoorbeeld).

spuit elf....

[Reactie gewijzigd door RvL op 8 november 2010 10:03]

Op zich is dat natuurlijk wel waar, het zal niet zo snel lukken om informatie uit de datastroom te krijgen, maar op zich is het feit dat er dataverkeer is ook informatie.
Of dat bruikbare informatie is zie ik niet 1-2-3, maar het zou wellicht gebruikt kunnen worden.
Dat kan natuurlijk eenvoudig onbruikbaar gemaakt worden door continue data te versturen....
Je moet hierbij ook eerder denken aan de vertrouwelijkheid en intergriteit van de datapaketten.
JA, ALLES is te hacken. De vraag is alleen hoelang je er over doet, en daarmee hoeveel die informatie op dat moment nog waard is als deze gehacked is!
Als je er met de huidige genereatie hardware in een mega-cluster zet en er 40 jaar over doet om de volledige encryptie en checksums te kraken, weet je dus welke sleutel en checksums er 40 jaar geleden gebruikt werd.
Prettige wedstrijd met de volgende poging!

Als een datapakket niet aankomt omdat er andere rommel ((d)DOS) de lijn vol spoelt kan de klant geen betaling doen en zal hij z'n producten niet meekrijgen.
Dat zal dan eerder een functionele misser zijn, maar de transacties zijn nog steeds secure. Voor zowel de klant als de bank.

[Reactie gewijzigd door ]Byte[ op 8 november 2010 16:00]

De huidige Internet verbindingen waar je wel met PIN op kan betalen zitten gewoon op een extra vlan, echt veel verschil maakt het dus niet uit.

Het enige verschil was dat je hiervoor niet zomaar op het gedeelte kon komen waarop de betalingen werden afgehanderd, straks hangen deze dus wel 'los' aan het internet. Aan de kant van de client veiligheid is er dus niets veranderd, ze hebben alleen hun eigen 'netwerk' verder open gegooid.
Jep, alleen rekent bijvoorbeeld KPN wel ik geloof 10 euro extra per maand voor de optie pinnen over IP, die vervalt dan want die is niet meer nodig.

Providers als Xenosite geven dit al een tijdje 'gratis' weg op de zakelijke lijnen (imho nog erg goedkoop) dus daar veranderd er sowieso niets.
Met een beveiligde verbinding valt er weinig te sniffen.
Ik vermoed dat het werkt met SSL server en client certificaten en dat alles dus versleuteld is. Een netwerk sniffer haalt dan als het goed is niet zoveel uit. Maar het kan ook zijn dat ik peop praat natuurlijk ;)
Gewoon een VPN is waarschijnlijker want een stuk generieker
Ik denk dat er voor VPN een nieuwe reeks aan pinautomaten moeten komen, tenzij de huidige pinautomaten die CCV levert VPN kan ondersteunen door een firmware-update.
Hoeze is VPN generieker? VPN is geen standaard SSL wel.
Toch twee vragen van mijn kant.

1. Wat kost een pintransactie nu.
2. Wat kost een pintransactie in de toekomst.

Ik betwijfel namelijk of er straks niet op een andere manier transactiekosten worden berekend. Vraag is namelijk of het inbellen de kosten zijn of de transactie zelf. De transactie zelf blijft namelijk bestaan.
Elke vorm van betalen kost geld helaas.

Pinnen was volgens mij iets van 11 cent, iDeal tussen de 40 en de 110 cent, cash storten bij de bank vanaf 5 euro, PayPal 35 cent + 3.4% van het bedrag, credit card ook ongeveer zo iets, etc.
Ik hoop dat ik die vraag een beetje kan beantwoorden:

Als eerste heb een verbindingslijn nodig met (nu nog beveiliging). De beveiliging kost ca. 10 EUR per maand, de internetverbinding ligt in de zakelijke markt zo rond de prijzen van de consumentenmarkt.

Verder kosten individuele transacties nog geld, in de buurt van de paar cent per transactie(ongeveer 7,hangt af van het bedrijf natuurlijk) en natuurlijk nog een pinabbonement wat ongeveer 10 a 20 EUR per maand kost. Mocht je inbel hebben dan heb je voor elke tranactie natuurlijk ook nog inbelkosten(dat kan best oplopen).
Durf ik niet te zeggen. Het is in iedergeval stukken goedkoper dan cash geld. (Beveiligen, storten, tellen, etc.)
Als je het niet durft te zeggen, heb je er dus geen ervaring mee en gok je het?
  • Beveiligen -> Kluis (eenmalige kosten), camera's hangen sowieso vrijwel overal al.
  • Storten kost geld, maar minder dan pinkosten.
  • Tellen, contant geld zul je sowieso houden. Of de telapparaat (eenmalige kosten) 5 seconde langer of korter bezig is, maakt echt niks uit.
Cash is goedkoper tenzij je helemaal geen cash aanneemt en alles over pin wilt doen. Maar als daardoor enkele klanten jou gaan mijden verlies je weer.
Cash: - Kans op overval is vele malen groter.
Cash: - Je moet voldoende klein geld kopen, en bewaren.
Cash: - Storten kost tijd.
Pin: + Staat sneller op je rekening.
Is er wat meer informatie over welke beveiligingsmethoden er zijn gebruikt?

Edit @ MazeWing

Dat zou idd zo kunnen zijn als alles vanuit de serverside wordt geregeld.

[Reactie gewijzigd door Relief2009 op 8 november 2010 10:05]

Ik denk dat ze dit zoveel mogelijk geheim zullen houden. Als ze kenbaar maken welke beveiligings technieken gebruikt zijn, is de kans groot dat mensen exploits gaan zoeken in een gesimuleerde omgeving thuis...
Jij gebruikt Closed Source software zeker?

Ik vermoed dat je er met een sniffer vrij snel achter komt hoe de beveiliging werkt. Je zult echter de juiste sleutels moeten hebben om hier iets mee te kunnen. Vergelijk het met de internetverbinding tussen jou en je bank. Iedere noob kan nazoeken hoe https werkt, iedere amateur kan het simuleren, maar kraken doe je niet zomaar.

edit:

Uitbreiding, na er wat langer over nagedacht te hebben:

Sommige instanties vereisen dat bij een beveiliging bekend is hoe de beveiliging gerealiseerd wordt. Hier worden zaken veiliger van, derden kunnen namelijk hun mening geven over een beveiliging. Een ander verhaal is de software waarmee ze de beviliging implementeren. Ik kan me voorstellen dat ze dit wel geheim houden. Als er dan een lek in een bepaald pakket ontdekt wordt, is niet meteen bekend welke bedrijven gebruik maken van deze software en dus vatbaar zijn voor een aanval.

[Reactie gewijzigd door 84hannes op 8 november 2010 10:27]

Inderdaad, tot nu toe is internetbankieren ook veilig en niet gekraakt. Alleen banksites die nagemaakt zijn en je het bedrag naar een andere bankrekeingnummer laten overmaken. Maar dat is geen 'direct' lek in de beveiliging maar in de interface.
Waarom zou je een gesimuleerde omgeving maken?
Als het 'gewoon via internet' loopt, is domweg in een winkel aansluiten veel eenvoudiger en heb je een echt, live systeem waar je echte transacties hebt met bekende data...
Omdat het aftappen van verkeer misschien illigaal en verboden is bij wet.

Het simuleren van dingen binnen een gesloten netwerk, hetzij via virtualisatie software zoals vmware of sun virtualbox is zover ik weet niet verboden. Tenzij je binnen het virtuele systeem illegale praktijken gaat uitvoeren zoals bijvoorbeeld reverse-enigeren.
De beste beveiligingen zijn die waarvaan de volledige werking bekend is.
Ik vermoed dat je een EMV chip op je pinpas moet hebben om dergelijke transacties mogelijk te maken. Dan kan alle data vanaf de terminal naar de bank versleuteld worden over een (semi) publieke lijn.

Sla de EMV spec maar eens na. Daar staat alles in gespecificeerd. Book 1 en Book 2 zijn het meest interessant qua transacties. (ICC <--> terminal communicatie en key management).

Niks geheims aan, zijn allemaal open standaarden :)
Ik heb nooit begrepen waarom er een gecertificeerde lijn nodig zou zijn, als alles over een versleutelde verbinding verstuurd wordt is dat toch ook veilig? Desnoods moet er een door Currence gecertificeerde VPN-server tussen om een beveiligde verbinding te garanderen...
Kun je eenvoudig garanties geven over uptime en makkelijker storingen pinpointen.
Dat is nog wel een zinvol argument, hoewel er natuurlijk iets voor te zeggen is dat dat voor het risico van de ondernemer komt als hij besluit geen gecertificeerde verbinding te nemen.
Dat risico voor de ondernemer niet weg dat diezelfde ondernemer (is doorgaans geen techneut) bij jou komt klagen als er niet gepinned kan worden. dus de overhead / overlast heb je sowieso al.
De lijnen zijn vaak al aanwezig en in gebruik voor het alarmsysteem ( AL2)
Dus de koppeling is zo gemaakt, kuchnummer van de pinverwerker en PAC erin en je hebt de gecertificeerde lijn.

Voordeel van de AL2 verbinding, is dat hij actief gecontroleerd wordt, elke 90 seconden een polling naar KPN, en bij uitval direct actie ( PAC of Currence )
Die acties gaan zelfs nog om de aansluiting heen, en worden direct met KPN uitgevoerd, lijnreset of doormeting
Jij hebt het over de oude digiacces verbindingen, die techniek die KPN uitrangeert en die je voor pinnen niet meer kan bestellen...

Sowieso gaat al het pinverkeer over TCP/IP tegenwoordig, soms door inbellen, vaker door een gecertificeerde internet verbinding, dingen als x25 / digiacces etc zijn vrijwel allemaal uitgerangeerd met het verlopen van de certificering van de oude generaties pin apparaten.
Er zijn geen garanties. Zowel de ADSL lijnen van Vodafone als KPN zijn gecertificeerd. En als KPN een landelijke storing heeft lig je gewoon eruit. Je krijgt geen speciale lijn.
Het zijn puur kwaliteitseisen:
Eisen die een hoge beschikbaarheid opleveren, een helpdesk, een beheerorganisatie, 24x7 monitoring, herrouteertijden, etc.

Er zijn vroeger behoorlijk wat problemen geweest met carrier-select aanbieders die compressie toepassen op de voice-calls. En daar kan modemverkeer niet goed tegen.
Deze carrier-select aanbieders waren dan ook niet gecertificeerd, dus was het het probleem van de retailer die voor een dubbeltje op de 1e rang wilde zitten.
Is dit nu nog maar zo in Nederland? Dacht dat het in Belgie toch al tijdje zo werkte.

Toevallig een kleine maand geleden van een kruidenierswinkel opdracht gekregen om netwerk kabel tot aan hun kassa's te leggen. Toevallig kwam, terwijl ik bezig was, een koerier aan met paar pakjes. Waren de betaal terminals. Gewoon netwerk kabeltje erin en na een twintigtal seconden kon de eerste verrichting gebeuren.
klopt, in België kan dit idd via Internet. De andere oplossing was een PSTN/ISDN verbinding. Huurlijnen werden (worden?) alleen gebruikt in grote zaken met meerdere kassa's.
Yes, nederland heeft wat last van de remmende voorsprong. Pinnen was in de huidige vorm vroeg ingeburgerd, met als gevolg dat overgang naar nieuwe betaalvormen tijd kost.

Zo is bijv. in Afrika is betalen met de mobiel wijdverbreid. Om de doodeenvoudige reden dat er geen concurrerende technologie beschikbaar was. De kans dat je in Afrika een kabel raakt met je graafmachine is 1000x kleiner dan in Europa.
Wat natuurlijk wel een issue kan worden is een zogenaamde man in the middle attack.
Blijft het decrypten een enorme opgave.
Maar via bedrijfsspionage en andere vormen van inbraak bij Currence kan de masterkey natuurlijk ook achterhaald worden.

Aanvulling: hoe gaat Currence zich wapenen tegen Ddos aanvallen ?

[Reactie gewijzigd door Banath op 8 november 2010 10:09]

Een MitM heeft geen zin als alle clients het goede certificaat gewoon kennen, het werkt volgens mij alleen goed bij self-signed certificaten die dus niet geverifieerd kunnen worden door de client.
Maar via bedrijfsspionage en andere vormen van inbraak bij Currence kan de masterkey natuurlijk ook achterhaald worden.
Ja, maar als iemand zo ver kan infiltreren om de vpn/ssl sleutels te stelen denk ik dat Currence een groter probleem heeft. Deze persoon kan ik de oude situatie dan bijvoorbeeld ook malifide transacties injecteren, om maar wat te noemen.

Het dDOS verhaal kan inderdaad een probleem zijn. Maar omdat de klanten vaak vanaf een vaste locatie inloggen, zou er bijvoorbeeld een (extreem grote) firewall regel gemaakt kunnen worden die alles dropt wat niet vanaf een whitelisted IP komt.
Het dDOS verhaal kan inderdaad een probleem zijn. Maar omdat de klanten vaak vanaf een vaste locatie inloggen, zou er bijvoorbeeld een (extreem grote) firewall regel gemaakt kunnen worden die alles dropt wat niet vanaf een whitelisted IP komt.
Helaas, was het maar zo simpel. Een firewall is al te laat, omdat een ddos-aanval vaak al de inkomende lijn of router dichttrekt, nog voordat een firewall kan zeggen "drop dit pakketje maar". Het pakketje is al binnen en heeft al bandbreedte verbruikt.
Die firewall moet je natuurlijk wel upstream zetten, duh. Knappe jongen die AMS-IX platlegt met een DDOS.
Heel veel mensen denken dat dit niet zo veilig is. Maar ik denk persoonlijk dat de kans dat je in één keer de encrypte kraakt kleiner is, dan dat je nu inlogt op de rabobank, dan mijn rekeningnummer, pasnummer en identificatiecode raadt.

Edit
Ik ben niet zo goed met encryptie, dus I stand corrected. Maar stel er wordt een sleutel gebruikt van 512bit -> 64 byte.

Een rekeningnummer is 9 byte.
Een pasnummer is 4 byte
Een toegangscode is 8 byte

Totaal: 21 byte -> 186bit. Dus zelfs als er 265bit encryptie wordt gebruikt dan ben je veiliger dan het gokken van al deze toegangscodes.

Klopt dit?

[Reactie gewijzigd door TeMo op 8 november 2010 10:41]

als je bij inlogt op de site van je bank kan je ook zien waar je gepint hebt
Dat bedoel is ook precies wat ik bedoel. Ik probeer te zeggen dat als mensen dit onveilig vinden, het eigenlijk alleen maar een onderbuikgevoel is, en dat internetbankieren theoretisch onveiliger is.
Een rekeningnummer is 9 cijfers, niet bytes. 10^9 = 2^30 = 3,75 byte. Op dezelfde manier, pasnummer is 4 cijfers is 10^4 = 2^14 = 2,75 bytes en de toegangscode is 10^8=2^27=3,375 bytes.

Dus je redenering rammelt een beetje, maar grosso modo heb je wel gelijk: 256 bits encryptie is heel, heel veel beter dan een 14 bits pincode.
Ik heb net contact opgenomen met CCV of ik al via het gewone internet kan pinnen (zou weer een paar tientjes per maand schelen). Zij geven aan dat dat nog niet werkt omdat de automaten aangepast moeten worden. Ik kan echter geen reden bedenken waarom de automaten aangepast moeten worden.
Bij mij zitten die automaaten gewoon in het bedrijfsnetwerk in een eigen ip-reeks. Pas bij de uitgaande internet router wordt besloten dat het over een andere uitgaande ADSL verbinding weg moet. Tijdens het sniffen zie ik niets vreemds. De automaat bouwt gewoon een verbinding op met een specifiek ip adres.

CCV geeft aan dat ze druk bezig zijn maar dat het nog wel tot begin volgend jaar kan duren???

Heeft iemand een idee wat ze aan willen passen in de automaat?

PS: Ik heb gevraagd wat ze dan aan gingen passen maar daar kwam geen zinnig antwoord op.

[Reactie gewijzigd door clueless12 op 8 november 2010 11:23]

De aanpassing van apparaten heeft volgens mij meer te maken met de overgang van glippen naar dippen (magneetstrip naar chip). Controleer even of ze dat niet door elkaar halen.
edit: http://www.ccv.eu/web/NL-...n/EMV-betaalautomaten.htm

Voor zover ik weet zijn dit twee verschillende processen. Zeer goed mogelijk dat ze mis zitten daar.

[Reactie gewijzigd door snirpsnirp op 8 november 2010 11:20]

De huidige pinautomaten die CCV levert ondersteunen EMV al. CCV was vorig jaar al begonnen met het vervangen van pinautomaten.

Misschien dat ze de back-end nu pas aan het voorbereiden zijn, maar de merendeel aan pinautomaten van CCV in Nederland ondersteunt al EMV.
Waarom heb je deze vraag niet zo aan CCV gesteld? Je hebt zelf genoeg 'munitie' om door hun eerste response heen te schieten...
Hmmm, ik hoop dat ze wel enigszins eisen stellen aan het interne netwerk dan.... Zie al voor me dat ze een kabeltje trekken van router naar pin door de winkel wat lastig vinden...

Voor het gemak dan een wireless netwerkje maken en ook een router (oid) neerzetten onder de kassa.... verbinding niet beveiligen en hoppa, buren die mee kunnen spieken met de transacties (ge-encrypte data natuurlijk, maar een kwestie van tijd voor dat gekraakt is).....
het is toegestaan om van een draadloos netwerk gebruik te maken. Wel wordt WEP-beveiliging aangeraden }:O

Tja, buren die kunnen spieken naar de transacties. Ze kunnen toch niets aanvangen met de data. Denk dat je alweer een paar jaar verder bent eer je die data gekraakt hebt. En wat ben je er dan nog mee?

PS dat van draadloos netwerkje gaat wel over Belgie, weet niet van Nederland
Als dit betekend dat e.e.a. sneller gaat, pinnen (met die chip dus, zoals in ontwikkelde landen) nu tenminste overal kan, dan is dit een goede ontwikkeling. Nederland is zo ongeveer een ontwikkelingsland op betalingsgebied.

Als buitenlandse Nederlander schaam ik me gewoon als ik met Finnen naar de winkel ga:

First try: Credit card:
Nee, geen creditcard, doen we niet aan, is duur

2 Europese bankpas: - Nee die pas werkt niet (chip die europa-wijd moet werken en hier te lande overal werkt, ook als je een ijsje koopt)

3 Nee, niet pinnen want is minder dan 5 euro

4 Nee, geen biljetten van 100 euro of meer

Zucht. Als ik dan m'n eigen NL-pasje maar trek duurt het een eeuwigheid voordat de transactie afgehandeld is. Met wat geluk ben ik vervolgens NIET geskimmed, maar de kans is redelijk groot van wel. :|

Toegegeven, enigszinds gechargeerd, maar voor een buitenlander is NL echt zowat cash-only en dan ook nog alleen in 'kleine' coupures. De schuld zal wel liggen bij de organisatie die het Pinnen heeft uitgevonden met bijbehorende tarieven, maar dat doet niks af aan het ongemak. Ik zie cash al jaren enkel als ik naar NL ga, of elders op vakantie.
De "schuld" ligt bij onze eerdere voorsprong. En de eigenwijze banken (Chippen vs Chipknip, gruwel). We zijn nu op de juiste weg :)
3 en 4 heb je een beetje met de haren erbij gesleept, imho, om je punt te maken.

Bij punt 3: Ik ken serieus geen winkel (of tankstation) meer waar je niet kunt pinnen onder een bepaald bedrag. Sterker nog, ik ken zelfs geen winkel meer waar ze daar dan een dubbeltje ofzo extra vragen.

Bij punt 4: Hoe kom je dan aan die briefjes? Als ik ga pinnen krijg ik altijd de keuze voor bepaalde briefjes en de laatste keer dat ik een groot bedrag ging pinnen (iets via V&A gekocht), kreeg ik briefjes van 50..

Het klopt wel dat het jammer is dat je in (te) veel winkels niet met creditcard kunt betalen, maar in de horeca daarentegen heb ik nog nooit dat probleem gehad.

[Reactie gewijzigd door Keypunchie op 8 november 2010 12:25]

Wat een oud verhaal, vast geen recente ervaring gok ik zo.

Ik schat dat meer dan 70% van de betaalautomaten over een internet verbinding gaat en daardoor een snelle transactie kan verwerken.

Credit card is in Nederland inderdaad niet echt ingeburgerd omdat pinnen veel fijner en goedkoper is (zeker voor de winkelier) waardoor je dat inderdaad niet veel tegen komt.

Europese bankpas, meer dan 70% van de automaten had altijd al een Maestro (dat is de Europese bankpas) contracten, en eind dit jaar zal dit tegen de 90 a 100 zijn, dus is dat ook verleden tijd.

Niet pinnen onder de 5 euro is ook meer en meer uitgerangeerd het laatste jaar.
En de kans is echt niet zo groot dat je bij 90% van je transacties geskimd bent.
Ik krijg hier 100e biljetten als ik zeg een 500e afhaal bij de bank. Die accepteert bijvoorbeeld de speelgoedwinkel waar ik aan het shoppen was (vorig jaar), niet. Credit-card deden ze ook niet aan, nou toen bleven de speeltjes op de toonbank.

Vorige week nog in NL, weer speelgoedwinkel (waar je zo met een paar 100 euro aan speeltjes wegloopt). Europese bankpas en CC niet geaccepteerd, ik moest speciaal geld gaan halen om te kunnen betalen. Enige waar CC wel geaccepteerd werd was de C&A.

Pinnen duurde bij verschillende winkels echt lang (= meer dan 10 seconden), bij een aantal anderen inderdaad wel snel.

Betalen voor pinnen van klein bedrag inderdaad niet tegengekomen vorige week, dat kan inderdaad wel verbeterd zijn.

Ik kan natuurlijk wel geld uit de muur trekken, maar dat is toch van den zotte? Ik ga niet met contant geld rondlopen als het niet hoeft. Bovendien weet ik vantevoren niet hoeveel ik nodig heb.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True