Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties

Twee beveiligingsonderzoekers hebben een tweetal pinapparaten weten te hacken met een vervalste pinpas. Het gebruikte type pinautomaten is wijdverspreid, stellen de twee hackers. In één geval konden creditcardnummers worden buitgemaakt.

De beveiligingsonderzoekers, genaamd 'Nils' en Rafael Dominguez Vega, deden hun bevindingen uit de doeken tijdens een presentatie op de Black Hat-beveiligingsconferentie in Las Vegas. Nils en Vega wisten een tweetal veelgebruikte pinapparaten, die worden gebruikt voor elektronische betalingen in winkels, te kraken. Daarvoor gebruikten ze een vervalste pas waarop ze hun eigen software hadden gezet en die gaten in de beveiliging van de apparaten misbruikte.

Op een van de apparaten kan software worden gedraaid die alle nummers van creditcards en de bijbehorende pincodes in het geheugen van de automaat opslaat, demonstreerden Nils en Vega. Het invoeren van een valse kaart met daarop de malafide software is daarvoor genoeg. Daarvoor wordt een zogenoemd buffer overflow-kwetsbaarheid in de software op het pinapparaat misbruikt. De opgeslagen gegevens kunnen worden uitgelezen met behulp van een tweede vervalste pas, die de informatie uit het geheugen van de automaat naar zijn eigen interne opslag kopieert.

Het gaat om een kwetsbaarheid op applicatieniveau: er kan geen root-toegang worden verkregen. Bovendien wordt de hack na een reboot ongedaan gemaakt. In de praktijk zou een eventuele aanvaller dus nog dezelfde dag opnieuw bij hetzelfde pinapparaat een vervalste pas in moeten voeren. In Nederland worden creditcards weinig gebruikt; het risico voor de Nederlandse markt valt dus mee.

De onderzoekers willen uit veiligheidsoverwegingen niet aangeven om welke hardware het precies gaat. De fabrikant van het apparaat heeft weliswaar al een patch uitgebracht - 'binnen drie weken', aldus Nils - deze is nog niet uitgerold naar alle apparaten die in gebruik zijn. Volgens de onderzoekers is het betreffende apparaat wijd verspreid, vooral in het Verenigd Koninkrijk.

Een kwetsbaarheid in een ander pinapparaat, ook een buffer overflow, maakt het eveneens mogelijk om eigen software te draaien. Daarbij kon volledige controle over het scherm en de printer worden verkregen, waardoor een kwaadwillende met een vervalste kaart een goedgekeurde transactie zou kunnen nabootsen zonder te betalen.

"Als op het scherm wordt getoond dat de betaling is geslaagd en er uit de printer een bon komt, denkt de verkoper dat de transactie is voltooid", aldus Nils. Ernstiger misbruik, zoals het verstoren van de communicatie tussen de eveneens niet bij naam genoemde betaalautomaat en de bank, is in theorie mogelijk. Nils en Vega hebben dit echter niet onderzocht.

Een derde, door de twee onderzoekers onder de loep genomen betaalterminal, is alleen in de Verenigde Staten in omloop. Dat apparaat wisten de twee echter wel grondig te hacken: ze verkregen volledige root-toegang op dat apparaat en konden bijvoorbeeld een telnet-daemon starten, om toegang tot het apparaat van buitenaf mogelijk te maken. Hoewel de onderzoekers zeiden de naam van dit toestel niet te willen openbaren, was in een demonstratie te zien dat het om een Verifone-betaalterminal ging.

Eerder deze maand ontdekte een bekende Duitse beveiligingsonderzoeker dat pinapparaten van Verifone die vooral in Duitsland populair zijn kwetsbaarheden bevatten. Kwaadwillenden kunnen de pincode van gebruikers achterhalen en financiële transacties manipuleren. In dat geval ging het om de netwerk-stack van de pinautomaten die kwetsbaar was.

Moderatie-faq Wijzig weergave

Reacties (64)

Dit is slechts een deel van de kwetsbaarheden van verschillende systemen die consumenten dagelijks/wekelijks gebruiken. Dit soort initiatieven zijn positief en houden IT-experts scherper. Software bevat eenmaal kwetsbaarheden en zeker als het gaat om redelijk oude standaarden.

Daarnaast is het aantal hack-activiteiten de laatste jaren flink toegenomen. Het gaat immers niet meer om de 'nerd' ergens in een kelder die voor hobby doeleinden en sommigen vanwege principiële motieven websites/syste men hacken.
Een curus “my first hack” kun je zo bij elkaar googlen. Uiteraard gaat het niet om de meest geavanceerde hacks. Maar ook omdat de technieken en tools toegankelijker zijn geworden voor de minder gevorderde hacker, maken zij kans op een simpele manier klantgegevens buit te maken.

Nu steeds meer systemen online worden aangesloten en de backoffice via allerlei wegen te benaderen is (apps, websites, webservice koppelingen) neemt het risico toe als het gaat om security holes. Architecten houden hier uiteraard rekening mee, maar het zijn en blijven mensen en die maken fouten.

Het moet ook een bewustzijn worden bij de consumenten niet alles wat geautomatiseerd is, is per definitie veilig. Nu kun je dat moeilijk verwachten bij het gebruik van een pinautomaat aangezien dit redelijk ingeburgerd is, maar het bewijst wel dat het IT-domein degelijk kwetsbaarheden kent.
Zo te zien gaat het niet om de normale bankpassen maar om credit cards.
In Nederland worden creditcards weinig gebruikt; het risico voor de Nederlandse markt valt dus mee.

[Reactie gewijzigd door janvanduschoten op 26 juli 2012 10:07]

De EMV standaard is wereldwijd en heel veel banken en cc maatschappijen maken er gebruik van. Of er dus een creditcard of Europese bankpas buitgemaakt wordt, maakt niet uit.

Het risico valt wellicht op dit moment mee, omdat ALS deze hack in detail naar buiten zou komen, deze eerst nog aangepast zou moeten worden aan de EU bankpas.

Maar volgens mij heeft de "skimmingindustrie" die in NL actief is al aangetoond dat ze met dit soort apparaten wel raad weten.
Als je verder leest beschrijven ze meerdere manieren in dit artikel, welke zij hebben weten te hacken. Creditcards buitmaken is hier slechts een onderdeel van. Maar overige manieren werken waarschijnlijk wel gewoon in Nederland, zoals een 'voltooide betaling' nabootsen op de pin-scherm.
De software voor Nederland is tot nu toe compleet specifiek, de kans dat hun hacks dus hier 1-op-1 werken is vrij klein.
Dat betekend overigens niet dat soortgelijke hacks hier niet mogelijk zouden zijn trouwens.

Binnen niet al te lange tijd zal het overigens steeds globaler gaan, elk land en leverancier heeft nu nog per land eigen systemen voor beheer, dit word steeds meer gelijk getrokken (de nieuwe automaten van Atos gaan bijvoorbeeld al in Belgie en Nederland gelijk beheerd worden vanuit het zelfde systeem.
Helaas is dit soort hacks al tijden bekend bij het bedrijf waarvoor ik werkte. (Niet dit specifieke geval!) Ze moesten zo vaak vervangen worden vanwege verschillende hacks dat het niet leuk meer was. Zoals Herr_Mattie al aangeeft, er moet een maximale periode zijn. Dit is makkelijk te doen omdat er van de hoofdservers gewoon firmware naar de verschillende PIN's gestuurd kan worden.

Helaas is dit ook weer makkelijk te onderschappen als het niet goed beveiligd is, en met het nieuws van hacks de afgelopen tijd, is het moeilijk om die beveiliging > 99% te hebben.

[Reactie gewijzigd door corset op 26 juli 2012 10:07]

Dit is makkelijk te doen omdat er van de hoofdservers gewoon firmware naar de verschillende PIN's gestuurd kan worden.
Dit is mooi om te weten. Dus als ik de de pin automaat wijs kan maken dat ik de enige echte hoofd server ben, kan ik elke rom er op plaatsen die ik wil... nice.

Of als ik de hoofdserver weet, zou je deze kunnen hacken om een custom rom er op te zetten, zie een nieuw bot netwerk onstaan.
Dat is inderdaad een risico, natuurlijk zijn deze zwaar beveiligd. Okok, er is altijd een manier omheen, maar het is niet zo makkelijk als je denkt :)
Dat is inderdaad een risico, natuurlijk zijn deze zwaar beveiligd. Okok, er is altijd een manier omheen, maar het is niet zo makkelijk als je denkt :)
Zoals de afgelopen tijd steeds meer blijkt, is dit niet zo "natuurlijk" als jij doet voorkomen.
Als je zo'n systeem binnen wilt, dan kom je ook wel binnen. Zolang $$ geen probleem is.
Dit is mooi om te weten. Dus als ik de de pin automaat wijs kan maken dat ik de enige echte hoofd server ben, kan ik elke rom er op plaatsen die ik wil... nice.
Ik mag toch hopen dat ze hiervoor verschillende cryptografische technieken, inclusief code signing en public/private key exchange (ssh) voor de communicatie.

Dus A) je moet de private key van de server hebben, voordat je een MiTM kan uitvoeren, en daarna moet je B ) ook nog de private key gebruikt voor het signeren van de code hebben.

Het idee is dat je met heel veel hackwerk 1 van de 2 misschien wel weet te achterhalen, maar dat voordat je de andere ook hebt, ze intussen het hackwerk door hebben en beide zullen wijzigen in een nieuwe lijn van automaten.

[Reactie gewijzigd door Keypunchie op 26 juli 2012 11:09]

In Nederland is het in iedergeval zo dat elke actieve terminal ook software update's kan krijgen, het probleem zit hem natuurlijk in de acceptatie en uitrol procedure (niet elke retailer geeft zomaar toestemming om even hun 1000 pin automaten te updaten natuurlijk)
Dat is inderdaad ook het probleem. Ook hebben bijvoorbeeld de Xenta Pin apparaten (die van de AH, Zeeman, Hema, e.d.) heel veel netwerk storingen, deze werken bijna nooit 100% met de firmware upgrades van het netwerk.
Wij gebruiken ook de XENTA terminals, en wij gaan echt niet alle winkels langs om daar de automaten te upgraden, dat gaat gewoon via het netwerk.

Wel wordt deze versie waar mogelijk eerst intern getest en daarna naar enkele terminals uitgerold. Als dit geen problemen oplevert, dan wordt pas opdracht gegeven voor de rest van de uitrol.

Van grootschalige netwerkstoringen hebben wij geen weet, en als dat zo zijn dan hadden de winkels echt al lang aan de bel getrokken. Kan het niet zo zijn dat de netwerkverstoringen worden veroorzaakt door de LAN's danwel WAN-koppeling van de betreffende winkel naar EQUENS en dat het dus niet ligt aan de terminal,
Nouja, geldautomaten en muntautomaten bij een grote bank draaien allemaal Windows XP Embedded/Server 2003. Allemaal met het internet verbonden via een gateway (alsof een gateway veel beveiliging bied, maargoed).
Laatst zag ik een muntautomaat waar gewoon een foutmelding in beeld stond, en gewoon de taakbalk mooi in beeld. Een dag later weer hetzelfde probleem. Ik kon met het touch-screen gewoon op start drukken en alles doen wat ik wou, allemaal door focusverlies dankzij een Windows foutmeldings pop-up.
Om wat voor transacties gaat het ?? Gaat het om het nieuwe ''dippen'' mbv EMV-chips? Of wordt nog de ''oude'' en kwetsbare magneetstrip ( ''swipen'' ) gebruikt?
Het gaat hierbij vrijwel zeker om EMV-chips, maar omdat toegang tot de software stack gekregen kan worden, maakt het verder niet uit. Als je toegang hebt tot het apparaat, is er bijna altijd wel wat te verzinnen om te frauderen, of het nou het nabootsen van een transactie, of het opslaan van pincodes is.

Een probleem met EMV is dat ze plaintext pin verificatie bijvoorbeeld in de standaard hebben opgenomen en offline transacties. Daarmee maak je het een stuk makkelijker om te frauderen en ga je er maar vanuit en hoop je dat het kastje "veilig" is. Is ie dat niet meer, dan wordt het ineens heel makkelijk om heel veel data te vergaren.
het gaat hier niet zozeer om het copieren van kaarten alswel om het onderscheppen in het werkgeheuge, van data...

het feit dat ze software kunnen laden doet me vermoeden dat het op de chips gaat en niet meer om magneetstrips (vooral omdat die 'analoge' data veel moeilijker te gebruiken is om software mee in het apparaat te laden...
De pinautomaten worden dus helemaal niet gemonitord via het netwerk zodat je rare dingen kan doen zonder dat het opgemerkt wordt.

Verder zijn bufferoverflow expoits makkelijk te voorkomen door aan te zetten dat er geen code gedraaid kan worden die in het stack of data segment van een programma staat. Het lijkt me dat je geen 'self modified code' wilt draaien op een pin automaat.
De mogelijkheid om hardwarematig te voorkomen dat er geen code draait in het stack- of datasegment is iets wat alleen op geavanceerde processoren bestaat. De CPU in een PIN-terminal is vaak maar een eenvoudig ding.
Sowieso bijzonder dat toegestaan wordt dat er zoveel / dat type data / naar zoveel geheugen geschreven wordt vanaf de kaart / kaarthouder. Wat heeft een kaarthouder nou voor data te geven? Bijna niets. Dus de toegang flink 'vernauwen' is een logische stap, dat is bij bijvoorbeeld webforms ook gebruikelijk.
Ernstiger misbruik, zoals het verstoren van de communicatie tussen de eveneens niet bij naam genoemde betaalautomaat en de bank, is in theorie mogelijk. Nils en Vega hebben dit echter niet onderzocht.
Hoe weten ze dan dat dit mogelijk is? Verder vraag ik me af hoe ze die nep-pinpas precies gemaakt hebben.
Een pinpas is een vrij gewone smartcard eigenlijk. Dus je bestelt een stel lege kaarten en je zet er je eigen programmatuur op. Is eigenlijk niet zo heel moeilijk dus.
Alleen ken je de sleutels niet, die door de banken worden gebruikt, dus kun je nog steeds niets met je pas.
Er zou eigenlijk een maximale periode moeten zijn waarin een bepaalde standaard nog gebruikt mag worden. Alleen al om innovatie te stimuleren en mensen scherp te houden.
Dat gebeurt ook, de meeste pinautomaten zijn voor ongeveer 5 jaar gelicenceerd.
Houdt in dat je daarna een nieuwe moet kopen.
Maar in 5 jaar kun je veel.

Tevens is het ook niet zo dat de pincode wordt opgeslagen in het geheugen van het apparaat. Dat zou wel heel slecht zijn!

Ik vind het zelf maar een raar verhaal. Op een pinpas staat alleen maar een cijferreeks. Het is niet zo dat er ineens software op de terminal wordt geladen.

[Reactie gewijzigd door DrFurioux op 26 juli 2012 10:28]

Dit kan langer lopen, de meest gebruikte automaten in de markt van CCV en Banksys zijn geldig tot 2019 en 2022... dat is wel iets meer dan de door jou gestelde 5 jaar.
Ligt inderdaad aan de certificering. Maar er is een verschil tussen, mogen verkopen en mogen gebruiken.
Ik had het over verkopen. Maar dat had ik misschien moeten zeggen =)
Ook die termijn is niet keihard, aangezien een automaat ook gewoon zijn termijn verlengd kan worden (dit moet apart aangevraagd worden, en soms komt er een kleine change in bijvoorbeeld de behuizing ivm bepaald misbruik wat ontdekt is te voorkomen)
Die cijferreeks op de vervalste pas veroorzaakt een buffer overflow. Daardoor wordt de applicatie in de pinautomaat zelf afgebroken en kan er direct in dezelfde software een eigen code worden uitgevoerd. Vandaar dat dit mogelijk is en dat er dus gewoon kan worden verteld dat er pincodes opgeslagen moeten worden met de bijbehorende pasgegevens die bekend zijn op de pas zelf.
Lijkt me echter dat zo'n pinautomaat niet heel veel geheugen in zich heeft, dus als je een pas genoeg info laat bevatten en de automaten zo min mogelijk geheugen geeft dan zou je bijv. max. 1 pasje kunnen opslaan in het geheugen :x o.i.d.
Maar dit is toch te belachelijk voor woorden?

De pas is een externe data-input, net zoals de toetsen die je kunt indrukken... Je beperkt dan toch gewoon de hoeveelheid data die je wilt (kunnen) laten inputten? En escapet de invoer waar nodig voor je er mee aan de slag gaat, ivm injections... Dat is toch basis?

Is de firmware geschreven door stagiairs ?!

Dit is echt een grote fout (met in potentie grote gevolgen). Je zou je afvragen of dit met opzet is gedaan voor bepaalde inlichtingendiensten ofzo. Want dit is nogmaals gewoon basis qua beveiliging.

[Reactie gewijzigd door nl-x op 26 juli 2012 13:14]

Wat hebben inlichtingendiensten er mee te maken? Het is toch veel aannemelijker dat er ergens een programmeur een fout heeft gemaakt?
Wat hebben inlichtingendiensten er mee te maken? Het is toch veel aannemelijker dat er ergens een programmeur een fout heeft gemaakt?
De CIA suggereerde laatst echter iets leuks; "Backdoors in Skype", en "Backdoors in Windows" om 'kinderporno en criminele activiteiten tegen te gaan'.
Tsja.... Met liften heb je dit ook, als je op 'x' nummer drukt en tegelijkertijd de deuren sluit, gaat de lift meteen naar 'x' nummer, zelfs als er iemand voor je is. Dit is ook gedaan voor hulpdiensten, en het zou geen wonder zijn als dit soort dingen gebeuren met software/hardware.
"Maar in 5 jaar kun je veel."... Hmmz, volgens mij kan een hacker in 5 seconden evenveel. :D
In een ideale wereld, ja. Het gaat niet gebeuren omdat het teveel geld zou kosten.
Het lijkt me bij dit soort dingen juist veel beter een standaard steeds door te ontwikkelen en te verbeteren (zoals ook gebeurd is naar aanleiding van het vinden van deze kwetsbaarheid) dan steeds een nieuwe standaard te bedenken waarbij ongetwijfeld (want mensenwerk) weer nieuwe exploits gevonden worden.
Alleen al om innovatie te stimuleren en mensen scherp te houden.
Maar waarmee je kinderziektes en lekken door onervarenheid te introduceert. Ik weet niet of het wel zo'n goed idee is om telkens van standaard te wisselen.
Wordt toch wel lastig als de standaard van een rond wiel over 20 jaar niet meer gebruikt mag worden. Oh je had het alleen over computer standaarden? Nou dan mogen ze wel opschieten met het afschaffen van tcp en udp want de tcp standaard is er al sinds 1974.

Er is slechts een reden waarom men van een standaard zou afstappen en dat is als er een betere is.

Echter als je het artikel goed zou hebben gelezen had je geweten dat het probleem niet de standaard, maar de software op de terminals het probleem vormen. Daar zitten de buffer overflows en daarmee kan de hacker de exploit uitbuiten. Met de standaard zelf is niets mis.

Dat is hetzelfde als roepen dat de HTML standaard fout is omdat een website is gehackt. Een buffer overflow is het gevolg van meer informatie uitlezen dat je hebt gereserveerd. En zoals bij veel hacks komt het allemaal neer op input validatie. En het is duidelijk dat het in elk geval bij Verifone daar duidelijk aan schort aangezien niet alleen hun creditcard, maar ook hun pinpas terminals kwetsbaarheden bevatten. Daarbij moet wel worden aangerekend dat waarschijnlijk beide terminals een gemeenschappelijke basis hebben. Immers verschilt een credit/debet card niet zo heel erg veel van een pinpas. Het zijn voornamelijk de communicatie protocollen welke anders zijn..
Beter is om een standaard "verplicht" te stellen zichzelf na een X periode te moeten bewijzen op allerlei gebieden (afhankelijk van het type standaard). Dus als chipknip blijkt niet meer te voldoen aan de test, dan wordt ie bij de wet verboden.

Toch denk ik niet dat onze bange regering dat erdoor gaat krijgen. Te veel gelobby.
Het zou je goed staan als je even uitlegt waarom het een slecht idee is om standaarden te laten verlopen (is dat in dit geval wel zo?).

Hint: je vergelijking tussen zo'n standaard en een taal (die na zeer lange evolutionaire ontwikkeling redelijk fool-proof is) slaat nergens op, dus probeer die analogie los te laten, dat belemmert je gedachtengang.

[Reactie gewijzigd door mae-t.net op 26 juli 2012 17:02]

Leuke Artikelen om te lezen van de Black Hat conferentie.
Wat er allemaal wel niet gehacked kan worden... daar sta je in het dagelijkse leven niet bij stil! Vraag me wel altijd af, als black hatters dit kunnen dan hebben ze dit in het criminele circuit ook kunnen ontdekken. Wel goed hoe ze omgaan met de (vertrouwelijke) informatie.
Dit zat er dik aan te komen met de overstap naar emv. Je jaagt de dieven van het zichtbare deel van de automaten naar het onzichtbare deel. Skimmen is niet meer te herkennen. Bravo banken!
Om nog maar te zwijgen over de veel hogere slijtagegevoeligheid van die sleepcontactjes, steeds vaker dat je (met name bij parkeerautomaten) krijgt 'onbruikbare pas, draai om' |:(

Edit: ik zeg dus niet dat deze hack mogelijk is gemaakt met emv, maar het uitzoeken van de interne werking van zo'n apparaat is voor dieven noodgedwongen veel interessanter geworden waardoor de focus meer op de unit zelf ligt en dit soort 'bugs' automatisch sneller naar boven komen.

[Reactie gewijzigd door basz op 26 juli 2012 10:21]

Maar eigenlijk zeg je wel dat banken er geen goed aan hebben gedaan om EMV chiptechnologie te gebruiken. Vind ik een gekke redenering, want de fraude is wel degelijk om laag gegaan.
Bovendien kunnen criminelen bijzonder weinig met de hack die hier beschreven wordt. Alleen bij creditcards waar je het pasnummer ook overal op websites kunt gebruiken, kun je er wat mee... Maar de europese debit cards zit de beveiling in de chip van je pas. Dus als het automaat wordt gehacked is er nog niet heel veel aan de hand.
Zulke hacks zou je op een portemonnaie met contant geld nou nooit los kunnen laten. Leve de vooruitgang, zullen we maar zeggen.

@hoeschrijfjedit: goud is te onzeker van koers om grootschalig mee te betalen. Voor zover multinationals niet met geld betalen, ligt het eerder voor de hand dat ze diensten en producten ruilen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True