Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 100 reacties
Submitter: himlims_

Onderzoekers van de Universiteit van Cambridge hebben een manier gevonden om een emv-chip te kraken. Daarmee zouden kwaadwillenden pinpassen kunnen klonen, die banken in de huidige situatie niet van de echte kunnen onderscheiden.

De onderzoekers publiceerden hun bevindingen maandag in een paper, waarmee zij het emv-protocol onder de loep nemen. Zij schrijven in hun verslag dat de emv-chip allesbehalve veilig is en dat praktijkonderzoek dit heeft aangetoond. Dit betekent dat de chip, die door de banken juist werd geïntroduceerd om het kopiëren van pinpassen tegen te gaan, niet kan verhinderen dat iemand een betaalpas kan klonen.

De wetenschappers leggen met hun onderzoek twee 'ernstige' problemen van de chip bloot, die zij naar eigen zeggen beide in de praktijk aantroffen. Het eerste probleem heeft betrekking op de authenticatiecode, die de kaart genereert voor een transactie als iemand hem in een terminal stopt. Die code zou geheel willekeurig moeten zijn, zodat kwaadwillenden het getal van tevoren niet kunnen genereren. Door een gebrekkige implementatie van die functie worden echter helemaal geen willekeurige cijfers gegenereerd, zo stellen de onderzoekers na praktijkonderzoek.

Ten tweede toont het onderzoek aan dat zowel de betaalautomaat als de communicatie naar de bank toe kan worden gemanipuleerd, met alle gevolgen van dien. Een kwaadwillende, zoals een programmeur of een winkeleigenaar, kan de betaalautomaat bij toekomstige transacties een getal laten genereren door misbruik te maken van de slechte implementatie van de randomfunctie, te knoeien met de gebrekkige codegenerator of de authenticatiecode te veranderen die naar de bank wordt verstuurd. Vervolgens kan hij door de betaalautomaat aan te passen, toegang krijgen tot de bankpas en zo de authenticatiecodes van de pas opvragen. Tenslotte laadt hij die in op een gekloonde pas en kan hij met diezelfde, gemanipuleerde betaalautomaat geld opnemen. "Doordat de codes van de gekloonde pas overeenkomen met die van de 'echte' pas, kan de bank geen onderscheid maken tussen die twee."

De onderzoekers zijn geschrokken van hun bevindingen en zijn dan ook bepaald niet mals in hun conclusie. "Het emv-protocol is wereldwijd het meestgebruikte protocol voor betalingen met een pinpas. In Europa is het protocol vrijwel universeel, in Azië beginnen de banken het te gebruiken en in Noord-Amerika staat het in de kinderschoenen. Het protocol is al tien jaar in omloop en ruim een miljard bankpassen zijn ermee uitgerust. Pas nu beginnen academici, journalisten en de industrie zelf met nauwkeurig onderzoek naar emv. Keer op keer klaagden klanten over fraude en werd er door de banken verteld dat emv veilig is, dat de klanten zich vergisten of logen. En keer op keer bleken de banken het fout te hebben."

Volgens de wetenschappers hebben de banken het emv-probleem mogelijkerwijs ontkend of dachten ze dat het lastig was om een aanval uit te voeren, omdat daarvoor toegang nodig is tot fysieke bankpassen en er de mogelijkheid moet zijn om op bankautomaten de software aan te passen. Toekomstige protocollen moeten in de toekomst analytisch worden getest, zo vinden ze. "Ondertussen worden systematische risico's in de hand gewerkt door een structureel bestuurlijk falen."

Moderatie-faq Wijzig weergave

Reacties (100)

De beschrijving is naar mijn mening niet geheel correct. Het probleem van de genoemde aanvallen zit niet in de chip (de kaart) maar in de terminals (de kaartlezers), die niet voldoende randomness leveren voor de veiligheid van het protocol en onveilige communicatie gebruiken. De kaart presteert zoals gespecificeerd, het zijn de overige componenten in het systeem die het laten afweten.
Het is goed dat er eens goed naar een 10 jaar oude oplossing gekeken wordt en fouten er uit gehaald worden. In de markt is al lang bekent dat EMV niet onfeilbaar is, maar het is in ieder geval moeilijker te misbruiken dan het stomweg kopieeren van een magneetstrip.

Voor criminelen is het eenvoudig, pak het zwakste onderdeel, dus of dat het nu het vervalsen van echt geld is, skimmen van je betaalpas, of zelfs betaalterminals in de fabriek al modificeren, of inbreken om een betaalterminal in een winkel te modificeren, het is allemaal gedaan.

Voor de betaalinstanties is het stukken lastiger, afspreken wat de standaard wordt, die standaarden invoeren, terminals en achterliggende systemen updaten, etc. Dus nu maken ze het lastiger voor criminelen door geografische blokkades, emv in plaats van magneetstrip, etc.
Volgende stap kan wel eens een bankpas zijn die per betaling een extra code genereerd zoals met een token bij het opzetten van een vpn. Die passen zijn er al, maar ze zijn duur. Daarnaast kost de extra stap extra tijd bij het betalen en klagen de klanten weer dat het te lang duurt en de winkelier dat hij meer klanten kan afhandelen als het systeem sneller was.

Het probleem is simpel net als DRM, elke beveiliging die gemaakt wordt is te kopieeeren en te omzeilen, het is een kwestie van tijd en geld er in stoppen. We moeten er mee leren leven, en kunnen het de criminelen alleen zo lastig mogelijk maken.
Ze mogen van mij veranderen wat ze willen maar er zijn 2 nadelen met het nieuwe pinnen die me de strot uitkomen.

1. veel pin apparaten zijn er simpelweg niet klaar voor en daarbij moet je regelmatig je pas weer uithalen insteken en doen alsof je hem af veegt omdat dat ding volgens mij niet gemaakt is om zo veel gebruikt te worden op die manier.
Vooral supermarkten hebben hier last van.

2. De pas verslijt erg snel omdat het gedeelte van de chip dikker is en ik zit binnen een jaar al aan mijn 2de pas. Gelukkig kreeg ik van de rabo al een nieuwe maar ook deze slijt erg snel op de chip en de vraag is hoe lang hij mee gaat. En dat terwijl ik niet eens zo veel pin.
Ik ben niet van plan ieder jaar voor een nieuwe pas te betalen a 10 euro omdat ze dit leuke nieuwe pinnen zo lekker ongetest doorgevoerd hebben.
Heb ook een Rabopas, maar herken die problemen totaal niet. Ik moest vroeger juist vaker opnieuw "swipen" met de magneetstrip dan nu opnieuw het pasje erin steken. Ook het pasje is nu van een veel betere kwaliteit dan vroeger.
Was een beetje afhankelijk, de nieuwe rabo passen zijn wel een stuk steviger. De vorige liet de chip vrij snel los.

Mag ik je eens vragen, om op de codes van de random reader te letten.
Hier werd toch al voor gewaarschuwt door onderzoekers, toen de banken overstapte op de emv chip.
Gelukkig hebbend e banken zich zelf ingedekt, door de verantwoording van verdachte transacties bij de gebruiker neer te leggen.

Overigens ben ik ook van mening, dat de random reader niet geheel veilig is. Zie te vaak de zelfde combinatie cijfers of wel ervalt iets in te voorspellen.

Nee, liever een portemonnee met cash geld er in, dan ben je te minste er zelf bij als je berooft wordt en kan de verzekering uitkeren.
Jep, zie oa nieuws: Pincode emv-chip blijkt vatbaar voor skimmen - update
De onderzoekers noemen verder het emv-standaard inadequaat en onnodig complex. Ook vinden ze het zorgelijk dat de bewijslast bij eindgebruikers wordt geplaatst als er fraude heeft plaatsgevonden, omdat het emv-standaard als veilig wordt beschouwd door banken.
terug naar het oude pinnen, was nog sneller ook. En je kon bij de supermarkt al pinnen terwijl de kassière nog bezig was met scannen van de producten, en vervolgens je boodschappen inpakken, je hoefde alleen nog maar op "oke" te drukken.

[Reactie gewijzigd door yousql op 19 mei 2014 18:13]

;) Het oude pinnen (magneetstrip) was bepaald niet veiliger. Naast het feit dat de magneetstrip nog veel makkelijker te klonen was dan de huidige EMV chip, is er met de invoering van EMV meer en betere encryptyie toegevoegd.
Maar de gemiddelde bank denkt nu dat skimmen niet meer mogelijk is terwijl dit dus een leugen is. Dit terwijl de banken beweren dat mensen liegen die beweren geskimd te zijn. Met andere woorden, de bewijslast werd omgedraait en dat is natuurlijk zeer kwalijk.
Het oude pinnen mag dan niet veiliger zijn, daar zat wel het besef dat mensen geskimd zouden kunnen worden, waardoor klachten beter afgehandeld kunnen worden. Nu wordt er gedaan alsof men het ei van Columbus uitgevonden hebben. Als je af en toe hoort en ziet hoe schandalig banken kunnen doen tegen klanten dan kun je je voorstellen wat voor tafrelen er zich voordoen in NL. Want vooral in NL waar veel gepind wordt is zeer kwetsbaar en dus de 1ste aanvalsvector om dit soort zaken uit te testen.
GEEN enkele beveiliging is 100% waterdicht. Wanneer leert men dit nu eens. Het doen van zulke uitspraken door banken is zeer schadelijk (ook voor henzelf).
Klopt, je slaat de spijker op zn kop. Ik zie nu je reactie pas, terwijl ik verder naar onder staande verhaal aan het typen was over aansprakelijkheid, met dezelfde strekking. Dat is nml het echte issue.

(edit voor completere zinnen).

[Reactie gewijzigd door Grrrr op 19 mei 2014 20:35]

Het protocol is al tien jaar in omloop en ruim een miljard bankpassen zijn ermee uitgerust.
Ten tijde dat de eerste passen werden uitgegeven kan het heel goed heel veilig zijn geweest,
het probleem is wanneer de geest eenmaal uit de fles is. Vandaag de dag zie je informatie supersnel verspreiden door internationale bendes. Nu lijkt het nog een theorie, maar het zal me niet verbazen dat de tests zijn gedaan na bevindingen door cliënten van banken en dat het concept al wordt toegepast.

Een voorbeeld waren auto's die gestolen werden zonder enige vorm van inbraak. De beveiliging werd gewoon onklaar gemaakt en de fabrikanten bleven keihard ontkennen.

Het lijkt alsof de kosten van fysiek geld dusdanig hoog zijn dat giraal geld een oplossing lijkt, alleen de risico's die er aan verbonden worden nimmer realistisch in beeld gebracht.
Een voorbeeld waren auto's die gestolen werden zonder enige vorm van inbraak. De beveiliging werd gewoon onklaar gemaakt en de fabrikanten bleven keihard ontkennen.
Ook een zeer pakkend en vergelijkbaar voorbeeld inderdaad waarop dezelfde naïviteit (van de autobedrijven) van toepassing is. Je moet altijd scherp blijven en nooit gemakzuchtig.
Het lijkt alsof de kosten van fysiek geld dusdanig hoog zijn dat giraal geld een oplossing lijkt, alleen de risico's die er aan verbonden worden nimmer realistisch in beeld gebracht.
Daarom moet ik ook zo 'lachen' om die commercials die op dit moment op TV te zien zijn over 'Pinnen mag', waarin men zegt dat het veiliger voor jezelf en de ondernemer is. Ik kan zo een aantal tegen opmerkingen daarvoor verzinnen.
Dan is zo'n onderzoek als dit publiceren nuttig en behulpzaam (als de bank beweert dat EMV veilig is stuur je ze de link). Teruggaan naar het oude systeem, wat nog veel brakker is, puur en alleen omdat iedereen het er dan over eens is dat het zo lek is als een zeef... daar zie ik de logica niet helemaal van in...
GEEN enkele beveiliging is 100% waterdicht. Wanneer leert men dit nu eens. Het doen van zulke uitspraken door banken is zeer schadelijk (ook voor henzelf).
In principe: klopt. Bij elke digitale communicatie is het per definitie mogelijk om beveiligingen, checksums, authenticaties of wat dan ook goed te gokken: elk bitje is een nul of een één, bij elk bitje dat je stuurt goed gokken en je bent binnen. De redenatie is enigszins vergelijkbaar met die apen die Shakespeare's werken typen.
In de praktijk kun je de kans dat dát lukt willekeurig dicht naar nul brengen: elke keer dat je het password, de handtekening, de code die moet worden ingevoerd langer maakt wordt de kans op goed gokken kleiner. Bij afdoende lengte van de code én het ontbreken van zwaktes in het protocol en de implementatie, zal het ongeveer even lang duren voordat je een authenticatie goed gokt als dat het die apen kost om Shakespeare na te typen.
De onveiligheid zit tegenwoordig dan ook niet meer in de lengte van sleutels e.d. (nou ja, voor dit soort embedded chips wel), maar in de gebruikersinterface. Hoe zorg je ervoor dat iedere Nederlander een private key onthoudt die digitaal niet te kraken is? Dat is onmogelijk, en dus verzinnen we shortcuts waarmee we het veilig proberen te houden zonder al te veel aan gebruiksgemak in te boeten. Helaas krijg je daarmee altijd aanvalsvectoren: pincode wordt afgekeken, computers en telefoons worden gehackt, noem het maar op.
Dan is zo'n onderzoek als dit publiceren nuttig en behulpzaam (als de bank beweert dat EMV veilig is stuur je ze de link). Teruggaan naar het oude systeem, wat nog veel brakker is, puur en alleen omdat iedereen het er dan over eens is dat het zo lek is als een zeef... daar zie ik de logica niet helemaal van in...
Uiteraard is dat niet de oplossing. Wel het besef dat niks 100% veilig is en mensen niet negeren die beweren dat het systeem in de praktijk te kraken is / gekraakt is.
Van een techniek die niet helemaal waterdicht is, terug naar een techniek die zo lek is als een mandje ?
misschien hadden ze emv chip iets verder uit kunnen ontwikkelen en dan op de markt kunnen brengen. Waarom moet het zo veel trager zijn van de magneetstrip, hoewel de techniek alleen maar sneller is geworden?
2 factor pin.

Je geeft je pin nummer, de bank stuurt jou een sms en ook die code voer je in
Kaart klonen is dan leuk maar men moet ook toegang tot jou sms hebben.
Nope: nieuws: 'Banktransacties verifiëren via sms is zeer onveilig' - update

Daarbij heeft nog niet iedereen een mobiel. Het is zeldzaam, maar niet onmogelijk.
Als je of bankiert met je telefoon zelf of als je malware installeert nadat je dat via je PC gevraagd is. Je moet in dat laatste geval alsnog als hacker toegang tot twee onafhankelijke systemen hebben en weten dat ze bijelkaar horen. Dat is relatief lastig, ten eerste omdat de telefoon toevallig van het juiste type moet zijn en ten tweede omdat er meer momenten zijn dat mensen kunnen gaan twijfelen aan de transactie of gewoon iets fout doen tijdens de installatie van de malware waardoor het niet werkt.

Er is wat voor te zeggen om geen smartphone te gebruiken als je makkelijk in fishpogingen trapt, maar buiten dat is het systeem toch wel een van de veiligere.

[Reactie gewijzigd door mae-t.net op 19 mei 2014 22:32]

Pinnen is al two-factor: iets dat je hebt (pas) en iets dat je weet (code). Volgende keer je iets dat je bent er bij scannen dan maar (duim of wijsvinger)?
2 factor zie ik als iets anders.

De eerste stap is je pin, systeem check deze en weet dat jij het bent.
Ter controle krijg je via een ander system, sms een unieke code die je via het eerste systeem moet ingeven.

Beide systemen werken onafhankelijk van elkaar. Een aanvaller die toegang heeft tot het eerste system en zelfs een kloon maakt van jou kaart heeft geen toegang tot het 2de systeem jou sms.

2 systemen is veiliger dan 1.

Ik geef sms maar als voorbeeld en nee praktisch in de winkel is het niet maar feit is dat huidige systemen dus schijnbaar lek zijn.

Ik ben benieuwd naar andere alternatieven.
Neemt niet weg dat @Rafe nog steeds gelijk heeft, @bbob1970, maar je maakt het inderdaad wel veiliger door twee dingen te vereisen die je moet bezitten, naast het weten van de pincode.
Het gaat eerder om 2 dingen die los van elkaar staat. 2 aparte systemen.

pinpas is te klonen en de pincode te onderscheppen via malafide apparatuur.

Hetzelfde probleem zou je trouwens hebben met betalen via je mobiel. Met een malafide app of malware kan je rekening ook geplunderd worden.

Het enige dat werkt zijn 2 gescheiden systemen.
Een SMS bericht lijkt me ook niet echt de ideale situatie, moet je eerst je mobiel weer voor de dag halen, bericht gaan lezen en gaan intypen in de pinterminal.
Voor internetbankieren vind ik dit prima, maar in de winkel lijkt me dat toch echt te traag.

Je zou dan eigenlijk 10 vragen beantwoord moeten hebben bij je bank en dat er daar *willekeurig* een aan je wordt voorgelegd, zonder dat het apparaat echt weet wat vraag is. De skimmer zou het antwoord kunnen uitlezen, maar wat was de vraag? En de volgende keer krijg je als het goed is weer een andere vraag, dus schiet de skimmer er nog niet echt veel mee op, tenzij ze echt gericht antwoorden gaan zoeken, maar dat bezorgd de skimmer ook weer veel werk natuurlijk.

Bij vragen zou je kunnen denken aan een geboortedatum, huisnummer, postcode, geluksgetal, aantal kinderen, of er zijn vast nog wel meer vragen die jij wel meteen weet, maar de skimmer niet.
Dat is ook een mogelijkheid, terminals hebben meestal echter maar een beperkt aantal tekens. Daarnaast bij skimmen van jou bankpas zijn tegenwoordig via internet de gegevens die je noemt vrij eenvoudig te achterhalen.

Neemt niet weg dat het ook een voorbeeld is van hoe het zou kunnen.
En daarmee ga jij een bloemkool, fles cola en een rolletje mentos betalen bij Albert Hein? Hoop dat ik niet achter je in de rij sta!
misschien hadden ze emv chip iets verder uit kunnen ontwikkelen en dan op de markt kunnen brengen

De EMV techniek is er al jaren, en het is ook helemaal niet bijzonder dat er nu een zwakheid gevonden wordt. Dat wordt altijd en kon je verwachten.

Als je naar de zwakheid hier kijkt zie je twee zaken:
1) Deze is enorm veel moeilijker dan een klassiek magneetstrip, en vereist manipulatie van de ATM/geldautomaat terwijl bij de magneetstrip de hacker alles 100% offline kan doen. De hacker moet dus nu eerst een geldautomaat hacken
2) De zwakheid is geen fout in het EMV protocol, maar de implementatie.

De zwakheid is overigesn een klassieke, want een niet geheel random generator. Dat was overigens niet nieuw en al langer bekend van EMV. Nieuw is enkel dat deze onderzoekers nu een end-to-end hack hebben bedacht.

Het is dus gewoon kwestie van bij de nieuwe EMV chip-revisie de random generator te verbeteren zodat die weer wel random genoeg is. Aangezien pasjes toch al een natuurlijke vervangingsratio hebben van elke paar jaar lost het probleem zich dus vanzelf op.

Aanvullend zijn er ook maatregelen in de ATM / geldautomaat mogelijk.

Dat de onderzoekers 'geschrokken' zijn is meer voor de PR dan dat ze een wereldschokkende ontdekking hebben gedaan. Er is niemand in de EMV industrie of bankwereld die ook maar een seconde dacht dat EMV 100% waterdicht zou zijn.

EDIT: typos

[Reactie gewijzigd door Armin op 19 mei 2014 22:39]

Dat de onderzoekers 'geschrokken' zijn is meer voor de PR dan dat ze een wereldschokkende ontdekking hebben gedaan. Er is niemand in de EMV industrie of bankwereld die ook maar een seconde dacht dat EMV 100% waterdicht zou zijn.
Dat lijkt mij nou juist het echte probleem: dat ze weten dat het niet waterdicht is , maar de boel op z'n beloop laten, en pas actie gaan ondernemen als dit soort dingen in de publiciteit komt. Het lijkt mij dat de hack-mogelijkheid die nu door deze groep onderzoekers naar voren is gebracht, al bekend was binnen "de EMV industrie", die weten immers precies hoe de protocollen in elkaar zitten en dus waar de zwakke punten zitten. Je zou vanuit die kant, en vanuit de banken, een wat meer proactieve houding mogen verwachten om hierin continu te verbeteren.
Als je de PDF leest zie je dat dat ook niet het geval is maar de onderzoekers de zaak aandikken.

Er is een continue verbetering van de EMV. Zo beschijvende onderzoekers eerder al probleem in Frankrijk (waar traditioneel PIN codes minder gebruikelijk zijn en je dus EMV + handtekeing vaker ziet), waar malware de zaak onderschept en tegen de EMV chip zegt dat er een handtekening transactie plaatsvindt, maar tegen de bank een PIN-trasnactie en vervolgens bijbehorende vervalste data opstuurt. Deze is echter inmiddels gedicht.

Ook geven de onderzoekers toe, dat een deel van de zwakheden zoals gevonden, inmiddels (onderzoek is al een jaar oud) gefixt zijn.

Verder wordt er verwezen naar diverse varianten van de standaard, waaruit ook blijkt dat er een continue aanpasing en leerprocess plaatsvindt. Juist de proactieve houding waar jij naar verwijst, vindt wel degelijjk plaats. Niet altijd, immers niet elke bank is hetzelfde, maar "de EMV industrie" als geheel wel.

Het is in security altijd een continue process. De onderzoekers doen alsof de banken een in steen vastgebijteld systeem gebruiken, terwijl ze zelf goed weten dat dat niet zo is.
Er is niemand in de EMV industrie of bankwereld die ook maar een seconde dacht dat EMV 100% waterdicht zou zijn.
Ik zit niet in die wereld dus ik kan dit niet ontkrachten, maar de banken hebben toch wel keer op keer gezegd dat het veilig was en bij elk probleem de bal bij de klant gelegd.
Als je toch weet dat het niet 100% waterdicht is dan zou je niet zo stellig zijn in je bewering dat het waterdicht is. Dat is het feit waar je zo van schrikt. Dat, ondanks dat het niet veilig is, er wel de indruk wordt gewekt dat het veilig is en het de oplossing voor alle problemen is.

Als puntje bij paaltje komt blijkt elektronisch betalen gewoon kwetsbaar te zijn.
Daar ben ik het wel geheel mee eens.

Om die redden betaal ik altijd met creditcard wanneer mogelijk. In Nederland wordt je dan meestal vies aangekeken door de winkelier, en daar heb ik ook begrip voor dus in die gevallen betaal ik vaak dan wel met klassieke betaalpas. Maar geldautomaten en andere publieke automaten (NS) zien mijn betaalpas eigenlijk nooit meer.

Het voordeel van credit card is dat er nihil risico voor mij is. Ik betaal immers metgeld van de bank, en bij fraude even bellenen de kaart en het problem is 'weg'.

Ook geen last van garantie claimen, want als de winkelier onredelijk lastig is, terugboeken en problem is ook opgelost.

Immers zoals je aangeeft is electronisch betalen kwetsbaar, en ik wikl geen directe link naar mijn bankrekening. Een charge- of creditcard is dan wel zo veilig. Zeker in het buitenland of online.
Mijn ervaring is dan ook niet dat het trager is geworden, in onze winkel niet in elk geval, maar er zijn natuurlijk verschillende modellen waar onderling verschil tussen kan zitten
Dat idee heb ik ook. De kubusjes bij mijn lokale AH zijn voor mijn gevoel stukken langzamer dan de nieuwe automaten die de NS op stations heeft met contactloos pinnen.
Die nieuwe zijn ook echt sneller ;)

Maar dit zie je wel vaker hoor. Digitaal zappen op de TV is ook altijd vele malen langzamer geweest dan het oude analoge zappen. Pas bij hele recente modellen begint het die snelheid iets te benaderen.

En de oudere ov-chip kaart readers zijn ook tergend langzaam, terwijl de nieuwere wel redelijk snel zijn. De oudere (van die gele met zo'n onleesbaar display) worden nog wel heel vaak gebruikt helaas.

Probleem is dat er toch wel wat berekeningen nodig zijn, en dat de veel embedded apparaten worden uitgerust met de meest goedkope chips die maar bestaan. Als een 2 maal snellere chip ook maar 1 cent duurder is, dan toch nog kiest men voor die goedkopere versie. Idioot, maar met die ene cent kan een project letterlijk staan of vallen.

Veel embedded chips zijn ook niet zelden letterlijk van het niveau commodore 64; een hoop CPUs uit de begindagen van de home computer worden nu nog steeds gebruikt voor embedded toepassingen.
Is het niet zo dat je nog steeds de pin code nodog hebt om uberhaupt iets te kunnen met de pas? Of wordt dit hiermee juist omzeilt?
> En je kon bij de supermarkt al pinnen terwijl de kassière nog bezig was met scannen van de producten, en vervolgens je boodschappen inpakken, je hoefde alleen nog maar op "oke" te drukken.

Ik hoop dat je begrijpt dat dat niet ligt aan of je de strip of de chip gebruikt. En bij de Albert Heijn kan dat gewoon nog steeds.
Misschien pin jij nog bij een zaak die niet over lan zijn pin aangesloten heeft. :P Heb er geen last van dat het traag gaat iig.
Op deze manier hoef je dus eigenlijk alleen maar iemand zijn bankpas te stelen.
Je kloont de pas checkt via de randomreader of de code klopt, 3 kansen en de kaart is geblokkeerd, je pakt een nieuwe kloon en je hebt weer 3 kansen.

[Reactie gewijzigd door 913nn op 19 mei 2014 20:59]

misschien domme vraag, maar staat het op de kaart zelf dat deze geblokkeerd is?
Anders heeft het geen zin wat je zegt. De kloon is namelijk identiek toch?, dus ook een nieuwe kloon zou door 'het systeem' als geblokkeerd gezien worden.
Het lijkt mij wel dat dit op de kaart zelf staat, anders zou ik dus gewoon een andere randomreader kunnen pakken en het alsnog 3 keer kunnen proberen.

Dit word door de randomreader naar de emv-chip geschreven.
Een kloon die je daarvoor hebt gemaakt gaat daarom gewoon werken.

[Reactie gewijzigd door 913nn op 20 mei 2014 10:08]

Niet juist. Net als dat via verbinding met de bank je beschikbare saldo gechecked wordt, wordt ook de kaartstatus geckecked. De blokkade vindt aan de achterkant plaats, en de gekloonde kaart is dus ook geblokkeerd.

Precies zo als Tiny zich afvraagt dus ;)

[Reactie gewijzigd door Grrrr op 20 mei 2014 10:00]

Nee de randomreader die gebruikt word voor internetbankieren kan alleen de pas blokkeren, dit staat niet in verbinding met het banknetwerk.
Het is wel zo dat als de pas als gestolen word opgegeven het geblokkeerd word en de kloon die je daarvan hebt kan alleen nog gebruikt worden om de pincode te achterhalen via de randomreader.


@Grrrr
Wat Tiny vraagt is of de gekloonde pas geblokkeerd word door het systeem, dit word dus alleen geblokkeerd als de bank de pas in hun systeem heeft geblokkeerd.

Stel ik steel een pas en deze is niet als gestolen opgegeven, dan heb ik alle tijd om eerst meerdere kloons te maken en met het randomreader apparaat bij elke kloon 3 maal te raden naar de pincode.
Als ik dan uiteindelijk de pincode weet dan werkt deze kloon ook gewoon in de pinautomaat als deze nog niet als gestolen is opgegeven.
De kloons zijn namelijk nog niet geblokkeerd door de randomreader.
Ik ga er toch vanuit dat de randomreader niet bijhoud wat nou geblokkeerd is, dan zal er geheugen in moeten zitten. ( het staat in de chip van de pas)

[Reactie gewijzigd door 913nn op 20 mei 2014 12:38]

Ha, interessante nieuwe invalshoek. Ik kende de random reader niet qua werking, maar bij onderzoek zie ik dat deze de offline pin verification methode gebruikt. Een zeer onveilige methode trouwens, de meeste banken ondersteunen alleen online pin verification, en configureren de pinpas ook zo dat dit enkel online kan. Hiermee kan hetgeen je suggereert (onbeperkte pin pogingen met kloon passen) voorkomen worden.

Desalniettemin sluit ik niet uit dat ook bij offline pin verifiaction (zoals bij de random reader) er geen onbeperkt aantal pogingen toegelaten wordt. De randomreader zal het idd niet bijhouden, maar de chip zelf kan dit wel. Dus wat mij betreft nog geen conclusies.
Afgezien van de aangegeven zwaktes, hebben alle methodes hun zwaktes, maar de crux zit hem eigenlijk in de laatste zin (zoals gewoonlijk)
"Ondertussen worden systematische risico's in de hand gewerkt door een structureel bestuurlijk falen."
Het welbekende probleem, ook waarmee veel ICT-projecten (bij de overheid) uit de hand lopen. Mensen die er geen verstand van hebben die eisen stellen die projecten doet ontsporen, en dit is dus het zoveelste geval.
Net zoals Johan Derksen (voor de sportievelingen hier) in VI altijd zegt, je moet iemand uit het (voetbal)wereld met verstand van zaken als bestuurder neerzetten in een bedrijf. Die de bedrijfssector kent en de mogelijkheden van de producten die ze maken.
In elke andere tak van sport / bedrijfsleven geldt dit ook. Kijk maar bij KPMG (ook geen accountant aan het hoofd), sportclubs, ziekenhuizen en sommige banken. Mensen die geen verstand van de zaken hebben moeten zich niet inhoudelijk gaan mengen in de dagelijkse gang van zaken, maar lekker doen waar ze goed in zijn.
Bij KPMG kwamen de bestuurders juist altijd uit het eigen bedrijf, zie ook de recent afgetreden bestuurder:
http://managementscope.nl/manager/jaap-van-everdingen

Sinds '83 in dienst van het bedrijf, jarenlang partner. Je hebt hier het verkeerde voorbeeld te pakken :)
Het niet 100% waterdicht zijn van EMV is trouwens al oud nieuws. Ik denk dat eerder genoemde YouTube link over hetzelfde gaat, deze kan ik echter in de trein niet openen. Zie ook: http://www.fraudehelpdesk.nl/nieuwsbericht/nieuwe_pinnen_kwetsbaar_voor_skimmers, al uit 2012.
idd, naar mijn weten wisten de banken dit zelfs al VOOR 2012 :/ maar het zal wel een "acceptabel" risico zijn geweest.
Serieuze reactie: ik kan me voorstellen dat het inderdaad ook acceptabel IS. Elke oplossing is een afweging van veiligheid vs kosten.
In de video door GeoBeo gelinkt is ook te zien dat de fraude bemoeilijkt wordt doordat er een transaction counter wordt bijgehouden aan de kant van de partij de de transactie moet authoriseren (de bank). Door dit soort extra maatregelen (er zijn er meer, zoals patroonherkenning ed. ) is dit soort fraude wellicht niet 100% te voorkomen, maar wel te detecteren.

Het echte issue hier is aansprakelijkheid. Banken en Card Schemes (Visa/Mastercard) hebben tot nu toe steeds gesteld dat EMV zo veilig is dat fraude (op getoonde manieren) niet kan voorkomen. Dus in geval van fraude draait de klant voor de schade op, tenzij de fraude bewezen is.

Omdat er geen adequate maatregelen lijken te worden genomen door genoemde partijen in de betaalwereld, wordt nu wederom de publiciteit gezocht.

De nu (opnieuw) gepubliceerde vulnerability lijkt te verhelpen door een beter implementatie van de random number generatie. Ondertussen hebben we in de afgelopen jaren een enorme afname gezien in het skimming fraude. Dus ja, ik denk dat het risco idd acceptabel is geweest. Maar de verantwoordelijkheid voor fraude bij de gedupeerde klant leggen niet!

update: zie ook RELIABILITY OF CHIP & PIN EVIDENCE IN BANKING DISPUTES

[Reactie gewijzigd door Grrrr op 19 mei 2014 20:54]

Wat ik nog steeds niet snap is dat het toetsenbord voor het intypen van de pin niet op de pas zelf zit.

edit: Het nadeel ervan is dat jouw pin-cijfers veel harder afslijten dan de andere.

[Reactie gewijzigd door cbravo2 op 19 mei 2014 18:40]

Dit is inmiddels technisch mogelijk. Maar het is gewoon een risicoanalyse van de banken. Het toevoegen van zo'n pinpad op alle kaarten is waarschijnlijk duurder dan de fraude die wordt gepleegd.
daarnaast is het ook mogelijk de communicatie tussen chip en lezer te manipuleren. om compatibel te zijn met de "oude" versie EMV kunnen de terminals zowel de pincode encrypt als unencrypt communiceren door een thickfilm insert in sleuf van de terminal kan je die laten denken dat de ingestoken kaart een "oud" model is, met alle gevolgen vandien.
Volgens mij gaat dat niet werken.

De EMV chip stuurt namelijk een unieke per-transatcie code, en niet de betaalgegevens zelf. Die onderscheppen is leuk, maar laat je nog geen kaart klonen.

De truc van deze hack is nu net dat de code schijnbaar te voorspellen is door gebrekkige implementatie-fouten. Dus niet EMV zélf is kwestbaar maar de kaarten gebruiken voorspelbare codes. Het PDF artikel geeft ook al aan dat banken begonnen zijn met het aanpakken van dit probleem.

Aanvullend beweren de hackers dat men in de ATM of POS een aanval kan uitvoeren, waarbij de code vervangen wordt. Die laatste is werkelijk gevaarlijk, maar vereist een hack van de ATM/POS hetgeen een grote drempel is voor de meeste criminelen.

Ook kan de betreffende pas dan ook enkel daar gehackt worden. Ofwel, als criminelen bij de HEMA mijn pas op die manier 'skimmen' kan men ook enkel op die automaat bij de HEMA mjin transacties kapen. Bij de AlbertHein een straat verderop echter niet.

Het is dus vooral interessant bij geldautomaten. Maar laat daar nu weer makkelijker aanvullende veiligheid mogelijk zijn, én dan anders dan bij skimmen van vandaag meteen duidelijk is waar de bron van de ellende zit. Immers niet jouw pasje wordt geskimmed, maar de automaat en dus alle gebruikers. Het is dus meteen zichbaar dat een hele series transacties, ipv een enkele transactie.
punt is dat encryptie wordt uitgeschakeld. en dan makkt het niet meer uit of een key of algoritme veilig is of niet!
zie: nieuws: Pincode emv-chip blijkt vatbaar voor skimmen - update
Encryptie wordt niet uitgeschakelt. Dan heb je het niet goed begrepen. De PIN-code kan onversleuteld verstuurt worden. De rest van de kaart is nog steeds versleuteld.

Dat is dus geen skimmen, al snap ik de verwarring aangezien de oorspronkelijke onderzoekers over 'PIN skimmen' spreken. Maar de kaart kan niet gekloond worden.

De PIN alleen heb je niets aan. Staat ook in het artikel:

"However, in order to use the harvested PIN, the skimmer must either steal the customer's card or read out the card's magnetic strip and clone the card"

Deze aanval is dus vooral bruikbaar in zogenaamde mixed-landen waar magneetstrip en EMV nog parallel gebruikt worden. In de EU dus waardeloos, zeker omdat de meeste banken de pas uitschakelen voor gebruik buiten Europa.

Plus dat er een vrij makkelijke bescherming is, door offline transacties gewoon niet aan te bieden of op de POS of op de kaart. Dat is de gangbare modus voor betaalpassen in de EU. Het gaat hier dus vooral om credit- en charge cards met EMV chip, en vooral buiten Europa.

De aanval zoals in dit Tweakers bericht is veel relevanter/enger, aangezien daar daadwerkelijk een transactie uitgevoerd kan worden. Dat is veel erger dan het lek dat jij aandraagt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True