'Beveiliging bankkaarten is gekraakt'

[Master Vanhu Botie]

'De beveiliging van bankkaarten aan de hand van een computerchip en een pincode is door en door gekraakt en kan niet meer als zeker beschouwd worden.' Die duidelijke woorden komen van Ross Anderson, een befaamde Britse computerexpert. Volgens Anderson zijn de fundamentele problemen met het systeem al langer bekend maar hebben banken ze onder de mat geveegd.

Het zwakke punt zit hem blijkbaar in het feit dat de communicatie tussen bankkaart en betaalterminal zelf niet beveiligd is. Of beter gezegd: er vindt geen authenticatie plaats, geen uitwisseling van data die de terminal kan verzekeren dat hij wel degelijk met een echte bankkaart aan het 'praten' is. Op die manier zijn de toestellen in winkels dus relatief makkelijk om de tuin te leiden door hen iets voor te spiegelen wat er niet is.

Niet dat er bij een mogelijke 'hack' geen kaart meer aan te pas komt. Integendeel: door de zwakke beveiliging kan je een terminal blijkbaar wijsmaken dat hij tijdens de transactie geen pincode moet vragen. De machines geven dus netjes een betaling door aan de verkoper, ook wanneer iemand met een gestolen kaart komt aandraven waarvan hij de pincode niet kent. Anderson demonstreerde het truukje aan enkele journalisten, met hun eigen bankkaart als slachtoffer.

Enige troost: een kaart die geblokkeerd is, kan hoe dan ook niet meer betaald worden. Daar staat echter tegenover dat banken voorlopig geen terugbetaling voorzien voor de bedragen die tussen de diefstal en de blokkering gespendeerd werden.

http://blogs.tijd.be/tzine/2010/02/beve ... eloos.html

[EMH]

Tja, uiteindelijk is alles wat verzonnen wordt uiteindelijk te kraken. En als er gezegd wordt dat het niet te kraken valt is dat juist de uitdaging voor aantal personen om het te gaan proberen.

[Punisher]

Tja, uiteindelijk is alles wat verzonnen wordt uiteindelijk te kraken. En als er gezegd wordt dat het niet te kraken valt is dat juist de uitdaging voor aantal personen om het te gaan proberen

Het is niet zo dat "alles te kraken valt". zie b.v. one time pad. Ook zijn er systemen waarvan niet aangetoond kan worden dat ze veilig zijn, maar nog steeds niet gekraakt zijn (soms zelfs al 30 jaar, zie bv. RSA of DES).

Hoe dan ook, het is me aan de hand van dit nogal slecht geschreven artikel in ieder geval nog steeds niet duidelijk het probleem nu precies is ... Het overvloedige gebruik van "blijkbaar" en vage omschrijving doen me vermoeden dat dit geschreven is door iemand die deze demonstratie heeft gezien en verder geen enkele research ...

[GPS]

Ik heb m'n werkzame leven grotendeels doorgebracht bij financiële instellingen. Waarbij één van mijn taken was, uitzoeken hoe het nu weer mis kon zijn gegaan..
Geloof me. ALLES wat door mensen is bedacht, is door andere mensen te vervalsen, te kraken, open te breken etc. Het is net als de bewapeningswedloop. De één vindt een perfect pantser uit, de andere een granaat die er door vliegt.

De kwestie in dit soort zaken is ook niet om iets te maken wat niet te kraken etc. valt. Maar om iets te maken waarvan het vervalsen/kraken de moeite niet loont, om dat het te ingewikkeld is of omdat de kosten van het crimineeltje spelen niet opwegen tegen de baten.

[Paulstartrek]

dat was ook mijn gedachten achter de opmerkingen van punisher. Alles is te kraken. Als iets dat nog niet is gekraakt dan is er nog niet genoeg tijd en moeite, geld ingestopt.

[Punisher]

dat was ook mijn gedachten achter de opmerkingen van punisher. Alles is te kraken. Als iets dat nog niet is gekraakt dan is er nog niet genoeg tijd en moeite, geld ingestopt.

In het geval van het onetime pad kun je bewijzen dat het onkraakbaar is. Zie bv http://en.citizendium.org/wiki/One-time_pad
In andere gevallen (b.v.: RSA, DES, AES) kan dat niet, maar is er wel jarenlang onderzoek naar gedaan (Sommigen al 30 jaar) en nog steeds niet echt gekraakt ... Dit is natuurlijk geen garantie dat het onkraakbaar is, maar zegt toch wel iets over de "kraakbaarheid" van dit soort systemen.

Waar het mij om ging is dat a) Dit artikel slecht geschreven is, en tot geen enkel nut dient b) Dit artikel mensen alleen maar angst aanjaagt, wellicht voor een klein of niet bestaand probleem[*] en c) Niet "alles" te kraken valt, er is tenminste 1 systeem waarvan 100% zeker is dat het veilig is, maar er zijn wellicht ook nog niet uitgevonden systemen waarvan dat te bewijzen is.

* Mooi voorbeeld was de "gekraakte" SSL van een paar jaar terug, dit was een non-issue gebaseerd op een oude versie van SSL (Met MD5 hashes), inmiddels gebruikte iedereen al SHA hashes en was het probleem al voorkomen.
Toch opende het nieuws er groot mee.

[GPS]

Het spijt me. Maar als iets nog niet gekraakt is, wil dat nog niet zeggen dat het niet mogelijk is. Dergelijke dingen zijn gemaakt door mensen (of door machines die zijn ontworpen/bediend door mensen). Dat impliceert dat die zelfde mensen (of met dezelfde/betere kennis) het ook kunnen (af)breken.

Het moet alleen wel de moeite zijn.

[Punisher]

^ Dat zeg ik toch ook niet ...

[GPS]

^ Dat zeg ik toch ook niet ...

Hoe moet ik dit dan lezen?

In het geval van het onetime pad kun je bewijzen dat het onkraakbaar is.......................en c) Niet "alles" te kraken valt, er is tenminste 1 systeem waarvan 100% zeker is dat het veilig is, maar er zijn wellicht ook nog niet uitgevonden systemen waarvan dat te bewijzen is.

Het probleem met alle systemen is dat behalve dat ze door mensen gemaakt zijn, ze ook door verschillende (vaak heel veel) mensen gebruikt moeten worden. Het toegankelijk maken van welk systeem dan ook, maakt de kans dat het gekraakt kan worden groter.

Overigens ben ik het wel met je eens dat dit soort artikelen alleen maar onnodig paniek zaait.