Britse betaalautomaten met paperclip gekraakt
Onderzoekers hebben een manier ontdekt om op Britse betaalautomaten ingevoerde pincodes dankzij een paperclip te stelen. Voorheen probeerden pinpasfraudeurs de pincode via verborgen camera's te filmen. Om de efficiëntie te verhogen werden daarna de apparaatjes zelf vervangen. In Nederland gebeurde dat op grote schaal met de HFT201.
Onderzoekers Steven Murdoch en Saar Drimer hebben nu ontdekt dat bij verschillende modellen, waaronder de Ingenico i3300 en Dione Xtreme, er kabels van de betaalautomaat zijn waarover onversleutelde pingegevens worden verstuurd. De betaalautomaat zou tegen fysieke aanvallen beveiligd moeten zijn, die is echter vrij simpel via een paperclip te omzeilen, waarna de informatie af te tappen is. "Deze aanval is in staat om de pincode te stelen omdat Britse banken voor goedkopere kaarten hebben gekozen die geen asymmetrische cryptografie gebruiken om de data tussen de kaart en automaat te versleutelen", aldus onderzoeker Saar Drimer.
En dit bracht meteen een tweede probleem aan het licht, namelijk de certificering van de machines. Visa certificeert betaalautomaten aan de hand van hoe ze voorkomen dat pincodes gestolen worden. Een van de vereiste is het gebruik van 3DES om de pincode te versleutelen zodra die wordt ingevoerd. Doordat het niet mogelijk is om ingevoerde codes direct te versleutelen is er enige vrijheid wanneer dit moet plaatsvinden. Het feit dat deze betaalautomaten toch gecertificeerd werden is omdat de onversleutelde data zich binnen het apparaatje bevindt.
"Niets aan de hand"
Visa en betrokken fabrikanten ontkennen dat er een gevaar is en dat de aanval alleen in een testomgeving mogelijk is. Daar zijn de onderzoekers het resoluut niet mee eens, omdat er al gevallen bekend zijn waarbij er via deze manier pincodes werden gekopieerd. Dimer spreekt zelfs over één geval waarbij er een bedrag van acht cijfers werd gestolen.
Een ander opmerkelijk punt is dat de onderzoekers Visa en de fabrikanten van de betaalautomaten al in november vorig jaar hebben ingelicht en dat er pas vorige week voor het eerst werd gereageerd. Visa deed dit slechts enkele minuten voor de presentatie. "De geleerde lessen zijn niet beperkt tot het geldverkeer. Andere gebieden, van stemcomputers tot medische dossiers, leiden aan dezelfde combinatie van stomme fouten, slechte controles en tegenwerkende autoriteiten. Het publiek wordt gedwongen om op de veiligheid van een systeem te vertrouwen. We hebben eerlijke evaluaties van de beveiliging nodig die openbaar zijn en open voor kritiek", aldus professor Ross Anderson.
10.000.000 cameras om de burger in de gaten te houden.
alle overheid zooi wat op straat te komt te liggen.
en toch dood leuk zeggen, niets aan de hand, ga maar slapen.
doet me denken aan het voorval in 1944..
internet voor een uitprint, maar alles werd versleuteld, tot
en met het uploaden van bestanden naar de FTP-serfver toe.
En deze lui in Engeland versleutelen zelfs je pincodes niet??
Vertrouwen...wat is dat toch een moeilijk woord !
alle testen kunnen ook in de praktijk worden omgezet.
10.000.000 cameras om de burger in de gaten te houden.
alle overheid zooi wat op straat te komt te liggen.
en toch dood leuk zeggen, niets aan de hand, ga maar slapen.
doet me denken aan het voorval in 1944..
hadden ze nog geen bewakings cameras hoor. Het doet mij meer denken
aan George Or well met zijn 1984. Kijk maar hoe ze in steeds meer steden
de auto ken tekens foto graferen om achter stallige belasting te innen. Wie
niet meer dan een fiets heeft, ont springt de dans.
10.000.000 cameras om de burger in de gaten te houden.
alle overheid zooi wat op straat te komt te liggen.
en toch dood leuk zeggen, niets aan de hand, ga maar slapen.
doet me denken aan het voorval in 1944..
nuttige reactie weer, probeer je privacy reacties alleen bij
privacy onderwerpen te plaatsen aub.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.