'PIN-pas lijkt fundamenteel lek'
| Uitgegeven: | 13 februari 2010 12:36 |
| Laatst gewijzigd: | 13 februari 2010 12:46 |
AMSTERDAM - Britse wetenschappers hebben de beveiliging van PIN-passen gekraakt. Betalingen zijn te doen zonder PIN-code, dankzij vervalsing van de authenticatie. Het EMV protocol moet op de schop.
Goedkope standaardelektronica, een laptop met een speciaal scriptje, een gestolen pas in een kaartlezer en een speciale namaakpas zijn de enige benodigdheden. De totale kosten bedragen nog geen duizend dollar, inclusief de laptop. De elektronica is zonder diepgaande kennis samen te stellen, waarschuwen de onderzoekers van de universiteit van Cambridge.
De wetenschappers hebben hun aanvalsmethode met succes uitgevoerd op enkele echte betaalautomaten in winkels. Daarbij zijn PIN-passen van de grote Britse banken getest: Barclays, Halifax, Bank of Scotland, HSBC, John Lewis en de Co-operative Bank. Die passen zijn allemaal kwetsbaar bevonden, zegt dr. Steven Murdoch van het Cambridge-team. PIN-automaten waar geld wordt opgenomen, zijn niet vatbaar voor deze kraak van de EMV-beveiliging (Europay, Mastercard, VISA).
Kraak
De nu geopenbaarde PIN-kraak is een 'man in the middle'-aanval waarvoor geen inbraak nodig is op de geldautomaten zelf of op het netwerk van banken en betalingsverwerkers. De elektronica en het script onderscheppen namelijk de communicatie tussen de echte pas en de geldautomaat. De dief kan een willekeurige PIN-code invoeren en het kraaksysteem laat de automaat weten dat die correct is.
De combinatie van de goedkope, makkelijk zelf te maken elektronica, de laptop en de speciale namaakpas vormt de 'man in the middle'. Dit doet denken aan de (fictieve) ATM-kraak in de film Terminator 2, maar dan zonder het tijdrovende ontcijferen van de pincode. Dat gebeurt tegenwoordig ook in de praktijk al, maar daarvoor is nog wel diefstal van blokken versleutelde PIN-codes nodig.
Netwerk
De in april vorig jaar onthulde encryptiekraak mikt op zwakke plekken in het netwerk waarover het betalingsverkeer loopt. Dit is in Nederland niet aan de orde. Al drie jaar niet meer, reageerde de Nederlandse Vereniging van Banken toen tegenover Webwereld. De kraakmethode die de Britten nu onthullen, laat het betalingsnetwerk echter geheel onberoerd.
In zowel de oude Terminator-film als in de realiteit van de Cambridge-kraak is toegang tot een PIN-machine voldoende, met dan een kleine computer en de daaraan gekoppelde aparte elektronica. De Cambridge-wetenschappers stellen dat hun opstelling nog relatief groot is en dat criminelen het makkelijk kunnen verkleinen. De miniaturisatie in skimapparaten voor PIN-automaten is al bewijs van de kunde van criminelen, melden de onderzoekers.
Zij hebben hun bevindingen in december vorig jaar bekend gemaakt aan diverse vertegenwoordigers van de banksector en aan regulerende instanties voor het bankwezen. We hebben tot op heden geen enkele response van de banksector gekregen, afgezien van hun persberichten, merken de vier onderzoekers droog op in hun Q&A.
Details
De details van de kraak worden uiteengezet in een technische paper (pdf). Verder presenteren de vier hun bevindingen op het IEEE Symposium on Security and Privacy, dat in mei plaatsvindt in Californië (VS).
De universiteit van Cambridge doet al geruime tijd onderzoek naar de beveiliging van het PIN-systeem. Daaruit zijn al eerder zwakke plekken naar voren gekomen, wat in april vorig jaar ook is genoemd in verband met een Britse rechtszaak over 'spookopnames' van grote geldbedragen. Die zaak tegen de bank Halifax is uiteindelijk door de rechter afgewezen.
ZIE OOK:
| 16/12/2009 | 'Opvolger pinpas is al gekraakt' |
|
| 15/11/2009 | Recordaantal pinbetalingen in 2009 | |
| 11/04/2009 | Explosieve toename pinpasfraude op stations |
 Reageren? Ga naar NUjij.nl |
 Mail/tip de redactie |
 Foto bij dit bericht? Stuur hem op! |
 Zoek nieuws over dit onderwerp |
 Afdrukken |
- Hoofdeconoom om politiek weg bij ECB
- 'Schuldencrisis bedreiging voor hele wereld'
- '2012 wordt jaar van de waarheid'
- 'Veel belangstelling Gasopslag Bergermeer'
- Veel belletjes over claims World Online
- Geringe kans op hogere bijdrage VS aan IMF
- Kwart koopt spullen waar geen geld voor is
- China blijft investeren in economie
- 'Maandag overleg Europese ministers van Financiën'
- Groot-Brittannië gaat banken splitsen
- Loon topmanagers VS stijgt fors
- AFM pakt flitskredieten aan
- Congres VS keurt begroting toch goed
- Werkgevers willen arbeidsmarkt hervormen
- Energiebedrijven kampen met meer wanbetalers
- Grootste werkgevers: 37.000 banen weg
- Moody's verlaagt rating van België
- Argentijnse economie snelt vooruit
- Fitch waarschuwt Frankrijk en andere EU-landen
- EFSF heeft 600 miljard voor aanpak crisis
- Snoepgigant LEAF fuseert met Zweeds Cloetta
- Rusland mag lid WTO worden
- Volgende stap FNV medio januari
- Ruime meerderheid voor bezuinigingen Italië
- EU en IMF breken gesprekken Hongarije af
- Inbraak in kantoorpand Nederlandsche Bank
- FDP blijft achter noodfonds voor euro staan
- Trojka en Griekenland boeken vooruitgang
- Spaanse schuld loopt op
- 'Houd rekening met verdieping crisis'
- Recordwinst voor Siemens Nederland
- Kabinet zet invoering bankenbelasting door
- Grieken verwachten toch faillissement
- ECT dreigt Havenbedrijf met schadeclaim
- Franse minister bezorgd over Britse economie
- NMa beboet Greenchoice
- 'Pensioenfondsen staan er niet slecht voor'
- Fitch verlaagt rating grote banken
- Lichte recessie dreigt in Frankrijk
- Bankpresident Kosovo vrijuit
- 'Garanties eurofonds tijdelijk hoger'
- S&P somber over vooruitzichten banken VS
- Rutte wil Britten er bij houden in Europa
- Banken en Grieken ruziën over omvang verlies
- Ondernemingskamer stelt wanbeleid vast bij Landis
- S&P verlaagt rating van tien Spaanse banken
- Frankrijk neemt Britse economie onder vuur
- PvdA vindt europakket heel zwak maar meer dan niks
- Aanvullende begroting Duitsland voor ESM
- Nederland leent IMF 17 miljard euro
