computerwoche.de

Security

Defcon 19

Spielplatz für Hacker aller Couleur

07.08.2011
Von 
Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.
Alle Posts des Autors Email: Connect:

Sicherheiten der neuen Bankkarten fraglich

Aufsehen erregte der Vortrag mit dem Titel "Chip & PIN is definitely broken" (PDF-Download der Präsentation). Darin ging es um die Sicherheitsfunktionen der neuen Bankkarten von Europay, Mastercard und Visa (EMV), die aktuell von Banken ausgegeben werden. Als Grund dafür wird vor allem eine erhöhte Sicherheit angegeben. Das Problem dabei: Aufgrund verschiedener Abwärtskompatibilitätsfunktionen lassen sich auch die neuen Karten von Kriminellen relativ einfach auslesen. So zeigten die Forscher etwa Hardware, mit denen sich POS-Terminals so manipulieren lassen, dass sie alle Daten der Karte, inklusiver der PIN, im Gerät speichern. Die Kriminellen müssten nur in regelmäßigen Abständen vorbeikommen und mit Hilfe einer speziellen Karte die Daten auslesen.

Ein manipuliertes Terminal, mit dem sich Daten der neuen Karten auslesen lassen.
Ein manipuliertes Terminal, mit dem sich Daten der neuen Karten auslesen lassen.
Foto: Inversepath, Aperture Labs

Besonders unbefriedigend ist die Antwort der Hersteller. Mastercard-Sprecher Jan Lundequist tätigte beispielsweise in einem Interview die Aussage, dass das komplette EMV-System zu komplex für eine einfache Lösung sei. In den Niederlanden habe man das Problem allerdings in den Griff gekriegt, so die Forscher. Dazu habe man allerdings eine neue Firmware ausrollen müssen. Der Nachteil: Die Terminals arbeiten nur noch mit einer Kartengeneration zusammen, besitzt ein Nutzer eine andere Karte, schlägt die Transaktion fehl.

Laut den Forschern von InversePath und Aperture Labs ist die neue EMV-Lösung keine passende Lösung, sondern sollte mit einer einfacheren und saubereren Lösung ersetzt werden. Diese sollte vor allem eine fehlerfreie Verschlüsselung bieten und so Man-in-the-Middle-Attacken und das Abfangen von Daten verhindern. Zudem sollte das System so konzipiert werden, dass die Endpunkte, die in den Geschäften stehen, grundsätzlich nicht als vertrauenswürdig gelten, die PIN-eingabe und Verifikation sollte über die Karte selbst erledigt werden.

Eine weitere mögliche Lösung wäre, die anfällige Offline-Verifikation komplett zu deaktivieren - diese ist laut den Forschern einer der Hauptgründe und sowohl Banken in Europa wie auch den USA würden sie nur selten nutzen.