Chronologie der Krise

Wie aus einer Immobilienblase eine Weltwirtschaftskrise wurde…

Wie man Konten via EC-Karte ohne PIN leerräumen kann…

Posted by hw71 - 13. Februar 2010


Eine halbe Ewigkeit haben die Banken behauptet, das System mit der PIN bei EC- und Kreditkarten sei sicher: ohne PIN könne man mit einer gestohlenen Karte kein Geld abheben! Nun haben britische Forscher bewiesen, dass das doch geht! Und viele bisher ungeklärte Betrugsfälle liesen sich damit erklären!

Gefunden bei heise.de:

12.02.2010 15:20

PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt

Britische Forscher der University of Cambridge haben einen Weg beschrieben („Chip and PIN is Broken„, PDF), mit der sich das EMV-Verfahren bei EC- und Kreditkarten aushebeln lässt, sodass Karten scheinbar beliebige PINs akzeptieren. Damit steht der Bankenbranche nach dem EC-Karten-Debakel Anfang des Jahres weiterer Ärger ins Haus – und es entstehen berechtigte Zweifel an den Sicherheit des gesamten Systems.

Die neuen Erkenntnisse könnten viele Betrugsfälle erklären, in denen gestohlene Karten für Einkäufe in Geschäften benutzt wurden, obwohl das EMV-Terminal die Eingabe einer PIN erfordert. Viele Opfer behaupten Stein und Bein, die PIN nirgendwo notiert und nicht weitergegeben zu haben. Es soll sogar Fälle gegeben haben, bei denen die Mitteilung über die PIN noch verschlossen im Schrank lag – das Opfer die PIN also selbst gar nicht kannte.

Das EMV-Verfahren (benannt nach Eurocard, Mastercard und Visa) soll die Karten vor dem illegalen Kopieren etwa mittels Skimming schützen und den bisher üblichen Magnetstreifen ersetzen. Das EMV-Verfahren bedient sich kryptografischer Methoden, mit der ein Kartenterminal die Echtheit einer Karte verifizieren und mit ihr kommunizieren kann. Allerdings gibt es offensichtlich einige Schwachpunkte sowohl in der Spezifikation als auch in der Implementierung, was die Authentifizierung bestimmter, zwischen Karte und Terminal ausgetauschter Nachrichten angeht.

Dem Bericht zufolge ist es möglich, durch eine Man-in-the-Middle-Attacke dem Terminal vorzugaukeln, die Karte hätte eine eingebene PIN akzeptiert, während man der Karten vortäuscht, das Terminal hätte auf die Legitimation mit Unterschrift zurückgeschaltet. Im Folgenden wird der Bezahlvorgang dann aber normal autorisiert und das Terminal druckt einen Beleg aus, auf dem „Verified with PIN“ steht.

Für den von Steven J. Murdoch, Saar Drimer, Ross Anderson und Mike Bond durchgeführten Man-in-the-Middle-Angriff bedarf es nicht viel: Mit einem Kartenadapter lässt sich der Verkehr zwischen einer Originalkarte und dem Terminal über einen PC mit einer speziellen Schnittstelle umleiten. Alle Nachrichten zwischen Terminal und Karte leitet der PC unverändert weiter. Nur wenn das Terminal ein Verify-PIN-Kommando an die Karte schickt, fängt der PC diesen Befehl ab und antwortet mit dem Code 0x9000, der dem Terminal signalisieren soll, dass die PIN gültig ist – dieser Code ist immer gleich. Dabei ist es an dieser Stelle völlig egal, welche PIN ein Angreifer im Terminal eingibt; sie erreicht ohnehin nie die Karte.

Der Angriff funktioniert laut Bericht sowohl im Online- als auch im Offline-Verfahren. Die BBC hat auf ihren Seiten einen Film zu einer Demonstration eines praktischen Angriffs in der Cambridge-Mensa veröffentlicht. Sobald aber eine Karte gesperrt ist, soll der Angriff nicht mehr funktionieren. Vom Bankautomaten lässt sich über den Trick jedoch kein Geld abheben, dort prüft nämlich nicht die Karte die PIN, sondern der Server der Bank.

Nach Meinung der Forscher sei der ganze EMV-Protokoll-Stack „kaputt“ und müsse überarbeitet werden. Ross Anderson, der bereits in der Vergangenheit mehrfach Lücken im EMV-Verfahren aufgedeckt hat, betonte gegenüber heise Security:“Das EMV-Verfahren ist zu komplex und unübersichtlich – wie Windows.“ Nach Meinung von Steven Murdoch, einem der Co-Autoren, sei das in Deutschland angewandte Verfahren das gleiche wie in UK (Großbritannien und Nordirland). Eine Antwort des Zentralen Kreditausschuss (ZKA) zu der Problematik steht noch aus. Anderson ist sich sicher, die Antworten deutscher Banken auf eine offizielle Anfrage zu kennen: „Die Spezifikationen verhindern einen Angriff.“ Das sei jedoch nicht der Punkt: die Implementierung sei fehlerhaft.

Jedesmal wenn Anderson und seine Kollegen genauer hinschauten, tue sich ein neues Problem im EMV-Standard auf. Er sei sich sicher, dass es weitere Lücken gebe – und mindestens eine, die auch betrügerische Abhebungen an Bankautomaten erklärte. Mit dieser Aussage eines international renommierten Experten dürfte es Banken in Zukunft schwerer fallen, Gerichten glaubhaft zu machen, Missbräuche von EC-Karten seien allein auf die Sorglosigkeit von Kunden zurückzuführen.

Advertisements

Eine Antwort to “Wie man Konten via EC-Karte ohne PIN leerräumen kann…”

  1. […] Wie man Konten via EC-Karte ohne PIN leeren kann […]

Sorry, the comment form is closed at this time.

 
%d Bloggern gefällt das: