symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Schweizer Postomat-Netz offline
Veröffentlicht durch Ventilator am Dienstag 10. Juli 2007, 12:17
Aus der Schwere-Ausnahmeverletzung Abteilung
Wirtschaft Gemäss einer Medienmitteilung der Post sind seit heute morgen um 05:00 Uhr sämtliche schweizer Postomaten ausser Betrieb. Grund dafür sei ein misslungener Update der Software auf diesen Geräten. Ob das Update im Zusammenhang mit den bereits seit Jahren bekannten Sicherheitsmängeln der Postcard zusammenhängt, war nicht in Erfahrung zu bringen. Der Bezug an EC-Automaten und die bargeldlose Bezahlung in Geschäften sei von dem Ausfall nicht tangiert.

LUGS übernimmt Patenschaft für einen Königspinguin | Druckausgabe | .ch Domänen werden erneut günstiger.  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Medienmitteilung der Post
  • Sicherheitsmängeln der Postcard
  • Mehr zu Wirtschaft
  • Auch von Ventilator
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Keine Sicherheitsmängel (Score:3, Interessant)
    Von P2501 am Tuesday 10. July 2007, 13:25 MES (#1)
    (User #31 Info) http://www.p2501.ch/

    Soviel kann ich schon mal sagen: Mit der angeblichen Sicherheitslücke der PostCard hat das Softwareupdate nichts zu tun.

    Da ich selbst Besitzer einer PostCard bin, habe ich selber nachgeforscht. Meine anfängliche Skepsis hat sich inzwischen in Gewissheit verwandelt... zugunsten der Post. Die Beweisführung des CCCZH hat schwere Lücken:

    1. Die alte PostCard ist zwar technisch praktisch mit der CarteBleu identisch, nicht aber der Zahlungsablauf. Unter anderem verlangt die Post nach eigenen Angaben eine Authorisierung auf dem Zentralrechner (die Authorisierung durch die Karte selbst reicht nicht). Dies ist ohne "Hackversuch" nicht vollständig nachprüfbar, auf jeden Fall sind aber Zahlungen nachweislich nicht möglich, wenn der Zentralrechner nicht erreichbar ist.
    2. Es gibt ein (praktisch nie verwendetes) Verfahren, um mit mit PostCard ohne PIN zu bezahlen. Dafür muss aber, ähnlich wie bei Kreditkarten, ein durch den Zahlenden unterschriebener Beleg, oder ein anderer, eindeutiger Beweis eingereicht werden.
    3. DebitDirect ist das LSV der Post, und hat mit der PostCard prinzipiell nichts zu tun. Eine Verbindung besteht nur insofern, dass bei YellowBill, einem Zahlungsabwicklungsservice der Post für Webshops, Postkunden "DebitDirect" als Zahlungsart wählen können. In diesem Fall wird neben dem Postkonto noch die Nummer der PostCard als Authorisierungsmerkmal abgefragt. Wie bei LSV-Systemen üblich, muss daraufhin der Zahler informiert werden, wonach er die Zahlung innert 30 Tagen stornieren kann.
    4. Die Frage, warum das System nicht entfernt wurde, wenn es nicht sicherheitsrelevant ist, lässt sich ohne Recherche leicht beantworten: Wegen der Kompatiblität zu Terminals, die noch nicht EMV-fähig sind.
    5. Security by obscurity mag in unseren Kreisen unüblich sein, bei Banken und Versicherungen ist es hingegen Standard. Auch EMV, welches auf der "neuen" Postcard, der Maestro, MasterCard, Visa, TravelCash, RekaCard etc. eingesetzt wird, ist nicht völlig offengelegt.

    --
    Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.

    Re: Keine Sicherheitsmängel (Score:2)
    Von Obri am Tuesday 10. July 2007, 14:38 MES (#2)
    (User #466 Info) http://www.aubry.li
    Mir fallen bei deinem Posting zwei sachen auf:

    1: Es gibt Offline Bezahlterminals. Kann sein dass die vor kurzer Zeit abgeschafft wurden, aber so ca. vor einem Jahr gab es die noch. Man konnte dort mit einer gesperrten Karte bezahlen wenn man die vorher nicht in einen Online Automaten gesteckt hat.

    2: Ist die Videoüberwachung in Parkhäusern ein eindeutiger Beweis? dort kann man oft ohne PIN und Unterschrift bezahlen.

    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Re: Keine Sicherheitsmängel (Score:2)
    Von P2501 am Tuesday 10. July 2007, 15:26 MES (#4)
    (User #31 Info) http://www.p2501.ch/

    Es gibt Offline Bezahlterminals. Kann sein dass die vor kurzer Zeit abgeschafft wurden, aber so ca. vor einem Jahr gab es die noch. Man konnte dort mit einer gesperrten Karte bezahlen wenn man die vorher nicht in einen Online Automaten gesteckt hat.

    Die so genannten Offline-Terminals gibt es, aber der Name ist leicht irreführend. Diese Terminals beherrschen nämlich den Offlinebetrieb zusätzlich zum Onlinebetrieb. Bei der "alten" PostCard ist nur Onlinebetrieb erlaubt.

    Das Problem mit den gesperrten Karten im Offlinebetrieb existiert aber (innerhalb der Limite) tatsächlich. Zwar kann eine Blacklist an die Offlineterminals gesendet werden, aber diese wird logischerweise erst beim nächsten Datenabgleich eingespielt.

    Ist die Videoüberwachung in Parkhäusern ein eindeutiger Beweis? dort kann man oft ohne PIN und Unterschrift bezahlen.

    Gute Frage. Wenn der Nachweis nicht gelingt, liegt das Risiko jedenfalls beim Anbieter (wie bei Kreditkartenzahlungen ohne PIN und Unterschrift).


    --
    Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.

    Re: Keine Sicherheitsmängel (Score:2)
    Von Obri am Tuesday 10. July 2007, 15:35 MES (#5)
    (User #466 Info) http://www.aubry.li
    > aber diese wird logischerweise erst beim nächsten Datenabgleich eingespielt.

    Die Karte war für eine Woche gesperrt. Die Sperre hatte bei allen Migrol Tankstellen keine Auswirkung.


    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Re: Keine Sicherheitsmängel (Score:3, Interessant)
    Von P2501 am Tuesday 10. July 2007, 16:05 MES (#6)
    (User #31 Info) http://www.p2501.ch/
    Die MIGROL Dinger sind ne Sache für sich. Das sind nämlich keine Terminals im eigentlichen Sinne: Sie lesen effektiv nur die Kartennummer aus und speichern sie (zusammen mit Betrag und Datum). Mehr können sie nicht. Das Risiko liegt logischerweise voll bei der MIGROL. Das selbe gilt für die PIN-losen Parkscheinautomaten.

    --
    Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.

    Magnetstreifen (Score:1)
    Von adi (adiAUFkoalatuxPUNKTch) am Tuesday 10. July 2007, 15:06 MES (#3)
    (User #1723 Info) http://koalatux.ch/

    Postomaten brauchen (zusätlich zum Chip?) den Magnetstreifen. Magnetstreifen kann man zwar kopieren, aber man braucht immer noch die PIN um damit Geld abzuheben, was beim Carte-Bleu-Chip nicht so ganz der Fall ist. Daher hat dieses Software-Update wohl eher weniger mit den aufgezeigten Sicherheitslücken zu tun.

    Ich habe mal eine Liste angefangen, wo meine halb kaputt gegangene Postcard funktioniert und wo nicht.

    BTW: Hier gibt es einen Mirror der Postcard-Sicherheit-Webseite mit besserem™ Design ohne Frames (vorerst nur in der deutschen Version, hatte noch keine Lust/Zeit das auch mit den Übersetzungen zu machen).


    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen