symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Sicherheitslücke in schweizer Postcard
Veröffentlicht durch Ventilator am Donnerstag 28. Dezember 2006, 07:31
Aus der 320-Bits-are-enough-for-everyone Abteilung
Security Chaostreff Aargau / Zürich Menschen schreibt: "Am Chaos Communication Congress (23C3), der vom 27. bis 30.12.2006 in Berlin tagt, wurde von Bernd Fix im Vortrag A not so smart card eine gravierende Sicherheitslücke der in der Schweiz weit verbreiteten Postcard-Debitkarte öffentlich gemacht, dies nachdem die PostFinance sowie das Departement Leuenberger (UVEK) 4 Jahre (!) lang Zeit hatten die Sicherheitslücke auszumerzen."

"Die auf französischer Technologie von 1983 basierende Karte, angewandt z.B. bei der Carte bleue, findet scheinbar bis heute unverändert Anwendung bei der Postcard.

Im ROM-Bereich der Karte vorkommende chiffrierte Informationen sind mit einem 320 bit RSA-Schlüssel "gesichert", der auf einem handelsüblichen PC schon 2002 innert 24h geknackt werden konnte. Damit wird es möglich, eigene gültige Karten herzustellen. Einzig dafür benötigte Informationen, um einen Kartenklon anzufertigen, beschränken sich auf die Postkartennummer sowie das Valuta-Datum.

Obwohl die Franzosen den privaten Schlüssel, nachdem die Sicherheitslücke von einem französischen Ingenieur aufgedeckt wurde, von 320 auf 768 Bit erhöht haben, ist die PostFinance scheinbar an keiner Erhöhung der Sicherheit, zumindest basierend auf dieser Technologie interessiert. Sie hat in einem Brief an den Vortragenden im Dezember 2006 behauptet ihre Karten basierend auf dem EMV-Standard auszuliefern, nur hat Bernd Fix erwähnt, dass ihm bisher keine solche Karte in die Quere gekommen sei.

Selbst würden die neuesten Karten der Post tatsächlich als EMV-Karten ausgeliefert, so blieben zumindest bis 2010 vulnerable Karten im Umlauf, da Postcards über eine Laufzeit von 4 Jahren verfügen. (Angenommen die EMV-Karten werden seit irgendwann im Jahre 2006 angefertigt.)

Der PIN ist auf der Karte gespeichert und ist nicht Teil des Authenfikationssystems der Karte - sie dient einzig dazu schreibenden Zugriff auf den beschreibbaren Bereich der Karte zu erhalten, womit jede Transaktion auf der Karte festgehalten wird. Der Speicher der Postcard reicht in etwa zum Festhalten von 4000 Transaktionen aus, weshalb überhaupt herauskam, dass mit der Karte etwas nicht stimmen würde. Ein Student in der Schweiz hat die Karte einst umtauschen müssen, weil er es geschafft hat den Speicher vollzuschreiben, den die PostFinance für eine Laufzeit von 4 Jahren als ausreichend einzustufen scheint.

Bernd Fix macht zudem auf einen vom Chaostreff Zürich eingetragenen Workshop, der am 29.12.2006 (3. Tag) des 23C3 ab 20:30 stattfinden wird, aufmerksam, an dem in Rekordzeit der private Schlüssel der PostFinance verteilt auf diverse Rechner errechnet werden wird."

Gewinner und Verlierer im 2006 (digitale Medien) | Druckausgabe | Polit-Skandal im Jura aufgrund gefälschter E-Mails  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Chaos Communication Congress
  • Chaos Computer Club
  • Was ist ein Wiki?
  • Wikipedia
  • Chaostreff
  • Chaos Communication Congress (23C3)
  • A not so smart card
  • Departement Leuenberger (UVEK)
  • Carte bleue
  • EMV-Standard
  • Mehr zu Security
  • Auch von Ventilator
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    bitter... (Score:1)
    Von nikee am Thursday 28. December 2006, 10:27 MEW (#1)
    (User #725 Info)
    PostFinance hat in meinen augen mit ihrer e-banking lösung schon sehr früh einen guten, einfachen service angeboten. sie hat es auch verstanden, schaltergeschäfte zu minimieren und für mich als kunden wartezeiten zu vermindern und mehrwert zu bieten (in echtzeit konten eröffnen, fonds einkaufen etc.). allerdings scheint sich die abteilung, die für bargeldloses bezahlen zuständig ist, nicht den selben prinzipien verschrieben zu haben.

    es erstaunt mich eher, dass bei uns in der schweiz noch nie so richtig geld abgezogen wurde mit generierten karten.
    Re: bitter... (Score:1)
    Von DrZimmerman (tbaumgartner BEI swissonline PUNKT ch PUNKT remove) am Thursday 28. December 2006, 13:29 MEW (#7)
    (User #1385 Info)
    da ist noch zu erwähnen dass das eBanking der PostFinance doch auch schon in den Schlagzeilen war wegen der Sicherheit?
    Re: bitter... (Score:2)
    Von P2501 am Thursday 28. December 2006, 13:36 MEW (#8)
    (User #31 Info) http://www.p2501.ch/
    Meines Wissens nur im Zusammenhang mit Phishing. So wie fast alle anderen Finanzinstitute auch.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: bitter... (Score:0)
    Von Anonymer Feigling am Thursday 28. December 2006, 18:08 MEW (#15)
    Und mit W32-Würmern, die mittels den Notebooks der Support Mitarbeiter ins Netz des Zahlungssystems kamen...
    Re: bitter... (Score:0)
    Von Anonymer Feigling am Thursday 28. December 2006, 19:39 MEW (#16)
    http://www.infoweek.ch/archive/ar_single.cfm?ar_id=11219&ar_subid=2&sid=0
    Re: bitter... (Score:2)
    Von P2501 am Friday 29. December 2006, 09:39 MEW (#20)
    (User #31 Info) http://www.p2501.ch/
    Das ist zwar peinlich, aber kein Sicherheitsproblem. Ein solches würde bestehen, wenn ein Trojaner engeschleppt würde.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: bitter... (Score:0)
    Von Anonymer Feigling am Saturday 30. December 2006, 10:56 MEW (#23)
    Kein Sicherheitsproblem? wie war das noch mal mit
    Confidentiality
    Integrity
    Availability
    mindestens A hat doch einigermassen gelitten und I war mindestens für durch den Wurm infizierte Kisten auch nicht mehr wirklich in Ordnung.
    Re: bitter... (Score:2)
    Von P2501 am Sunday 31. December 2006, 15:20 MEW (#25)
    (User #31 Info) http://www.p2501.ch/
    Vom rein technischen Standpunkt der Informationssicherheit und Datensicherheit hast du recht. Nur: Die meisten Leute, auch die meisten Informatiker, verstehen unter dem Begriff etwas anderes. Für die ist "Sicherheitsproblem" gleichbedeutend mit entweder einer Gefahr für Leib und Leben oder mit einem Datenschutzproblem. Denn Begriff für etwas anderes zu verwenden, ist reisserisch.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Ein paar Anmerkungen (Score:2)
    Von P2501 am Thursday 28. December 2006, 10:48 MEW (#2)
    (User #31 Info) http://www.p2501.ch/

    Naja, ganz so übel ist die Sache nun auch nicht. Immerhin braucht der Dieb ja physikalischen Zugriff auf die Karte und einiges Fachwissen. Es gibt einfachere Wege, an eine PIN zu kommen. Und wenn ich die Karte verliere, kann ich sie wie jede andere Karte auch sperren. Schlimmstenfalls kommt ein unehrlicher Finder an eine kodierte Liste mit meinen Einkäufen (Datum, Zeit, Betrag und Nummer des POS-Geräts). Dass die auf dem Chip gespeichert ist, ist im Übrigen kein Geheimnis.

    Nach offiziellen Angaben hat die Post ihre Infrastruktur im April 2004 für EMV eingerichtet. Seit Januar 2005 werden die Geschäfte gewarnt, dass Zahlungen auf nicht EMV-tauglichen POS-Geräten teilweise nicht mehr funktionieren. Frühestens seit dann dürften die neuen Karten also im Umlauf sein. Übrigens kann man sich jederzeit gegen eine kleine Bearbeitungsgebühr eine neue Karte ausstellen lassen.


    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: Ein paar Anmerkungen (Score:1)
    Von greybeard am Thursday 28. December 2006, 10:59 MEW (#3)
    (User #412 Info)
    Es gibt einfachere Wege, an eine PIN zu kommen.
    Wie? Mit einer Phishing-Seite und dem Text "Bitte tippen sie Ihre access card ab"?
    Re: Ein paar Anmerkungen (Score:2)
    Von P2501 am Thursday 28. December 2006, 11:40 MEW (#4)
    (User #31 Info) http://www.p2501.ch/

    Das betrifft Online-Banking (ist aber ein viel grösseres Problem). Kartenklone kann man so nicht herstellen.

    Nein, der übliche Weg ist es, beim Raub der Karte den Besitzer um die PIN zu "bitten". Vor einiger Zeit war auch eine nette Masche mit manipulierten Geldautomaten im Umlauf.


    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: Ein paar Anmerkungen (Score:1)
    Von greybeard am Thursday 28. December 2006, 12:15 MEW (#5)
    (User #412 Info)
    Nein, der übliche Weg ist es, beim Raub der Karte den Besitzer um die PIN zu "bitten".
    Ja klar. Pure Gewalt funktioniert. Ist aber nicht Post-spezifisch, also off-topic.
    Re: Ein paar Anmerkungen (Score:2)
    Von P2501 am Thursday 28. December 2006, 12:53 MEW (#6)
    (User #31 Info) http://www.p2501.ch/
    NACK. Offtopic wärs erst, wenn die Methode bei der PostCard nicht funktionieren würde. Wie zum Beispiel die seit 20 Jahren bekannten Methoden, EC-Card Magnetstreifen zu kopieren (hint hint).

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: Ein paar Anmerkungen (Score:0)
    Von Anonymer Feigling am Thursday 28. December 2006, 15:42 MEW (#11)
    Entschuldigung mal, aber hast du das Paper gelesen?

    Du brauchst keine PIN, das heisst jeder der eine Karte stiehlt kann zum Experten seines vertrauen und eine Blankcard erhalten die jeden PIN erzeugt...

    Aber noch schlimmer, der Key des Issuers ist nur 320 bit lang, das heisst JEDER kann seine Eigenen Karten ausstellen. Ohne physikalischen zugriff, er braucht nur die Kontonummer... (und ein paar mehr daten und den Magnetstreifen) es sind einige Details die da noch zu Problemen führen...

    ABER das ist unglaublich... ich such mir jetzt ein Schreibgerät für Karten, weiss jemand ne Kontonummer mit viel Geld drauf? :D
    Re: Ein paar Anmerkungen (Score:1)
    Von duke am Thursday 28. December 2006, 22:14 MEW (#18)
    (User #490 Info)
    wozu eine kontonummer ? trial and error !
    Re: Ein paar Anmerkungen (Score:2)
    Von P2501 am Friday 29. December 2006, 10:21 MEW (#22)
    (User #31 Info) http://www.p2501.ch/
    Geht nicht. Selbst im Worst Case reicht die Kontonummer allein nicht.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: Ein paar Anmerkungen (Score:2)
    Von P2501 am Thursday 28. December 2006, 15:45 MEW (#12)
    (User #31 Info) http://www.p2501.ch/

    Okay. Ich hatte mich nur auf den Symlink-Artikel gestützt, und ein paar Sachen missverstanden. Tatsache ist: Klone können auch hergestellt werden, wenn man nur Namen, Kartennummer und Gültigkeitsdatum der Karte hat. Weiter ist die PIN zwar auf der Karte gespeichert, aber nicht auslesbar. Sie wird benötigt, um den beschreibbaren Bereich freizuschalten. Nach drei Fehlversuchen wird der Bereich gesperrt.

    Bei der französischen Bankkarte, die als Vorbild für die Postcard diente, nutzten die Terminals diese Gegebenheit, um zu entscheiden, ob der PIN richtig ist. So konnte man Offlineterminals betreiben, die nur einmal täglich mit dem Bankrechner verbunden wurden. Das Problem dabei: Einen Klon kann man auch so programmieren, dass der beschreibbare Bereich generell offen ist. Solche Karten akzeptierten logischerweise jede PIN.

    Nun unterscheidet sich die Postcard in dieser Beziehung von besagter Bankkarte. Offlineterminals gibt es erst seit kurzem, vorher waren sie generell Online. Leider habe ich keine genauen Informationen gefunden, wie die Authorisierung abläuft. Vielleicht weiss hier jemand mehr?


    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: Ein paar Anmerkungen (Score:1)
    Von duke am Thursday 28. December 2006, 22:15 MEW (#19)
    (User #490 Info)
    > Offlineterminals gibt es erst seit kurzem, vorher waren sie generell Online.

    Quelle ?

    Re: Ein paar Anmerkungen (Score:2)
    Von P2501 am Friday 29. December 2006, 10:19 MEW (#21)
    (User #31 Info) http://www.p2501.ch/
    Ein lokaler Geschäftsbesitzer, der aus diesem Grund lange kein Kartenterminal hatte. Offlineterminals kamen meines Wissens 2002 mit der Einführung von EFT/POS 2000 (aka ep2). Telekurs hat in seinem Prospekt jedenfalls gross Werbung gemacht mit: "Ausfallsicherheit dank Offline-Transaktionsmöglichkeit", "Kommunikationskosten-Reduktion bei herkömmlichen Netzen dank On-/Offline-Transaktionen" und "Dank der Offline-Fähigkeit werden die Transaktionszeiten schneller. Selbst bei einem Systemunterbruch (wie letztmals an Weihnachten 2001) kann mit der Karte bezahlt werden."

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Karte voll (Score:1)
    Von ktk am Thursday 28. December 2006, 13:58 MEW (#9)
    (User #457 Info) http://www.netlabs.org
    Eh also die Karte ist bei mir nach weniger als 12 Monaten voll, ich habe mich schon daran gewöhnt, von der PF jedemal eine neue Karte zugeschickt zu bekommen. Habe schon lange aufgehört zu zählen.

    --
    Free Software for OS/2 and eCS
    http://www.netlabs.org

    Re: Karte voll (Score:1, Lustig)
    Von Anonymer Feigling am Thursday 28. December 2006, 15:21 MEW (#10)
    Ach du bist das Arschloch, das immer vor mir an der Kasse ist und auch mit der Postcard/EC/Kreditkarte bezahlt, wenn es nur ein Gipfeli oder einen Kaufgummi gekauft hat?
    Re: Karte voll (Score:2, Lustig)
    Von ktk am Thursday 28. December 2006, 16:28 MEW (#13)
    (User #457 Info) http://www.netlabs.org
    genau! und ich werde es das nächste mal besonders genüsslich machen und hoffen, dass Du dahinter stehst.

    Mal ernsthaft, ich habe mit der Karte schneller bezahlt als der Durchschnitt, der noch eine halbe Stunde Krükenmüntz hervorkramt.

    --
    Free Software for OS/2 and eCS
    http://www.netlabs.org

    Re: Karte voll (Score:0)
    Von Anonymer Feigling am Thursday 28. December 2006, 21:35 MEW (#17)
    Halbe Stunde? Wohl kaum. Im allgemeinen spinnen die Leute und nehmen Zeit sehr subjektiv wahr. Da können 30 Sekunden schon mal wie eine halbe Stunde erscheinen. Kleingeld ist aber wirklich nervig und seit dem Euro gebe ich mir auch seltenst Mühe, das Geld passend zu geben, wodurch sich meine Münzsammlung stetig vergrößert. Bezahlen per Karte wäre mir eigentlich auch lieber und zeitgemäß, aber eine PIN eingeben zu müssen, ist nicht nur zeitaufwendig sondern auch idiotisch. Meine Geldbörse hat auch keine PIN. Leider hat sich die Geldkarte in Deutschland kaum durchgesetzt, außer bei ein paar Automaten.

    Problematischer ist allerdings die Datensammlerei und von daher ist es die Sache auch nicht wirklich wert. Dann doch lieber Kleingeld.
    Re: Karte voll (Score:0)
    Von Anonymer Feigling am Monday 01. January 2007, 10:45 MEW (#26)
    also bei uns gibt es eine sogenannte "cash" funktion auf den ec karten (in deutschland wohl auch). dort kannst du einen bestimmten betrag draufladen (am automaten) und dann ohne code eingeben an jeder kasse bezahlen....auch kleine beträge.
    Re: Karte voll (Score:0)
    Von Anonymer Feigling am Tuesday 02. January 2007, 14:03 MEW (#27)
    Bei der CASH-Karte ist das letzte Wort auch noch nicht gesprochen.
    Re: Karte voll (Score:0)
    Von Anonymer Feigling am Tuesday 02. January 2007, 21:36 MEW (#28)
    An jeder Kasse? Das möchte ich bezweifeln. Das war ja auch seit jeher das Problem mit der Karte. Quasi jeder hat sie, aber Läden bieten es selten an. Wenn die Karte allerdings dazu benutzt werden kann, ein Kaufprofil von mir zu erstellen, d.h. sie nicht so anonym wie Bargeld ist, dann will ich sie auch gar nicht verwenden.

    Richtig, das gilt auch für Kreditkarten. Ich habe keine und brauche keine.
    Re: Karte voll (Score:2)
    Von P2501 am Wednesday 03. January 2007, 10:32 MEW (#29)
    (User #31 Info) http://www.p2501.ch/
    Die Cash Karte ist meiner Meinung nach so gut wie Tod. Wegen der hohen Gebühren konnte sie sich von Anfang an nicht richtig durchsetzen. Und gegenüber Maestro, welche die EC-Karte ersetzt, sowie gegenüber der neuen PostCard mit EMV Chip hat sie kaum noch Vorteile. Die Maestro und die neue PostCard ermöglichen nämlich auch Offline Betrieb, wodurch die Buchung nun genau so schnell ist, wie bei der Cash Karte.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: Karte voll (Score:1)
    Von spacefight am Thursday 28. December 2006, 17:06 MEW (#14)
    (User #299 Info) http://www.linda.ch/borabora/
    Nö, das war ich.
    selber schuld (Score:0)
    Von Anonymer Feigling am Saturday 30. December 2006, 14:30 MEW (#24)
    Ha, doch gut das ich keine Postcard besitze ;)

    Die Postfinance sucht übrigens nen Security Manager unter Jobs, na ja gebrauchen könnten sie einen (oder zwei). Die Anforderungen sind aber ein wenig suboptimal.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen