symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
postcard-sicherheit.ch geht online
Veröffentlicht durch Ventilator am Montag 12. Februar 2007, 10:42
Aus der Pestcard Abteilung
Ankündigungen Der CCCZH schreibt: "Die Webseiten postcard-sicherheit.ch, welche detailliert über die Sicherheitslücke der Postkarten (Symlink berichtete) der PostFinance informieren, sind ab sofort mit Inhalten (von Bernd R. Fix) gefüttert. Die auf den Seiten befindlichen Informationen beziehen sich auf die nicht-EMV-Karten, welche die Post (nach eigenen Angaben) bis Sommer 2006 ausgegeben hat. Sicherheitsanaylsen der neuen Karten verheissen allerdings keine Besserung, wie Bernd R. Fix herausgefunden haben will. Diverse Sektionen des Chaos Computer Club, wie z.B. der CCC Berlin (CCCB) oder der CCC Zürich (CCCZH) arbeiten separat durch Vermittlungsarbeit von Bernd R. Fix an der medialen Aufbereitung der Sache. In der nächsthin zu erscheinden c't 5/2007 wird schonmal ein Artikel erscheinen, der erstmals breiter über die Sicherheitslücke informiert. "

Schäuble: Terroristen verstecken Informationen in Tagebüchern | Druckausgabe | Der Bow-Effekt der Aktie von Microsoft  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • c't
  • Chaos Computer Club
  • Heise
  • Der CCCZH
  • postcard-sicherheit.ch
  • Symlink berichtete
  • PostFinance
  • Chaos Computer Club
  • CCC Berlin (CCCB)
  • CCC Zürich (CCCZH)
  • c't 5/2007
  • Mehr zu Ankündigungen
  • Auch von Ventilator
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Sturm im Wasserglas? (Score:2)
    Von P2501 am Monday 12. February 2007, 11:11 MES (#1)
    (User #31 Info) http://www.p2501.ch/

    Ich hab mich inzwischen mal detailliert schlau gemacht. Die Post will nicht herausgeben, wie genau sie die Zahlungen authorisieren, aber sie haben mir netterweise mal den generellen Ablauf für die alte Postcard mit Bull-Chip bekannt gegeben (sorry, kein Link):

    1. Händler gibt Betrag ein.
    2. Kunde gibt PIN ein.
    3. Verbindung zum Postcard Zentralrechner wird hergestellt.
    4. Transaktion wird an den Zentralrechner übermittelt.
    5. Transaktion wird vom Zentralrechner authorisiert.
    6. Transaktion wird auf der Postcard gespeichert.
    7. Verbindung wird getrennt.

    Wenn das stimmt, ist die Sicherheitslücke gegenstandslos, da sich die Post schlicht nicht auf die kompromittierte Funktion abstützt.


    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: Sturm im Wasserglas? (Score:0)
    Von Anonymer Feigling am Monday 12. February 2007, 13:39 MES (#2)
    Hm... die Frage ist nur, aufgrund welcher Informationen die Transaktion vom Zentralrechner authorisiert wird. Es kommt darauf an, was für ein Szenario man aufstellt. Wenn wirklich jede einzelne Transaktion von der Zentrale geprüft wird, kann man wenigstens kein Geld beziehen, welches keinem Konto zugewiesen werden kann. Dem Klonen einer Karte (einer anderen Person) steht aber nicht viel im Wege.
    Re: Sturm im Wasserglas? (Score:2)
    Von P2501 am Monday 12. February 2007, 13:58 MES (#3)
    (User #31 Info) http://www.p2501.ch/
    Nein, aber falls der PIN von der Zentrale überprüft wird, nützt einem der Klon nicht viel. Das Karten mit dem alten Bull-Chip sich relativ leicht kopieren lassen, ist ein bekanntes Problem. Der Chip bietet aber schlicht keinen Raum für eine Verbesserung der Sicherheit in diesem Punkt. Die neuen Karten mit EMV-Chip dürften hingegen, solange dort keine Sicherheitslücke entdeckt wird, kaum zu kopieren sein.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: Sturm im Wasserglas? (Score:1)
    Von mkr (root.NO@SPAM.mkr-tech.ch) am Monday 12. February 2007, 14:12 MES (#4)
    (User #1294 Info) http://www.mkr-tech.ch
    IMHO gibt es noch viele Offline-Terminals, die den PIN nicht online prüfen können. Dort kann man sogar mit einer ungültigen Kontonummer "bezahlen". Der Missbrauch fällt erst auf, wenn die Zahlungen übermittelt werden sollen.
    Re: Sturm im Wasserglas? (Score:2)
    Von P2501 am Monday 12. February 2007, 15:22 MES (#5)
    (User #31 Info) http://www.p2501.ch/
    Nach meinen Informationen gibt es für die Postcard keine Offline-Terminals. Diese werden erst mit der vollständigen Umstellung auf ep2 anfangs 2011 möglich. Bis dahin sind auch keine Postcards mit Bull-Chip mehr gültig.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.

    Re: Sturm im Wasserglas? (Score:0)
    Von Anonymer Feigling am Wednesday 21. February 2007, 22:46 MES (#6)
    So wie ich das sehe, stellt dieser Ablauf einiges auf den Kopf, was ich bis jetzt zu dieser Sache gelesen habe! Ich kann mir auch kaum vorstellen, dass die Postcard-Herausgeber so blöd sind wie bisher geschrieben.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen