woensdag 14 december 2011

Skimming, wat is het probleem?

Skimming is het klandestien lezen van de informatie van een betaalpas of credit card in combinatie met het afkijken van de PINcode.
Omdat in Nederland (en daarbuiten) PIN betalingen nog vaak gebaseerd zijn op de magneetstrip van de betaalpas is kopiëren van de benodigde informatie kinderspel.
Jaren geleden hebben de banken al afgesproken dit systeem te vervangen door een systeem dat een chip in de pas gebruikt. Pas in de loop van dit jaar begint het gebruik van deze nieuwe methode ook in Nederland door te breken. De belofte was dat per 1 januari 2012 alle betaalautomaten in ons land de chip zouden gebruiken. Helaas gaat ook dit weer niet lukken.

Waarom is die chip veiliger dan de magneetstrip?

De chip in de pas bevat een microprocessor die de transactie autoriseert met een cryptografische handtekening. Als het goed is geïmplementeerd zal de chip daarbij geen cryptografische geheimen prijsgeven en ook is het niet mogelijk de handtekening van een transactie te gebruiken voor een andere. De autorisatie geldt alleen voor die éne transactie.
De magneetstrip is een dom ding. Het is volledig uit te lezen en perfect na te maken met apparatuur die slechts een paar tientjes kost.

Waarom is die chip niet eerder ingevoerd?

In veel Europese landen is dat al lang geleden gebeurd. Nederland loopt sterk achter. Hier, en in veel andere landen zijn de banken gewoon laks geweest. Die banken ondernamen geen actie zolang de kosten van de frauduleuze handelingen en de reputatieschade niet hoger waren dan de kosten van betere beveiliging. In ons land stegen de jaarlijkse kosten tot boven de € 36 000 000 voordat het systeem van PIN betalingen met chip serieus van de grond kwam.
Zolang er nog ergens betaalpunten zijn die alleen met het magneetstripsysteem werken moeten alle passen ook met een magneetstrip werken. Anders kunnen we onze passen niet overal gebruiken.

Is die chip echt niet te kraken?

Alles is te kraken, maar de chips in onze betaalpassen zijn behoorlijk goed beveiligd. Helaas zitten er gigantische ontwerpfouten in het protocol waarmee de betaalautomaat met de chip op de pas communiceert. Zie Chip and PIN is Broken voor het achterliggende artikel (in het Engels).
  1. De communicatie tussen de betaalterminal en de pas is niet cryptografisch versleuteld. De PIN die de klant intoetst gaat dus onversleuteld naar de pas. Daardoor is de PIN code met een simpele ingreep in de betaalterminal af te luisteren. Ook als deze communicatie wel versleuteld was, is een betaalterminail te corrumperen, maar dan moeten de skimmers wel voor ieder model betaalterminal iets nieuws verzinnen.
  2. Het systeem voorziet in passen waarvoor geen PIN nodig is. Met een subtiel apparaatje dat als een hoesje tussen de betaalterminal en de pas zit is het mogelijke een echte pas te gebruiken zonder dat die pas de PIN controleert. De betaalterminal denkt echter dat de transactie wel door de pas met PIN is geautoriseerd. In Nederland is deze voorziening uitgeschakeld voor Nederlandse betaalpassen.

Wat moeten we verbeteren?

In Nederland draaien de banken in het algemeen op voor de schade. Maar natuurlijk betalen zij dat uit de opbrengsten van het betalingsverkeer; indirect betalen wij het zelf. Het enige wat je als klant kan doen is overstappen naar een bank die de kosten laag houdt.
De fouten in het protocol van de communicatie tussen de betaalautomaat en de chipkaart zijn heus wel op te lossen. Maar dat vergt nieuwe software in de betaalautomaten en (misschien) nieuwe betaalpassen met andere software in de ingebedde chip. Nieuwe software in de passen duurt helaas jaren om in te voeren. En wie je PIN kent hoeft nog steeds alleen je betaalpas te stelen om je bankrekening te kunnen plunderen.

Het echt goed beveiligen van de betaalautomaten tegen het aanbrengen van onbevoegde hardware die de ingetoetste PIN afkijkt is duur en lastig. PIN is een zeer zwakke beveiliging. Misschien moeten we gaan denken aan iets beters of wat extra's. Bijvoorbeeld een pasfoto die op de pas staat (en zichtbaar is voor de cassière is zolang de pas in de betaalterminal zit). Voor onbemande betaalsystemen werkt dat natuurlijk niet. Dat is een probleem omdat de meeste frauduleuze transacties bij geldautomaten in een ver buitenland plaatsvinden. Maar automatische herkenning van gezichten is de laatste jaren sterk verbeterd. Door dat in geldautomaten in te bouwen kunnen we ook veel winnen. (De pasfoto moet dan misschien ook in de chip op de kaart staan.) Natuurlijk kost het jaren om dit in te voeren, maar in de overgangstijd zou het maximum opnamebedrag bij de oude geldautomaten flink lager kunnen zijn.