#1 13. Februar 2010 Britische Forscher der University of Cambridge haben einen Weg beschrieben ("Chip and PIN is Broken", PDF), mit der sich das EMV-Verfahren bei EC- und Kreditkarten aushebeln lässt, sodass Karten scheinbar beliebige PINs akzeptieren. Damit steht der Bankenbranche nach dem EC-Karten-Debakel Anfang des Jahres weiterer Ärger ins Haus – und es entstehen berechtigte Zweifel an den Sicherheit des gesamten Systems. Die neuen Erkenntnisse könnten viele Betrugsfälle erklären, in denen gestohlene Karten für Einkäufe in Geschäften benutzt wurden, obwohl das EMV-Terminal die Eingabe einer PIN erfordert. Viele Opfer behaupten Stein und Bein, die PIN nirgendwo notiert und nicht weitergegeben zu haben. Es soll sogar Fälle gegeben haben, bei denen die Mitteilung über die PIN noch verschlossen im Schrank lag – das Opfer die PIN also selbst gar nicht kannte. Das EMV-Verfahren (benannt nach Eurocard, Mastercard und Visa) soll die Karten vor dem illegalen Kopieren etwa mittels Skimming schützen und den bisher üblichen Magnetstreifen ersetzen. Das EMV-Verfahren bedient sich kryptografischer Methoden, mit der ein Kartenterminal die Echtheit einer Karte verifizieren und mit ihr kommunizieren kann. Allerdings gibt es offensichtlich einige Schwachpunkte sowohl in der Spezifikation als auch in der Implementierung, was die Authentifizierung bestimmter, zwischen Karte und Terminal ausgetauschter Nachrichten angeht. Dem Bericht zufolge ist es möglich, durch eine Man-in-the-Middle-Attacke dem Terminal vorzugaukeln, die Karte hätte eine eingebene PIN akzeptiert, während man der Karten vortäuscht, das Terminal hätte auf die Legitimation mit Unterschrift zurückgeschaltet. Im Folgenden wird der Bezahlvorgang dann aber normal autorisiert und das Terminal druckt einen Beleg aus, auf dem "Verified with PIN" steht. Für den von Steven J. Murdoch, Saar Drimer, Ross Anderson und Mike Bond durchgeführten Man-in-the-Middle-Angriff bedarf es nicht viel: Mit einem Kartenadapter lässt sich der Verkehr zwischen einer Originalkarte und dem Terminal über einen PC mit einer speziellen Schnittstelle umleiten. Alle Nachrichten zwischen Terminal und Karte leitet der PC unverändert weiter. Nur wenn das Terminal ein Verify-PIN-Kommando an die Karte schickt, fängt der PC diesen Befehl ab und antwortet mit dem Code 0x9000, der dem Terminal signalisieren soll, dass die PIN gültig ist – dieser Code ist immer gleich. Dabei ist es an dieser Stelle völlig egal, welche PIN ein Angreifer im Terminal eingibt; sie erreicht ohnehin nie die Karte. Der Angriff funktioniert laut Bericht sowohl im Online- als auch im Offline-Verfahren. Die BBC hat auf ihren Seiten einen Film zu einer Demonstration eines praktischen Angriffs in der Cambridge-Mensa veröffentlicht. Sobald aber eine Karte gesperrt ist, soll der Angriff nicht mehr funktionieren. Vom Bankautomaten lässt sich über den Trick jedoch kein Geld abheben, dort prüft nämlich nicht die Karte die PIN, sondern der Server der Bank. Nach Meinung der Forscher sei der ganze EMV-Protokoll-Stack "kaputt" und müsse überarbeitet werden. Ross Anderson, der bereits in der Vergangenheit mehrfach Lücken im EMV-Verfahren aufgedeckt hat, betonte gegenüber heise Security:"Das EMV-Verfahren ist zu komplex und unübersichtlich – wie Windows." Nach Meinung von Steven Murdoch, einem der Co-Autoren, sei das in Deutschland angewandte Verfahren das gleiche wie in UK (Großbritannien und Nordirland). Eine Antwort des Zentralen Kreditausschuss (ZKA) zu der Problematik steht noch aus. Anderson ist sich sicher, die Antworten deutscher Banken auf eine offizielle Anfrage zu kennen: "Die Spefizikationen verhindern einen Angriff." Das sei jedoch nicht der Punkt: die Implementierung sei fehlerhaft. Jedesmal wenn Anderson und seine Kollegen genauer hinschauten, tue sich ein neues Problem im EMV-Standard auf. Er sei sich sicher, dass es weitere Lücken gebe – und mindestens eine, die auch betrügerische Abhebungen an Bankautomaten erklärte. Mit dieser Aussage eines international renommierten Experten dürfte es Banken in Zukunft schwerer fallen, Gerichten glaubhaft zu machen, Missbräuche von EC-Karten seien allein auf die Sorglosigkeit von Kunden zurückzuführen. Quelle: heise.de + Multi-Zitat Zitieren
#2 18. Februar 2010 AW: PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt Das ist ja bei allem so. Da bleibt nur eins: Regelmäßig seine Bankgeschäfte zu checken, Kassenzettel und Rechnung archivieren, einfach Ordnung und Übersicht in seinen Geldgeschäftge zu bringen. Da fallen Unklarheiten sofort auf und man kann schnell genug reagieren. + Multi-Zitat Zitieren
#3 18. Februar 2010 AW: PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt Gefahr lauert überall und so lange die moderne Computer-Technik alles übernimmt... desto schlimmer wird es..... + Multi-Zitat Zitieren
#4 20. Februar 2010 AW: PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt Solange das Verständnis für SICHERHEIT noch nicht da ist, wirds schlimmer. Es wird immer behauptet, dass Sachen sicher sind die es gar nicht sind. Und dann wird dafür nicht gehaftet, Betrug am Kunden also. Am besten Bar bezahlen. Das Geld ausm Automat von der Bank oder noch besser vom Schalter (denn dort bekommt man auch eine Quittung welchen Betrag man geholt hat) Das gute alte Papier.... + Multi-Zitat Zitieren
#5 20. Februar 2010 AW: PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt Word! Also ich bezahle ungern mit Visa bzw. EC Karten. Ich hebe immer bei meiner Bank die Summe ab die ich gerade brauche und gut ist. + Multi-Zitat Zitieren
#6 21. Februar 2010 AW: PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt richtig. das is der einzige weg wie man sich selber relative sicherheit gewährleisten kann... + Multi-Zitat Zitieren
#7 21. Februar 2010 AW: PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt so siehts aus. Wer keinen Überblick über seine Ausgaben hat und dann noch viel mit EC Karte zahlt muss sich am ende nicht wundern, wenn er ein paar Monate später sieht, dass ihm da etwas geld fehlt Einfach alles gut archivieren und so wenig wie möglich mit EC zahlen. Da haste dann alles gut im Überblick + Multi-Zitat Zitieren
#8 21. Februar 2010 AW: PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt ähm.. darum geht es da im artikel aber nicht und ein schutz vor diesem trick, wie im Text geschicldert wurde, bringt es auch nichts. es geht darum, dass geklaute karten auch mit dem neuen verfahren vom betrüger eingesetzt werden können, trotz PIN Sicherheit im neuen Verfahren. Nur bares Geld abholen ist noch nicht möglich. + Multi-Zitat Zitieren
#9 21. Februar 2010 AW: PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt Stell ich mir lässig vor, wenn da wer sein Notebook + Evoboard bei der Kassa auspackt. *g* Finds allerdings schlimm, dass es wirklich so einfach ist. Ein paar Bits kann fast jeder wo reinschicken. Ich zahl gerne Bargeldlos - minderstens 3 mal die Woche mit der Bankomatkarte oder Visa. Mit gesunden Menschenverstand kann man auch im Internet damit bezahlen ohne dass etwas passiert. Umsatzabfrage sollte man regelmäßig machen(ich schau online jeden 2. Tag mein Girokonto + Visaumsatzabfrage an). Seh da kein Problem... + Multi-Zitat Zitieren