Pinautomaten VS erg gevoelig voor aanvallen

[Blue-Sky]

Meer en meer Amerikaanse banken verplaatsen het dataverkeer van pinautomaten naar tcp/ip-netwerken. De kans op fraude neemt hierdoor flink toe, waarschuwen experts. De meeste data van pinautomaten is namelijk niet versleuteld, zo waarschuwt beveiligingsbedrijf Redspin. John Abraham van Redspin tegenover Digitalworld Tokyo: "Zo zijn er meerdere scenario's denkbaar, waarvan de ergste massale diefstal van kaartgegevens is."

<img src="http://www.userbase.be/forum/images/portal/secure2.gif" border="0" align="left">Banken moeten vanwege nieuwe wetgeving overstappen van de verouderde des-encryptietechnologie naar de veiligere triple Data Encryption Standard. De meeste banken hebben de wetgeving aangegrepen om het dataverkeer te verplaatsen naar tcp/ip-netwerken. Dergelijke netwerken zijn makkelijker te beheren en zijn goedkoper in vergelijking met een los netwerk dat pinautomaten met een centrale server verbindt.

Ondanks het feit dat de pincode versleuteld wordt verstuurd, wordt er ook veel data onversleuteld meegestuurd. Het gaat hierbij om het kaartnummer, de vervaldatum, het saldo van de rekening en het opnamebedrag. In de oude situatie was dat geen probleem. Indien de data over een tcp/ip-netwerk gaat, waarschuwt Abraham, dan wordt dat een ander verhaal.

Naast het onderscheppen van data, lopen banken kans om slachtoffer te worden van zogeheten man-in-the-middle-aanvallen. In dat geval doet de hacker doet zich voor als centrale verwerkingsplek en instrueert de pinautomaat om voortdurend geld uit te keren.

Onwetendheid
Volgens Abraham zien banken de gevaren niet. Door de overstap naar triple des voor de versleuteling van de pincode, denken de banken dat al het verkeer beter versleuteld wordt. "Bankdirecteuren zijn nogal verrast als ze dit horen. Zij leven in de overtuiging dat alle data versleuteld is. Zeker na het overstappen naar triple des", aldus Abraham.

De pinautomatenbranche heeft al gereageerd en stelt dat er meerdere maatregelen mogelijk zijn om dergelijke problemen te voorkomen. Diverse banken hebben al firewalls en virtuele netwerken opgezet om het risico tot fraude te verminderen.

Wat de exacte technische situatie in Nederland is kon Interpay Nederland niet vertellen.

Bron: Webwereld.nl van 6 mei 2006

[Blue-Sky]

Dan kan ik mij gelukkig prijzen, daar ik niets te betalen heb naar het oh zo superveilige Amerika!
Waar veiligheid op de eerste plaats staat!

Het gaat hierbij om het kaartnummer, de vervaldatum, het saldo van de rekening en het opnamebedrag.

Aan alle users welke met dat onveilige systeem zouden werken, uit de doppen kijken is de boodschap.

[deej]

Mja de bankautomaten draaien ook met SQL queries en daardoor heeft slammer alle automaten van Bank Of America plat gekregen in den tijd.

Om fraude te kunnen plegen op dat TCP/IP netwerk moet je al in het netwerk zelf zitten, da's niet zo makkelijk.

De kans neemt misschien toe maar je moet al van goede huize zijn om te kunnen tappen op dat TCP/IP netwerk.

Ik zou er vandaag niet van wakker liggen.

EDIT: heb de whitepaper van die auteur eens gelezen, is niet bepaald van een hoog niveau. De auteur wil trouwens alles oplossen op netwerk niveau terwijl de zwakheden eigenlijk op het applicatieniveau liggen...

[Ofloo]

Eerlijk snap ik de bezorgdheid wel, stel u voor dat er iemand werkt voor een ISP die minder problemen heeft met het concept privacy. Dan kan die in principe op een router al u data bekijken. Wel te verstaan als hij weet dat de data daar voorbijkomt...

'k Vind wel dat het belachelijk is waarom het niet over tcp zou mogen gaan maar encrypt het dan tenminste. dat is toch geen overdreven luxe, ofwel soms, wij maar aankopen doen over ssl sites terwijl al de rest gewoon over tcp/ip loopt.. vind ik wel erg belachelijk.

Eigenlijk als ik er over na denk als het over tcp/ip zou gaan zou de terminal ook een ip moeten krijgen en is die normaal gezien dan ook bereikbaar van het internet.. tenzij het natuurlijk op een intern netwerk van de bank gaat natuurlijk en met non routable ip's werkt.

[Phuncz]

Er zijn daar wel meer dingen gevoelig voor aanvallen !!!

(sorry kon het niet laten, was te makkelijk)

[deej]

Eigenlijk als ik er over na denk als het over tcp/ip zou gaan zou de terminal ook een ip moeten krijgen en is die normaal gezien dan ook bereikbaar van het internet.. tenzij het natuurlijk op een intern netwerk van de bank gaat natuurlijk en met non routable ip's werkt.

Zo slim zijn ze daar wel . Doorgaans gaat het over een equivalent van BiLan bij Belgacom, soort van private ADSL of private Leased Line infrastructuur. Maar bon, ze zouden dus beter de messages die het systeem doorstuurt moeten signen & encrypteren ipv de onderliggende netwerklaag. Dan ben je tenminste zeker dat de message untampered blijft.

[ubremoved_539]

Banken moeten vanwege nieuwe wetgeving overstappen van de verouderde des-encryptietechnologie naar de veiligere triple Data Encryption Standard.

3DES... hallo jongens... wij Belgen hebben voor jullie AES uitgevonden

Mja de bankautomaten draaien ook met SQL queries en daardoor heeft slammer alle automaten van Bank Of America plat gekregen in den tijd.

Een verstandig bedrijf zou nooit bedrijfscritische informatie op een Microsoft oplossing zetten... da's hetzelfde als Russische roulette spelen, ieder moment van de dag kan een grapjas een format C: (ipv. de onschuldige dingen die een virus vandaag doet) doen

[Blue-Sky]

Nu, het gaat hier wel over serverside toepassingen in deze thread. (Amerikaanse Banken)

Dit wil lukken, in een al wat ouder bericht van Di Apr 27, 2004 op Userbase kan men dit lezen

Zie ook recente thread over online banking.