Mit viftekort ankom i foråret, og jeg har puslet med at hitte ud af, hvordan det var sikret. Ikke særligt godt, var svaret.
Ekstra-Bladets forside 2015-08-30 var "Dankort skandale. Nu kan tyven plyndre dig via sin mobil". Og historien er desværre ikke grebet ud af den blå luft.
På Youtube demonstrerer jeg, hvordan man med en almindelig mobiltelefon kan aflæse kortnummer og udløbsdato fra et viftekort, og hvordan man kan sikre sig ved blot at have sølvpapir i pungen. Angrebet er overraskende, men ikke rigtigt skræmmende: Angriberen skal være ret tæt på offeret før angrebet virker.
Men det er ikke det eneste angreb.
Med en simpel antenne på størrelse med et krus kan angrebet laves på 70 cms afstand. Så kan angriber blot have en taske, som han vandrer gennem folkemængden med.
Det kræver dog stadig, at angriberen er fysisk i nærheden, men vi er pludselig gået fra nogle få ofre til hundredvis. Dette angreb kunne stoppes ved at lade kommunikationen være krypteret hele vejen fra kortet til banken og lade viftekortet afvise kommunikation, der ikke var signeret af en bank. Det ville så begrænse viftekortet til kun at tillade online terminaler, mens man stadig skulle bruge PIN-kode til offline terminaler.
Men det kan blive endnu værre.
Angriberen udvikler en sjov app (vi kunne kalde den Happy Bird), som skal have adgang til NFC. Offeret downloader Angriberens app. Offeret har mobiltelefonen i lommen sammen med viftekortet. Appen opsamler kortnummer og udløbsdato og sender dem til Angriberen. Der er med andre ord Offerets egen mobiltelefon, der angriber Offerets viftekort.
Det angreb vil også virke for kort helt uden sikring (som f.eks. de fleste adgangskort), og udvider Angriberen Happy Bird så den også skal kende din placering (f.eks. via GPS), så kan Angriberen ud fra GPS og tidspunkt komme med et rimeligt gæt på, hvor disse kort kan bruges.
Med en modifikation vil det også kunne aflæse chippen i Offerets pas: Her skal man gætte fødselsdato, pasnummer og udløbsdato for at kunne aflæse chippen. Men hvis Offerets mobiltelefon kan prøve lige så mange gange, den vil, så går angrebet pludselig fra umuligt til tænkeligt.
Løsningen hedder igen sølvpapir i passet og i pungen.
Hvis bankerne (lige som Rejsekort) putter noget kryptering ind, så bliver angrebet sværere, men der er stadig "forlængerledningsangrebet":
Angriberen står i Føtex ved betalingsterminalen. Terminalen sender noget krypteret, som Angriberens mobiltelefon sender videre til Offerets viftekort via Happy Bird på Offerets mobiltelefon. Det krypterede svar kommer tilbage via Offerets mobiltelefon til Angriberens mobiltelefon, som giver det til terminalen og dermed betaler.
Angrebet vil (så vidt jeg kan se) også virke for rejsekortet.
Mit bedste forslag mod det angreb er timing: Et normalt svar vil komme til terminalen efter x ms. Hvis det tager mere end 2x ms, så skal terminalen bede om pinkode eller afvise.
Sikringen mod dette: Et sølvpapir på størrelse med en pengeseddel i pungen. Og ja, det vil gøre det mere bøvlet at benytte viftekort: Man kan ikke bare vifte pungen foran kortlæseren, men skal tage kortet ud af pungen.
Har du en mere elegant sikring, så vi kan få samme brugeroplevelse uden at gå på kompromis med sikkerheden?
https://www.secrid.com/en/product/id/1/item/45/cardprotector-champagne (set i danske butikker også)
knappen i bunden er en spring-action som gør at kortene flyver ud som en vifte og nemt overskue: https://www.youtube.com/watch?v=sKW9JUzvJeo
bruger sådan en - og bruger efterhånden kun kort (+ 200 kroner i cash som backup løst i jakken).
Mit pas er "sikret" på den måde, at chippen er knækket. Ved at holde pas-siden med chippen i op mod lyset, kan man se hvor antennen går rundt, og hvor chippen sidder. Et hurtigt knæk eller to, så man kan høre den knaser lidt. Og så er der ikke mere at læse dén vej.
Jeg overvejede efterfølgende om det kunne give nogen problemer f.eks. ved indrejse i USA. Det gør det overhoved ikke. Skulle nogen nogensinde udfordre det, kan den jo være skadet ved hændeligt uheld.
Undskyld drejningen. Det har ikke noget med de nye kreditkort at gøre. Kan man ødelægge chippen i dem også, uden resten af kortet ryger? Det er self. ikke så hensigtsmæssigt hvis man synes det er en nice feature med det berøringsfri halløj.
Hvis man har fx en tofløjet tegnebog med sølvpapir i hele seddelrummets længde, skulle kortene vel være effektivt pakket ind. Mon ikke man så kan åbne pungen, så sølvpapiret kommer bag ved kortene, og holde pungen hen til læseren med kortene forrest? Det ville være næsten lige så nemt som at vifte med en lukket pung. Her er et eksempel, som leveres med indbygget RFID-blokering: http://www.regovs.dk/images/Pacsafe/65_11405_20.jpg
Så alle kan, med samme metoder som Ole beskriver, læse et rejsekort fra afstand, dvs. de sidste rejser og saldo. Og hvem ved hvad ellers... Dog er det sværere rent hardware-mæssigt at lave mobile-in-the-middle på rejsekortet, primært fordi ingen mobiltelefoner kan emulere et Mifare-kort, men kun læse/skrive dem.
Hvad der sker hvis der bores et lille hul ned igennem antennen ? Er chippen og antennen kædet sammen således at hvis antennen bliver defekt, så virker chippen ikke?
Som du kan se på https://www.youtube.com/watch?v=R9AwULVyIk4 så er kortet beskyttet selv hvis sølvpapiret ligger bag kortet. Det forstyrrer sandsynligvis kommunikationen med reflektioner.
@Mads Olesen: Tak for tippet om at mobiltelefoner ikke kan emulere Mifare kort - det vidste jeg ikke.
@Gert: http://www.radio24syv.dk/programmer/aflyttet/9944910/aflyttet-uge-25-2014/ (23:25)
Den overordnet plan er at gøre kendskab til kortnummer/udløbs dato ligegyldigt. At kunne stjæle disse oplysniger nu er i princippet ikke et stort problem. Disse kan ikke bruges til at "lave" et nyt kort. Til e-handel behøves der normal også kontrolcifre, som ikke fremgår af den oplysning man kan læse igennem luften. Og i mange tilfælde yderligere validering i form af f.eks. 3D secure. Lige nu er der dog stadig en del lande udenfor europa som stadig modtager transaktioner baseret på kortnummer/udløb og der kan det selvfølgelig stadig misbruges. Men kortselskaber satser benhårdt på at eliminere disse også - og samtidig flytte væk fra de gamle magnetkort i USA. Derudover er der et større initiativ igang, hvor de fleste transaktioner skal foregå uden kortnummer, men med tokens genereret centralt. Således kigger vi ind i en nær fremtid, hvor disse oplysniger ikke er interesante. NFC standarden har for længst inkorporeret en beskyttelse mod man in the middle, som beskrevet i indlægget - altså en maksimal svartid, som er svært opnåelig hvis kommunikationen er igennem flere enheder. NFC chippen giver ikke et statisk nummer tilbage, således giver det ikke mening at "kopiere" indholdet af kortet og sende dette indhold senere til en kortlæser - det skal foregå online.
Når alt det er sagt, er det altid ubehageligt at vores dimser i lommen på afstand fortæller hvem vi er.
Hack Skidtet og direkte på nettet med "Proof of Concept". Ikke noget pjat med at sätte sig selv op som mål for et civilt sögsmål ved at "väre ansvarlig" og fortälle udbyderen / producenten om problemet.
Det er sådan at tingene begynder at blive sikret når det koster bankerne "nok" på "bund-linien". Principper om privatliv et cetera bliver til mere end teorier for sölvparpirshatte og tosser når vores politikere får leveret 1 m^3 porno-artikler til kontoret sammen med 2048 fartböder!
Når alt det er sagt, er det altid ubehageligt at vores dimser i lommen på afstand fortæller hvem vi er.
Det er i virkeligheden problemets kerne her. Nets og resten af EMV kartellet har et økonomisk incitament til at sikre deres skrammel EMV kort mod misbrug, som koster bankerne penge, altså uautoriserede transaktioner.
At Nets med de kontaktløse kort lægger en cookie ned på kortet, som spredes ud til omverdenen (på mange meters afstand i betalingssituationen) og kan bruges til tracking, er jo ikke Nets problem. Det er dankortbrugernes problem, og de får forresten ikke noget valg mellem dankort med/uden Nets tracking cookies. Nets vil måske ligefrem se det som en feature, fordi disse trackingmuligheder åbner for nye value-added tjenester fra Nets til butikkerne. Nets-overvågning som en service.
Ikke andet end at .... I England (London Heathrow) er köen for "manuelle pas" cirka 3 km lang, med de automagisk afläste pas slipper man med godt 100 meters kö foran en räkke maskiner.
Du skal også acceptere automatisk ansigtsgenkendelse, uden at du har nogen kontrol over hvad der sker med billederne.
Oven i alle disse problemer er så overvågning, hvor du ikke misbruger data til betaling. Men du véd hvilke kreditkort der har været hvor. Hvis du så kan sætte kreditkortnummeret i forbindelse med anden persondata, så kan du overvåge en persons færden.
Når vi snakker overvågning igennem luften, tror jeg såmænd ikke at NFC kortet er så nødvendigt. En mobil i lommen er i sig selv en rigtig god "informations spreder". Hvis vi er i butikker, er der massiv overvågning som med nuværende teknik godt kan genkende personer og følge dem igennem butikken.
Kameraerne i butikkerne er ikke kun til at forhindre tyveri. Det er ganske imponerende overvågning - der kortlægger folks købsmønster. Hvor lang tid stopper folk ved slikken, går man lige forbi ugens tilbud osv. Så vidt jeg ved er det "anonymt" i Danmark - men som det ses mange steder er teknologien der kan genkende folk vha. realtime videofeed tilgængelig - så hvis man vil....
Så vidt jeg ved er det "anonymt" i Danmark - men som det ses mange steder er teknologien der kan genkende folk vha. realtime videofeed tilgængelig - så hvis man vil....
Anonymt? Næppe. Så ville man ikke kunne se hvem der stjæler varer i butikken.
Jeg tvivler stærkt på at denne yderligere brug af TV-overvågning optagelser til profiling af kunderne med automatisk ansigtsgenkendelse overhovedet er lovlig. Der er et krav om et sagligt formål for at behandle oplysninger fra TV overvåging. Forebyggelse af kriminalitet er et sagligt formål. Det er kommerciel overvågning af kunderne næppe.
Fra Datatilsynets pjece on TV-overvågning
Når det drejer sig om tv-overvågning med andre formål end kriminalitetsforebyggelse, kan der være særlige forhold, man skal være opmærksom på. Det anbefales, at man retter henvendelse til Datatilsynet.
Der er jo forskel på at man på en optagelse kan se folk ansigt og give billederne videre til politiet - og så at man automatisk har alle navne på kunder der har handlet i butikken.
Datatilsynet? De aner da ikke hvad der sker rundt omkring i Danmark - og hvis de gør skriver de et bekymret brev.
Nemlig, det bliver rigtig godt.
Hvad der sker hvis der bores et lille hul ned igennem antennen ? Er chippen og antennen kædet sammen således at hvis antennen bliver defekt, så virker chippen ikke?
Fandt en vejledning, han brugte dog en loddekolbe. http://www.instructables.com/id/How-to-Disable-Contactless-Payment-on-Yo...
Kan læse i kommentarerne, at der er et par stykker der bare borer et hul igennem antennen, ligesom dit forslag.
Når jeg på www.visaeurope.com læser om Visa og Apple Pay, så får jeg det indtryk, at hvis man bruger iPhone 6 og Apple Pay, vil man ikke have de problemer, som artiklen beskriver. For når man har registreret sit Visa kort i Apple Pay, så kan man bare lade selve Visa kortet blive derhjemme og bruge sin iPhone som "Visa kort" ved disse NFC terminaler. Jeg har også det indtryk, at Apple Pay med Visa allerede vil virke i de danske terminaler og alle andre steder i Europa, hvor der er trådløse Visa terminaler. - Men nu er situationen den, at jeg ikke er teknisk kyndig, og at jeg ikke har en iPhone 6. Jeg venter nemlig på den, der kommer i næste uge. Så jeg ved ikke, om jeg har ret i min forståelse af, hvordan det med Visa og Apple Pay virker, sådan teknisk set. Mon nogen her på Version2 ved det?
