Hallo, wie können die Banken sichergehen, dass ich meine Geldkarte nicht klone, indem ich sie auslese und nachbaue? Ist es überhaupt möglich, ein EEPROM "von außen" auszulesen? Es ist ja durchaus möglich, durch aufschleifen die Strukturen von Chips zu erkennen, darum geht es hier aber nicht. Das Protokoll ist nämlich bekannt, von Bedeutung sind die Schlüssel, die im Speicher der Karte hinterlegt sind. Basiert nicht die ganze Sicherheit der Geldkarte darauf, dass es niemandem gelingt, irgendwie an den Inhalt seines Geldkartenspeichers zu kommen? Sollte das jemand mal schaffen, könnte er mit diesen Informationen dann so oft er möchte mit eigentlich nicht vorhandenem Geld bezahlen, ohne, dass ihn jemand daran hindern kann. Er könnte auch noch mehr Kopien dieser Karte anfertigen und sie hundertfach verkaufen. Es existiert zwar ein Schattenkonto bei der Bank, dieses dient aber so weit ich weiß nur dazu, falls die Karte kaputt geht, der Inhaber trotzdem noch den Betrag, der auf dem Konto ist, gutgeschrieben bekommen kann. Natürlich würde die Bank den Betrug bemerken, doch was könnte die Bank dann noch tun? Ich bin mir ziehmlich sicher, dass auf dem "Gegenstück" der Geldkarte, das sich zb in den Automaten befindet, kein Platz für etwaige Sperrdateien vorgesehen ist, die von der Bank übermittelt werden könnten. Wenn ich das richtig verstanden habe, kann die Geldkarte keine asymmetrische Verschlüsselung. Wie kann sie sich dann gegenüber dem Automaten authentifizieren? Selbstverständlich muss sich jedes Exemplar auch anders authentifizieren, zwar mit dem gleichen Verfahren, aber mit unterschiedlichen Schlüsseln. Wie erreicht man sowas mit begrenztem Speicherplatz auf Automatenseite? Ich finde dieses Prinzip der Sicherheit etwas seltsam, jemandem Informationen in die Hand zu drücken, die er nicht haben darf und dann darauf hoffen, dass er technisch nicht in der Lage ist, an diese Informationen zu gelangen. Der Unterschied zwischen dem Auslesen von Speicher und Knacken von Algorhitmen besteht darin, dass ersteres vom technischen Aufwand abhängt und somit nur in der Praxis sicher, theoretisch aber problemlos machbar ist. Zweiteres jedoch basiert darauf, dass der Rechenaufwand zum Entschlüsseln (ohne den Schlüssel zu kennen) soviel höher als das Verschlüsseln ist, dass bei gegebener Rechenleistung zwar jeder problemlos verschlüsseln kann, es aber ausreichend lange dauern würde, den Schlüssel zu ermitteln.
>Wenn ich das richtig verstanden habe, kann die Geldkarte keine >asymmetrische Verschlüsselung. Natürlich kann sie das! Und wie du schon richtig bemerkt hast, führen die Banken Schattenkonten. Was willst du denn da noch manipulieren, wenn es sowieso todsicher auffällt?
>Natürlich kann sie das!
Woher hast du diese Information?
Meines Wissens nach haben die Bezahlstellen einen bestimmten Key (alle
den selben), aus dem sich zusammen mit der Kartenseriennummer der
Kartenschlüssel errechnen lässt. Dieser Kartenschlüssel ist auf der
Karte gespeichert. Dadurch haben dann beide den gleichen Schlüssel, ohne
diesen vorher austauschen zu müssen, wodurch sie sich dann
authentifizieren können.
Die Datenübertragung läuft dann symmetrisch verschlüsselt ab.
Heißt das nicht, wenn ich so ein Terminal in die Finger bekomme, ich aus
diesem Key beliebig viele Geldkarten produzieren kann? (Seriennummern
kann ich mir ja ausdenken, den Schlüssel bekomme ich aus diesen 2 Daten.
Ja, das Schattenkonto, ist das nicht völlig nutzlos gegen Betrug?
Ich glaube nicht, dass die Bezahlstationen in der Lage sind, von den
Banken Sperrdateien zu erhalten und speichern. Solche Sperrdateien
müssten auf der Chipkarte des Terminals gespeichert werden, dafür ist
doch viel zu wenig Platz.
tja, ich habe schon vor 15 Jahren überlegt: in der Tanke jobben gehen, in der Nachtschicht ein ganz klein wenig am Kartenleser manipulieren, schon hast du Kartendaten und Pin. Daten gesammelt über ein paar Wochen Das kann jeder einigermassen elektronikbegabte 15jährige, ich zumindest hätte mir das leicht zugetraut, aber ich bin ja an sich ein ehrlicher Mensch.
Hat meines erachtens nach, mit selbstüberschätzung nichts zu tun im grunde genommen sehr einfach: über eine Art "Y" - Platine einfach die Daten von der Karte & Tastatur am Gerät abgreifen und µC gesteuert in ein EEProm abspeichern. Was soll daran kompliziert sein? (Natürlich gehört da ein bisschen mehr zu aber von den Grundzügen würde das gehen)
Hihi, du Schlaukopf... Ich komme ehrlich ganz gut zurecht. Und mir ist wohler, nicht bei jedem Türklingeln zusammenzucken zu müssen. Was bitte ist dabei, die Daten des Kartenlesers und der Tastatur mitzuloggen und die Kartendaten auf ne weisse Blankokarte zu übertragen und mit der Pin zu diversen Geldautomaten zu latschen? Du wirst mich jetzt sicherlich aufklären, wo der Haken dabei liegt. Ich hab das weder versucht noch weiter verfolgt. Technisch sehe ich wirklich kein Problem. Kartengeräte verplombt/alarmgesichert? Vielleicht, keine Ahnung.
ja, wenn du an die Leitung vom Lesegerät gehst - da ist alles zu spät. Direkt an der Leseeinheit kann ja noch nicht viel verschlüsselt sein... Werde morgen mal versuchen, ein clone meiner eigenen Karte herzustellen (oder ist das auch schon strafbar?)
Mhh irre ich mich... war in den Medien ne menge drinne über manipulierte EC-Geräte? Insbesondere war ein Baumarkt betroffen (der mit den 3 Buchstaben)... Dort wurde eingebrochen, aber nichts geklaut(erst später hat man festgestellt, dass die Geräte manipuliert worden sind). Zumal steigen die Zahlen manipulierter Geräte drastisch an. [edit] erinnere mich gerade wieder, dass Sie mal bei Akte07 daraufhin ein Testgemacht haben. Sogar mit Funkmodul. Am ende saßen die Akte07 Leute, draussen auf dem Parkplatz im Auto mit nem Notebook samt gebastelter µC Schaltung und dem Funkmodul und haben Live den Datenstrom abgegriffen...
Lieber J. Ackermann. Könntest du vielleicht aufhören, andere als Idioten oder dumm zu beschimpfen? Statt den Leuten hier mit Argumenten zu kommen, beleidigst du bloß. Soviel dazu. Basti meinte die Leseeinheit im Gerät. Natürlich vom Magnetstreifen, nicht vom Chip. Du antwortest irgendwas mit digitalen Signaturen, das hat damit überhaupt nichts zu tun. Die Betrüger brauchen nur die Kontodaten und die Pin, ersteres bekommen sie durch den Magnetstreifen, zweiteres indem sie die Tastatur auslesen. Bitte erkläre mal, wieso die Kartengeräte direkt von einem anderen Konto abbuchen sollten, wie kommst du darauf? Was hätten die Täter davon, wenn sie für den Betrug auch noch ein Konto in Deutschland bräuchten, das zudem noch bei einem Unternehmen wie easycash angemeldet sein müsste. Natürlich speichern die Betrüger die Daten auf einem eeprom und schicken sie dann zb per gsm an sich weiter, um im Ausland dann das Konto abräumen zu können. Das hat aus Tätersicht alles den Nachteil, dass die Masche nur so lange funktioniert, wie die Manipulation unentdeckt bleibt. Mir ging es ja um die Geldkarte, bei der ein erfolgreicher Angriff dem Angreifer garantieren würde, unentdeckt zu bleiben.
>Mir ging es ja um die Geldkarte, bei der ein erfolgreicher Angriff dem >Angreifer garantieren würde, unentdeckt zu bleiben. Wie kommst du darauf, mit so einer Karte im grossen Stil abräumen zu können? Wir leben in einer elektronischen Welt mit Kameras und Zeitstempeln. Früher oder später fliegst du damit auf, auch wenn die Kontoführung nicht in Echtzeit passiert. Und selbst wenn du recht hast, mit deiner symmetrischen Verschlüsselung, die eigentlich nur bei den Magnetstreifen eingesetzt wird, so musst du zumindest ein Reverse-Engineering durchführen. Es gibt nur eine Handvoll Firmen auf der Welt, die das können und es kostet bestimmt sehr viel Geld (>100k). (Schweigegeld noch nicht inbegriffen.) Bist du dich da durchgefragt hast, wer das für dich machen könnte, hast du schon deine erste Spur zu dir gelegt. Abgesehen davon, müsstest du die Chips selbst reproduzieren können. Modernen Chips (z.B. Mifare) verfügen auch über Rom-Zellen in denen gängigerweise die Seriennummern abgelegt sind. Mifare-Chips werden heute bei vielen Universitäten eingesetzt und haben die alten Magnetstreifen und Sticks mit einfachen Eeprom und Standard I2C Industrie-Bus als Bezahlsysteme bereits abgelöst. Zu recht wie ich finde! Ich selbst habe während meiner Studienzeit schwer davon profitiert. (roflmao)
Bankräuber wrote: > Abgesehen davon, müsstest du die Chips selbst reproduzieren können. > Modernen Chips (z.B. Mifare) verfügen auch über Rom-Zellen in denen > gängigerweise die Seriennummern abgelegt sind. > Mifare-Chips werden heute bei vielen Universitäten eingesetzt und haben > die alten Magnetstreifen und Sticks mit einfachen Eeprom und Standard > I2C Industrie-Bus als Bezahlsysteme bereits abgelöst. Zu recht wie ich > finde! Ich selbst habe während meiner Studienzeit schwer davon > profitiert. (roflmao) Allerdings ist der Mifare-Verschlüsselungsalgorithmus erst kürzlich geknackt worden. Die Dinger sind jetzt offen wie ein Scheunentor...
Es geht weniger um die praktische Machbarkeit/den praktischen Nutzen. Zugegeben, mit einer Geldkarte kann man weniger große Beträge bezahlen als mit EC Karten, dementsprechend ist es ziehmlich fraglich, ob man die Kosten, die man reinstecken müsste, in irgendeinem Verhältnis zum erzielten Nutzen stehen. Andererseits frage ich mich, ob die Sicherheit auf wirtschaftlichen Faktoren basieren darf. Mal als Vergleich: Angenommen, jemand hätte einen Weg gefunden, Geld so nachzudrucken, dass es von "echtem" Geld nicht unterscheidbar wäre, auch nicht von Banken. Auch wenn es sagen wir mal 1000 Euro kosten würde, einen 500 Euro Schein zu drucken, darf das einfach nicht sein. Wer sagt, dass es dann nicht irgendwann für 450 Euro machbar ist? Alleine die Vorstellung, dass sich jeder seine eigene Geldkarte herstellen könnte, sobald einmal bestimmte Keys bekannt wurden. Aber ob so ein Szenario realistisch ist? Die entscheidene Frage ist ja, ob man einen Speicher auslesen kann, indem man den Chip zb öffnet (abschleift), ohne jedoch die Ansteuerung, die auf dem Chip integriert ist, nutzen zu können. Natürlich kann man eine Geldkarte nicht einfach in ein Lesegerät stecken und auslesen. Reverse Engineering müsste man nur bedingt anwenden, was an Verfahren geheim ist, ist die innere Verdrahtung des Chips und die Software dadrauf. Das Protokoll jedoch ist es nicht.
Panzerknacker wrote: > Andererseits frage ich mich, ob die Sicherheit auf wirtschaftlichen > Faktoren basieren darf. Das ist aber immer so, egal ob es sich um Münzen, Banknoten, oder Verschlüsselungsalgorithmen handelt. Der Sinn solcher Sicherheitsmaßnahmen ist immer nur, die Fälschung, das Einbrechen, etc. pp. so aufwendig zu machen, daß es sich nicht lohnt, oder daß der Aufwand für unautorisierte Entschlüsselung so hoch ist, daß die so kompromittierten Geheimnisse mittlerweile wertlos sind. > Auch wenn es sagen wir mal 1000 Euro kosten würde, einen 500 Euro Schein > zu drucken, darf das einfach nicht sein. > Wer sagt, dass es dann nicht irgendwann für 450 Euro machbar ist? Es findet immer eine mehr oder weniger schnelle Co-Evolution statt zwischen Fälschern/Codeknackern und denen, die ihr Geld und ihre Geheimnisse schützen wollen. Es gibt also nicht den ultimativen Schutz, der für immer wirksam ist, und das auch noch garantiert...
Bei der Geldkarte wird es wohl genauso sein. Wahrscheinlich ist da ein gewisser Mißbrauch schon einkalkuliert und dafür wird von den Betreibern eine Versicherungsprämie bezahlt. Und diese Versicherung zahlt dann den ehrlichen Kunden, die Opfer eines Betrugs werden, den zu unrecht belasteten Betrag wieder aus. Die Banken brauchen sich dann um die Details so lange gar nicht kümmern, bis ein Hack so populär wird, daß der Schaden über die tolerierte Mibrauchsquote hinausgeht.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.