Chippen zonder te pinnen

Eind vorig jaar stond in deze krant een berichtje
dat Britse banken een poging hadden gedaan om de
publicatie van een scriptie van een student te
laten verwijderen van de website omdat die het
betalingsverkeer via het nieuwe pinnen zou
schaden.  In maart vorig jaar was door dezelfde
onderzoeksgroep een stuk gepubliceerd waaruit
blijkt dat de EMV chip een behoorlijk
beveiligingslek vertoont waardoor het mogelijk
bleek om via de EMV-chippas te betalen met een
willekeurige pincode.

Hoe gaat dat in zijn werk?  Je steelt een
EMV-chippas, zeg maar een pinpas zoals we die
kennen van het nieuwe pinnen.  Die sluit je via
een kaartlezer aan op een laptop met daarop een
python programmaatje.  Dat verbind je met een stuk
hardware met daarop een FPGA (Field Programmable
Gate Array), die laatste dient als driver voor een
gefakete chippas, die via een draadje verbonden is
met de FPGA{}.  In een uitzending van BBC
Newsnight had men de laptop en FPGA in een
rugzakje en liep de draad door de mouw van de
testpersoon.  Op die manier werden spullen gekocht
door elke keer een pincode van vier keer nul
in te tikken.  Je zou denken: dat kun je maar 3 keer
doen en dan is de kaart geblokkeerd maar dat is
niet het geval.

We leggen uit hoe dat zit.  De kern van het lek is
dat als de terminal een verify command stuurt naar
de chipkaart, het python programma die boodschap
naar de kaart onderdrukt en in plaats daarvan de
hexademimale code 9000 stuurt naar de kaart.  Door
die code te sturen denkt de chipkaart dat de
terminal geen PIN verificatie ondersteunt, en dat
die is overgeslagen of dat een handtekening is
gevraagd in plaats van verificatie via PIN.  Omdat
de dummy PIN nooit de kaart ter verificatie
bereikt wordt de PIN retry counter ook niet
opgehoogd en kun je dit vaker dan 3 keer flikken.
Bovendien merkt de bank niets van dit al, en gaat
er van uit dat een correcte PIN is gebruikt.

Nu zijn er twee problemen.  Het eerste probleem
is, dat de banken stellen dat dit nu zo veilig is,
dat de bewijslast omgekeerd wordt.  Als er geld
wordt afgeschreven en zij zien dat het om een
correct PIN betaling ging, krijg je je geld niet
terug, ook al is je kaart gestolen.  Maar we zien
net dat je met een gestolen kaart en zonder een
PIN code ook geld kunt opnemen.

Het andere probleem is dat de banken stellen dat
fraude met passen is gedaald doordat nu de
EMV-chip meer en meer wordt gebruikt.  Maar dat
komt omdat de banken dus niet meer uitkeren omdat
ze denken dat er sprake is van een correcte
transactie.  En vast niet omdat er werkelijk
sprake is van een daling met passenfraude.

En omdat de banken in Engeland dit allemaal wat
vervelend vonden dacht men dat het een goed idee
was om de wetenschappers die dit aan het licht
hebben gebracht maar te censureren.  Zou het niet
beter zijn als die banken de EMV-chip boycotten,
en zolang dat niet kan, de voorwaarden die de
consument vogelvrij verklaren ongedaan maken?

In juni 2009 bleek dat een op de vijf slachtoffers
van chipkaart fraude in de UK bakzeil haalde en
hun geld niet terugkreeg.  Er zijn vele gevallen
bekend waar klachten van klanten ongegrond zijn
verklaard.  Zowel door banken als ook door de
onbudsman met als reden: je had een EMV-chipkaart en
een PIN code was gebruikt dus er moet wel sprake
zijn geweest van grove nalatigheid.  Naar nu blijkt
is er een groeiend aantal klachten van betrouwbare
getuigen dat hun kaarten kort na gestolen te zijn
geweest waren gebruikt terwijl het onmogelijk was
dat de dief de PIN code kende.  Omdat de premisse
van dit hele systeem, namelijk dat de PIN verifieert,
niet blijkt te werken is dit systeem inherent
onbetrouwbaar.

Niets of niemand legt het bankwezen een strobreed
in de weg om deze rotzooi aan klanten te verkopen,
om ze vervolgens af te rekenen op nalatigheid,
terwijl er hier maar een issue nalatig is: de
EMV-chipkaart.  Een broodrooster die in de fik kan
vliegen mag niet, maar dit wel?  Security en
privacy moet wettelijk geregeld worden zodat dit
soort spullen niet aan consumenten geleverd kunnen
worden.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in AG II.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.