'PIN-pas lijkt fundamenteel lek'

AMSTERDAM - Britse wetenschappers hebben de beveiliging van PIN-passen gekraakt. Betalingen zijn te doen zonder PIN-code, dankzij vervalsing van de authenticatie. Het EMV protocol moet op de schop.

Goedkope standaardelektronica, een laptop met een speciaal scriptje, een gestolen pas in een kaartlezer en een speciale namaakpas zijn de enige benodigdheden. De totale kosten bedragen nog geen duizend dollar, inclusief de laptop. De elektronica is zonder diepgaande kennis samen te stellen, waarschuwen de onderzoekers van de universiteit van Cambridge.

De wetenschappers hebben hun aanvalsmethode met succes uitgevoerd op enkele echte betaalautomaten in winkels. Daarbij zijn PIN-passen van de grote Britse banken getest: Barclays, Halifax, Bank of Scotland, HSBC, John Lewis en de Co-operative Bank. Die passen zijn allemaal kwetsbaar bevonden, zegt dr. Steven Murdoch van het Cambridge-team. PIN-automaten waar geld wordt opgenomen, zijn niet vatbaar voor deze kraak van de EMV-beveiliging (Europay, Mastercard, VISA).

Kraak

De nu geopenbaarde PIN-kraak is een 'man in the middle'-aanval waarvoor geen inbraak nodig is op de geldautomaten zelf of op het netwerk van banken en betalingsverwerkers. De elektronica en het script onderscheppen namelijk de communicatie tussen de echte pas en de geldautomaat. De dief kan een willekeurige PIN-code invoeren en het kraaksysteem laat de automaat weten dat die correct is.

De combinatie van de goedkope, makkelijk zelf te maken elektronica, de laptop en de speciale namaakpas vormt de 'man in the middle'. Dit doet denken aan de (fictieve) ATM-kraak in de film Terminator 2, maar dan zonder het tijdrovende ontcijferen van de pincode. Dat gebeurt tegenwoordig ook in de praktijk al, maar daarvoor is nog wel diefstal van blokken versleutelde PIN-codes nodig.

Netwerk

De in april vorig jaar onthulde encryptiekraak mikt op zwakke plekken in het netwerk waarover het betalingsverkeer loopt. Dit is in Nederland niet aan de orde. Al drie jaar niet meer, reageerde de Nederlandse Vereniging van Banken toen tegenover Webwereld. De kraakmethode die de Britten nu onthullen, laat het betalingsnetwerk echter geheel onberoerd.

In zowel de oude Terminator-film als in de realiteit van de Cambridge-kraak is toegang tot een PIN-machine voldoende, met dan een kleine computer en de daaraan gekoppelde aparte elektronica. De Cambridge-wetenschappers stellen dat hun opstelling nog relatief groot is en dat criminelen het makkelijk kunnen verkleinen. De miniaturisatie in skimapparaten voor PIN-automaten is al bewijs van de kunde van criminelen, melden de onderzoekers.

Zij hebben hun bevindingen in december vorig jaar bekend gemaakt aan diverse vertegenwoordigers van de banksector en aan regulerende instanties voor het bankwezen. We hebben tot op heden geen enkele response van de banksector gekregen, afgezien van hun persberichten, merken de vier onderzoekers droog op in hun Q&A.

Details

De details van de kraak worden uiteengezet in een technische paper (pdf). Verder presenteren de vier hun bevindingen op het IEEE Symposium on Security and Privacy, dat in mei plaatsvindt in Californië (VS).

De universiteit van Cambridge doet al geruime tijd onderzoek naar de beveiliging van het PIN-systeem. Daaruit zijn al eerder zwakke plekken naar voren gekomen, wat in april vorig jaar ook is genoemd in verband met een Britse rechtszaak over 'spookopnames' van grote geldbedragen. Die zaak tegen de bank Halifax is uiteindelijk door de rechter afgewezen.

Tip de redactie