Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
1. Een
rat-‐race
tussen
skimmers
en
beveiligingsmaatregelen
Jeroen
de
Boer
4
November
2010
2. Agenda
Kerckhoffs’
principe
Techniek
achter
kaartbetaling
Ratrace
tussen
skimmers
en
beveiligers
En
nu?
3. Kerckhoffs’
principe
Auguste
Kerckhoffs
in
1883:
een
cryptosysteem
moet
veilig
zijn
zelfs
als
alles
over
dit
systeem
publiek
bekend
is,
behalve
de
sleutel
Claude
Shannon:
“The
enemy
knows
the
system”
Dus
niet:
Security
through
obscurity
Toepasbaar
op
de
veiligheid
van
kaartbetalingen?
Openbaarheid
van
maatregelen
(het
“systeem”)
en
manieren
van
fraude
kan
sterk
bijdragen
aan
de
veiligheid
4.
5. Kaartbetaling
Sinds
ca.
1920
gebaseerd
op
handtekening
op
een
afdruk
van
een
metalen
ponskaart
Sinds
ca.
1985
ook
elektronisch
Wereldwijde
standaards
voor
magneetstrip,
PIN
en
chip
kaarten
Betaling
met
PIN
is
soort
van
two-‐factor
authenticatie
PIN:
Bewijs
van
akkoord
van
de
klant
Beveiliging
tegen
misbruik
van
verloren
kaarten
“Absolute”
geheimhouding
vereist
7. Complicerende
factoren
Meerdere
acceptatie
kanalen
Verschillende
veiligheidsniveaus
Verschillende
autorisatie
methoden
Veel
betrokken
partijen
Onwetende
klanten
Het
systeem
moet
wel
bruikbaar
en
betaalbaar
blijven
8.
9. Omvang
en
impact
fraude
Nederland,
PIN
passen:
2007:
€15
miljoen
2009:
€36
miljoen
2010:
€11
miljoen
UK,
credit
+
debit
cards:
2008:
GBP
610
miljoen
2009:
GBP
440
miljoen
Georganiseerde
misdaad
Financiering
van
drugs,
oorlogen
&
terrorisme
Bron:
www.cardwatch.org.uk
10. Fraude
lifecycle
Zwakke
plek
Skimming
Productie
valse
kaarten
Misbruik/
fraude
Beveiliging
De
waarde
van
de
data
is
een
belangrijke
zwakke
plek
18. Preven@e
Standaarden
zijn
effectief
tegen
het
voorgaande…
De
omgeving
niet.
Nog
strengere
eisen
PCI
PTS
Authenticiteit
vaststellen
Stickers
Weegschaal
Röntgen
19. Huidige
problemen
Skimming
apparatuur
en
camera’s
Zeer
verkleind
Professioneel
gebouwd
Moeilijk
te
onderscheiden
van
echte
kaartlezers
Bevestigd
met
dubbelzijdig
plakband
Data
real-‐time
verzonden
via
blue-‐tooth,
GSM
of
Wifi
Snel
geplaatst,
snel
verwijderd
Moeilijker
te
achterhalen
20.
21. Beveiligingsdomeinen
Card
terminal
Point
of
sale
Head
office
Acquiring
bank
Issuing
bank
Kaart
PIN
Omgeving
Dataopslag
en
-‐transport
PIN
en
terminal
22. Effec@viteit
huidige
standaarden
Standaarden
werken
goed,
binnen
hun
domein
Geen
integrale
standaard
Geen
bekendheid
van
nieuwe
dreigingen
Standaarden
reageren
laat
op
nieuwe
dreigingen
Risico
Standaard
Effectiviteit
PIN
compromise
PCI
PTS
(PED),
Currence
(NL),
etc.
++
Data
compromise
PCI
DSS
+
Omgeving
(skimming,
schouder-‐
surfen)
Privacy
schild
Piano
mondje
Noppen
mondje
“NS”
beugel
Skimmer-‐detector
-‐
o
o
+
+
23. Migra@e
van
fraude
Grote
successen
Daling
van
€36mln
in
2009
naar
ruim
€11,8mln
in
2010
Steeds
nieuwe
maatregelen
om
verder
te
verminderen
EMV/Het
Nieuwe
Pinnen
Voorlopig
gaat
fraude
nog
niet
weg
Vooral
migratie
naar
andere
zwakke
schakels
Criminelen
moeten
ook
aan
hun
jaarcijfers
denken
24. Waarde
van
de
data
Magneetstrip
data
is
waardevol
Eenvoudig
te
kopiëren
Via
andere
kanalen
te
misbruiken
Chipkaart
data
is
al
minder
waardevol
Maar…
meeste
chip
kaarten
hebben
ook
magneetstrip
Creditcard
via
Internet
misschien
geen
goed
idee?
Maakt
magneetstrip
data
waardevol.
Bijvoorbeeld
PayPal
of
IDEAL
zijn
een
beter
idee
Of
MasterCard
3D-‐Secure
of
Verified
by
Visa,
e.d.
25. Risico
gedreven
aanpak
Meer
bekendheid
over
fraude
en
over
maatregelen
helpt
om
risico
beter
in
te
schatten
Beter
inschatten
risico
helpt
om
de
business
case
rond
te
maken
Openheid
over
nieuwe
risico’s
maakt
het
mogelijk
om
via
kleine
veranderingen
“bij
te
blijven”
in
de
wapenwedloop
26. Openheid
en
coördina@e
Analoog
aan
Kerckhoffs’
principe:
Ook
als
alle
details
van
het
systeem
bekend
zijn
aan
de
aanvaller,
zou
het
nog
veilig
moeten
zijn
Meer
openheid
over
fraude
helpt
om
bedrijven
de
juiste
beslissing
te
laten
nemen
en
fraude
terug
te
dringen
Nationaal
Coördinator
Skimmingbestrijding?
Bekendheid
over
de
dreiging
van
skimming
Bekendheid
over
effectieve
maatregelen
Alerts
wanneer
nodig
CardWatch
in
de
UK,
Currence
in
NL