Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
March » 2006 » Kryptoblog

Archive for March, 2006

Skimming mot Dankort i Danmark

March 11th, 2006

I Danmark har det danska betalkortsystemet Dankort blivit måltavla för skimmingförsökm, dvs att på olika sätt försöka läsa av den digitala informatinen på korten. Det man försöker komma över är kortnummer/kontonummer och PIN-kod, vilket krävs för att kunna skapa kopior av korten. Det som krävs är en kortläsare som brottslingarna kan använda för att läsa av och när dom vill få ut informationen.
Det har skett ett antal bedrägeriförsök mot Dankort-systemet, och här i Sverige har skimming blivit ett ökande problem bland annat med försök att sätta kortläsare och kameror på uttagsautomater.

Det som är nytt i den här nyheten är hur brottsligarna går till väga för att få ut sitt skimming-system. Man har nämligen gjort inbrott i butiker, inte primärt för att stjäla från butikerna, utan för att modifiera butikens kortläsare.
Butikens Dankort-läsare visades sig ha blivit modifierad med en liten radiosändare som sände iväg kortinformationen när den lästes av.

Uppenbarligen har brottslingarna haft möjlighet och kompetens nog att plocka isär, analysera och hitta på ett sätt att snabbt kunna modifiera kortläsarna. Det är inte klart om attacken har lyckats, dvs att korrekta kortnummer och PIN-koder har kommit i brottslingarnas händer. Men händelsen visar hur viktigt det är att säkra hela informationskedjan. En terminal inne i en butik kan inte med automatik anses som pålitlig och information avläst från ett kort får inte hanteras i klartext.

Uppföljning om attack mot smartcard-system

March 11th, 2006

Historien om attacken mot det smartcard-baserade betalsystemet PayExpress på kopieringsfirman som jag skrivit om tidigare rullar vidare.

FedEx som äger kedjan Kinko’s har uttalat sig, och deras respons på attacken är ett typiskt exempel på hur företag inte bör reagera.

Först förnekade FedEx det kunde finnas ett problem över huvud taget och att attacken som publicerats av Strom Carlson inte skulle kunna fungera på FedEx maskiner. Efter att ha sett den film som visar en genomförd attack mot FedEx maskiner säger man nu att attacken inte hotar sina kunder. Slutligen överväger FedEx att rikta åtal mot Carlson för att han publicerat information om säkerhetsbristen i FedEx system.

FedEx använder alltså inte bara ett system där säkerheten bryter samman fullständigt om ett kort knäcks. Vidare tror man inte att det kan finnas säkerhetsproblem i de IT-system man använder, och när man blir överbevisad funderar man på om inte det bästa är att skjuta budbäraren. Nästan rekord i antalet fel man kan göra på en gång. Det enda FedEx har rätt om är att det inte hotar deras kunder, men det visar snarare att man inte förstår innebörden av attacken och istället PR-reagerar än kopplar in hjärnan.
Man skulle kunna inbilla sig att ett företag som FedEx som transporterar gods och erbjuder fantastiskt bra service i form av spårbarhet och säker leverans av detta gods borde genomsyras av säkerhetstänkande och inte minst förmågan att utvärdera risker och konsekvenser. Men tydligen sträcker sig inte den kompetensen över till IT-system.
Företaget EnTrac som utvecklat systemet åt FedEx har för övrigt inte reagerat alls. Inte ett uttalande till en tidning, ingen kommentar på sin webbplats. Som om inget har hänt. Inte heller ett speciellt bra sätt att hantera problem på.

Port-knocking på riktiga dörrar

March 1st, 2006

Konceptet med port knocking för att gömma styra access i brandväggar och tjänster i servrar är inte nytt. Men nu har företaget E-Lock tagit konceptet till dörrar – sådana människor använder.

Att döma av en artikel om systemet består det väsentligen av två delar: En låsenhet som monteras in i dörren och samt en nyckeldosa. Och det intressanta är att kommunikationen mellan dosan och låsenheten sker genom vibrationer – knackningar(!)

Att använda ljud som transporteras genom dörrmaterialet kan ha vissa fördelar, beroende på dörrmaterial kan antagligen vibrationerna hållas relativt lokalt. Samtidigt finns det flera potentiella säkerhetsproblem, bland annat kan någon inte bara försöka spela in och den vägen sedan attackera systemet, det blir dessutom mer uppnebart vem som har access till en dörr och när access skedde om man så bara hör en del av knackningarna. Integritetsproblem mao.

Säkerhetsmmässigt har E-Lock sett till att använda challenge-response med någon form av varierande kod. Vidare krävs det en PIN-kod för att aktivera själva nyckeldosan. Dock finns det ingen egentlig information om hur kommunikationen ser ut och hur den skyddas.

Själva nyckeldosan sitter inte fast på dörren, utan är personlig, dvs den följer med användarna. Därmed går dom även att göra unika och därmed inte heller någon knappdosa att försöka attackera även om man får en lugn stund för sig själv vid dörren. Att nyckeldosan följer med personen påminner en hel del om Svenska Cypaks teknologi PIN-on-card. Cypaks teknologi använder dock RFID för överföring.

RFID ger bättre bandbredd och det blir kanske något besvärligare att fånga upp kommunikationen. Nackdelen är att det blir svårare att verifiera hur kort (långt bort) kommunikationen egentligen går att fånga upp.

En nackdel jag ser med E-locks system är att det pga elektromekanisk kommunikation krävs mer strömförbrukning och rent fysiskt större enheter. Detta gör att speciellt nyckeldosan blir minst sagt ganska lådaktig:

Den ser inte speciellt high-tech ut och kan troligtvis upplevas som bökig att släpa runt på, något som ofelbart leder till att användarna kommer att försöka hitta på sätt att komma in utan att använda systemet – varför inte ställa upp dörren med en gammal hederlig dörrstopp?

På Slashdot tog det inte lång stund innan nyheten om E-Locks system ledde till lustigheter. Den här exempelvis:

“Knock Knock”
“Who’s There?”
“d7ff8a900e3ef2ab33edc32aa9bf2ed7”

Fungerande attack mot Smartcard-baserat betalsystem

March 1st, 2006

En artikel på Mal-aware.org beskriver hur man utför en fungerande attack mot ett Smartcard-baserad betalsystem som finns i USA.

SmartCardsystemet som attackerats är baserat på företaget enTracs system för Smartcard-baserade betalautomater ExpressPay. Systemet används i USA av Fedex kedja av kopieringsaffärer Kinko’s.

De Smartcards som används i ExpressPay är baserade på ett kortminne från Siemens/Infineon kallat SLE4442. Minnet innehåller en funktion för att skrivskydda minnet. Skrivskyddet kräver en kod för att öppna upp minnet för skrivning. Och här brister det rejält i säkerheten:

  • Koden som används är tre (3) tecken lång.

  • Varken kod eller datat i minnet är krypterat eller på annat sätt skyddat från läsning.

  • ExpressPay använder samma kod i samtliga terminaler och kort!

Längden på skyddskoden är ingen brist i ExpressPay i sig, utan en följd av att använda SLE442, dvs en brist i den Smartcard-teknologi man valt att använda. Men att använda samma kod i samtliga utrustningar och kort är skrämmande omdömeslöst och visar på total brist på säkerhetstänkande och hantering av säkerhetsproblem. Hade dom valt olika koder hade den dåliga säkerheten kunnat hanteras genom exempelvis bättre övervakning av terminaler. Men som det är byggt innebär detta att en lyckad attack innebär att samtliga maskiner och kort är öppna. Total kollaps av systemets säkerhet.

Attacken som utfördes gick helt enkelt till så att ledningar löddes fast på ett kort och trafiken som skickades mellan ExpressPay-terminalen spelades in. Sedan verifierades att man genom att skicka ner samma kod kunde skriva om kortet. Liknande attacker utfördes för närmare tio år sedan mot dåvarande Telias telefonkort för telefonautomater. Uppenbarligen har det inte hänt mycket vad gäller insikt och omdöme på tio år. Skrämmande. Tyvärr är detta inte första exemplet på säkerhetsbrister i inbyggda system.

Jag vet inte om det finnes och i så fall vilka Svenska produkter som använder SLE442, jag sökte på enTracs webbplats och Googlade, men hittade inget uppenbart. Om du som läsare har bättre koll så posta en kommentar.