Man-in-the-Middle Angriff auf Chipkarten demonstriert

Kreditkartenbetrug mit Hardware-Hack

| Autor / Redakteur: Bernd Schöne / Peter Schmitz

Computerexperten demonstrieren einen Man-in-the-middle-Angriff auf Kreditkarten mit Hilfe einer hauchdünne, elastischen Platine.
Bildergalerie: 4 Bilder
Computerexperten demonstrieren einen Man-in-the-middle-Angriff auf Kreditkarten mit Hilfe einer hauchdünne, elastischen Platine.

Auf der Sicherheitskonferenz IT-Defense zeigten Computerexperten in München einen Man-in-the-middle-Angriff auf Kreditkarten. Eine elastische Platine und geeignet programmierte Chips beseitigen die lästige PIN und sorgen so für Bargeld.

Ein Mikrochip prangt seit 2010 auf allen neuen Kreditkarten. Er soll vor Dieben schützen. Nun zeigten : er nutzt weit weniger als erhofft. Dazu bauten sie einen ultradünnen Datendieb, um einen sogenannte „man-in-the-middle“ Angriff zu starten.

Solche Angriffe sind nichts Neues. Dazu klinkt sich ein Unbefugter, meist ein Computerprogramm, in den Datenverkehr zwischen zwei Teilnehmern und liest Informationen mit. Den Bitstrom rein physikalisch zu unterbrechen, ist aus der Mode gekommen. Die amerikanische Hacker-Legende Adam Laurie und die jungen Italiener Andrea Barisani und Daniele Bianco probierten es trotzdem.

Angriff mit hauchdünner Chipkarte

Dazu schrumpften sie das Angriffswerkzeug auf die halbe Größe und halbe Dicke einer Kreditkarte. Die doppelseitig durchkontaktierte, hochflexible Leiterplatte schmiegt sich an die Kreditkarte an und ist so dünn, dass man sie, zusammen mit der Karte, problemlos in ein handelsübliches Bezahlgerät einführen kann.

Das Terminal versorgt die Karte während des Angriffs mit Strom. So kann sie alle Befehle mitlesen und verarbeiten, da der gesamte Datenverkehr über die Platine läuft. Diese Bezahlterminals für Kreditkarten sind weit verbreitet. Es gibt sie in unterschiedlichen Größen und Qualitätstufen, vom stationären Geldautomaten mit ständiger Datenanverbindung bis zum Kleingerät für Geschäfte und Restaurants.

Angriffsziel der drei Hacker ist der so genannte Sicherheits- oder EMV-Chip der Kreditkarte. Dieser Chip ist eine "intelligente" mit einem gekapselten Mikrocomputer, der auf dem Plastikkärtchen klebt. Er enthält eine persönliche PIN, die der Nutzer in das Bezahlterminal eintippen muss, will er Geld sehen oder etwas kaufen. Dank man-in-the-middle gibt es aber auch ohne PIN Bares. Dies demonstrierten die drei Hacker im Rahmen der IT-Sicherheitskonfernez “IT-Defense 2012” der Beratungsfirma Cirosec in München.

Die Hacker nutzen dabei die Tatsache aus, das es Karten und Terminals in unterschiedlichen Modi betrieben werden können, um den Anforderungen in den diversen Ländern und den unterschiedlichsten Bezahlsituationen gerecht zu werden. Der Bezahlvorgang soll nach dem Willen der ausgebenden Organisationen auch mit alten und preiswerten Geräten möglich bleiben.

Hardware zwingt Kreditkarte auf niedrigsten Sicherheitslevel

Beim Angriff zwingt die Leiterplatte Karte und Terminal auf den niedrigsten Sicherheitslevel. Sie leitet dann alle unverfänglichen Fragen des Bezahlsystems durch, und beantwortet alle kritischen mit “ja”. Welche Codes genau ausgetauscht werden, darüber schweigt Laurie, nur so viel verrät er: der Bezahlautomat akzeptiert den Buchungsvorgang anschließend auch ganz ohne PIN. Der Genehmigungscode "0x9000" gilt aber seit langem als Schwachstelle des EMV-Chips und dürfte auch hier verwendet worden sein, um die PIN auszuhebeln.

Ebenso unverzeihlich wie technisch fraglich ist die nach wie vor bestehende Option, die PIN unverschlüsselt vom Bezahlterminal an den EMV-Chip zu schicken, was abhorchen erleichtert. Schnelle Hilfe ist nicht in Sicht.

„Das EMV-System ist einfach zu komplex“, erklärt Master Card EMV Experte Jan Lundequist. Der Sicherheitschip hatte schon mehrfach für Ärger gesorgt. Erst 2010 in der Fläche eingeführt, benötigten 30 Millionen Karten noch im selben Jahr ein Softwareupdate, da sie wegen eines Programmierfehlers mit dem Jahr 2010 nicht klarkamen. Dass es der Chip zulässt, von außen umprogrammiert zu werden, halten Experten für ein zusätzliches Sicherheitsmanko.

Immer mehr Angriffe auf Kreditkarten möglich

Langsam sollten bei Banken und ihren Versicherern die ersten grauen Haare wachsen, denn die Angriffe auf das Plastikgeld häufen sich. Die Sorge wächst, dass organisierte Kriminelle die Idee aufgreifen könnten. Ähnliches wurde im Falle von gefälschten Fernsehkarten beobachtet. Auch damals wurden aus einem Hobbyprojekt schnell ein Großserienprodukt.

Dann dürften die Labormuster von Heute professionellen Spionage-Platinen mit Original-Kreditkarten Logo weichen, um unauffällig Kasse machen zu können. Geschulte Finger dürften dann beides unauffällig vor den Augen eines arglosen Juweliers in den Bezahlautomaten fummeln, und Glitzersteine für Lau einsacken. Den Ärger hat der bestohlenen Kreditkartenbesitzer, denn offiziell gilt das Verfahren immer noch als sicher und die Beweislast liegt bei ihm.

10 Jahre IT-Defense

Seit 2003 leistet sich die Sicherheits-Beratungsfirma Cirosec eine eigene Konferenz der besonderen Art. Ohne Eigenwerbung, Sponsoren und Werbevorträge. Das Programm ist eine Mischung aus technischen Grundlagenvorträgen, Berichten über aktuelle Hacks, strategischen Präsentationen und unterhaltsamen Referenten. Letztere sind oft Hacker-Legenden, die auch schon mal aus ihrer Zeit im Gefängnis berichten.

Die Anzahl der Teilnehmer ist auf 200 begrenzt, was die Veranstaltung übersichtlich hält. Industrie, Militär und Verwaltung haben das Konzept sofort dankbar angenommen. Die Gespräche mit den Kollegen während der Kaffeepausen sind für viele ein weiteres Argument, auch im nächsten Jahr vorbei zu schauen. Einen Platz im Auditorium zu ergattern ist für Spätbucher allerdings gar nicht so einfach, denn die meist auf den Februar terminierte Konferenz ist regelmäßig ab Weihnachten ausgebucht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 32023880 / Sicherheitslücken)