Identify für unbekannte Chipkarten

Und nach längerer Zeit wieder einmal ein Software-Beitrag für euch. Unser neues „identify“ ist ein Python-Script, mit dem Ziel, unbekannte Chipkarten zu identifizieren.

Es nutzt die pyscard-Bibliothek und ein Leser muss per PCSC an den Rechner angebunden sein. Dabei kann das ein Gerät für kontaktbehaftete Chipkarten oder auch kontaktlose RFID-Cards sein.

Verschiedene Tests werden auf das Objekt der Begierde losgelassen, so wird unter anderem versucht, ein ISO7816-Masterfile, ein DF_TELECOM, einen etwa vorhandenen Cardmanager für Javacards, ein Statistic-File von EMV-Kreditkarten zu selektieren oder eine CardOS-Version zu ermitteln. Wenn gelungen, wird weiter versucht auszulesen…

Daneben ist die Smartcard-List von Ludovic Rousseau angebunden und mit einer eigenen Liste ergänzt, so dass im Vorfeld auch die ATRs der Chipkarten ausgewertet werden können. Einen unbekannten ATR kann man gleich in die Datenbank aufnehmen. Mit der Lösung bin ich damit ganz zufrieden…

EMV-Verfahren: PIN-Prüfung von Kreditkarten ausgetrickst

Heise online schreibt: „Betrüger haben einen im Jahr 2010 als Proof of Concept vorgeführten Angriff auf die PIN-Prüfung von Kreditkarten ausgebaut und so Transaktionen im Wert von 600.000 Euro getätigt. Mit einem selbst entwickelten Chip sollen Betrüger die Kommunikation zwischen Kreditkarte und Terminal als Man-in-the-Middle beeinflussen können. Im Zuge dessen akzeptieren manipulierte Kreditkarten jede PIN-Eingabe und einer Transaktion steht nichts im Wege…“

Zu lesen hier: http://www.heise.de/newsticker/meldung/EMV-Verfahren-PIN-Pruefung-von-Kreditkarten-ausgetrickst-2855951.html

Cartes in Paris gelaufen

Vom 04. bis 06.November fand dieses Jahr die Cartes „Secure Connexions“ in Paris statt.

Seit 1986 gibt es die Messe nun schon, und obwohl es nie eine reine „Kartenmesse“ war, hat sie sich schon auch etwas gewandelt über die Jahre. Neben Herstellern aus den Branchen Sicherheit und Identifikation sowie Payment und Mobilität fanden sich wieder zahlreiche Lösungsanbieter aus diesen Bereichen.

Und tatsächlich nahmen die beiden letztgenannten Bereiche wohl auch den größten Raum ein. Ein paar „Große“ wie Gemalto und Morpho fehlten oder waren nur mit Meetingräumen vertreten, andere wie Samsung oder NXP kamen sichtbar verkleinert. Wohl auch um ein Zeichen bei den Kosten zu setzen.

   

Kombiniert man EMV-basierte Bezahlverfahren mit einem kontaktlosen Interface, dann braucht man Dualinterface-Lösungen. Diesem Trend folgend, bieten eine induktiv gekoppelte „Coil On Modul“-Lösung mittlerweile mehrere Firmen wie Infineon, sps, Amatech, oder Kurz an. Entsprechende Näherungsfräsen und Implantiermaschinen, welche kontaktbehaftete DI-Module verarbeiten können, gab es jedoch auch mehrfach und gehören mittlerweile zum festen Programm der meisten Maschinenhersteller.

Auffällig auch die zahlreichen Anbieter von Testtools wie Keolabs, Applus, FIME, Elitt, Arsenal etc. für Konformitätstests in ISO, für das Bezahlwesen oder speziell zu NFC, was auch Hardware wie das Smartphone einschließt.

              

Die OSPT hatte dann auch einen Workshop zu bieten, den ich gerne besucht habe. E-Ticketing ist eben auch ein internationales Thema. Zurück zu den Anwendungen also fanden sich dann auch Ingenico, Spire (die schönsten Mädels) und Pax mit großen Ständen und dem Thema mPOS. Daneben gab es aber auch Raum für andere Themen. “NFC still fails to launch”, dieser Slogan beschreibt wohl die aktuelle Situation, aber auch hier entwickelt sich was. Schaut man etwas mehr in die Tiefe, wird klar, es braucht auch Bindeglieder, wie etwa End-To-End Security für die M2M-Kommunikation, worüber man u.a. am Stand von Achelos informiert wird.

Dort hat mir ein Spruch von Lutz Martini besonders gut gefallen: “We are among us.” Und das sollte man ab und an ändern, damit die vielen guten Köpfe auf der Cartes auch vermehrt mit denen in Kontakt kommen, wo Dinge viel mehr abgehen als früher, Stichwort Industrie 4.0 und Hannover-Messe. Achso, und Sitzplätze mit Steckdosen im Zeitalter der stromfressenden Smartphones gab es auch …

Swen Hopfe

SEPA-Region: Kartenmissbrauch geht zurück

Im Omnicard-Newsletter kann man dieser Tage lesen: „Die Europäische Zentralbank lässt verlauten, dass die Schäden durch Kartenmissbrauch in der Region der SEPA-Länder um 5,8% gesunken sind. Dies sei der stärkeren Verbreitung von EMV-Karten zu verdanken. Derweil migriere der Kartenmissbrauch in die technisch weniger entwickelten Länder…“

Weiterlesen bei: http://www.omnicard.de/index.php/de/omnicard-der-ultimative-kongress/4792-weniger-kartenmissbrauch

Kurzer Blick auf die Smartcard

… was nicht alles so passiert ist. Und um die große Historie soll es auch garnicht gehen. Was jedenfalls Anfang der siebziger Jahre begann und kurz danach in ersten Patenten zur mit Chip gestützten Karte von Jürgen Dethloff und Roland Moreno festgehalten wurde, war schon wegweisend. Plastikkarten gab es schon zwei Jahrzehnte eher mit dem Ausgangspunkt, in Hotels eine Kundenkarte und ein Zahlungsmittel bequem an der Hand zu haben.
Der Formfaktor Karte, gemeinsam mit dem Chip darauf, hat dann in den Achtzigern einen ganz guten Zug durch die Geschichte gemacht. Mit Telefonkarten und ersten Prozessorkarten auch. In den 90er-Jahren hatten sich dann Standards, wie eine Geldkarte, etabliert. Ende des Jahrzehnts gab es bereits einige nennenswerte Installationen mit kontaktlosen Karten. Und nun? Kontaktlose Karten sind Allgemeingut geworden. Mittels dieser Technik allerlei Formen mit Transpondern ausgerüstet. Neue Standards tragen das Ganze auch in Mobiltelefone und Tablets hinein, durch diese aktiven und mobilen Geräte eröffnen sich allerlei neue Möglichkeiten.

Mag sich einer fragen, wo die klassische Chipkarte bleibt? Die hat im Passwesen einen kleinen Siegeszug hingelegt, sei es nPA, ePass oder moderner Führerschein, auch wenn es dort nicht immer die gewohnte ISO-Form ist. Im eTicketing im Public-Transport gibt es mehr und mehr Fläche und das für klassische laminierte Karten in ec-Größe. Genauso wie bei Gesundheitskarten wie die eGK in Deutschland. Und einige Standards, wie EMV bei Bezahlkarten, kommen erst jetzt richtig in die Gänge. Dual-Interface erlebt hier eine Renaissance. Außerdem ist der flache Gutschein in Form von Karte besonders im Handel gefragt. Nicht zu vergessen, die vielen Anwendungen, die ich hier beflissentlich ignoriere. So genannte Nischen machen in unserem Metier immer noch den größten Anteil aus.

Es gibt überdies kontinuierlich technische Fortschritte, und der Singlechip auf der platzsparenden Karte ist noch immer attraktiv. Flashspeicher sind haltbarer geworden und bieten mehr Speicher auf kleinerer Fläche. Außerdem kann man „bis zum Schluss“ entscheiden, welche Funktionalität gebraucht wird, denn das Betriebssystem muss nicht mehr Teil der Chipmaske, also der Hardware sein, sondern kann später mit anderen Nutzdaten aufgebracht werden. Produktionskosten sinken, die Flexibilität steigt.

Kein Grund zum Klagen also? Es wird sich eher lang- weniger mittelfristig zeigen, wie sich entsprechender Wettbewerb zur Karte einordnet und wie deren spezielle Zukunft aussieht. Hauptsache es profitieren die Anwendungen, letztendlich die Anwender davon. Also doch noch die alte und gleichzeitig innovative Welt der Karte derzeit. Wäre ja ansonsten auch schlimm, oder?

Angreifer erbeuten Kreditkartennummern

Bis zu 1,5 Millionen Datensaetze in USA kompromitiert. So lautete es heute bei heise online und anderen Medien. Was dort zu lesen war, ist ihnen vielleicht schon bekannt, jedenfalls hat der „Datenklau“ in größerem Umfang schon etwas Schlagzeilen gemacht. Hier also erst einmal der Link zu besagtem Artikel.
Sicher werden wir auch in Zukunft vor solch einem Szenario nicht verschont bleiben. Da spielt es in diesem Fall leider auch nicht die entscheidende Rolle, wie groß die Chip- oder EMV-Abdeckung in Deutschland oder Europa sein mag. Das „Erbeuten“ von Embossing- oder Magnetstreifendaten in großem Umfang birgt aufgrund der heterogenen Strukturen und einer globalen Bezahlwelt schon ein erhebliches Drohpotenzial bei solchen Vorfällen. Missbrauch ist (in New York) schon bekannt geworden und nachträgliche Analysen wirken immer etwas unbefriedigend an der Stelle. Weil eben nachträglich.
Bessere Technologie bei bargeldlosen Zahlungen tut wohl Not in den USA, genauso stellt sich die Frage, ob man die strengen Vorschriften, die z.B. für die Produktionsumgebung bei Personalisierern gelten, nicht auch auf die gesamte Kette der Beteiligten ausdehnen sollte. Glaube, dies ist bis dato nicht geschehen und Zeit dazu wäre es längst …

Aufschwung beim kontaktlosen Bezahlen

Es tut sich also vermehrt etwas beim kontaktlosen Bezahlen in Europa. Etwas länger schon sind diverse Projekte in Asien am Laufen. Auch in Ländern, die gerne noch als Schwellenländer bezeichnet werden, wurden bereits kontaktlose Bezahlkarten herausgegeben. So wurde auch von Gemalto unlängst publiziert, dass man die erste EMV-Bezahlkarte produziert hat, die in Brasilien ausgegeben wird. So registriert man positiv auch, wenn man hört, dass dies Morpho für eine erste ungarische Bank mit Mastercard PayPass nun auch tut.
Davon hat der geneigte Nutzer in Deutschland erst einmal wenig natürlich. Ist man Anwender, sieht man das auch recht entspannt und schaut, was man im Einzelfall von seiner Bank geboten bekommt und was man im Speziellen davon hat. Ist man in der Branche tätig, darf man hingegen etwas Sorge haben darüber, ob hierzulande auch etwas in die Gänge kommt und man nicht hinten ansteht. Darüber hinaus überlegt man dann, wie das eigene Unternehmen partizipieren kann. Denn sicher ist das Ganze auch ein technologisches und wirtschaftliches Thema, allen Vorbehalten oder persönlichen Befindlichkeiten zum Trotz.

Aber auch in Deutschland tut sich doch einiges. Solcherlei Entscheidungen werden ja längst auch nicht mehr nur im nationalen Zusammenhang getroffen. Und so ist es auch nicht verwunderlich, dass für 2012 einige Banken kontaktloses Bezahlen einführen wollen, genannt sind hier comdirect, DKB, BW-Bank, Targobank, Volkswagen Bank und die Landesbank Berlin, konkret hier die Möglichkeit, mittels PayWave von VISA bezahlen zu können. Aber kontaktloses Bezahlen „einführen“, was heißt das eigentlich? Einführen kann man mit der Ausgabe einer entsprechenden Karte nichts wirklich, wenn man dem Kunden nicht die Möglichkeit gibt, auch damit zu arbeiten. Wie sehen die Anwendungen aus? Oben genannt also PayWave und PayPass auf einer EMV basierten Kreditkarte. Das „Produkt“ soll hier aber weder die Karte oder Kartenanwendung, noch das Regalprodukt sein, was ich damit erwerbe. Vielmehr die möglichst runde und akzeptierte Lösung in meinem täglichen Umgang.

Nicht zu verachten deshalb, dass man seitens der Sparkassen eine Kooperation mit Esso und Douglas eingegangen ist, um dem Karteninhaber diverse Anlaufstellen im Einzugsgebiet bieten zu können. Hier handelt es sich um die kontaktlose Bezahlmöglichkeit über die girocard. 60 Esso-Stationen im Gebiet von Hannover, Wolfsburg und Braunschweig sollen in 2012 angebunden sein. Neben den originären Douglas-Shops sollen 700 Filialen von Thalia, Christ, Applerath und Hussel ebenfalls in 2012 diverse Terminals bieten. Man arbeitet quasi an der Akzeptanz-Front sowie bei den Nutzermedien, denn nach 1 Million Karten in 2012 stehen dann insgesamt 45 Millionen girocards zur Disposition.
Interessant dabei, dass man, ob nun Kredit- oder Debitanwendungen gefragt sind, auf Leserseite allgemein von „NFC-Readern“ spricht. Hier wird im Sprachgebrauch also kein Unterschied mehr gemacht, mit welcher Anwendung oder mit welchem Token die mobile Seite daherkommt. Das freut den Interessierten, denn hier verspricht der Sprachgebrauch zumindest auch schon die „friedliche“ Koexistenz von ganz verschiedenen Kartenlösungen und Bezahllösungen auch per Mobiltelefon. Wo wir insgesamt hinsteuern, bleibt bestimmt noch abzuwarten.

Aber zurück zu den Anfängen. Einige gute Projekte wird es in 2012 geben, der Aufbau dieser verlangt neben den bereits etablierten Kartenanwendungen auch einfach Hardware und Software vor Ort. Ingenico beispielsweise will die Verteilung entsprechender Software für Aquirer in 2012 vorantreiben und auf einen guten Stand gebracht haben, so dass diverse Terminals PayWave akzeptieren. Im Moment ist die überwiegende Mehrheit der Bezahlterminals noch lange nicht bereit für kontaktloses Bezahlen in irgendeiner Form. Aber das ist zum aktuellen Zeitpunkt auch noch ganz normal. Ich jedenfalls würde es gut finden, kleinere Beträge bis 20 oder 25 Euro so unkompliziert wie möglich begleichen zu können und bei größeren Beträgen nach wie vor die Wahl zu haben.

Reaktionen zu „Geldautomaten weisen neue Karten ab“

Was jetzt auch in die allgemeinen Nachrichten gelangt ist, Probleme bei der Nutzung von Girocards oder Kreditkarte am Geldautomaten und Handel, sorgt für einige Aufregung. Bei denen, die von Berufswegen naeher damit befasst sind, sind diverse Anfragen dazu auch bis an den Arbeitsplatz gelangt.

Die Anzahl der betroffenen Karten sind kein Pappenstiel. Die Beteiligten werden sicher in den naechsten Tagen noch weiter ueberlegen, wie man mit dem Problem umgeht. Umfang und Ursache sind inzwischen eingegrenzt und es gibt je nach Situation der ausgebenden Bank auch schon Loesungen. Man sieht, dass Fehler allgegenwaertig lauern und auch in Zukunft nirgends gaenzlich ausgeschlossen werden koennen.

Mehr sollte man vielleicht garnicht zum Sachverhalt oder dem „2010 Fehler“ sagen, da an dieser Stelle fast unangebracht.

Moechte aber zitieren aus Reaktionen, beispielhaft hier eine aus „Tagesschau online“ :

————“
Klasse, die Karten der neuen Generation sind so sicher, dass man sie nicht nur nicht kopieren kann, sondern mit ihnen auch kein Geld abheben kann.
Für die Banken ist dies mit Sicherheit (zumindest kurzfristig) ein sicheres Zinsgeschäft.
Interessant ist, dass der EMV-Standard dafür sorgen soll, dass die Karten nicht illegal kopiert werden können.
Was ist mit legalen Kopien?
Und woher weiß die Karte was legal und was illegal ist?
Zumindest behauptet niemand die Karten SIND sicher, sondern nur sie sollen sicher sein.
„————

Man wird mit dem privaten Aerger zwar umgehen muessen, aber hier wird doch deutlich, wie wenig von der Materie verstanden wird. Frust muss schon raus, aber sicher auch kundgetan von jemandem, der besonders Wert legt auf seinen eigenen Kommentar und nicht repraesentativ. Der weitaus groesste Teil der Leute wird sich auch nicht die Muehe machen, in einem Online-Forum zu schreiben.

Wie auch immer, ich glaube jedenfalls nicht, dass es dadurch ein Akzeptanzproblem fuer Bezahlkarten mit Chip geben kann. Aber man sollte mit genuegend Aufklaerung nachwievor arbeiten, auch wenn es nur eine Bankkarte ist, die bei der naechsten Neuversorgung nach Hause geschickt wird. Und eben auch jetzt nicht alles der Boulevardpresse ueberlassen …