Upload
infosecurity2010
View
821
Download
0
Embed Size (px)
DESCRIPTION
Kaartfraude - Een ratrace tussen skimmers en beveiligingsmaatregelen.
Citation preview
Een rat-‐race tussen skimmers en beveiligingsmaatregelen
Jeroen de Boer 4 November 2010
Agenda Kerckhoffs’ principe Techniek achter kaartbetaling Ratrace tussen skimmers en beveiligers En nu?
Kerckhoffs’ principe Auguste Kerckhoffs in 1883: een cryptosysteem moet veilig zijn zelfs als alles over dit systeem publiek bekend is, behalve de sleutel
Claude Shannon: “The enemy knows the system” Dus niet: Security through obscurity
Toepasbaar op de veiligheid van kaartbetalingen? Openbaarheid van maatregelen (het “systeem”) en manieren van fraude kan sterk bijdragen aan de veiligheid
Kaartbetaling Sinds ca. 1920 gebaseerd op handtekening op een afdruk van een metalen ponskaart
Sinds ca. 1985 ook elektronisch Wereldwijde standaards voor magneetstrip, PIN en chip kaarten
Betaling met PIN is soort van two-‐factor authenticatie PIN:
Bewijs van akkoord van de klant Beveiliging tegen misbruik van verloren kaarten “Absolute” geheimhouding vereist
End-‐to-‐end proces
Card terminal
Point of sale
Head office Acquiring bank
Issuing bank
Kaart
PIN
Complicerende factoren Meerdere acceptatie kanalen
Verschillende veiligheidsniveaus Verschillende autorisatie methoden
Veel betrokken partijen Onwetende klanten Het systeem moet wel bruikbaar en betaalbaar blijven
Omvang en impact fraude Nederland, PIN passen:
2007: €15 miljoen 2009: €36 miljoen 2010: €11 miljoen
UK, credit + debit cards: 2008: GBP 610 miljoen 2009: GBP 440 miljoen
Georganiseerde misdaad Financiering van drugs, oorlogen & terrorisme
Bron: www.cardwatch.org.uk
Fraude lifecycle Zwakke plek
Skimming
Productie valse kaarten
Misbruik/fraude
Beveiliging
De waarde van de data is een
belangrijke zwakke plek
Kaartproduc@e
Echt of vals?
De regels buigen – “@nfoil hats”
Inbraak & installa@e
Inbraak & installa@e
Meer geweld
Meer technologie
Preven@e Standaarden zijn effectief tegen het voorgaande… De omgeving niet.
Nog strengere eisen PCI PTS
Authenticiteit vaststellen Stickers Weegschaal Röntgen
Huidige problemen Skimming apparatuur en camera’s
Zeer verkleind Professioneel gebouwd Moeilijk te onderscheiden van echte kaartlezers Bevestigd met dubbelzijdig plakband
Data real-‐time verzonden via blue-‐tooth, GSM of Wifi Snel geplaatst, snel verwijderd
Moeilijker te achterhalen
Beveiligingsdomeinen
Card terminal
Point of sale
Head office Acquiring bank
Issuing bank
Kaart
PIN
Omgeving Dataopslag en -‐transport
PIN en terminal
Effec@viteit huidige standaarden
Standaarden werken goed, binnen hun domein Geen integrale standaard Geen bekendheid van nieuwe dreigingen Standaarden reageren laat op nieuwe dreigingen
Risico Standaard Effectiviteit
PIN compromise PCI PTS (PED), Currence (NL), etc. ++
Data compromise PCI DSS +
Omgeving (skimming, schouder-‐surfen)
Privacy schild Piano mondje Noppen mondje “NS” beugel Skimmer-‐detector
-‐ o o + +
Migra@e van fraude Grote successen
Daling van €36mln in 2009 naar ruim €11,8mln in 2010 Steeds nieuwe maatregelen om verder te verminderen EMV/Het Nieuwe Pinnen
Voorlopig gaat fraude nog niet weg Vooral migratie naar andere zwakke schakels Criminelen moeten ook aan hun jaarcijfers denken
Waarde van de data Magneetstrip data is waardevol
Eenvoudig te kopiëren Via andere kanalen te misbruiken
Chipkaart data is al minder waardevol Maar… meeste chip kaarten hebben ook magneetstrip
Creditcard via Internet misschien geen goed idee? Maakt magneetstrip data waardevol. Bijvoorbeeld PayPal of IDEAL zijn een beter idee Of MasterCard 3D-‐Secure of Verified by Visa, e.d.
Risico gedreven aanpak Meer bekendheid over fraude en over maatregelen helpt om risico beter in te schatten
Beter inschatten risico helpt om de business case rond te maken
Openheid over nieuwe risico’s maakt het mogelijk om via kleine veranderingen “bij te blijven” in de wapenwedloop
Openheid en coördina@e Analoog aan Kerckhoffs’ principe:
Ook als alle details van het systeem bekend zijn aan de aanvaller, zou het nog veilig moeten zijn
Meer openheid over fraude helpt om bedrijven de juiste beslissing te laten nemen en fraude terug te dringen
Nationaal Coördinator Skimmingbestrijding? Bekendheid over de dreiging van skimming Bekendheid over effectieve maatregelen Alerts wanneer nodig
CardWatch in de UK, Currence in NL