diff options
Diffstat (limited to 'updates/2007')
-rw-r--r-- | updates/2007/postfinance-postcard.md | 56 |
1 files changed, 25 insertions, 31 deletions
diff --git a/updates/2007/postfinance-postcard.md b/updates/2007/postfinance-postcard.md index b76c37ad..80ce3a10 100644 --- a/updates/2007/postfinance-postcard.md +++ b/updates/2007/postfinance-postcard.md | |||
@@ -1,16 +1,11 @@ | |||
1 | title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen | 1 | title: Schweizer PostFinance: Aussitzen und Gras drüber wachsen lassen |
2 | date: 2007-02-21 00:00:00 | 2 | date: 2007-02-21 00:00:00 |
3 | updated: 2009-04-18 19:12:40 | 3 | updated: 2010-01-01 02:10:50 |
4 | author: webmaster | 4 | author: webmaster |
5 | tags: update | 5 | tags: update, postcard |
6 | 6 | ||
7 | 7 | Seit zumindest 2002 ist in CCC-Umkreisen bekannt, daß die sSchweizer Debitkarte der PostFinance von POS-Terminals als | |
8 | Seit zumindest 2002 ist in CCC-Umkreisen bekannt, | 8 | "echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur 320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innerhalb von Stunden geknackt werden kann. |
9 | dass die schweizer Debitkarte der PostFinance von POS-Terminals als | ||
10 | "echt und vertrauenswürdig" erkannt wird, wenn sie eine gültige | ||
11 | Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur | ||
12 | 320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innert Stunden | ||
13 | geknackt werden kann. | ||
14 | 9 | ||
15 | 10 | ||
16 | <!-- TEASER_END --> | 11 | <!-- TEASER_END --> |
@@ -28,56 +23,55 @@ derselben Technologie der Franzosen aufsetzenden Karte aufmerksam | |||
28 | gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr, | 23 | gemacht. Ebenfalls wurde das UVEK (Departement für Umwelt, Verkehr, |
29 | Energie und Kommunikation), politisch verantwortlich in der Sache, auf | 24 | Energie und Kommunikation), politisch verantwortlich in der Sache, auf |
30 | die Problematik aufmerksam gemacht, welches sich in der Folge dafür | 25 | die Problematik aufmerksam gemacht, welches sich in der Folge dafür |
31 | bereit erklärt hat die nötigen Schritte einzuleiten, um die Sicherheit | 26 | bereit erklärt hat, die nötigen Schritte einzuleiten, um die Sicherheit |
32 | zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten | 27 | zu erhöhen. Die PostFinance hatte ein Treff mit den Sicherheitsanalysten |
33 | abrupt beendet als diese forderten, dass die PostFinance ihre | 28 | abrupt beendet, als diese forderten, daß die PostFinance ihre |
34 | [Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf) | 29 | [Teilnahmebedinungen](http://www.postfinance.ch/medialib/de/pf/globale_mediendateien/agb_und_tnb/tnb.Par.0012.File.tmp/tnb_pcd_de.pdf) |
35 | überdenken sollten, um Kunden davor zu schützen im Missbrauchsfalle | 30 | überdenken sollten, um Kunden davor zu schützen, im Mißbrauchsfalle |
36 | selber zu haften. Die Teilnahmebedingungen nehmen vom Kunden an, dass | 31 | selber zu haften. Die Teilnahmebedingungen geben an, daß die Beweislast |
37 | die Beweislast bei einer Kontenräumung bei ihm liegt. | 32 | bei einer Kontenräumung beim Kunden liegt. |
38 | 33 | ||
39 | Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind | 34 | Nicht mehr als die Postcardnummer sowie das Ausgabe-/Ablaufdatum sind |
40 | nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden | 35 | nötig, um eine gültige Postcard, die an ein bestimmtes Konto gebunden |
41 | ist, herzustellen. Die PIN lässt sich bei der Kartenreproduktion selber | 36 | ist, herzustellen. Die PIN läßt sich bei der Kartenreproduktion selber |
42 | setzen und ist für die Authentifikation der Karte an einem Terminal | 37 | setzen und ist für die Authentifikation der Karte an einem Terminal |
43 | damit unerheblich. | 38 | damit unerheblich. |
44 | 39 | ||
45 | Es lassen sich zudem auch Karten herstellen, welche nicht an ein | 40 | Es lassen sich zudem auch Karten herstellen, welche nicht an ein |
46 | existierendes Konto gebunden sind. Damit wird die PostFinance selbst | 41 | existierendes Konto gebunden sind. Damit wird die PostFinance selbst |
47 | durch eventuelle Beanspruchungen von Dienstleistungen belastet. Dies | 42 | durch eventuelle Beanspruchungen von Dienstleistungen belastet, weil |
48 | weil jede und jeder im Besitz des errechneten privaten Schlüssels der | 43 | jeder im Besitz des errechneten privaten Schlüssels der PostFinance |
49 | PostFinance Postcards herstellen kann, die an den Terminals angenommen | 44 | Postcards herstellen kann, die an den Terminals angenommen werden. |
50 | werden. | ||
51 | 45 | ||
52 | 4 Jahre lang wurde Gras über die Geschichte wachsen gelassen, in der | 46 | Vier Jahre lang wuchs Gras über die Geschichte in der Hoffnung, die |
53 | Hoffnung die PostFinance und das UVEK würden sich um die Beseitigung der | 47 | PostFinance und das UVEK würden sich um die Beseitigung der |
54 | Sicherheitsmängel bemühen - doch weit gefehlt. Nach Analysen in 2006 | 48 | Sicherheitsmängel bemühen – doch weit gefehlt. Nach Analysen im Jahr |
55 | zeigte sich, dass neu ausgegebene Postcards immer noch das alte | 49 | 2006 zeigte sich, daß neu ausgegebene Postcards immer noch das alte |
56 | Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten, | 50 | Verfahren unterstützten. Bei seit Sommer 2006 ausgegebenen EMV-Karten, |
57 | die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich | 51 | die theoretisch eine erhöhte Sicherheit aufweisen sollten, stellt sich |
58 | heraus, dass diese zumindest an schweizer Terminals weiterhin auf das | 52 | heraus, daß diese zumindest an Schweizer Terminals weiterhin auf das |
59 | alte Authentifikationsverfahren setzen und die gegebene | 53 | alte Authentifikationsverfahren setzen und die gegebene |
60 | [EMV-Funktionalität | 54 | [EMV-Funktionalität |
61 | unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit | 55 | unberührt](http://www.postcard-sicherheit.ch/de/emv.html) lassen. Damit |
62 | bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten | 56 | bleiben Postcards, welche über Laufzeiten von 47, 48 oder 49 Monaten |
63 | verfügen, auch bis nach 2010 - zumindest innerhalb der Schweiz - | 57 | verfügen, auch bis nach 2010 – zumindest innerhalb der Schweiz – |
64 | missbrauchbar. | 58 | mißbrauchbar. |
65 | 59 | ||
66 | Am 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart | 60 | Zum 23C3 hat Bernd R. Fix in seinem Vortrag ["A not so smart |
67 | card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html) | 61 | card"](http://events.ccc.de/congress/2006/Fahrplan/events/1449.en.html) |
68 | auf die Sicherheitslücke öffentlich hingewiesen, weil weder die | 62 | auf die Sicherheitslücke öffentlich hingewiesen, weil weder die |
69 | PostFinance noch das UVEK sich kooperativ gezeigt haben. | 63 | PostFinance noch das UVEK sich kooperativ gezeigt haben. |
70 | 64 | ||
71 | Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von | 65 | Der Chaos Computer Club und der Chaos Computer Club Zürich fordern von |
72 | der PostFinance die Sicherheit der Postcards umgehend zu erhöhen oder | 66 | der PostFinance, die Sicherheit der Postcards umgehend zu erhöhen oder |
73 | zumindest ihre Teilnahmebedinungen dahingend abzuändern, dass die | 67 | zumindest ihre Teilnahmebedingungen dahingend abzuändern, daß die |
74 | Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt | 68 | Beweislast in Fällen, wo einem Kunden das Konto geräumt wird, umgekehrt |
75 | wird und damit - wie bei Kreditkarten üblich - Entschädigungen gegenüber | 69 | wird und damit – wie bei Kreditkarten üblich – Entschädigungen gegenüber |
76 | diesem geleistet werden. | 70 | diesem geleistet werden. |
77 | 71 | ||
78 | Im Detail informieren die Seiten | 72 | Im Detail informieren die Seiten |
79 | [Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die | 73 | [Postcard-Sicherheit.ch](http://www.postcard-sicherheit.ch) über die |
80 | Unsicherheit der Postcard. | 74 | Unsicherheit der Postcard. |
81 | 75 | ||
82 | Lange genug ist Gras drüber gewachen - es ist Zeit, dass der Rasenmäher | 76 | Lange genug ist Gras drüber gewachsen: Es ist Zeit, daß der Rasenmäher |
83 | angesetzt wird! | 77 | angesetzt wird! |