Rabobank Pincode lek?

een code sturen per sms lijkt me nog onveiliger...jat een pas en de mobiel van de eigenaar en je bent binnen..

Het Rabo systeem is best oud en volgens mij aardig veilig. Gebruik de search maar eens.
Ik heb er hier op GOT wel vaker iets over gelezen. Het kwam er op neer dat het goed in elkaar zit.

En als het echt zo onveilig zou zijn dan was het waarschijnlijk al lang een keer gekraakt

pierre-oord schreef op dinsdag 31 juli 2007 @ 12:45:
Net zoals je een magneetstrip kunt "skimmen" (zoals ze tegenwoordig doen bij pinautomaten) kun je vast zonder veel moeite een kopie maken van de chipknip-chip.

Nee dat gaat niet

Dat is waar, wanneer je de juiste pincode hebt gebruikt.
Ik weet niet zeker, maar kan me niet voorstellen dat je pincode op je kaart (versleuteld) is te vinden. Dat zou inderdaad gevaarlijke situatie zoals jij beschreef in de kaart (/seth) spelen.

Dus: bovenstaande is waar als de pincode op je pas staat, wat ik onwaarschijnlijk acht.
Heb je al geprobeerd om de verkeerde code in te tikken in je randomreader? Wat krijg je dan voor melding?

kamstra schreef op dinsdag 31 juli 2007 @ 12:49:
een code sturen per sms lijkt me nog onveiliger...jat een pas en de mobiel van de eigenaar en je bent binnen..

En inlogcode plus password. En de pincode van je telefoon (als je 0000 hebt verdien je het om beroofd te worden )
(Daarnaast moet er ook geld opstaan )

Maar volgens mij ben je dan toch nog 10.000 keer bezig met het uitvogelen van de pincode. Of dat de moeite waard is...

De random reader geeft altijd een code af, ook bij foutive pincode.
Probeer je die code te gebruiken op de rabo site... na 3x wordt je pas nummer geblokkeerd en kun je je die pas ook al heb je de juiste code niet meer gebruiken (mits hij niet gedeblokkeerd wordt)

Verder kan het ook heel goed zijn dat wanneer je pas dmv pinnen geblokkeerd wordt dat deze dan ook als pas uit internet bankieren wordt gehaald.

kamstra schreef op dinsdag 31 juli 2007 @ 12:49:
een code sturen per sms lijkt me nog onveiliger...
jat een pas en de mobiel van de eigenaar en je bent binnen..

En jij denkt dat dat lukt
Ik zit bij de Postbank en ben daar erg blij mee, krijg smsje op m'n mobiel en hoef
nooit met zo'n lompe random-Rabo-reader te lopen, die na 2 weken toch kapot is

Als het goed is dan is je bankpas aardig tamper resistant. De magneetstrip kun je volgens mij nog wel clonen maar die chip die er op zit niet. Zal eens zoeken, volgens mij wel eens iets over gelezen.

Chip is niet te kopieeren zoals de strip. Die wordt namelijk geprogrammeerd en daarna worden de draadbruggen opgeblazen.

Buiten alle technische reacties moet je er ook rekening mee houden dat de meeste mensen hun pas blokkeren als ze hem kwijt zijn.

Je hebt dan dus niet erg veel aan een pin code.

CLB schreef op dinsdag 31 juli 2007 @ 12:53:
[...]


En jij denkt dat dat lukt
Ik zit bij de Postbank en ben daar erg blij mee, krijg smsje op m'n mobiel en hoef
nooit met zo'n lompe random-Rabo-reader te lopen, die na 2 weken toch kapot is

Wat een troll post zeg. Ik werk nu al 6 jaar met rabo internet bankieren en heb tussentijds nog maar 1 keer van rabo reader hoeven wisselen, omdat de batterij leeg was (hoewel zelfs dat nog relatief is. Volgens mij moet je hem op 75% al inwisselen om een gegarandeerde werking te hebben, maar die van mij ging mee tot die op 32% zat....)
De huidige zit ook nog op iets minder dan 60%. Met andere woorden: ik moet vaker een nieuwe (accu voor mijn) telefoon kopen dan dat ik gratis een raboreader op hoef te halen....
En nee die van mij zit echt niet achter glas. Ik gebruik hem vaak thuis, maar neem hem ook vaak mee met de laptop naar de campus. Daarmee is ie echt al wel een aantal keer gevallen, mee gegooid, etc.etc. Je weet hoe studenten zijn
En als ik hem toevallig een keertje niet bij me heb, stuiter ik gewoon de dichtstbijzijnde Rabobank binnen, daar staan vrijwel altijd wel PC's klaar met een raboreader ernaast. Althans, hier in het oosten des lands wel

Dus ik weet niet wat jij met je raboreader doet, maar ik kan je vertellen dat met een hamer erop slaan idd niet de levensduur bevorderd

[ Voor 19% gewijzigd door Freakertje op 31-07-2007 13:17 ]

Je pincode staat niet op je pas. Het is een soort van public key & private key combinatie, waarvan de public key op je pas staat en de private key is je pincode. Door je pincode op een willekeurig device (Pin automaat/Chip automaat/Random Reader/betaal automaat) in te toetsen kan de combinatie gecontroleerd worden en bepaald worden of je de juiste pincode hebt ingevoerd.

Volgens mij is het blokkeren op de pas gewoon een bitje (pas aan/pas uit) en het blokkeren bij de bank is daadwerkelijk het verbreken van de public/private key relatie.

De "makkelijkste" manier om misbruik te plegen lijkt me een MITM (man in the middle) aanval waarbij je on-the-fly automatisch een aanpassing laat maken in de transactie die wordt uitgevoerd.
Uiteraard zal dit maar even werken omdat de bank hier achter komt, veel rekeningen en het vervolgens snel weg kunnen sluizen is dan wel een absolute must.

Banken zijn hier in NL toch vrij goed beveiligd heb ik het idee. In b.v. Amerika hoor je nog steeds aanvallen die succesvol zijn omdat met daar geen multifactor authenticatie heeft maar gewoon een wachtwoord of tan-code.

Wrong Cobra. De pincode staat wel degelijk op de rabocard. Want het maakt niet uit welke randomreader je neemt.. je pincode zorgt ervoor dat je een toegangscode uit het apparaat krijgt.

Falcon schreef op dinsdag 31 juli 2007 @ 13:24:
Wrong Cobra. De pincode staat wel degelijk op de rabocard. Want het maakt niet uit welke randomreader je neemt.. je pincode zorgt ervoor dat je een toegangscode uit het apparaat krijgt.

pincode staat er niet op hoor....

Alleen een hash code.

Falcon schreef op dinsdag 31 juli 2007 @ 13:24:
Wrong Cobra. De pincode staat wel degelijk op de rabocard. Want het maakt niet uit welke randomreader je neemt.. je pincode zorgt ervoor dat je een toegangscode uit het apparaat krijgt.

Wat ik dus al zei. Er staat een public key op je pas en jij vult een private key in, dit tezamen zorgt voor de validatie op any device dus ook op alle random readers die er in omloop zijn.

LuCarD schreef op dinsdag 31 juli 2007 @ 13:29:
[...]

pincode staat er niet op hoor....

Alleen een hash code.

De hash code die berekent of mijn pincode klopt incombinatie met de rabocard?

LuCarD schreef op dinsdag 31 juli 2007 @ 13:29:
[...]

pincode staat er niet op hoor....

Alleen een hash code.

Een hash van je PIN? Lijkt me sterk, want dan kun je je PIN heel simpel gaan brute-forcen. 't Zijn immers maar 10⁴ mogelijkheden (minus enkele getallen, geen dubbele cijfers achter elkaar geloof ik, dat soort dingen).

Falcon schreef op dinsdag 31 juli 2007 @ 13:36:
[...]


De hash code die berekent of mijn pincode klopt incombinatie met de rabocard?

Vanuit je pincode word de hash code berekent. En als je alleen de hash code hebt kan je niet bij de pincode komen.

bij voorbeeld ( erg simpel gezien )
Je pincode = 4444
De opgeslagen hashcode = 4+4+4+4 = 16

Osiris schreef op dinsdag 31 juli 2007 @ 13:39:
[...]

Een hash van je PIN? Lijkt me sterk, want dan kun je je PIN heel simpel gaan brute-forcen. 't Zijn immers maar 10⁴ mogelijkheden (minus enkele getallen, geen dubbele cijfers achter elkaar geloof ik, dat soort dingen).

Hmmm daar zit wel wat in....

[ Voor 31% gewijzigd door LuCarD op 31-07-2007 13:40 ]

Sterker nog, dankzij die hash is het zelfs zo dat er meerdere pincodes zijn die werken op je pas. Je weet er echter maar ééntje.

Osiris schreef op dinsdag 31 juli 2007 @ 13:39:
[...]

Een hash van je PIN? Lijkt me sterk, want dan kun je je PIN heel simpel gaan brute-forcen. 't Zijn immers maar 10⁴ mogelijkheden (minus enkele getallen, geen dubbele cijfers achter elkaar geloof ik, dat soort dingen).

Nee. Eigenlijk wordt de hash pas berekend op het moment dat jij de pincode intoetst (pin-automaat, reader, whatever). Die berekende hash wordt verzonden naar de bank en geverifiëerd. Er staat werkelijk niets op een pas waaruit de pincode herleid kan worden.

[ Voor 70% gewijzigd door Crusader op 31-07-2007 13:51 ]

Even wat achtergrond informatie:

Chipknip
De chipknip is niet alleen maar een chipje met wat gegevens erop, het is een mini-computertje met alles erop en eraan. Een saldo verhoging werkt niet zo:
- Controleer validiteit
- Stuur nieuw saldo
- Sluit transactie

maar meer als volg:
- Zet beveiligde verbinding op tijdens controle validiteit
- Gebruik beveiligde verbinging voor verhogen Saldo
- Sluit verbinding af

Het verschil is dan ook dat het verdomd lastig is om een Man in the Middle attack te doen, want al het verkeer is versleuteld. En dat soort verbindingen werken vaak met meerdere attributen. Dus de chipknip zelf heeft een interne code, er word een extra code (timestamp oid) meegestuurd zodat de opgezette verbinding elke keer anders is en dan houd de bank waarschijnlijk ook bij of de bedragen van een chipknip kloppen. Want uiteindelijk betaal je met een chipknip, en die betaling eindigd een keer bij een bank. Dus alle opladingen - betalingen > 0. Experimenteren met je eigen kaart is dus niet erg handig, want dat kunnen ze traceren.

Rabocard reader
Waarom denk je dat je zo'n ding niet mag openen/de batterij niet kan verwisselen:
Die dingen hebben een interne klok. Jouw pincode + tijd word tot een code omgevormd die je invoert op de website. De pincode zelf word niet gecontroleerd, maar wordt samen met de tijd vergeleken met een code die de bank zelf ook berekent. Het werkt dus ongeveer zo:
- Interne klok loopt gelijk met bank
- Ingevoerde Code + Tijd + Bankpascode => Uitvoer code

- Bank heeft eigen code + Tijd => Controle code
- Controle code + Uitvoer code => verifcatie

Het "lek" is dat iemand wel de bankpas zou kunnen uitlezen en een Reader kan bouwen die werkt zonder bankpas. Een computerprogramma zou dan voor elke bankpas de juiste gegevens kunnen produceren. Als je dan nog de tijd weet (en dat zijn allemaal afgeschermde gegevens) en je weet iemands pincode dan zou je betalingen kunnen doen.

Hier zie je al meteen wat het probleem is:
Iemand moet fysiek toegang hebben gehad tot de pinpas (of de database van de bank...)
Iemand moet ook de pincode van de gebruiker weten
En dan moet je nog een custom reader kunnen bouwen.

Je zou kunnen proberen de chipknip zover te kopieren dat je alle gegevens hebt die de RaboReader nodig heeft, en dan heb je alleen nog de pincode nodig, maar volgens mij is de chipknip dusdanig afwijkend dat je dat al niet zomaar doet. De kans is groot dat bijvoorbeeld een serienummer word gebruikt dat hardcoded is.

Moraal van het verhaal:

Technisch is het mogelijk om chipknip fraude uit te voeren, maar met de middelen en moeite die je moet doen en de beperkte bedragen (500 euro per kaart) is het absoluut niet interessant. Creditcards leveren het 10-voudige met 10x minder werk.

TheGhostInc schreef op dinsdag 31 juli 2007 @ 13:50:

[knip]

Moraal van het verhaal:

Technisch is het mogelijk om chipknip fraude uit te voeren, maar met de middelen en moeite die je moet doen en de beperkte bedragen (500 euro per kaart) is het absoluut niet interessant. Creditcards leveren het 10-voudige met 10x minder werk.

Inmiddels hebben credit cards ook een chip....

_Diederik schreef op dinsdag 31 juli 2007 @ 13:54:
[...]
Inmiddels hebben credit cards ook een chip....

Jep, om vooral het skimmen te voorkomen. De gegevens zijn niet met een standaard lezertje van de kaart te halen (en op een andere te zetten), maar daarvoor heb je al wat meer spul nodig.

Overigens is elke Credicard geschikt om als moederkaart te fungeren, terwijl chipknips speciaal worden gemaakt per client (door zekeringetjes door te fikken) en dan vaak ook nog per bank. Dus het is niet alleen lastiger om te lezen, maar ook veel lastiger om aan een kaart te komen die je kunt gebruiken als vervanger.

TheGhostInc schreef op dinsdag 31 juli 2007 @ 13:50:
Even wat achtergrond informatie:
...
Rabocard reader
Waarom denk je dat je zo'n ding niet mag openen/de batterij niet kan verwisselen:
Die dingen hebben een interne klok. Jouw pincode + tijd word tot een code omgevormd die je invoert op de website. De pincode zelf word niet gecontroleerd, maar wordt samen met de tijd vergeleken met een code die de bank zelf ook berekent. Het werkt dus ongeveer zo:
- Interne klok loopt gelijk met bank
- Ingevoerde Code + Tijd + Bankpascode => Uitvoer code

- Bank heeft eigen code + Tijd => Controle code
- Controle code + Uitvoer code => verifcatie
...

Vraagje: hoe weet je zo zeker dat er een interne klok in de reader zit? Is wel een leuk extraatje voor de hash-berekening, maar gebeurt het ook zo?
Het tijdselement kan er m.i. ook alleen in zitten dat je zeg binnen 30 seconden de juiste code ingetypt moet hebben. De tijdcheck bevindt zich dan geheel aan de serverkant.

CLB schreef op dinsdag 31 juli 2007 @ 12:53:
[...]


En jij denkt dat dat lukt
Ik zit bij de Postbank en ben daar erg blij mee, krijg smsje op m'n mobiel en hoef
nooit met zo'n lompe random-Rabo-reader te lopen, die na 2 weken toch kapot is

Stel: ik weet je gebruikersnaam van de Postbank en ik probeer in te loggen, en na 3x word het gebokkeerd (en dan weet ik alleen je gebruikersnaam!) Hoelang ben je dan onderweg (papieren, handtekening e.d.) voordat je weer kan telebankieren?

Crusader schreef op dinsdag 31 juli 2007 @ 13:49:

Nee. Eigenlijk wordt de hash pas berekend op het moment dat jij de pincode intoetst (pin-automaat, reader, whatever). Die berekende hash wordt verzonden naar de bank en geverifiëerd. Er staat werkelijk niets op een pas waaruit de pincode herleid kan worden.

De hash staat gewoon op de pas (in België toch). Als ik op m'n lezertje (hangt niet aan de pc) een verkeerde pincode ingeef geeft hij mooi aan dat het fout is en (3 - pogingen geprobeerd) pogingen resterend.

Dus de hash moet wel op de kaart staan dan om het te controleren.

[ Voor 5% gewijzigd door DinX op 31-07-2007 14:29 ]

TheGhostInc schreef op dinsdag 31 juli 2007 @ 13:50:

De pincode zelf word niet gecontroleerd, maar wordt samen met de tijd vergeleken met een code die de bank zelf ook berekent. Het werkt dus ongeveer zo:

Ben ik het niet met je eens. Zie dit brakke plaatje maar eens (had alleen een phone om foto's mee te maken)



Als de reader de pincode niet controleerd, hoe komt ie dan aan deze melding. ?

Freakertje schreef op dinsdag 31 juli 2007 @ 13:13:
[...]
Volgens mij moet je hem op 75% al inwisselen om een gegarandeerde werking te hebben, maar die van mij ging mee tot die op 32% zat....)
De huidige zit ook nog op iets minder dan 60%.

Heej, interessant! Kun je dat ergens zien dan?

Cobra_Lup schreef op dinsdag 31 juli 2007 @ 14:31:
[...]
Ben ik het niet met je eens. Zie dit brakke plaatje maar eens (had alleen een phone om foto's mee te maken)

[afbeelding]

Als de reader de pincode niet controleerd, hoe komt ie dan aan deze melding. ?

Sterker nog, je kunt je pas blokkeren door 3x foutief te doen met je RR...

[ Voor 39% gewijzigd door UltraSub op 31-07-2007 14:33 ]

Daarom heb ik er maar 2x over gedaan om deze foto te nemen

UltraSub schreef op dinsdag 31 juli 2007 @ 14:32:
[...]
Heej, interessant! Kun je dat ergens zien dan?

Klik een paar keer op Menu totdat er staat informatie en dan ok en je ziet hoeveel % je nog hebt

Daar zie je ook meteen dat er een klok zit in je reader. Die 2 uur achter loopt op onze eigen tijd zelfs

[ Voor 18% gewijzigd door SpeeDRaZoR3 op 31-07-2007 14:43 ]

Hoe werkt de postbank precies? Wel eens iets horen waaien over TAN codes en sms enzo. Maar geen idee hoe het precies werkt. Misschien hebben die een minder veilige methode

Zelf alleen nog ervaring met ASN bank. Deze hebben een gebruikersnaam en wachtwoordcombo. Nadeel is dat als je iemands zijn gebruikersnaam weet en >3 maal een verkeerd wachtwoord opgeeft, deze user niet meer online kan aanmelden. Voordat alle papieren binnen zijn en het weer werkt ben je een aardige tijd verder. Soort DoS dus Keylogger kan eventueel de combo ook opslaan, rekening is een spaarrekening dus de overboeking kan alleen naar je eigen betaal rekening. Wel heeft men adresinfo e.d. gelijk te pakken wat weer op een ander punt misbruikt kan worden

Cobra_Lup schreef op dinsdag 31 juli 2007 @ 14:31:
[...]


Ben ik het niet met je eens. Zie dit brakke plaatje maar eens (had alleen een phone om foto's mee te maken)

[afbeelding]

Als de reader de pincode niet controleerd, hoe komt ie dan aan deze melding. ?

I stand corrected.
(Ik geloof dat je plaatje laat zien dat je pin is geweigerd )
Ben zelf een postbanker, dus heb die apparaatjes alleen bij anderen gezien (weleens eentje open gemaakt)

Dit zou overigens een kwalijke zaak zijn, want dan kan je pin achterhaald worden. En aangezien de gemiddelde Rabobanker overal dezelfde pin voor gebruikt betekent dat het een stuk eenvoudiger is om het te kraken.

Overigens word de check op je pincode hoogstwaarschijnlijk dan in je chipknip uitgevoerd. Dit betekent dat je de chipknip moet openen. Op internet heb ik ooit de handleiding hiervoor gezien. Dit kwam erop neer dat je de toplaag van de kaart freesd totdat je aankomt bij de chip. Dan kun je de geheugencellen een voor een uitlezen.
O ja, met frezen bedoel ik natuurlijk geen bovenfrees maar uiterst nauwkeurige rommel. En uitlezen komt er dan op neer dat je met chip-probes (zoals ze die bij Intel en AMD ook gebruiken om punten in een chip mee te controleren) contact probeert te maken met de verschillende verbindingkjes in een chip. (Daarvoor heb je dan al gauw een microscoop nodig, tenzij er speciale meetvlakjes zijn ingebakken)

[ Voor 3% gewijzigd door TheGhostInc op 31-07-2007 14:44 ]

TheGhostInc schreef op dinsdag 31 juli 2007 @ 14:43:
[...]

Dit zou overigens een kwalijke zaak zijn, want dan kan je pin achterhaald worden. En aangezien de gemiddelde Rabobanker overal dezelfde pin voor gebruikt betekent dat het een stuk eenvoudiger is om het te kraken.

Net zo moeilijk als aan een bankautomaat. Na 3 pogingen wordt je kaart gewoon geblokkeerd.

Je kan niet gaan brute forcen.

[ Voor 3% gewijzigd door DinX op 31-07-2007 14:45 ]

sh4d0wman schreef op dinsdag 31 juli 2007 @ 14:43:
Hoe werkt de postbank precies?[...]

Username + wachtwoord voor het inloggen.
Dan kun je dus iemands saldo zien.

Voor betalingen kun je of een lijst met Tan-codes bestellen (papier) of die aanvragen (per stuk, of per 10) via je mobiel.
Je moet voor elke set van betalingen een TAN code invullen die word geleverd door de Bank.

Eegee schreef op dinsdag 31 juli 2007 @ 14:19:
Vraagje: hoe weet je zo zeker dat er een interne klok in de reader zit?

Pasje in de RR, druk paar keer op Menu. Wanneer er informatie verschijnt, druk je op OK. Dan zie je de batterijstatus. Druk nog een paar keer op OK dan zie je o.a. de systeemtijd/datum, productiedatum, serienummer, type en raboversie.

SpeeDRaZoR3 schreef op dinsdag 31 juli 2007 @ 14:42:
Daar zie je ook meteen dat er een klok zit in je reader. Die 2 uur achter loopt op onze eigen tijd zelfs

Ja idd. Viel me ook al op. Misschien GMT en geen rekening houden met zomertijd?

sh4d0wman schreef op dinsdag 31 juli 2007 @ 14:43:
Hoe werkt de postbank precies? Wel eens iets horen waaien over TAN codes en sms enzo. Maar geen idee hoe het precies werkt. Misschien hebben die een minder veilige methode

Je kan TAN codes per SMS laten sturen. Zodra je een opdracht klaar zet bij mijn postbank ontvang je een SMS met die TAN code. Maar zoals al eerder gezegd, deze tancodes zijn niet tijdsafhankelijk en wijzigen nooit.

Ik heb wel eens met de TAN codes zitten klooien. Als je een opdracht klaarzet en een TAN code laat versturen, en de opdracht niet naar de bank stuurt, krijg je de volgende keer dat je een opdracht aanmaakt weer dezelfde TAN code. Je kan zelfs een aantal tancodes van te voren laten versturen geloof ik.

Edit: inmiddels krijg je een nieuwe TAN als je een opdracht aanpast. Het systeem van de PB is gewijzigd.

[ Voor 60% gewijzigd door blackd op 31-07-2007 16:09 ]

De chip kan je ook zonder te hacken uitlezen. Je kan hem alleen niet beschrijven door de beveiliging.
Ik heb een tooltje waarme ik de chip kan uitlezen in een standaard kaartlezer.

Hier een voorbeeld :


Hierin kan je dus ook zien dat je kaart een public (RSA) key heeft, die dus i.c.m. je public key (PIN) een validatie code bepaald die door elke pinautomaat of random reader wordt gebruikt t.b.v. validatie.

TheGhostInc schreef op dinsdag 31 juli 2007 @ 14:46:
[...]
Voor betalingen kun je of een lijst met Tan-codes bestellen (papier) of die aanvragen (per stuk, of per 10) via je mobiel.
Je moet voor elke set van betalingen een TAN code invullen die word geleverd door de Bank.

Hoe lang zijn die codes geldig en wat voor formaat is het? (lengte, gebruikte karakters). Zeker de mogelijkheid om meerdere codes in 1 keer aan te vragen en het feit dat dit op papier kan is toch enigzins fraudgevoelig. Net als een user die zijn wachtwoord op een post-it heeft zitten. Tancodes zullen dan toch als snel bij de computer of bankpapieren belanden.

edit: zie net de lange post van blackd

edit2: @ hierboven, zou het werken om dit op een nieuwe smartcard te schrijven samen met een kopie van de magneetstrip?? Of missen er dan cruciale zaken? De layout van de chip is misschien een probleem?

[ Voor 15% gewijzigd door sh4d0wman op 31-07-2007 14:55 ]

Die TAN codes zijn maar 1 transactie geldig en kunnen dus maar 1x gebruikt worden.

sh4d0wman schreef op dinsdag 31 juli 2007 @ 14:53:
[...]

Hoe lang zijn die codes geldig en wat voor formaat is het? (lengte, gebruikte karakters).

Alleen cijfers, 6 karakters.

Eegee schreef op dinsdag 31 juli 2007 @ 14:19:
[...]


Vraagje: hoe weet je zo zeker dat er een interne klok in de reader zit? Is wel een leuk extraatje voor de hash-berekening, maar gebeurt het ook zo?
Het tijdselement kan er m.i. ook alleen in zitten dat je zeg binnen 30 seconden de juiste code ingetypt moet hebben. De tijdcheck bevindt zich dan geheel aan de serverkant.

Yup, toch wel... Ik had een oude randomreader, na een paar jaar waren de batterijen bijna op. Alles deed het nog, datum en tijd kon ik in het apparaatje opvragen, net als de batterij status (iets van 19% was het nog). Maar de codes die gegenereerd werden, werkte niet.

Bij de bank kreeg ik een nieuw randomreader, en toen werkte de codes die gegenereerd werden weer wel.

Str1ngS schreef op dinsdag 31 juli 2007 @ 14:25:
Hoelang ben je dan onderweg (papieren, handtekening e.d.) voordat je weer kan telebankieren?

Je krijgt een username per post en wachtwoord moet je bij het Postkantoor ophalen.
Zie: https://mijn.postbank.nl/...orisationLostCodesServlet
Dus hoe lang dat duurt, hangt af van wanneer jij tijd hebt om naar het Postkantoor te gaan. Als jij vrijdag de boel blokkeert kun je op z'n vroegst maandag (misschien zelfs dinsdag) ofzo weer aan de slag. Maar als je je pasje van de Rabo blokkeert vanwege 3x foute pin moet je ook naar de bank om hem te laten deblokkeren. Alleen hoef je dan niet te wachten, je kan dezelfde dag nog denk ik. Pasje deblokkeren doen ze gewoon aan de balie.

[ Voor 36% gewijzigd door blackd op 31-07-2007 15:11 ]

Bent u uw gebruikersnaam of wachtwoord vergeten? Vul dan uw gegevens in om nieuwe codes aan te vragen.
Binnen 5 werkdagen ontvangt u per post van Postbank:


een gebruikersnaam;
een afhaalbericht voor uw wachtwoord.
Uw wachtwoord dient u persoonlijk af te halen op het postkantoor.

Probeer niet opnieuw in te loggen totdat u uw nieuwe inlogcodes heeft ontvangen. Doet u dit wel, dan blokkeert u namelijk automatisch ook uw nieuwe gebruikersnaam en wachtwoord.

Das leuk, als je iemand zijn inlognaam weet kan je hem/haar met name aan het einde van de maand of begin van de maand lekker stangen door zijn account te blokkeren. Niet betaalde rekeningen zijn natuurlijk het gevolg.

Cobra_Lup schreef op dinsdag 31 juli 2007 @ 14:59:
[...]


Das leuk, als je iemand zijn inlognaam weet kan je hem/haar met name aan het einde van de maand of begin van de maand lekker stangen door zijn account te blokkeren.

En als je het herhaalt nadat de inlogcodes zijn verstuurd, heb je zo iemand helemaal overstuur. Dan werken de nieuwe inlogcodes niet eens.

Het is de vraag hoe men hiermee omgaat bij de Rabobank, als je een rekeningnummer weet en verkeerde inlogcodes gaat zitten invullen. Een rekeningnummer is makkelijker te verkrijgen dan een inlognaam.

Niet betaalde rekeningen zijn natuurlijk het gevolg.

Automatische incasso, girofoon, overschrijvingskaarten (evt bij het Postkantoor) zijn ook nog mogelijkheden.

[ Voor 14% gewijzigd door blackd op 31-07-2007 15:10 ]

Crusader schreef op dinsdag 31 juli 2007 @ 13:49:
Sterker nog, dankzij die hash is het zelfs zo dat er meerdere pincodes zijn die werken op je pas. Je weet er echter maar ééntje.
[...]
Nee. Eigenlijk wordt de hash pas berekend op het moment dat jij de pincode intoetst (pin-automaat, reader, whatever). Die berekende hash wordt verzonden naar de bank en geverifiëerd. Er staat werkelijk niets op een pas waaruit de pincode herleid kan worden.

eh .. de hash is niet alleen over de pincode hoor. Neem je rekeningnummer en de bankpasnummer en je pincode en je krijgt een hash die niet meer uit te schrijven is. De gecreerde hash is gewoon uniek. De moderne banken zelf slaan nooit de pincode op, alleen maar de hash.

Freakertje schreef op dinsdag 31 juli 2007 @ 13:13:
Wat een troll post zeg.

Joe

Eegee schreef op dinsdag 31 juli 2007 @ 14:19:
[...]


Vraagje: hoe weet je zo zeker dat er een interne klok in de reader zit? Is wel een leuk extraatje voor de hash-berekening, maar gebeurt het ook zo?
Het tijdselement kan er m.i. ook alleen in zitten dat je zeg binnen 30 seconden de juiste code ingetypt moet hebben. De tijdcheck bevindt zich dan geheel aan de serverkant.

Vul je code maar eens aantal minuten later in......

blackd schreef op dinsdag 31 juli 2007 @ 15:03:
[...]
Het is de vraag hoe men hiermee omgaat bij de Rabobank, als je een rekeningnummer weet en verkeerde inlogcodes gaat zitten invullen. Een rekeningnummer is makkelijker te verkrijgen dan een inlognaam.

Met een beetje social engineering ben je volgens mij ook snel achter een inlognaam hoor.

Als je bij een willekeurig rekeningnummer van de Rabobank een willekeurige inlogcode intoetst dan zal deze volgens mij niet blokkeren omdat een berekening op dat nummer niet overeenkomt met een mogelijke waarde uit de randromreader/pas combinatie. Anders zou je dus in 1 nacht werk opeens heel veel rabobank klanten de toegang tot de website kunnen ontzeggen.

pacificocean schreef op dinsdag 31 juli 2007 @ 15:20:
[...]

Vul je code maar eens aantal minuten later in......

Dit is standaard voor een challange response systeem. Geef je niet op tijd een repsonse dan wordt het response dat je gegeven hebt niet als valide gezien.

sh4d0wman schreef op dinsdag 31 juli 2007 @ 15:21:
Met een beetje social engineering ben je volgens mij ook snel achter een inlognaam hoor.

Klopt, maar een rekeningnummer staat gewoon op briefpapier/internet/afschriften.

Anders zou je dus in 1 nacht werk opeens heel veel rabobank klanten de toegang tot de website kunnen ontzeggen.

Dat kan in theorie ook bij de Postbank. Gewoon dictionary attack op de username en dan wat onnozele wachtwoorden 3x proberen? Of brute force, wat je wilt. De gegenereerde inlognamen zijn complex, kleine letters en cijfers, dus daar zijn veel combinaties van.

Alleen je weet niet wat voor additionele beveiligingsmaatregelen er zijn genomen. Zoals maximum aantal login pogingen per IP of iets dergelijks binnen een bepaalde tijdseenheid. Zelfde voor het inlogsysteem van de Rabobank.

[ Voor 25% gewijzigd door blackd op 31-07-2007 15:29 ]

Verschil is dat je bij postbank ook gemakkelijk zelf je gebruikersnaam en wachtwoord kunt wijzigen. De TAN codes zijn maar 1x geldig en je krijgt ook het transactiebedrag te zien in de SMS.

Daarnaast kun je de SMS functionaliteit heel eenvoudig laten blokkeren en eventueel een nieuw nummer opgeven.

Als iemand dus iets ermee wil doen moeten ze niet alleen je gebruikersnaam en wachtwoord weten, dan ook nog eens je GSM jatten (en dan ook de juiste GSM die aan het account zit) en dan het ook nog eens zo snel doen dat jij niet de bank hebt gebeld om de boel te laten blokkeren.

Het systeem lijkt me dus minstens zo veilig als de andere systemen in gebruik, met het verschil dat je geen apart kastje of zelfs je bankpas nodig hebt. Handig als je even ergens anders bent.

Natuurlijk is alles maar zo veilig als de gebruiker, als jij een postit op je monitor plakt met gebruikersnaam en wachtwoord en de pre-paid telefoon speciaal voor het internetbankieren in de la van je bureau legt dan ben je natuurlijk zelf dom bezig.

Overigens voegt het enkel opslaan van een hash voor de pincode niet heel veel toe, het is een beetje security through obscurity omdat je niet direct weet hoe de hash berekend wordt, maar met maar iets van 9500 combo's is een gemiddelde computer in minder dan een milliseconde door alle mogelijkheden heen.

[ Voor 13% gewijzigd door Anoniem: 178962 op 31-07-2007 15:36 ]

We kunnen een pissing contest houden over wie of er beter is. Beide systemen hebben voordelen en nadelen. De grap is echter dat beide beveiligingen nog niet gekraakt zijn.

Alle "hacks" en problemen komen tot nu toe hoofdzakelijk door onzorgvuldigheid van de gebruiker. Mensen die inloggen op phishing sites, telefonisch hun pin afgeven of te gemakkelijk pinnen zonder afscherming.

Beide banken hebben een aantal keer problemen gehad door codes via de post te sturen waar ze dan uit de brievenbus gehengeld werden maar dat is nu opgelost doordat je fysiek op het postkantoor moet komen of bij de bank moet verschijnen.

Het probleem van TS is geen gat of hack maar gewoon geluk dat hij alsnog de pincode wist, de random reader genereert niet zelf een OK/NietOK alleen maar een getal dat over via de website gecontroleerd wordt.

hamsteg schreef op dinsdag 31 juli 2007 @ 15:38:
Het probleem van TS is geen gat of hack maar gewoon geluk dat hij alsnog de pincode wist, de random reader genereert niet zelf een OK/NietOK alleen maar een getal dat over via de website gecontroleerd wordt.

Nee hoor, foutieve code en hij geeft de melding: "Code geweigerd" oid. In ieder geval geen nummer bij een verkeerde code.

blackd schreef op dinsdag 31 juli 2007 @ 15:03:
Het is de vraag hoe men hiermee omgaat bij de Rabobank, als je een rekeningnummer weet en verkeerde inlogcodes gaat zitten invullen. Een rekeningnummer is makkelijker te verkrijgen dan een inlognaam.

FF getest, en ben ondertussen bij de 5e x, en kan het nog steeds proberen, geen blok
edit: na 6x ofzo sluit het venstertje af en krijg je IP block
edit2: geen IP block, gebeurt op basis van cookies. Cookie verwijderen en je kan opnieuw proberen!

[ Voor 16% gewijzigd door Str1ngS op 31-07-2007 15:48 ]

hamsteg schreef op dinsdag 31 juli 2007 @ 15:38:
Het probleem van TS is geen gat of hack maar gewoon geluk dat hij alsnog de pincode wist, de random reader genereert niet zelf een OK/NietOK alleen maar een getal dat over via de website gecontroleerd wordt.

Kan zo'n lezertje dus wel.

hamsteg schreef op dinsdag 31 juli 2007 @ 15:08:
[...]

eh .. de hash is niet alleen over de pincode hoor. Neem je rekeningnummer en de bankpasnummer en je pincode en je krijgt een hash die niet meer uit te schrijven is. De gecreerde hash is gewoon uniek. De moderne banken zelf slaan nooit de pincode op, alleen maar de hash.

Dat is ook precies wat ik bedoelde. Ik formuleerde het misschien wat krom

Moedwillig een keertje verkeerd gedaan. Hij zegt mooi dat ik nog 2 keer kan proberen. Dit blijft trouwens ook als je de kaart eruit haalt en weer opnieuw begint. Veel kans dat zelfs een bankautomaat nu "2 pogingen" weergeeft.

Dus de hash staat op de kaart en het aantal pogingen ook blijkbaar.

[ Voor 10% gewijzigd door DinX op 31-07-2007 16:09 ]

DinX schreef op dinsdag 31 juli 2007 @ 16:08:

Grappig, de random reader doet dat niet ... cool. Nou ja, zo moeilijk hoeft het ook niet te zijn maar toch. Dat kastje heeft dus de encryptie (publick keys) aan boord. Dat is een leuke, nuttige, extra beveiliging. Heeft die pas een chip aan de voorkant? Anders zou dit niet kunnen werken of moet het kastje zelf een geheugen hebben (hou het kastje eens in de magnetron ).
Edit: Geintje, niet echt in de magnetron stoppen ... DISCLAIMER

[ Voor 6% gewijzigd door hamsteg op 31-07-2007 16:31 ]

Pas heeft inderdaad een chip (duh ? Je Proton, de Belgische Chipknip)

En het lezertje gaat niet de MW in, is wat te prijzig als je hem stuk/kwijt doet

[ Voor 37% gewijzigd door DinX op 31-07-2007 16:32 ]

DinX schreef op dinsdag 31 juli 2007 @ 16:08:
[afbeelding]

Moedwillig een keertje verkeerd gedaan. Hij zegt mooi dat ik nog 2 keer kan proberen. Dit blijft trouwens ook als je de kaart eruit haalt en weer opnieuw begint. Veel kans dat zelfs een bankautomaat nu "2 pogingen" weergeeft.

Dus de hash staat op de kaart en het aantal pogingen ook blijkbaar.

Overigens is dit wel een zwak aspect van het systeem. Je hebt zo'n Raboreader nodig om je bankzaken te kunnen doen. Stel je zet een keylogger op zo'n apparaatje, en je leest ook meteen de rest van de chip uit dan heb je ineens iemands hele beveiliging om zeep geholpen. Nu is zo'n keylogger niet heel makkelijk te installeren, maar het is wel iets wat de gemiddelde electro-nerd voor elkaar krijgt. (En je krijgt bij elke mislukte poging een nieuwe Reader van de Rabobank)

Dan hoef je alleen af en toe je Reader uit te lenen. Maar dat hoeft niet zo'n probleem als je in een internetcafe zit. Je laat het ding duidelijk op tafel liggen en er komt vanzelf iemand naar je toe die hem even wil lenen.

DinX schreef op dinsdag 31 juli 2007 @ 16:08:
Dit blijft trouwens ook als je de kaart eruit haalt en weer opnieuw begint. Veel kans dat zelfs een bankautomaat nu "2 pogingen" weergeeft.

Ken je nog iemand met zo'n reader? Ben wel benieuwd wat je pas daar in doet.

@ hierboven: een reader haal je echt niet zo maar even uit elkaar. Er zitten diverse hardwarematige zaken in die er voor zorgen dat cruciale onderdelen kapot gaan zodra geprobeerd wordt om de reader te openen. Ik had nog een hele rits met linkjes in mijn favorieten maar helaas geformat Was geloof ik deels op phrack en wat meer up to date sites.

@ hieronder: als je de pas in een andere reader stopt, zie je dan nog steeds 2 pogingen? Ik verwacht eigenlijk van niet want hoe zou dat op die pas geschreven moeten worden? Stel nu dat je een grote voorraad van die readers gebruikt, zou je het dan theoretisch kunnen kraken??

[ Voor 52% gewijzigd door sh4d0wman op 31-07-2007 16:38 ]

Hoe bedoel je ?

(Ik ben Belg voor de mensen die het nu nog niet doorhebben )

hamsteg schreef op dinsdag 31 juli 2007 @ 16:30:
[...]
Grappig, de random reader doet dat niet ... cool.

Jawel hoor. De RR geeft aan Foutieve Pin (paar tellen wachten) 2 Pogingen (paar tellen wachten) Uw pin?. Stop ik 'm in de andere RR hier in huis (vriendin heeft ook Rabo rekening) dan geeft ie gelijk al aan 2 Pogingen.

sh4d0wman schreef op dinsdag 31 juli 2007 @ 16:34:
@ hieronder: als je de pas in een andere reader stopt, zie je dan nog steeds 2 pogingen? Ik verwacht eigenlijk van niet want hoe zou dat op die pas geschreven moeten worden? Stel nu dat je een grote voorraad van die readers gebruikt, zou je het dan theoretisch kunnen kraken??

De chip zit ook op de rabopas en daarop staat een stukje speciale rabobank "user space". Oeps mijn pas doet het ook maar die van mijn vriendin niet ... ik heb een nieuwere pas (keer pin vergeten)

Snaphet niet want zij heeft ook een chip .. eens even weer mee spelen

[ Voor 6% gewijzigd door hamsteg op 31-07-2007 16:43 ]

Maar als die pas userspace heeft waar die dit in wegschrijft dan kun je dat ook weer ongedaan maken (hoe makkelijk, dat laat ik even in het midden) en zou je dus ongelimiteerd kunnen testen want de reader staan niet in contact met de bank, dus weet men niet dat dit gebeurd.
Die applicatie hierboven kon gegevens uitlezen, dus zou het toch ook mogelijk moeten zijn om op een soortgelijke manier userspace te manipuleren. Dan moet je dus eigenlijk weten hoe die userspace wordt bewerkt door de raboreader.

Hehe grappig topic is dit

En wat als je de reader van een persoon te pakken krijgt en de toetsen goed onderzoekt? Bij een vaak gebruikte reader zullen sommige toetsen aardig gesleten zijn. Dan heb je natuurlijk nog niet de volgorde maar heb je de kans om de pin code te achterhalen wel vergroot.

hamsteg schreef op dinsdag 31 juli 2007 @ 16:41:
Snaphet niet want zij heeft ook een chip .. eens even weer mee spelen

Spelen is leuk. Wil je het gekker horen? Stop eens een Postbank Chippas in je Rabo Random Reader. Dan vraagt ie om je PIN. En als je je correcte pin invult (van je bijbehorende Giropas) krijg je een inlogcode terug. Dus daar wordt ook gecontroleerd of hij correct is. De RR checkt dus niet of het een Rabo kaart is. Als je een verkeerde PIN invult, krijg je de melding dat je nog 2x kan proberen. Als je dan het pasje in een andere RR stopt, krijg je ook de melding dat je nog 2x kan proberen.

Is het dan wel 'Rabo userspace'? Of gewoon iets wat op alle (recente?) pasjes gebruikt is, ongeacht van welke bank?

Edit: Oh ja, er moet een chip op zitten. Met een normale Postbank Giropas werkt het niet. Dan krijg je Kaart fout. Hij kan dan de chip niet lezen.

[ Voor 8% gewijzigd door blackd op 31-07-2007 17:01 ]

sh4d0wman schreef op dinsdag 31 juli 2007 @ 16:34:
[...]

Ken je nog iemand met zo'n reader? Ben wel benieuwd wat je pas daar in doet.

als je de pas in een andere reader stopt, zie je dan nog steeds 2 pogingen? Ik verwacht eigenlijk van niet want hoe zou dat op die pas geschreven moeten worden? Stel nu dat je een grote voorraad van die readers gebruikt, zou je het dan theoretisch kunnen kraken??

Net even getest, met de Belgische versie, maar dat maakt verder niet uit, en als ik op apparaat A een verkeerde code invoer komt er op het scherm "PIN (..2)" Versteek ik vervolgens het kaartje in apparaat B dan krijg ik daar óók "PIN (..2)" Er moet dus wel ergens op de kaart worden bijgehouden of er al dan niet al een foutieve code is ingegeven.

lijkt me logisch dat het ding niets kan lezen als er geen chips op zit.

daarnaast zijn er makkelijkere manieren om aan geld te komen dan 10000 keer proberen...

en daar weer naast, wel vreemd dat een postbankpas in zo'n rabobankding werkt, van het weekend maar eens even mijn ing pas in het rabobankding stoppen...

wat ik denk, is dat bij een foute poging, de RR data wegschrijft op de chip van de bankpas, welke weer uitgelezen wordt in een volgend apparaat.

feitelijk heb je gewoon maar 3 pogingen... niet meer niet minder.

M2M schreef op dinsdag 31 juli 2007 @ 17:06:
lijkt me logisch dat het ding niets kan lezen als er geen chips op zit.

Mij ook. Maar het was om te kijken hoe het apparaat zo'n beetje werkt. Eerst wordt de chip uitgelezen. Geen chip? Geen vraag voor pincode.

M2M schreef op dinsdag 31 juli 2007 @ 17:06:

feitelijk heb je gewoon maar 3 pogingen... niet meer niet minder.

Ligt eraan hoe rijk je bent en hoeveel gegevens je hebt. Voor zover ik weet geeft de Rabobank de kaarten uit in setjes (dus een Rabo Europas met een RaboCard) maar is dit bij de Postbank niet zo. Je kunt apart een giropas en een chippas aanvragen.

Maar als je de PIN code van de Chippas weet te ontfutselen, weet je ook de PIN van de Giropas. En als je de Chippas blokkeert, is daarmee (veronderstel ik) de Giropas niet geblokkeerd, aangezien het twee verschillende passen zijn en er geen contact is met de Postbank. Alleen een nieuwe Chippas (na 3 pogingen) is € 5,- dus dat kan kostbaar zijn .

[ Voor 16% gewijzigd door blackd op 31-07-2007 17:18 ]

Volgens mij heeft de chip pas een andere pin als de giro pas

Je kunt ze apart aanvragen omdat pinpassen met een chip erin bij veel gebruik gemakkelijker kapot gaan dan de versies zonder chip. Aangezien heel veel mensen die chip niet nodig hebben was er veel vraag naar om het te splitsen (eerder was het wel 1 pas). Ik heb zelf ook 2x een nieuwe pas moeten aanvragen omdat ie scheurde aan de zijkant bij de chip terwijl ik heel dat chippen nooit gebruikte.

Zelfs toen was het al zo dat er een aparte pin was voor het chippen en een andere voor het pinnen.

Anoniem: 178962 schreef op dinsdag 31 juli 2007 @ 17:23:
Volgens mij heeft de chip pas een andere pin als de giro pas

Oh, nou volgens de Postbank niet.

Wat is de pincode van mijn Chippas?
De pincode van uw Chippas is gelijk aan die van uw Giropas

Hmmm wat stom, vroeger was dat wel verschillend.

Majah zoals ik al zei, ik gebruik die chip rommel nooit

[ Voor 6% gewijzigd door Anoniem: 178962 op 31-07-2007 17:27 ]

Chip is geen rommel, maar da's een andere discussie

Anoniem: 178962 schreef op dinsdag 31 juli 2007 @ 15:34:
Verschil is dat je bij postbank ook gemakkelijk zelf je gebruikersnaam en wachtwoord kunt wijzigen. De TAN codes zijn maar 1x geldig en je krijgt ook het transactiebedrag te zien in de SMS.

Daarnaast kun je de SMS functionaliteit heel eenvoudig laten blokkeren en eventueel een nieuw nummer opgeven.

Als iemand dus iets ermee wil doen moeten ze niet alleen je gebruikersnaam en wachtwoord weten, dan ook nog eens je GSM jatten (en dan ook de juiste GSM die aan het account zit) en dan het ook nog eens zo snel doen dat jij niet de bank hebt gebeld om de boel te laten blokkeren.

Het systeem lijkt me dus minstens zo veilig als de andere systemen in gebruik, met het verschil dat je geen apart kastje of zelfs je bankpas nodig hebt. Handig als je even ergens anders bent.

Natuurlijk is alles maar zo veilig als de gebruiker, als jij een postit op je monitor plakt met gebruikersnaam en wachtwoord en de pre-paid telefoon speciaal voor het internetbankieren in de la van je bureau legt dan ben je natuurlijk zelf dom bezig.

Overigens voegt het enkel opslaan van een hash voor de pincode niet heel veel toe, het is een beetje security through obscurity omdat je niet direct weet hoe de hash berekend wordt, maar met maar iets van 9500 combo's is een gemiddelde computer in minder dan een milliseconde door alle mogelijkheden heen.

Ja en ben je dus de lul als je als vrouw je handtas wordt gejat, waar toevallig je pas & telefoon worden gestolen.

In België heb je zelfs geen code op de Proton (Chipknip)

Als je je kaart kwijtspeelt met 200 euro erop dan kan je hem wel blokkeren maar die 200 en je kwijt

In Nederland heb je alleen een code nodig om de chip op te waarderen en niet om er mee te betalen. In Nederland ben je dus ook je 200 kwijt.

_ferry_ schreef op dinsdag 31 juli 2007 @ 12:59:
Chip is niet te kopieeren zoals de strip. Die wordt namelijk geprogrammeerd en daarna worden de draadbruggen opgeblazen.

Dan heb je het over een apart deel, waarin zaken als bankrekeningnummer en pincode staan opgeslagen?

Er is duidelijk een deel van de pas die wel beschreven kan worden (door een randomreader bijvoorbeeld), het deel waarin wordt opgeslagen hoeveel inlogpogingen er nog over zijn. Dat zou dan toch wel te kopiëren zijn? Zo lang je het (nadat je je pas geblokkeerd hebt gekregen) maar weer op dezelfde pas terugschrijft...

Ik denk dat de Topicstarter gelijk heeft en de pincode op deze manier te achterhalen is... Achja, pas gewoon maar niet kwijtraken dan?

Steephh schreef op dinsdag 31 juli 2007 @ 22:38:
[...]


Ja en ben je dus de lul als je als vrouw je handtas wordt gejat, waar toevallig je pas & telefoon worden gestolen.

Ohw? Hoe hebben ze dan je gebruikersnaam en wachtwoord te pakken?

Ik wou nog even extra benadrukken dat een chipknip (of simkaart wat dat aan gaat), géén simpele geheugencel is! Het is een (goed beveiligde) microchip die communiceerd via een serieel protocol. Het is dan ook de chip zelf die de pincode controleerd en de chip zelf die zichzelf blokkeerd als je 3x een foute invoert.

Het feit dat het een microchip is is dan ook precies de reden dat dat ding niet nagemaakt kan worden. (zonder lab met verdomd goeie apperatuur). De programatuur en codes die erin zitten zijn niet opvraagbaar! De chipknip geeft nooit de pincode vrij.

Daarnaast is het heel goed mogelijk dat de chip zelf al encryptiebewerkingen uitvoert voordat hij een antwoord geeft op bijvoorbeeld een aanvraag voor een code voor internet bankieren. Dus nog voordat er ook maar een bit de chip verlaat. Hierdoor kan, ook al heb je de pincode, ook dit niet gekopieerd worden.

Houd er rekening mee dat, hoewel het chipknip systeem al wat ouder is, de nu gebruikte internet bankier systemen langer op zich hebben laten wachten. De huidige chipknips zijn geavanceerdere chips die simpelweg het chipknip protocol verstaan en daarnaast ook software van de bank bevatten voor het inloggen.

ps: Postbank gebruikt een apparte chippas met apparte pin. Veel banken niet. (Zelfde pin).

ps2: De reader die gebruikt wordt wordt overal over de wereld gebruikt. Echter, dat ding communiceert met de chip, hij speelt zelf geen grote rol in het aanmaken van de codes. In ieder geval niet groot genoeg om een gevaar te zijn als de broncode van dat ding op straat ligt.

[ Voor 102% gewijzigd door Nijn op 31-07-2007 23:02 ]

DinX schreef op dinsdag 31 juli 2007 @ 16:08:
[afbeelding]

De Rabobank gebruikt exact dezelfde reader van Vasco.
Lijkt me dus dat deze hetzelfde werken.

@ Nijn, het kan wel dat alles zo goed beveiligd is maar toch lijkt de random reader een bitje te kunnen zetten welke aangeeft dat er x maal een verkeerde code is ingevoerd. Kun je dit onderscheppen of terugdraaien dan kun je in theorie een oneindig aantal pincodes proberen zonder communicatie met een banksysteem dus die weten het niet.

Hoe wil je dat terugdraaien dan?

De chip krijgt een pincode aangeboden en roept goed of fout.

De chip telt zelf hoe vaak je het gedaan hebt, en na 3x weigert ie de boel.

Er is geen magisch 'draai alles maar terug' commando wat je naar de chip kunt sturen

Het Chipknip gedeelte is zelfs intelligent genoeg om te onthouden wanneer er hoe veel geld afgegaan is (de laatste 5 in ieder geval)

Ik ben eigenlijk wel benieuwd of de geldautomaten werken met het chip op het magneetstripgedeelte van de kaart, want als je met de RR de foute pin te vaak ingeeft blokkeert die alleen maar de chip, met het magneetgedeelte zou je dan nog kunnen pinnen.
Ik heb meer vertrouwen in de chip dan in de strip, de chip is niet de kopieren, de strip wel, en als de chip geblokkeerd is (door fout intoetsen op de RR) zou je dus door kunnen pinnen met de strip.

De magneetstrip is alleen te gebruiken in situaties waar er contact is met de bank, de blokkering vind dan plaats bij de bank zelf. De chip is juist gemaakt om de kaart nuttig te maken in situaties waar geen contact met de bank mogelijk is.

Anoniem: 178962 schreef op dinsdag 31 juli 2007 @ 23:47:
De chip krijgt een pincode aangeboden en roept goed of fout.

De chip telt zelf hoe vaak je het gedaan hebt, en na 3x weigert ie de boel.

Als hij telt, slaat hij het toch op? Dus als je dat deel kan overschrijven dan kun je blijven proberen. Of je kopieert de pas en probeert het elke 3 keer met een andere pas in de random reader.
We moeten toch wel een manier kunnen bedenken om beveiliging te omzeilen

sh4d0wman schreef op woensdag 01 augustus 2007 @ 00:04:
[...]

Als hij telt, slaat hij het toch op? Dus als je dat deel kan overschrijven dan kun je blijven proberen. Of je kopieert de pas en probeert het elke 3 keer met een andere pas in de random reader.
We moeten toch wel een manier kunnen bedenken of beveiliging te omzeilen

Nee je begrijpt niet helemaal hoe de chip werkt denk ik.

Zie de chip als een mannetje.

Je kan praten tegen het mannetje, hem vragen stellen en dan geeft ie antwoord.

Zo kan je vragen wat het saldo is, dan zal hij het saldo antwoorden.

Je kan vragen of een pincode correct is, dan zal hij ja of nee zeggen en hoeveel pogingen er nog resteren. Na 3x proberen zal hij weigeren antwoord te geven.

Je kan op geen enkele manier in de hersenen van het mannetje komen, dus ook niet in z'n geheugen dingen veranderen.

Je kan hem ook niet vragen iets te resetten, die commando's zitten er eenmaal niet in.

Pas kopieren is ook niet mogelijk, zoals gezegd is het een microcontroller met software erop, al zou je een vergelijkbare microcontroller kunnen vinden, de software kan je niet aankomen.

[ Voor 8% gewijzigd door Anoniem: 178962 op 01-08-2007 00:07 ]

blackd schreef op dinsdag 31 juli 2007 @ 16:59:
[...]

Spelen is leuk. Wil je het gekker horen? Stop eens een Postbank Chippas in je Rabo Random Reader. Dan vraagt ie om je PIN. En als je je correcte pin invult (van je bijbehorende Giropas) krijg je een inlogcode terug. Dus daar wordt ook gecontroleerd of hij correct is. De RR checkt dus niet of het een Rabo kaart is. Als je een verkeerde PIN invult, krijg je de melding dat je nog 2x kan proberen. Als je dan het pasje in een andere RR stopt, krijg je ook de melding dat je nog 2x kan proberen.

Dit werkt dus niet met alles pasjes met een chip. Als ik mijn ABN AMRO wereldpas in de RR stop dan krijg ik KAART FOUT!

Nog even één aanvulling:

Als jij het mannetje verteld dat je op internet bankieren wilt, vraagt het mannetje om een pincode.
Stel, jij zegt tegen het mannetje dat de code 3333 is. Het mannetje weet de echte code niet, maar kan wel controleren of hij goed is. Denk bijvoorbeeld aan de bewerking +6667. Het mannetje weet dat de uitkomst 10.000 moet zijn en weet dat hij er 6667 bij op moet tellen. Zo controleerd ie je pincode. (In werkelijkheid werkt dat een stuk ingewikkelder. Achter de pincode komen is zeker niet zo simpel als even terugrekenen).

Vervolgens doet het mannetje nog iets. Het mannetje neemt de huidige tijd en zijn interne code en haalt daar weer iets mee uit. Wederom sterk versimpeld:
tijd/datum: 01-08-2007 00:15 > 010820070015
Interne code: 56444876213
bij elkaar opgeteld: 67264946228
Maal 2,5: 168162365570
gedeelt door 10000 en afgerond: 1681 6236

Zo krijgt de random reader z'n code. (En wellicht doet de random reader er ook nog iets mee). Wederom natuurlijk, dit is vrijwel niet terug te rekenen. Er zijn projecten die dit soort encryptiezaken hebben geprobeerd te kraken 5 jaar bezig geweest met 1 key.

De interne code van de chip zal hij natuurlijk ook nooit vrijgeven.

Kopieren is dus echt niet mogelijk.

blackd schreef op dinsdag 31 juli 2007 @ 16:59:
[...]

Spelen is leuk. Wil je het gekker horen? Stop eens een Postbank Chippas in je Rabo Random Reader. Dan vraagt ie om je PIN. En als je je correcte pin invult (van je bijbehorende Giropas) krijg je een inlogcode terug. Dus daar wordt ook gecontroleerd of hij correct is. De RR checkt dus niet of het een Rabo kaart is. Als je een verkeerde PIN invult, krijg je de melding dat je nog 2x kan proberen. Als je dan het pasje in een andere RR stopt, krijg je ook de melding dat je nog 2x kan proberen.

Is het dan wel 'Rabo userspace'? Of gewoon iets wat op alle (recente?) pasjes gebruikt is, ongeacht van welke bank?

Edit: Oh ja, er moet een chip op zitten. Met een normale Postbank Giropas werkt het niet. Dan krijg je Kaart fout. Hij kan dan de chip niet lezen.

Veel van die cardreaders zijn gelijk aan elkaar. Wellicht een net iets ander uiterlijk, maar van binnenin hetzelfde. Het is dan ook alleen een communicatiemiddel zoals een toetsenbord. Het echte werk wordt door de chip gedaan!

Die readers communiceren met enigzinds standaard commando's met de chip. En krijgen ook weer standaard commando's terug. "geef pin" of "pin blocked" etc. Ik vindt het niet zo moeilijk om mij voor te stellen dat ook de Postbank dit protocoll al in zijn chips gooit voor mogelijk toekomstige acties. Tenslotte, zo'n kaart is gemaakt om 5/8/10 jaar mee te gaan. Of misschien had de Postbank in het verleden plannen om ipv het huidige TAN systeem een systeem als dat van de Rabobank te gaan gebruiken.

Het systeem dat de Rabobank gebruikt is een zeer populair systeem dat door veel banken ingevoerd is. Dat doet echter niet veel af van de veiligheid. Die codes kun je nog altijd niet uitlezen.

Overigens: Toevallig zijn de systemen van de E-dentifier (abn) en de random reader (rabo en velen andere banken) verschillend van elkaar.

[ Voor 44% gewijzigd door Nijn op 01-08-2007 00:29 ]

Nijn schreef op woensdag 01 augustus 2007 @ 00:19:Overigens: Toevallig zijn de systemen van de E-dentifier (abn) en de random reader (rabo en velen andere banken) verschillend van elkaar.

Ik had begrepen dat de e-dentifier gepersonaliseerd is en de RR uniform is. Dwz je kan bij de buurman zijn RR lenen, maar niet z'n e-dentifier, want die e-dentifier werkt alleen met jouw pas. Zie www.ecp.nl dossier authenticatie.

Steephh schreef op dinsdag 31 juli 2007 @ 22:38:
Ja en ben je dus de lul als je als vrouw je handtas wordt gejat, waar toevallig je pas & telefoon worden gestolen.

Duh, en de vrouwen die de random reader en pas naast elkaar in hun container tas vervoeren dan?

Erkel schreef op dinsdag 31 juli 2007 @ 16:59:
En wat als je de reader van een persoon te pakken krijgt en de toetsen goed onderzoekt? Bij een vaak gebruikte reader zullen sommige toetsen aardig gesleten zijn. Dan heb je natuurlijk nog niet de volgorde maar heb je de kans om de pin code te achterhalen wel vergroot.

Eigen vindt ik dit een sublieme opmerking. En is een goede manier om aan iemand zijn pincode te komen.

blackd schreef op woensdag 01 augustus 2007 @ 06:15:
[...]

Ik had begrepen dat de e-dentifier gepersonaliseerd is en de RR uniform is. Dwz je kan bij de buurman zijn RR lenen, maar niet z'n e-dentifier, want die e-dentifier werkt alleen met jouw pas. Zie www.ecp.nl dossier authenticatie.

Dat is niet waar, elke e-dentifier is hetzelfde.

Eegee schreef op dinsdag 31 juli 2007 @ 14:19:
[...]


Vraagje: hoe weet je zo zeker dat er een interne klok in de reader zit? Is wel een leuk extraatje voor de hash-berekening, maar gebeurt het ook zo?
Het tijdselement kan er m.i. ook alleen in zitten dat je zeg binnen 30 seconden de juiste code ingetypt moet hebben. De tijdcheck bevindt zich dan geheel aan de serverkant.

Hoe kan je anders een combinatie invoeren.

Heb wel eens gehad dat ik dezelfde code terugkreeg als je het snel intoetste.. ( Firefox gaf de code al voor in het invoervak )

Denk dat de Reader een combinatie maakt van je bank rek nr, pincode en tij/datum hash.. Dit via de code naar de server zend en die het vergelijkt met zijn portie.

[ Voor 154% gewijzigd door hamsteg op 01-08-2007 08:52 ]

Erkel schreef op dinsdag 31 juli 2007 @ 16:59:
En wat als je de reader van een persoon te pakken krijgt en de toetsen goed onderzoekt? Bij een vaak gebruikte reader zullen sommige toetsen aardig gesleten zijn. Dan heb je natuurlijk nog niet de volgorde maar heb je de kans om de pin code te achterhalen wel vergroot.

De toetsen van de reader zijn zacht rubber en lijken niet te slijten. Hier liggen door het huis verspreid een aantal readers waarvan enkele al enkele jaren oud. Maar zijn nog geen sporen van slijtage te merken..

Het lijkt me trouwens wel erg lastig om te achterhalen omdat je voor een transactie 10+4 getallen in moet voeren, waaronder dus wel je pin, maar ook een controle getal weer.

Kreeg een aantal PM's voor een tooltje die ik gebruik om chipknips uit te lezen.
Heb hem hier neergezet:

http://www.luppie.net/got/visualchipkniple.zip

Gaat dus om dit tooltje:

Bedankt Binnenkort eens even testen.

Toppie Cobra_Lup, thanks.

* Crusader gaat als niet-Rabo-klant op zoek naar bijbehorende hardware

[ Voor 9% gewijzigd door Crusader op 01-08-2007 12:01 ]

Wat voor soort Card Reader moet je bij dat programma gebruiken?

hamsteg schreef op woensdag 01 augustus 2007 @ 08:12:
[...]
Duh, en de vrouwen die de random reader en pas naast elkaar in hun container tas vervoeren dan?

Random reader is, zoals je kon lezen, niet pas-afhankelijk...

[ Voor 10% gewijzigd door Steephh op 02-08-2007 02:09 ]