Pestcard

Die Pestcard, eigentlich Postcard, ist eine Debitkarte, die auf ältere Technologie und kundenunfreundlichen Teilnahmebedingungen setzt. Am 23C3 wurde im Vortrag A not so smart card die sicherheitstechnische Tragödie von Bernd Fix kundgetan, welche das Klonen von Postkarten erlaubt, nachdem die PostFinance eine Schonfrist von 4 Jahren geniessen konnte.

Benötigte Informationen dabei sind bloss die erweiterte Postkartennummer sowie das Ausgabe- und Ablauf-Datum.

Da die PostFinance technisch und rechtlich nichts geändert hat, ausser dass sie nach eigenen Angaben seit Sommer 2006 EMV-Karten ausgibt, bleiben bis ins Jahr 2010 vulnerable Postkarten im Umlauf.

Durch den zu kurz-geratenenen privaten Schlüssel, den die Post zur Chiffrierung von Informationen auf der Karte verwendet, lässt sich die Postkarte leicht klonen, da die verwendeten 320 bit schon seit vielen Jahren völlig unzureichend sind. Wer nicht nur Rosinen picken möchte, kann sich als Computerbesitzer innert Stunden zum Herausgeber der Postkarte aufschwingen; nur noch das Herstellen der Karten bleibt eine Hürde.

Die Post geht in ihren Teilnahmebedingungen nicht davon aus, dass die Karte kopiert werden kann - und solchenfalls für so entstandene Vermögensminderungen aufkommen soll; sie setzt insbesondere auf eine sicherere (keine Geburtsdaten z.B.) und geheim-aufzubewahrende PIN, obwohl die fürs Klonen der Karte völlig unerheblich ist.

Die Links verraten mehr.

Mediales Vorgehen

Intentionen

Der CCCZH plant ab Januar 2007 alle Bestrebungen zu unterstützen die Postcard-Unsicherheit der Öffentlichkeit bekannt zu machen, um die PostFinance dazu zu bewegen, ihren in den Teilnahmebedingungen verankerten Haftungsausschluss zu überdenken und technische Massnahmen zu ergreifen, um die Kundensicherheit zu erhöhen. Da eine unabhängige Sicherheitsanalyse der neuen EMV-Postcards noch nicht vorliegt, kann man aus Erfahrung nicht davon ausgehen, dass das Problem endgültig behoben ist. Genaueres folgt in Taten.

postcard-sicherheit.ch

Seit Anfang Februar 2007 sind mit den Seiten auf postcard-sicherheit.ch mit initialen Inhalten von Bernd Fix Informationen über die Sicherheitslücke der breiten Öffentlichkeit zugänglich gemacht.

c’t-Artikel in 5/2007

Bernd Fix ist einem Artikel, erschienen in der c’t 5/2007, unterstützend zur Seite gestanden (siehe darin den Artikel Signatur der Schweizer Postcard geknackt, ab S. 210).

SonntagsZeitung-Artikel vom 22.04.2007

Michael Soukup hat in Zusammenarbeit mit Informationen vom CCCZH und von Bernd Fix einen Artikel zur Sicherheitslücke der Postcards veröffentlicht, unsere Anliegen hervorgehoben und den Hackerbegriff entsprechend der Hackerethik (des CCC e.V.) verwendet.

Versuche des erweiterten Informationsgewinns

Ein Gesuch gestützt auf das BGÖ statistische Angaben über die Betrugsfälle von Postcards von der PostFinance zu erhalten ist gescheitert, zunächst an der Unbereitschaft deren diese “vertrauglichen” Infos rauszurücken, danach auch im Schlichtungsverfahren. Das Gesetz würde in der Sparte der PostFinance keine Anwendung finden, so von der Schweizerischen Post behauptet und vom EDOEB ebenfalls für richtig empfunden. Und zwar weil die PostFinance-Sparte der Schweizerischen Post keine Verfügungen erlässt oder erstinzanzliche Entscheidungen fällt, was nötig ist, damit andere (mehrheitliche) Staatsbetriebe ebenfalls zum Geltungsbereich des BGÖ gezählt werden können.