Pestcard

Die Pestcard, eigentlich
Postcard,
ist eine Debitkarte, die auf ältere Technologie und
kundenunfreundlichen Teilnahmebedingungen
setzt. Am 23C3 wurde im Vortrag
A not so smart card
die sicherheitstechnische Tragödie von Bernd Fix kundgetan, welche das
Klonen von Postkarten erlaubt, nachdem die
PostFinance eine Schonfrist von 4 Jahren geniessen konnte.

Benötigte Informationen dabei sind bloss die erweiterte Postkartennummer
sowie das Ausgabe- und Ablauf-Datum.

Da die PostFinance technisch und rechtlich nichts geändert hat, ausser
dass sie nach eigenen Angaben seit Sommer 2006 EMV-Karten ausgibt,
bleiben bis ins Jahr 2010 vulnerable Postkarten im Umlauf.

Durch den zu kurz-geratenenen privaten Schlüssel, den die Post zur
Chiffrierung von Informationen auf der Karte verwendet, lässt sich die
Postkarte leicht klonen, da die verwendeten 320 bit schon seit vielen
Jahren völlig unzureichend sind. Wer nicht nur Rosinen picken möchte,
kann sich als Computerbesitzer innert Stunden zum Herausgeber der
Postkarte aufschwingen; nur noch das Herstellen der Karten bleibt eine
Hürde.

Die Post geht in ihren
Teilnahmebedingungen
nicht davon aus, dass die Karte kopiert werden kann - und solchenfalls
für so entstandene Vermögensminderungen aufkommen soll; sie setzt
insbesondere auf eine sicherere (keine Geburtsdaten z.B.) und
geheim-aufzubewahrende PIN, obwohl die fürs Klonen der Karte völlig
unerheblich ist.

Die Links verraten mehr.

Mediales Vorgehen

Intentionen

Der CCCZH plant ab Januar 2007 alle Bestrebungen zu unterstützen die
Postcard-Unsicherheit der Öffentlichkeit bekannt zu machen, um die
PostFinance dazu zu bewegen, ihren in den Teilnahmebedingungen
verankerten Haftungsausschluss zu überdenken und technische Massnahmen
zu ergreifen, um die Kundensicherheit zu erhöhen. Da eine unabhängige
Sicherheitsanalyse der neuen EMV-Postcards noch nicht vorliegt, kann man
aus Erfahrung nicht davon ausgehen, dass das Problem endgültig behoben
ist. Genaueres folgt in Taten.

postcard-sicherheit.ch

Seit Anfang Februar 2007 sind mit den Seiten auf
postcard-sicherheit.ch mit
initialen Inhalten von Bernd Fix Informationen über die Sicherheitslücke
der breiten Öffentlichkeit zugänglich gemacht.

c’t-Artikel in 5/2007

Bernd Fix ist einem Artikel, erschienen in der c’t 5/2007, unterstützend
zur Seite gestanden (siehe darin den Artikel Signatur der Schweizer
Postcard geknackt
, ab S. 210).

SonntagsZeitung-Artikel vom 22.04.2007

Michael Soukup hat in Zusammenarbeit mit Informationen vom
CCCZH und von Bernd Fix einen
Artikel
zur Sicherheitslücke der Postcards veröffentlicht, unsere Anliegen
hervorgehoben und den Hackerbegriff entsprechend der Hackerethik (des
CCC e.V.) verwendet.

Versuche des erweiterten Informationsgewinns

Ein Gesuch gestützt auf das BGÖ statistische Angaben
über die Betrugsfälle von Postcards von der PostFinance zu erhalten ist
gescheitert, zunächst an der Unbereitschaft deren diese “vertrauglichen”
Infos rauszurücken, danach auch im Schlichtungsverfahren. Das Gesetz
würde in der Sparte der PostFinance keine Anwendung finden, so von der
Schweizerischen Post behauptet und vom EDOEB ebenfalls für richtig
empfunden. Und zwar weil die PostFinance-Sparte der Schweizerischen Post
keine Verfügungen erlässt oder erstinzanzliche Entscheidungen fällt,
was nötig ist, damit andere (mehrheitliche) Staatsbetriebe ebenfalls zum
Geltungsbereich des BGÖ gezählt werden können.