Gå til innhold
15.01.2008 Skriv ut

Sikkerhet i betalingskortsystemene

Bankklagenemnda

Postboks 6855
0130 OSLO

Saksbehandler: Atle Dingsør
Dir. tlf.: 22 93 99 51
Vår referanse: 07/8709
Deres referanse:
Arkivkode: 507.9
Dato: 15.01.2008


Det vises til brev fra Bankklagenemnda datert 13. september 2007.

Bankklagenemnda ber Kredittilsynet opplyse om tilsynet opprettholder sin vurdering, gitt i likelydende brev til Finansnæringens Hovedorganisasjon og Sparebankforeningen og med kopi til Bankklagenemnda, datert 20. august 2002, om ”muligheten til å gjenskape PIN-koden basert på den informasjonen som ligger i magnetstripen”.

Videre ber Bankklagenemnda om Kredittilsynets vurdering av ”hvorvidt det er mulig å avdekke PIN koden til betalingskort ved å fange opp den krypterte datastrømmen eller på annen måte”.

I det følgende skal begrepene PIN-kode og PIN oppfattes synonymt.


1       Bakgrunn

Overordnet forklart vil kryptering, transport og kontroll av PIN skje på følgende måte:

PIN krypteres i sikret maskinvare i terminalen. Kryptert PIN, sammen med annen informasjon, sendes til en innsamler. Innsamler videresender transaksjoner med tilhørende data, inkludert PIN i kryptert form til en verifiseringsinstans som kan være kortutsteder, innsamler eller annen instans som kortutsteder har avtale om PIN verifisering med. PIN kan bli dekryptert og kryptert flere ganger underveis fra innsamler til verifiseringsinstans.

Verifisering av PIN skjer på den måten at PIN, kontonummer og krypteringsnøkler går inn i en krypteringsalgoritme som beregner en verifikasjonsverdi som sammenlignes med tilsvarende verdi som enten er hentet fra magnetstripen i kortet og sendt sammen med PIN i kryptert form til verifiseringsinstansen, eller som er lagret sikkert i en database hos verifiseringsinstansen. Dette skjer i sikret maskinvare. Merk at klartekst PIN bare kommer fram inne i sikret maskinvare og kan ikke leses utenfor denne.


2       Kredittilsynets vurdering av om det er mulig uautorisert å avdekke  pin-koden til betalingskort

Vi har valgt å dele vår redegjørelse inn i 4 ulike områder knyttet til vår vurdering av mulighetene for å avdekke PIN-koden på en uautorisert måte:

2.1 Avdekke PIN-koden basert på tilgang til informasjon som ligger lagret i kortet.
2.2 Avdekke PIN-koden under transport.
2.3 Angrep på sikret maskinvare som vist til i brevet fra Bankklagenemnda.
2.4 Andre former for å skaffe seg uautorisert tilgang til PIN-koden.

Nedenfor vil vi redegjøre nærmere for hvert enkelt forhold.


2.1    Avdekke PIN-koden basert på tilgang til informasjon som ligger lagret i kortet.

Verifiseringsinstansen oppbevarer ikke PIN-koden. Verifiseringsinstansen mottar kryptert PIN samt kontonummer som begge er sendt fra terminalen i kryptert form. Verifiseringsinstansen dekrypterer PIN i sikret maskinvare. I sikret maskinvare blir det beregnet en kontrollverdi som baserer seg på PIN, kontonummer og krypteringsnøkler. Denne verdien sammenlignes med tilsvarende verdi som er hentet fra kortet og sendt til verifiseringsinstansen eller som er oppbevart i en sikret database hos denne. Verifiseringsinstansen oppbevarer ikke PIN eller informasjon til å kunne beregne PIN ut i fra data som er lagret i kortets magnetstripe.

Dette betyr at informasjon i magnetstripen ikke er tilstrekkelig til å beregne eller gjenskape PIN-koden. PIN-koden ligger ikke lagret i magnetstripen.

Det er kun kortutsteders PIN genereringssystem som er i stand til å beregne PIN (motsatt; ”slutte seg til PIN”, se nedenfor).

Kredittilsynet opprettholder sin vurdering, slik den fremkom i brev datert 20. august 2002, om at det ikke er mulig å gjenskape PIN-koden basert på informasjon som ligger i magnetstripen.


2.2    Avdekke PIN-koden under transport

Bankklagenemda ber Kredittilsynet vurdere hvorvidt det er mulig å avdekke PIN-koden til betalingskort, ved å ”fange opp den krypterte datastrømmen”.

I dette angrepscenariet forutsetter vi at angriperen ikke har tilgang til å aktivere funksjoner i sikret maskinvaren. Vi forutsetter at angriperen har tilgang til den krypterte datastrømmen fra terminalen og forsøker å dechiffrere denne.

Det kan her være grunn til å skille mellom

  1. Samordnete kort som bare har debetkortfunksjonalitet (spor 3)
  2. Samordnete kombinerte kort (inneholder debetkort (spor 3) og kredittkort (spor 2))
  3. Ikke bankutstedte kredittkort (Eurocard, Diners, Amex o.a.)

2.2.1 Samordnete kort – spor 3
Samordnete spor 3 kort (dvs. at kun spor 3 er aktivert, dvs. ingen kredittkortfunksjonalitet) er kort utstedt av norsk bank og forutsetter bruk av PIN. For disse gjelder regler satt av bankene gjennom Bankenes Standardiseringskontor (BSK) og en kontrollordning knyttet til etterlevelse av reglene.

Det overveiende flertall av korttransaksjoner der norske terminaler er benyttet, skjer innenfor det samordnete kortsystemet. Systemet er samordnet blant annet på den måten at alle norske banker kan verifisere PIN koder for kort utstedt av alle norske banker.

For å avdekke PIN knyttet til et (1) kort ved å dekryptere den krypterte datastrømmen fra terminalen, må svindleren ha et antall kort med kjent PIN, fange den krypterte datastrømmen og ved uttømmende søk forsøke å finne krypteringsnøklene som gir kryptert PIN for den kjente, klartekst PIN. Krypteringsnøklene kan dernest benyttes for å finne klartekst PIN for andre kort.

I følge nevnte krav oppstilt av Bankens Standardiseringskontor skal PIN krypteres med enten

a) 56 bits DES og en unik engangsnøkkel, eller
b) 112 bits 3 DES

I tilfelle b) er det 2112 (16 bits av 128 bits i totalnøkkelen er paritetsbit) mulige nøkler. Alle nøklene er like sannsynlige. Svindleren må, ved uttømmende søk blant de 2112 nøklene, finne den nøkkel som for en gitt klartekst PIN og kontonummer gir en oppfanget kryptert PIN. Nøkkelen kan dernest benyttes til å dekryptere andre krypterte PIN. Flere PIN kan gi samme kryptert PIN for et gitt kontonummer. I praksis må derfor svindleren gjøre uttømmende søk på flere kortnummer og PIN og tilhørende kryptert PIN for å finne krypteringsnøklene.

I tilfelle a) inngår et variabelt element, nemlig engangsnøkkelen, i krypteringen. Svindleren må knekke algoritmen som gir engangsnøkkelen, i tillegg til å knekke 56 bits DES. For å kunne avdekke engangsnøkkelen, må svindleren, for samme kort, taste PIN og avlese den krypterte datastrømmen tilstrekkelig mange ganger til at hun kan avdekke det mønster etter hvilket den krypterte datastrømmen endrer seg. På den måten kan hun i teorien predikere engangsnøkkelen. Det er uklart hvordan dette i praksis skal skje.

Brevet fra Bankklagenemnda sier ikke så mye om bakgrunnen for påstanden om at det skal være mulig å ”knekke” datastrømmen som sendes fra banken når kortmisbrukeren taster feilaktig PIN, men det kan være nærliggende å anta at den henger sammen med situasjonene ovenfor på den måten at svindleren vil være interessert i kombinasjoner av PIN og kryptert PIN – det spiller i denne sammenheng ingen rolle om PIN er ugyldig.

Det er Kredittilsynets vurdering at det i disse tilfeller ikke er praktisk mulig å finne PIN ved å dekryptere den krypterte datastrøm.

2.2.2 Samordnete kombinerte kort (inneholder debetkort (spor 3) og kredittkort (spor 2))
Kombinerte kort har en debetkortfunksjon som i stor grad benyttes i Norge og en kredittkortdel (Visa eller Mastercard) som i prinsipp kan benyttes overalt i verden. Deltakere i Visa eller Mastercard betalingssystem må forholde seg til kravene i den nedenfor omtalte PCI DSS standarden. Sikringstiltak, kontrolltiltak etc. som er innført rundt omkring i verden for å etterkomme PCI DSS kravene vil kunne variere.

Vi minner i denne sammenheng om at for kombinerte kort er det regelmessig samme PIN for debetkortdelen og kredittkortdelen av kortet.

Kredittilsynet har ingen holdepunkter for å anta at det i praksis eksisterer svakheter som gir svindleren tilgang til funksjoner for å utlede PIN som beskrevet i brevet fra Bankklagenemnda.

2.2.3 Ikke bankutstedte kort
Disse kort kan være utstedt i Norge (av Teller (VISA), S/E/B Kort (Europay) eller andre) eller i utlandet og kan benyttes i prinsipp i hele verden. Deltakere i de kortselskapenes betalingssystemer som har sluttet seg til PCI DSS må forholde seg til kravene i den nedenfor omtalte PCI DSS.

Kredittilsynet har ingen holdepunkter for å anta at det i praksis eksisterer svakheter som gir svindleren tilgang til funksjoner for å utlede PIN som beskrevet i brevet fra Bankklagenemnda.


2.3    Angrep på sikret maskinvare som vist til i brevet fra Bankklagenemnda

Angrepene som beskrives i artiklene det refereres til forutsetter at angriperne har adgang til:

  • å utvikle eller modifisere programmer som gjør kall til funksjoner i sikret maskinvare
  • å få disse samme programmene inn i produksjonsmiljø
  • å slette spor etter sin aktivitet.

Angrepene benytter en eller flere av følgende funksjoner som er standardfunksjoner i den sikrete maskinvaren:

  • funksjon for å oversette fra et kryptert PIN format til et annet. På den måten oppnår svindleren å redusere det mulige antallet verdier som den krypterte PIN verdien kan være
  • gjentatt bruk av krypteringsfunksjon for å bygge opp en tabell over sammenhørende PIN og kryptert PIN. Tabellen vil gi PIN for en gitt avlest kryptert PIN
  • funksjoner for å endre PIN og funksjon for å beregne tilhørende verifikasjonsverdi

Et (1) eksempel på svindelscenario som beskrives er dette:

Angrepene konverterer kryptert PIN fra et format til et annet og reduserer på denne måten antall mulige PIN i kryptert form til 10000 (for en 4-sifret PIN). Så sender angriperne inn forskjellige PIN i den sikrete maskinvaren, leser av den krypterte verdien og bygger opp en tabell som inneholder kryptert PIN for samtlige mulige PIN (10000 for 4-sifret PIN). Til dette benyttes kall som normalt finnes i grensesnitt mot sikret maskinvare. Angrepet forutsetter at angriperen har tilgang til produksjonsmiljø. Etter dette kan angriperne slå opp tabellen og finne PIN for et hvilken som helst kryptert PIN som de fanger opp (ved å lese av datastrømmen). På den måten kan svindleren slutte seg til (motsatt; beregne PIN) hvilken PIN som gjelder for kortet.

Etter det Kredittilsynet er kjent med er de teoretiske mulighetene som beskrives i artiklene det henvises til ikke imøtegått eller avvist av utstedere og/eller innsamlere, og vi må derfor anta at de lar seg gjennomføre slik det er beskrevet og med de forutsetninger som er lagt til grunn.

Angrepene som beskrives forutsetter at angriperne har tilgang til den sikrete maskinvaren slik at de kan aktivere og benytte sikkerhetsfunksjoner i denne. Sikkerhetsfunksjonene som angriperen benytter er de vanlige kryptografiske funksjonene som den sikrede maskinvaren bruker i den daglige operasjonen knyttet til kryptering av PIN, verifisering av PIN, bytte av PIN, omformatering av kryptert PIN osv.

Det er etablert en industristandard innen sikkerhet når det gjelder applikasjoner, nettverk og maskiner som anvendes i omgivelser der sensitive autentiseringsdata herunder PIN oppbevares, behandles eller transporteres, eller som er koplet til slike omgivelser. Disse kravene er oppstilt i den såkalte PCI DSS (Payment Card Industry Data Security Standard). PCI DSS er utarbeidet av American Express, Discover Financial Services, JCB, MasterCard Worldwide and Visa International. Standarden omfatter krav til sikkerhetsledelse, sikkerhetspolicy, sikkerhetsprosedyrer, nettverksarkitektur, software design og andre viktige beskyttelsestiltak. Vi henviser til https://www.pcisecuritystandards.org/ for en nærmere beskrivelse av disse kravene, kravenes virkeområde og utbredelse.

Maskinvaren skal være fysisk og logisk beskyttet slik at angriperne ikke skal kunne aktivere funksjoner der. Programvare og applikasjoner skal være sikret. Utvikling, test og produksjon skal være fysisk og logisk adskilt. Nettverket skal være slik satt opp at det reduserer sannsynligheten for at innbrudd skal skje. Tilgangskontroller regulerer og begrenser tilgangen til systemer og data. Dette er alle krav som stilles i PCI DSS standarden.

Den bransjespesifikke PCI DSS standarden utfyller og konkretiserer andre vel kjente sikkerhetsstandarder som COBIT, ITIL og ISO 27000.

Kredittilsynet finner det lite trolig at PIN-koder er blitt eksponert ved at svindlere har fått tilgang til sikret maskinvare, forutsatt at etablerte standarder er fulgt.

Sikret maskinvare som inngår i virksomheten til en Norsk utsteder, inngår i Kredittilsynets ordinære tilsynsvirksomhet.


2.4    Andre former for å skaffe seg uautorisert tilgang til PIN-koden.

Det er påvist tilfeller der PIN kode urettmessig er tilegnet på en av følgende måter:

  • titte over skulderen
  • ta videoopptak av inntastingen av PIN-kode, samtidig som informasjonen på magnetstripen kopieres elektronisk
  • Såkalt ”Lebanese walls”, dvs. utstyr som påmonteres minibanker og skjuler betalingskortet for kunden når dette settes inn, samtidig som det tilbys hjelp til å løse problemet for å avlure PIN-koden. Deretter fjernes påmontert utstyr og betalingskortet kan så misbrukes.

Kredittilsynet mener at i tilfeller der PIN-koden mot kortinnehavers hensikt og vilje er blitt kjent for andre enn kortinnehaver, så er det overveiende sannsynlig at det er en av disse metodene som er benyttet.


3       Avsluttende kommentarer

Uavhengig av vurderingene som er gjort ovenfor, vil Kredittilsynet anta at uvedkommende som har lykkes i å utnytte en teknisk svakhet ville forsøke å få maksimal uttelling før svakheten ble oppdaget og utbedret. En ville da hatt en situasjon der en rekke kortinnehavere ville reagert og situasjonen ville være allment kjent slik at utstedere reagerte umiddelbart. Dette har ikke skjedd.

 

Anne Merethe Bellamy
Avdelingsdirektør

Frank Robert Berg
Seksjonssjef


Kopi:
Norges Bank
Finansnæringens Hovedorganisasjon
Sparebankforeningen