PROMO LINKS
BI: Endbenutzer wird für die Analyse immer wichtiger

Laut Google-Auswertungen befinden sich Big Data, Predictive Analytics und Self-service BI in einem steilen Aufwärtstrend

PROMO MITTE
In der Rolle des End-to-End-Anbieters

Interview mit Toni Bernal, Country Manager Switzerland von Citrix Systems

PROMO RECHTS
"Die Kontrollen sind vielfach ungenügend"

Interviewe mit den Experten für Risk Management Urs Egli (Rechtsanwalt) und Urs Blattmann (Ökonom)

Open-Source-Tool findet Sicherheitsschwächen auf Chipkarten

Open-Source-Tool findet Sicherheitsschwächen auf Chipkarten

EMV-Chips sollen auf Bankomat- und Kreditkarten die als angreifbar geltenden Magnetstreifen ersetzen. Doch der sicherste Hardwarechip nützt nichts, wenn sich auf ihm manipulierbare Software befindet. Mit einem neuen Open-Source-Tool können Chipkarten jetzt auf Sicherheitsschwächen untersucht werden.

Heute hat fast jede Kredit- oder Bankomat-Karte einen EMV-Chip, wobei das EMV für Europay, MasterCard sowie VISA steht. Neben der Bezahlapplikation dienen diese sogenannten Smartcards als RFID-Controller, beispielsweise im elektronischen Pass oder im neuen Personalausweis. Darüber hinaus werden sie als elektronische Fahrscheine, als Altersnachweis zum Beispiel am Zigarettenautomaten oder für den Zugang zu Pay-TV-Programmen eingesetzt. Auf dem Smartcard-Chip befindet sich ein kleiner Computer mit ROM, in dem Betriebssystem und Anwendungssoftware untergebracht sind. Außerdem gibt es einen Flash-Speicher für dynamische Daten, ein Rechenwerk und RAM.

Alle bisherigen Sicherheitsstandards basierten auf der Annahme, dass die Smartcards "sicher" sind, und konzentrierten sich folglich auf die Verkaufsterminals. Bisher bestand keine technische Möglichkeit, die Software direkt auf der Smartcard individuell zu analysieren und von Sicherheitsexperten Penetrationstests durchführen zu lassen. Nun ist es Forschern um den Krypto-Experten Karsten Nohl gelungen, ein Open-Source-Tool zu schreiben, mit dem man selbst entwickelte Verschlüsselungsalgorithmen und andere Sicherheitssünden einfacher aufspüren kann.

Ist dieser Verschlüsselungsalgorithmus von RAM und ROM bekannt, gilt es nur noch den Schlüssel dafür zu finden. "Häufig ist dieser aus Kostengründen im billigen ROM und nicht im Flash abgelegt und somit nicht sicher. Ebenso wenig wie Programm und Betriebssystem, wenn sie auf der Smartcard im ROM abgelegt sind, denn dann kann man sie auslesen und entschlüsseln", erläutert iX-Redakteurin Ute Roos.

Nutzt man hingegen den teureren Flash-Speicher, sind Schlüssel und dynamische Daten sicher. Denn diesen kann man nur mit extrem teuren Werkzeugen mit Nadeln auf der Leiterbahn auslesen. Entwickler sollten daher alles, was sie als schützenswert erachten, nicht mehr im ROM, sondern im Flash speichern, rät die Expertin.