We krijgen altijd te horen dat transacties met credit cards op internet veilig zijn als de applicatie maar gebruikt maakt van het ssl-protocol (secure socket layer) om de transactiedata te beschermen op hun tocht over internet. Helaas betekent dat ook bescherming voor de dief, die ongemerkt je credit card heeft gestolen en hem gebruikt om online transacties te doen ten laste van jouw bankrekening. Dus de ‘beveiliging’ is geen garantie van een echte autorisatie van een transactie door de rekeninghouder.
Op het eerste gezicht lijken chip- en pin-technieken een antwoord te verschaffen voor credit card transacties via internet door het gebruik van een standaard smart card-lezer op de pc thuis. De transactiesoftware kan de informatie omtrent de rekening aflezen van de smart card, de gegevens over het net valideren met de bank die de card heeft uitgegeven en vervolgens de gebruiker uitnodigen zijn pin in te tikken om de transactie te autoriseren. Ervan uitgaand dat de correcte pincode is ingetikt en dat het autorisatieproces succesvol is afgerond staat deze operatie gelijk aan een ‘card present’-transactie.
Helaas gaat dit ervan uit dat de pc thuis een veilig station is. Toen deze transactie werd uitgevoerd had er een virus in de pc ondergedoken kunnen zitten. Dat virus zou de video output kunnen scannen op tekstblokken als ‘naam’, ‘bedrag’, ‘pin’, ‘enter’, en dergelijke. Elke keer dat het virus een van deze karaktergroepen onderschept, begint het de toetsaanslagen op te nemen om die vervolgens door te sturen naar een e-mail adres. Ergens in die toetsinvoer zit het pin-nummer, dat nu dus bekend is aan de aanvaller.
Andere eenvoudiger social engineering aanvallen, zoals het weergeven op het scherm van gebruikers dat ze hun pincode moeten intoetsen, blijkt in een verbazingwekkend aantal gevallen nog te werken ook. Daaruit moeten we concluderen dat een pc geen apparaat is waarop pincodes moeten worden ingetikt; onder geen beding.
Om online een ‘card present’-transactie veilig te kunnen uitvoeren moet de standaard smard card lezer vervangen worden door een ander apparaat. Dat nieuwe apparaat heeft zijn eigen processor, toetsenbord, lcd-scherm en smart card interface, allemaal ingebouwd in een onkraakbare behuizing, die via een usb- of seriële verbinding of draadloos in contact staat met de pc. Om acceptabel te zijn voor banken moet het apparaat aan bepaalde vereisten voldoen: welke toets ook, ingedrukt op het pin-toetsenbord, mag nimmer in het interface terecht komen; en data, welke dan ook, die in het interface binnenkomt mag nooit of te nimmer weergegeven worden op het lcd-scherm. Het apparaat zelf dient in staat te zijn het autorisatie-algoritme te verwerken. Zo’n apparaat heet soms een finread apparaat.
Met zo’n apparaat kan veilig online een ‘card present’ transactie worden verricht. De webwinkel initieert een sessie met de autoriteit die voor betaling zorg draagt. Deze stuurt een digitaal getekend informatie-‘record’ terug naar de pc van de gebruiker. Die geeft de informatie door aan het finread-apparaat dat aan de pc hangt. Dat apparaatje geeft de noodzakelijke informatie door aan de smard card ter controle op authenticiteit. Het apparaatje haalt dan het transactiebedrag uit de ontvangen informatie op, en geeft dat weer op het scherm, zodat de gebruiker het kan beoordelen en accepteren. De smart card gebruikt dan de opgegeven pincode om informatie vrij te geven, waarmee het het ‘record’ van de transactie kan tekenen (vanzelfsprekend middels de encryptiesleutels die op de smart card zijn opgeslagen). Het apparaat kan dan het bewerkte transactie-record terugsturen naar de pc, die het opstuurt via het net naar de betalingsautoriteit dat de transactie onder zijn hoede had.
Het finread-apparaat zorgt dus effectief voor de beveiligde ‘doos’, programmatisch geïsoleerd van de pc, waarin financiële transacties geautoriseerd kunnen worden door de echte eigenaar van de credit card. Zo zal het echt veilig zijn goederen aan te schaffen via een pc die aan het internet hangt.< BR>
Martin Healey, pionier ontwikkeling van op Intel gebaseerde computers en c/s-architectuur. Directeur van een aantal it-bedrijven en professor aan de Universiteit van Wales.