Ladekarten sind unsicher - wie man auf fremde Rechnung lädt

[mweisEl]

Da fällt mir gerade ein -die Karte für den ÖPNV (Berliner BVG) teilen wir bereits in der Familie. Schnell mal gescannt: Karte ist eine NXP IBM JCOP. Ist diese sicherer

Auf jeden Fall. Für die Anwendung im ÖPNV gibt der Verband Deutscher Verkehrsunternehmen (VDV) richtige Kommunikationsprotokolle vor. Die sind umfangreich... Hier kann kein simpler RFID-Tag (oder eine Mifare XY-Karte bei nicht verwendeter Authentifizierung) verwendet werden.

Wie jede kontaktlose Karte verwendet auch deine so eine 4 oder 7-Byte UID, aber diese wird wie im ISO14443-Standard vorgesehen ausschließlich für die sog. Antikollision mehrerer gleichzeitg an den Leser hingehaltenen Karten verwendet (damit der Leser weiß mit welcher von der Karten er im Moment spricht).

Die VDV-Karte muss sowohl für die Nutzer-Identifikation als auch für die eigene Authentifizierung selber kryptographische Berechungen durchführen. Zusätzlich und datenmäßig völlig getrennt kann eine Mifare-Komponente auf dem Chip integriert sein, dann würden einfache Tools das als Mifare-XY identifizieren obwohl zusätzlich eine SmartCard-Funktionalität dahinter liegt.

[mweisEl]

Ich will darauf hinaus, dass es etwas willkürlich ist, dieses "Problem" an der Emobilität aufzuhängen, wenn jede Wald-und-Wiesen-Kreditkarte im Grunde dasselbe Problem hat.

Ich denke, als unkritisch eingestufte Anwendungen, die nur auf dieser mehr oder weniger zufällig vergebenen UID als Identifikationmerkmal basieren, wird es schon geben (ich weiß aber nicht welche, da ich in diesem Low-Security-Bereich nicht zu Hause bin). Woher die OCPP-Leute diese (zu einfache) Idee hergenommen haben, keine Ahnung, eigentlich hätten die Niederländer ausreichend SmartCard-Spezialisten, die ihnen da auf die Finger hätten schauen können.

PayWave als EMV-Kreditkarte wird mit Sicherheit zumindest die Basics auch im Offline-Betrieb erfüllen (aber das Klonen einer "gefundenen" Karte wäre denkbar, so wie die auf die Karte gedruckten Daten von jedermann gelesen und weitergegeben werden könnten), aber vergleichbar mit den Ladekarten, welche die (auf den Karten vorhandenen!) Authentifizierungsmöglichkeiten gar nicht nutzen ist das nicht.

Bei kleinen, offline zahlbaren Geldbeträgen wird wohl auch bei den Kreditkarten die richtige Absicherung nicht verwendet, eben entsprechend dem niedrigem Risiko (z.B. maximal 25 Euro zusammen können offline gezahlt werden - das kann die Bank vorgeben). Bei evtl. Fälschungen übernimmt das Kreditinstitut die Kosten.

Bei den Ladekarten hat man halt zusätzlich noch das beträchtliche Entdeckungsrisiko für den Angreifer, der mit seinem PKW (inkl. Halterkennzeichen) für einen längeren Zeitraum an der "betrogenen" Ladesäule steht.

[Heincaid]

Leute, nochmal reality check: Wer wird denn ernsthaft versuchen auf fremde Kosten zu laden, wie auch immer das angestellt wird? Während der Aktion steht das Auto, mit dem das passiert, für alle sichtbar mit lesbarem Kennzeichen im öffentlichen Raum. Diese Betrüger wären Kandidaten für den Criminal Darwin Award .

Ähm, wieso?
Derjenige wird sicherlich kein Schild aufstellen „Ich lade hier mit fremder Karte“. Und auffallen, dass es sich um eine unrechtmäßige Aufladung gehandelt hat, wird es frühestens am Ende des Monats, wenn die Abrechnung gemacht wird. Bis dahin ist das Auto ja wohl lange weg.


Ich wäre aber eher dafür mal großräumig entsprechend gültige Karten zu klonen und diese direkt an den Ladepunkten auszulegen. Dann hat schließlich jeder (der dort laden will) was von.

[Tho]

Unrechtmäßig aufladen ist doch ein bisschen wie Kaugummi im Supermarkt klauen.
Kann man machen, Reich wird man so aber nicht.

Ich wäre aber eher dafür mal großräumig entsprechend gültige Karten zu klonen und diese direkt an den Ladepunkten auszulegen. Dann hat schließlich jeder (der dort laden will) was von.

Ja, total geile Idee. Das wird den Betreiber, der mit den Säulen noch nichts außer Spesen hatte total motivieren weiter in Ladeinfrastruktur zu investieren. Also manchmal fragt man sich schon...

[Fridgeir]

Ähm, wieso?
Derjenige wird sicherlich kein Schild aufstellen „Ich lade hier mit fremder Karte“. Und auffallen, dass es sich um eine unrechtmäßige Aufladung gehandelt hat, wird es frühestens am Ende des Monats, wenn die Abrechnung gemacht wird. Bis dahin ist das Auto ja wohl lange weg.

Und derjenige, mit dessen Karte unrechtmäßig geladen wurde, lädt gleichzeitig am anderen Ende der Republik - ist total unauffällig

[Heincaid]

Und derjenige, mit dessen Karte unrechtmäßig geladen wurde, lädt gleichzeitig am anderen Ende der Republik - ist total unauffällig

Natürlich ist das unauffällig. Wem sollte es denn bitte auffallen?
Denkst du da sitzt irgendwo ein Mitarbeiter in einer Zentrale, der die Ladesäulen manuell freischaltet? Das läuft alles automatisch ab. Nutzer hält die Karte an die Ladesäule und die Säule gibt Strom ab.
Wie bereits gesagt: Das fällt frühestens dann auf, wenn der Besitzer der Karte seine Rechnung prüft und das wird er vermutlich erst dann tun, wenn das Geld auch abgebucht wird. Die Frage ist natürlich, wie die Lage dann für den Geschädigten weitergeht. Sehen die Unternehmen ein, dass ihr Verfahren absolut unsicher ist und erstatten das Geld, oder stellen Sie sich auf den Standpunkt „kann gar nicht sein, unser System hat die entsprechende Karte registriert also passt das schon“.

Aber für denjenigen, der die geklonte Karte benutzt ist das ganze doch absolut sicher. Selbst wenn der eigentliche Besitzer Anzeige erstatten würde, bei den Beträgen, um die es hier in der Regel geht würde doch niemand tatsächlich ermitteln. Das schlimmste was dem Täter passieren kann ist, dass die Karte gesperrt wird und er sich beim nächsten Mal eine neue besorgen muss.

Ja, total geile Idee. Das wird den Betreiber, der mit den Säulen noch nichts außer Spesen hatte total motivieren weiter in Ladeinfrastruktur zu investieren. Also manchmal fragt man sich schon...

Besser wäre es, wenn es die Betreiber dazu motivieren würde auf ein sicheres Verfahren zu setzen…

[MaXx.Grr]

Servus Leute!

Da hat Heincaid absolut recht - dem es auffällt ist der Kunde... Und dann fällt es viel zu spät auf, wenn überhaupt... Und selbst wenn er keinen Schaden hat, weil das Unternehmen nett ist, hat er trotzdem den riesigen Aufwand... Wer hat hier schon mal eine falsche EC-Karten-Zahlung festgestellt und bei der Bank gemeldet?

Ganz abgesehen davon daß man teilweise keine einzeln aufgeschlüsselte Rechnung bekommt oder wenn dann nur irgendwelche Ladestationsnummern, da weiß man dann nicht ob die Ladung in Hamburg oder München stattgefunden hat. Und bei bekannten Ladestationen: wer weiß schon sicher ob er vor 4 oder 5 Wochen einmal oder zweimal dort geladen hat?

Als Lösung dazu gibt es für Bezahlvorgänge etablierte kryptographisch abgesicherte Verfahren. Aber die Unternehmen machen es sich einfach und billig indem sie pro Karte ca. 1 Euro (vermutlich) bzw. pro Zahlungsvorgang einige Cent einsparen und das Risiko auf ihre Kunden abwälzen. Auch der Staat hat sich hier nicht wirklich hervor getan hier irgendwelche Vorgaben zu machen...

Wenn ich also meinen Kunden ein Bezahlverfahren anbiete habe ich gefälligst etablierte und sichere Verfahren zu nutzen oder mein Verfahren (das zudem noch auf Ausgrenzung basiert) genauso sicher zu machen!

Unrechtmäßig aufladen ist doch ein bisschen wie Kaugummi im Supermarkt klauen. Kann man machen, Reich wird man so aber nicht.

Naja, was für einen Fünfjährigen ein Kaugummi ist, ist für Dich 10 bis 15 € beim Laden und für einen Millionär vielleicht Dein oder mein Auto... (wie schaut es denn aktuell mit der Sicherheit der Funkschlüssel bei BMW, Audi oder Mercedes aus, wurde da nachgebessert?)

Ich möchte nämlich überhaupt nicht beklaut werden, weder von einem Fünfjährigen noch von einem Millionär! Und Kleinrederei mag ich auch nicht...


Grüazi MaXx

[gekfsns]

...
Ich wäre aber eher dafür mal großräumig entsprechend gültige Karten zu klonen und diese direkt an den Ladepunkten auszulegen. Dann hat schließlich jeder (der dort laden will) was von.

Wäre das für den, der eine geklonte Karte von z.B. einem Car-Sharing Anbieter findet und unwissend nutzt, strafbar ?
Ist das reine klonen von Karten illegal ? Man überwindet ja keine Verschlüsselung oder Kopierschutz.

[Tho]

Natürlich ist das unauffällig. Wem sollte es denn bitte auffallen?
Denkst du da sitzt irgendwo ein Mitarbeiter in einer Zentrale, der die Ladesäulen manuell freischaltet? Das läuft alles automatisch ab. Nutzer hält die Karte an die Ladesäule und die Säule gibt Strom ab.

So einfach ist das nicht. Du hälst die Karte an die Säule. Die Säule schickt die ausgelese ID ans Backend.
Das Backend schickt einen OCCP Start an die Ladesäule und diese startet den Ladevorgang.
Eine simple Plausibilitätsürüfung (Die ID lädt schon irgendwo bzw. hat vor 5min 500km entfernt geladen) wäre durchaus umsetzbar.

[150kW]

Wenn bei CCS auch Daten wie MAC Adresse, Fahrzeughersteller, Fahrzeugtyp oder auch Kilometerstand zusätzlich übertragen werden würden, sollte eine Plausibilitätsprüfung sehr einfach werden.