Ladekarten sind unsicher - wie man auf fremde Rechnung lädt

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon Langsam aber stetig » Fr 3. Nov 2017, 11:17

gonium hat geschrieben:
Das wäre auch meine favorisierte Variante. Mit girogo kann man Kleinbeträge unter 25 Euro ohne PIN bezahlen. Das Guthaben kann man an (fast) jedem Geldautomaten auf die Karte buchen.

Von girogo habe ich noch nie gehört, und habe ich glaube ich auch nicht. Ich fände ja Visa/Mastercard Contactless am besten. Das ist inzwischen bei allen meinen Kreditkarten inkludiert. Soll ja demnächst sogar mit Apple oder Android Pay gehen. Was spricht dagegen? Ich nehme an, dass die Terminals auch nicht ganz günstig sind, und es gab noch ein doofes Problem mit der Autorisierung (ich glaube, das Problem war, dass Contactless nicht erlaubt ist, wenn der Betrag bei der Autorisierung nicht feststeht - das müsste doch irgendwie lösbar sein).
Benutzeravatar
Langsam aber stetig
 
Beiträge: 781
Registriert: Mi 11. Jan 2017, 14:30

Anzeige

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon Lokverführer » Fr 3. Nov 2017, 11:53

girogo ist schlicht die GeldKarte mit kontaktloser Einsatzmöglichkeit.
Neben kontogebundenen Karten gibt es auch kontoungebundene Karten die jedermann auch anonym erwerben kann, diese werden in einigen Stadien als Bezahlmedium genutzt. Aufladen kann man sie mit einem einfachen Chipkartenleser auch zu Hause.
Benutzeravatar
Lokverführer
 
Beiträge: 1219
Registriert: So 11. Mai 2014, 18:50
Wohnort: Oberpfalz

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon DiLeGreen » Fr 3. Nov 2017, 13:36

gonium hat geschrieben:
enabler hat geschrieben:
Es gibt zertifizierte Lesegeräte ...
... welche 1500 Euro kosten - was wiederum die Kosten pro Ladepunkt verdoppelt. Danke, das möchte ich als Kunde nicht finanzieren.

Mir waren die Kosten dafür nicht bewusst. Hast Du dafür "offizielle" Quellen? Auf die Schnelle habe ich eben nichts gefunden.
-> oeffentliche-ladeinfrastruktur/laden-mit-automatischer-und-bargeldloser-bezahlung-t25643-50.html#p624625 .

Die Diskussion hier geht ja ein bisschen in die Breite, generell muss man sich schon fragen wie sicher Ladesäulen tatsächlich sein müssen und wie einfach und realistisch ein eventueller Missbrauch wäre. Tatsächlich ist es ja z.B. auch so dass sehr viele Ladesäulen übers Mobilfunknetz vernetzt sind und wenn die Verbindung, aus welchen Gründen auch immer (GSM-Jammer, Bratpfanne...), nicht klappt die Säulen in den kostenfreien "Messemodus" schalten. Über die Möglichkeiten der Brechstange hab ich bei den Blechkisten noch gar nicht nachgedacht.
ZOE Q210 Intens.
Mitglied bei taubermobil Carsharing e.V. - Bilder CC BY-SA
DiLeGreen
 
Beiträge: 393
Registriert: Fr 26. Dez 2014, 23:55
Wohnort: Würzburg

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon Tho » Fr 3. Nov 2017, 13:45

Bevor man gewaltsam Strom klaut, wird man eher den FI B mitnehmen. :roll:
Renault Zoe Zen Q210 + Intens R90, S-Pedelec Grace MX,Tesla Model ≡ reserviert
PV, Speicher zu Hause + Bürger Energie Drebach eG http://www.buerger-energie-drebach.de
Wir müssen uns für unseren Wunsch nach Glück nicht rechtfertigen.(Dalai Lama)
Benutzeravatar
Tho
 
Beiträge: 5601
Registriert: Mo 27. Okt 2014, 23:26
Wohnort: Drebach/Erzgebirge

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon TNM » Mo 6. Nov 2017, 11:24

Liebe Community,

die Frage zum möglichen Missbrauch hatten sich zuletzt ein paar Kunden mit Verweis auf den genannte Blogeintrag bei uns gemeldet. Gerne möchten wir nachfolgend darauf eingehen.

Es stimmt, dass es möglich ist, Ladekarten zu kopieren. Bei NewMotion ist uns ist bisher allerdings kein einziger Fall von Kartenbetrug bekannt. Das liegt vermutlich auch daran, dass ein Betrug sehr einfach aufgedeckt werden kann und sich für den Betrüger wegen der niedrigen Ladekosten kaum lohnt.
Bei einem durchschnittlichen Ladevorgang parkt das Fahrzeug mindestens 30 Minuten lang an der Ladestation. Während des Ladevorgangs sendet die Ladestation stetig Informationen an NewMotion. So können wir genau nachvollziehen, mit welcher Ladekarte an welcher Station gerade ein Fahrzeug aufgeladen wird. Stellen wir ein verdächtiges Verhalten fest, etwa dass eine Ladekarte gleichzeitig an mehreren Ladesäulen genutzt wird, können wir das Ladekabel unverzüglich blockieren und den Ladevorgang so abbrechen. Handelt es sich eindeutig um einen Betrugsversuch, können wir die Polizei direkt zu der Ladestation rufen.
Auch Karteninhaber selbst können potentielle Betrugsfälle einfach stoppen: Sie können die NewMotion-App so einstellen, dass sie automatisch eine Nachricht auf Ihr Smartphone sendet, sobald ein Ladevorgang mit Ihrer Ladekarte gestartet wird – so sind Sie stets informiert. Zudem können Sie Ladevorgänge auch ganz einfach mit der App starten und stoppen, ohne die Ladekarte zu verwenden. Bei Fragen steht Ihnen außerdem unser Kundenservice rund um die Uhr zur Verfügung und kann im Notfall Ihre Ladekarte sperren.
NewMotion nimmt die Sicherheit Ihrer Daten und Ihrer Ladekarte sehr ernst. Deshalb bieten wir unseren Kunden den bestmöglichen Service, damit sie ihr Elektrofahrzeug mit gutem Gewissen laden können. Sollten wir feststellen, dass sich tatsächlich ein Kartenbetrug ereignet, werden wir umgehend weitere Maßnahmen einleiten.
Mit besten Grüßen,
Ihr NewMotion-Team
TNM
 
Beiträge: 41
Registriert: So 22. Jun 2014, 18:42

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon mweisEl » Mo 6. Nov 2017, 11:44

Danke (T)NM, für die Vorschläge mit Workarounds. Eine wirkliche Sorge besteht m.E. derzeit auch nicht.

Trotzdem sollte die technisch vorhandene kryptographische Authentifierzungsmöglichkeit der Ladekarten baldmöglichst angegangen und genutzt werden, damit das Kopieren der Karten bzw. der UID nicht mehr möglich bzw. zielführend ist.

Das geht eigentlich, weiterhin basierend auf einer eindeutigen 7-Byte UID als TokenID gemäß ocpp, ganz einfach mit den üblichen Ladekarten und folgender Erweiterung bei der Kommunikation mit dem Backend:

- bei Kartenausgabe an den Kunden wird der Kartenkörper nicht nur mit Kundennummer bedruckt, sondern auch ein von der vorgegebenen UID abgeleiteter (aus einem wirklich geheim zu haltenden Masterkey generierten) 128 bit DES- oder AES-Schlüssel in den sichereren EEPROM-Bereich der Karte geschrieben (das dann von außen nicht mehr. gelesen werden kann)

- bei der Authentisierung fordert das Remote-Terminal nicht nur die UID von der Ladekarte an, sondern auch 8 Byte Zufall, der von der Karte zuvor mit ihrem lokalen Schlüssel verschlüsselt wurde;

- das Remote-Terminal schickt eigenen Zufall sowie den um 1 Bytestelle rotierten entschlüsselten Zufalls der Karte angehängt verschlüsselt zurück; diese 16 Byte kann die Karte entschlüsseln und die Authentizität des Remote-Terminals verifizieren (weil sie den eigenen, um 1 Bytestelle rotierten Zufall wiedererkennt);

- die Ladekarte selber schickt dann seinerseits nochmal den um 1 Bytestelle rotierten entschlüsselten Zufalls des Remote-Terminals verschlüsselt zurück, womit den letztendlich das Remote-Terminals selber verifizieren kann, ob die Karte echt ist (denn das kann sie nur, wenn sie ihren eindeutig nur dieser Karte vergebenen lokalen Schlüssel benutzt).

Der 128 bit DES- oder AES-Schlüssel wird dabei nie direkt übertragen, auch ist kein Hauptschlüssel auf der Karte gespeichert, sondern nur ein abgeleiteter. Im Vergleich mit den begrenzten Schaden eines maximal zweistelligen Eurobetrages, in Verbindung mit dem beträchtlichem Entdeckungsrisiko für den Angreifer, wäre die Sicherheit absolut ausreichend, da der Aufwand für das Knacken zu kostenintensiv wäre (ca. 200.000 € für Equipment, Analyse tausender Karten notwendig).

Das funktioniert bestens mit Mifare Ultralight C oder Mifare DESFire EV1-Karten, wie sie heute schon in Einsatz sind. Die Authentifizierung der Karte nach diesem Schema dauert etwa 0,1 Sekunden pro Anwendung.
Smart ED3 seit '13, 3 Fahrräder, zuvor CityEL (1,8 kWh Akku) und seit 25 Jahren verbrennerfrei.
mweisEl
 
Beiträge: 1120
Registriert: Di 5. Apr 2016, 20:00

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon Großstadtfahrer » Mo 6. Nov 2017, 14:16

TNM hat geschrieben:
Liebe Community,

die Frage zum möglichen Missbrauch hatten sich zuletzt ein paar Kunden mit Verweis auf den genannte Blogeintrag bei uns gemeldet. Gerne möchten wir nachfolgend darauf eingehen.

Es stimmt, dass es möglich ist, Ladekarten zu kopieren. Bei NewMotion ist uns ist bisher allerdings kein einziger Fall von Kartenbetrug bekannt. Das liegt vermutlich auch daran, dass ein Betrug sehr einfach aufgedeckt werden kann und sich für den Betrüger wegen der niedrigen Ladekosten kaum lohnt.


Erstmal vielen Dank, dass ihr euch hier direkt im Forum meldet und eure Kunden nicht mir einem Formschreiben abspeist, wie es leider bei anderen Anbietern schon mal üblich ist.

Zu den oben genannten Punkt hätte ich aber noch eine Detailfrage.

Die Aufdeckbarkeit der Ladevorgange steht und fällt also mit der Onlineverfügbarkeit der Ladesäule und einer Direktverbindung mit euren Servern.
So weit ich das in Erinnerung habe ist dies aber nicht bei allen Roamingpartnern so gehalten.

Dort werden mitunter, soweit ich weiß, nur die Berechtigten KartenID im System gespeichert und die Ladevorgänge und Verbräuche zu einem späteren Zeitpunkt abgerechnet.
(Ist dies eventuell der Grund weshalb auf eine Verschlüsselung verzichtet wurde? Ansonsten müsste der Anbieter über den Master Key verfügen?)

Eure Karten sind zudem Europaweit im Roaming gültig.
Zusammen mit dem unglücklichen Zustand , dass man die Kartennummer erraten kann, bestünde so ein Risiko einen erheblichen Betrag (z.B per Schnellladen) auf dem Kartenkonto anzuhäufen.

Oder, wenn schon nicht große Beträge, könnte ein Stromdieb seine Auslandsreise auf beliebig viele Konten verteilen und so die Aufmerksamkeitschwelle unterlaufen.

Daher würde ich es begrüßen wenn ihr bezüglich der oben genannten Roaming-Abrechnungsmethode kurz Stellung nehmen würdet und kurz anreißt was in der Zukunft passieren wird.
Gruß
Großstadtfahrer

Twizy Cargo
Benutzeravatar
Großstadtfahrer
 
Beiträge: 1105
Registriert: Sa 27. Jul 2013, 16:05
Wohnort: Berlin

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon LiquidCrystal » Di 7. Nov 2017, 22:06

TNM hat geschrieben:
Liebe Community,

die Frage zum möglichen Missbrauch hatten sich zuletzt ein paar Kunden mit Verweis auf den genannte Blogeintrag bei uns gemeldet. Gerne möchten wir nachfolgend darauf eingehen.

Es stimmt, dass es möglich ist, Ladekarten zu kopieren. Bei NewMotion ist uns ist bisher allerdings kein einziger Fall von Kartenbetrug bekannt. Das liegt vermutlich auch daran, dass ein Betrug sehr einfach aufgedeckt werden kann und sich für den Betrüger wegen der niedrigen Ladekosten kaum lohnt.
Bei einem durchschnittlichen Ladevorgang parkt das Fahrzeug mindestens 30 Minuten lang an der Ladestation. Während des Ladevorgangs sendet die Ladestation stetig Informationen an NewMotion. So können wir genau nachvollziehen, mit welcher Ladekarte an welcher Station gerade ein Fahrzeug aufgeladen wird. Stellen wir ein verdächtiges Verhalten fest, etwa dass eine Ladekarte gleichzeitig an mehreren Ladesäulen genutzt wird, können wir das Ladekabel unverzüglich blockieren und den Ladevorgang so abbrechen. Handelt es sich eindeutig um einen Betrugsversuch, können wir die Polizei direkt zu der Ladestation rufen.
Auch Karteninhaber selbst können potentielle Betrugsfälle einfach stoppen: Sie können die NewMotion-App so einstellen, dass sie automatisch eine Nachricht auf Ihr Smartphone sendet, sobald ein Ladevorgang mit Ihrer Ladekarte gestartet wird – so sind Sie stets informiert. Zudem können Sie Ladevorgänge auch ganz einfach mit der App starten und stoppen, ohne die Ladekarte zu verwenden. Bei Fragen steht Ihnen außerdem unser Kundenservice rund um die Uhr zur Verfügung und kann im Notfall Ihre Ladekarte sperren.
NewMotion nimmt die Sicherheit Ihrer Daten und Ihrer Ladekarte sehr ernst. Deshalb bieten wir unseren Kunden den bestmöglichen Service, damit sie ihr Elektrofahrzeug mit gutem Gewissen laden können. Sollten wir feststellen, dass sich tatsächlich ein Kartenbetrug ereignet, werden wir umgehend weitere Maßnahmen einleiten.
Mit besten Grüßen,
Ihr NewMotion-Team

Also in Kurzform:
"Wir wollen uns nicht um eine vernünftige Implementation von allergrundlegendsten Sicherheitsmechanismen kümmern und nehmen daher in Kauf dass unseren Kunden Schaden entstehen kann, obwohl die Lösung bei einer ernsthaften Überlegung vor der Distribution von Ladekarten sehr einfach hätte gelöst werden können. Wenn sie als Kunde damit unzufrieden sind, engagieren sie sich bitte selbst und überwachen sie ihre Ladegänge auf dem Smartphone und kontaktieren sie die Polizei am besten auch noch selbst. Somit haben wir dann den bestmöglichen Kundenservice. Danke für ihr Vertrauen in TheNewMotion."

Ehrlich Leute, wenn so eine Art von drastischer Fehlimplementation bei so etwas wie ApplePay oder GiroGo auffliegen würde, wäre es überall in den Medien und das Unternehmen, welches sich erdreistete, Bezahlkarten ohne jegliche Art von Verschlüsselung oder Identitätsprüfung auszugeben würde öffentlich geteert und gefedert werden.

Die einzige Lösung hier wäre, neue Karten auszugeben, aber stattdessen wird eine "Wird schon nicht so schlimm werden"-Mentalität an den Tag gelegt, die es bei IT-Sicherheitsfragen lustigerweise fast nur in Europa gibt. Wird schon niemand gefälschte Karten verwenden, und wenn, dann passiert das alles sicher im einfach regelbaren Rahmen, am besten auch noch, ohne dass sich TNM selbst drum kümmern muss. :roll:
LiquidCrystal
 
Beiträge: 138
Registriert: Fr 12. Dez 2014, 17:14

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon gekfsns » Di 7. Nov 2017, 22:22

Die mit Handy komplett (inkl. UID) programmierbaren NFC Karten gibt's bei AliExpress im 10er Pack für $10 inkl. Versand.
Bin ich mal gespannt ob es wirklich so einfach geht die LadeKarten zu klonen - ich hoffe nicht :roll:
Ansonsten wäre es kein Wunder wenn wir solche Beiträge hier öfters finden werden
betreiber-roaming-abrechnung/nie-wieder-new-motion-t26895-50.html#p629100
Ioniq Electric - bestellt als #29 in der Ioniq Zentrale Landsberg 11/16 - on the road seit 21.12.16
Mach mit beim eRUDA 2018 Ioniq Team
gekfsns
 
Beiträge: 1229
Registriert: Do 22. Sep 2016, 17:51

Re: Ladekarten sind unsicher - wie man auf fremde Rechnung l

Beitragvon Großstadtfahrer » Di 7. Nov 2017, 22:33

LiquidCrystal hat geschrieben:
Also in Kurzform:
"Wir wollen uns nicht um eine vernünftige Implementation von allergrundlegendsten Sicherheitsmechanismen kümmern...


Wowowo! Mach mal halblang.

Erstmal ist TNM bei der Sache nicht alleine.
Und wie ja auch schon beschrieben sind die Missbrauchszenarien sehr eingegrenzt.

Ich hatte die weiteren Punkte nur noch mal eingebracht, weil ich mir nicht ganz sicher war ob TNM diese Szenarien mit Bedacht hatte.

Denn die Argumentation, der Kunde kann mit der App zusätzlich kontrollieren, trifft meiner Meinung nach halt nicht immer zu.
(TNM ist da ja noch eine Antwort schuldig)

Aber selbst dann ist TNM bei der Abrechnung immer noch in der Beweislast und wird sich sicher Kulant verhalten.
Denn anders als bei Giropay und Konsorten ist die Methode ja eindeutig nicht sicherer als die "alte Kreditkartenzahlung".

Aber selbst diese hat jahrzehntelang Funktioniert. Nur wurde der Missbrauch für die Banken irgendwann doch zu teuer(Beweislast lag damals ja auch bei den Banken)

Was halt nicht ganz so toll ware, ist der Umstand, dass man solche Buchung nicht sofort bemerkt.
Eine Kontrolle der Abrechnung ist zwar immer angebracht, aber ganz so einfach, wie in der Antwort von TNM beschrieben, sind Ungereimtheiten meiner Meinung nach nicht aufzudecken.
Gruß
Großstadtfahrer

Twizy Cargo
Benutzeravatar
Großstadtfahrer
 
Beiträge: 1105
Registriert: Sa 27. Jul 2013, 16:05
Wohnort: Berlin

Anzeige

Vorherige

Zurück zu Öffentliche Lade-Infrastruktur

 
  • Ähnliche Themen
    Antworten
    Zugriffe
    Letzter Beitrag
  • Ähnliche Artikel im Blog

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 13 Gäste