Hack in the Box 2017 Amsterdam: Onderzoekers presenteren nieuwe kwetsbaarheden in apps voor contactloos mobiel betalen en back-end systemen van banken

Amsterdam – 20 maart 2017:  “Cash is king” – gezien de trend naar een cashloze toekomst lijkt dit gezegde langzaam maar zeker overbodig te worden. Het risico dat geld gestolen wordt blijft echter zeer reëel, ongeacht of het om een fysiek portemonnee of een digitale ‘wallet’ gaat. De zakkenrollers van nu zijn in toenemende mate criminele hackers. Terwijl digitaal stelen een nieuwe manier van aanpak vereist, blijft de motivatie echter hetzelfde – persoonlijke profijt van de diefstal van andermans geld of informatie.

Mobiel betalen maakt een ongekende groei door. Steeds meer mensen vervangen hun bankpas met applicaties op hun smartphone. De meeste banken bieden klanten al apps of zogenoemde wallets voor contactloos mobiel betalen, maar met Google Wallet of Apple Pay mengen zich ook tech-bedrijven in deze markt. Near Field Communication (NFC) technologie is de standaard voor deze diensten en zorgt ervoor dat moderne smartphones de hardware en protocollen bevatten om contactloos met betaalterminals te kunnen communiceren. Met de invoering van Host Card Emulation (HCE) kwam nieuwe software architectuur beschikbaar, waarmee app-ontwikkelaars virtuele bankpasjes kunnen genereren om via bestaande hardware in mobiele apparaten contactloos te kunnen betalen.  De vraag voor security bewuste ontwikkelaars is: wat zijn de risico’s van HCE en hoe ga je daarmee om?

Op 13 april presenteert Slawomir Jasek van SecuRing tijdens de HITB Security Conferentie in Amsterdam zijn onderzoek naar de veiligheid deze technologieën onder de titel “Can’t Touch This: Cloning Any Android HCE Contactless Card”. Aan bod komen verschillende aanvalstechnieken tegen contactloos betalen, van mobiele malware tot een universele methode om de contactloze betaaloplossingen (waaronder Google’s eigen Android Pay) te klonen naar een ander apparaat. Doel van dit soort security onderzoek op Hack in the Box is de bewustwording over de onderliggende technologie en haar kwetsbaarheden, om vervolgens bedrijven en consumenten in staat te stellen risicobeperkende maatregelen te nemen.

Terwijl digitaal zakkenrollen zich vooral tegen apparaten van eindgebruikers richt, blijft de heilige graal het digitale equivalent van de bankroof: het hacken van de bank zelf, door de back-end systemen binnen te dringen die banken gebruiken om financiële transacties intern en onderling uit te voeren. Voor sommigen is het misschien een verrassing, maar een aanzienlijk volume van ’s werelds meest bedrijfskritische processen wordt nog steeds aangedreven door mainframes – grote gecentraliseerde computersystemen, die in de volksmond wel ‘big iron’ genoemd worden. Een voorbeeld van zo’n systeem is het door IBM ontwikkelde CICS (“Customer Information Control System”), het meest gebruikte transactiesysteem ter wereld met meer dan 20 miljard financiële transacties per dag.

Volgens Ayoub Elaasasal, penetratietester bij Wavestone, is de kans groot dat bij elke individuele pin transactie meerdere CICS applicaties in de achtergrond betrokken zijn. In zijn presentatie “Breaking the Fourth Wall: Hacking Customer Information Control System” laat hij het publiek op de conferentie zien  hoe een CICS systeem gehacked kan worden, en hoe onderliggende kwetsbaarheden tijdens een pentest geïdentificeerd en vervolgens gemitigeerd kunnen worden, voordat criminelen hun handen weten te leggen op de jackpot.

De  volledige agenda van Hack in the Box is hier beschikbaar.