Gestern kam der PIN-Brief meiner neuen Kreditkarte für das Onlinebanking und ich habe mich gefragt, wie sicher denn das schwarz-weiße Sicherheitsfeld ist unter dem sich die PIN verbirgt. Als Hobbyfotograf ist mir die Idee gekommen das Sicherheitsfeld einfach mit Hilfe eines Blitzes zu „durchleuchten“. Zu diesem Zeitpunkt ist das Sicherheitsfeld noch nicht geöffnet gewesen. Lediglich das Hydalam-DIN-A4-Blatt habe ich aus dem Umschlag entnommen.
Hydalam ist ein patentrechtlich geschützte Produkt das von der Firma KOOPMANNDRUCK GmbH in Deutschland in Lizenz vertrieben wird. Bedruckt wird das Papier aber von unterschiedlichen Druckereien in Deutschland, die sich aber an spezielle, strenge Sicherheitsstandards halten müssen.
Ich habe den Blitz also einfach hinter das Feld gehalten und nach nur wenigen Testaufnahmen war auch schon die richtige Verschlusszeit und Blende gefunden um erste brauchbare Bilder zu bekommen.
Ich war zu diesem Zeitpunkt schon sehr überrascht, dass sich mit etwas Konzentration in der 100%-Ansicht bereits erste Zahlen erkennen ließen (2,6). Die feinen gepunkteten Bereiche sind unterbrochen an den Stellen an denen die Folie bedruckt wurde.
Mit der Gewissheit, dass sich in den Bildern tatsächlich die PIN befindet, diese aber recht schwierig zu erkennen ist, habe ich die weitere Bearbeitung am PC fortgesetzt. Als Ausgangsmaterial diente mir die RAW-Datei des oben gezeigten Bildes. Nach einigen gescheiterten Versuchen die PIN bereits im RAW-Konverter sichtbar zu bekommen bin ich schließlich dazu übergegangen das Bild in Photoshop zu öffnen und dort mit den Ebeneneinstellungen zu spielen. Eine meiner ersten Vermutungen war auch gleich erfolgreich:
- Die Basisebene duplizieren
- Ebeneneigenschaft auf „Differenz“ stellen
- Eine der Ebenen um 1px in eine beliebige Richtung verschieben
Zwei Bilder als Differenzbild übereinander ergeben lediglich eine schwarze Fläche. Aber eine um 1Pixel verschobene Ebene ergibt eine astrein sichtbare PIN.
Demo PSD zum selber testen (8,41MB): Download
Es überrascht wenig, dass die PIN nach dem öffnen tatsächlich wie erwartet „261398“ lautet.
Es gelingt also binnen einer knappen halben Stunde inkl. aller Vorbereitungen und Fehlschläge die PIN sichtbar zu machen ohne dass das Sicherheitsfeld in irgendeiner Art und Weise beschädigt wird. Der eigentliche Aufwand beträgt keine 5 Minuten.
Leider habe ich das Siegel aus Neugierde gebrochen bevor ich auf die Idee gekommen bin die gefaltete Din A4-Seite zu durchleuchten oder sogar den ganzen Brief. Ich bin mir aber sicher, dass das gefaltete Blatt keine großen Schwierigkeiten gemacht hätte, denn an den anliegenden Seiten ist bei diesem Brief keine Schrift. Das heißt, ich hätte vermutlich lediglich die Blitzleistung etwas erhöhen müssen, wobei das Bild oben mit nur 1/64 der vollen Leistung (die geringste Leistungsstufe es Blitzes) geschossen wurde. Leistungsreserven sind also vorhanden. Der Brief an sich ist ebenfalls unbedruckt.
Was heißt das denn nun im Endeffekt für den Sender und den Empfänger?
Ein externer Angreifer hätte die Möglichkeit den Brief abzufangen, die PIN auszulesen und die Seite wiederum in einen neutralen Umschlag zu stecken und zu verschließen. Dem Empfänger wird das nicht auffallen solange die Seite nicht zerknittert wurde. Die originalen PIN-Briefe sind ebenfalls neutral (aus gegebenem Grund!). Ist es möglich die PIN durch den geschlossenen Brief hindurch zu durchleuchten wird es gar keine Möglichkeit geben einen Angriff zu identifizieren.
Nun kann man zwar davon ausgehen, dass der zeitliche Versatz in dem das „Wissen“ und „Haben“ im Falle einer Zwei-Faktor-Authentifizierung üblicherweise verschickt werden genug Sicherheit bietet. Aber eine Zwei-Faktor-Authentifizierung setzt nun einmal auf die Vertraulichkeit des Faktors „Wissen“ auf den sich aber nun weder der Sender noch der Empfänger zu 100% verlassen kann. Das Interesse sollte also von beiden Seiten bestehen hier auf ein sichereres Verfahren zum Austausch der PIN zu setzen.
In meinem Fall mit der Onlinebanking PIN bin ich sofort nach Erhalt des Briefes dafür verantwortlich die PIN zu ändern.
Verwendetes Equipment:
Canon EOS 7D Canon 100mm F/2,8 Macro Canon Speedlite 430 EX II Funk-Fernaulöser
Somit wäre jetzt auch klar was ich mit allen kommenden Pin-Briefen mache 😉
Hoffentlich nur mit deinen eigenen ^^ 😉
[…] es aussieht kann die PIN trotz verschlossenem PIN-Brief erkannt werden – hochspannender Stoff http://konkludenz.de/hydalam-sicherheitspapier-gehackt/ bzw. […]
Das geht einfacher… Einfach einscannen geht teilweise auch… Je nach Druck.
Oder ein mit Nagellackentferner getränktes Blatt Papier auf den PIN legen. Die PINS werden per Laserdrucker auf die Folie gedruckt. Der Nagellackentferner löst den Toner an und man kann die PIN erkennen… Teilweise geht es sogar mit abfotografieren… Gibt noch mehr Möglichkeiten…
Sicher ist das sicher nicht… Dieses Produkt eignet sich nur für einen PIN den der Anwender beim ersten Mal sofort ändern muss…
Interessant sind alle non-destructiven Varianten, die der Adressat nicht erkennen kann. Selbst bei PINs die initial geändert werden müssen sollte meiner Meinung nach auf ein sicheres Verfahren gesetzt werden, denn nicht alle Anwender interessieren sich überhaupt für das meinetwegen ‚Onlinebanking‘ und damit bleibt der Angriff über sehr lange Zeit unbemerkt.
[…] Silvan Reiser freute sich – der Brief mit der PIN für seine neue Kreditkarte liegt in der Post. Da Silvan Reiser nicht nur Bankkunde, sondern auch Fotograf ist, hat er eine ungewöhnliche Idee, die einige Folge haben wird. Reiser nimmt seine Kamera und sein Blitzlicht. Doch setzt er den Blitz nicht auf die Kamera, sondern stellt ihn genau gegenüber hin. Und dazwischen hält er den Brief von der Bank, auf dem das Abziehbild – der sogenannte Objektträger – noch unbeschädigt klebt. […]
[…] would suffice to enable the PIN to be read out without damaging its protection, as highlighted by Silvan Reiser’s recent blog post. Therefore, the IT security experts of heise.de draw a critical conclusion on “security […]
Geht das auch mit „PIN-TAB“?
Wenn ich mir PIN-TAB anschaue, sieht das dem Hydalam gar nicht mal so unähnlich. Ein Versuch wäre es wert.
[…] sind jetzt 7 Jahre her, seit ich aus einer Laune heraus den Hydalam PIN Brief mit einem Blitz und 1min Photoshopmagie durchleuchtet habe. Die Auswirkungen damals war ein Artikel bei Heise und viele weitere Artikel bei internationalen […]