Geschützte PIN-Felder auf Briefen durchleuchtet
Erhält man etwa von der Kreditkartenfirma einen Brief mit verschlossenem PIN-Feld, heißt das nicht zwangsläufig, dass die PIN nicht schon auf dem Transportweg abgelesen wurde.
(Bild: Silvan Reiser)
- Ronald Eikenberg
Das etwa beim Versand von Kreditkarten-PINs eingesetzte Sicherheitspapier Hydalam soll sich mit überschaubarem Aufwand austricksen lassen. Silvan Reiser beschreibt in seinem Blog, wie es ihm gelang, den von einer Kreditkartenfirma zugestellten PIN abzulesen, ohne das Sicherheitssiegel zu beschädigen. Er durchleuchtete den PIN-Brief mit einem Blitz und fotografierte das Resultat.
Anschließend bearbeitete er die RAW-Datei mit Photoshop, woraufhin die PIN laut Reiser klar sichtbar wurde. Er gibt an, das ursprüngliche Bild mit einem Differenzbild überlagert und letzteres anschließend um einen Pixel verschoben zu haben. Den genauen Ablauf demonstriert er in einem YouTube-Clip.
Eigentlich soll die PIN erst sichtbar sein, wenn man eine spezielle Papierschicht von dem durch das Sicherheitspapier geschützten Bereich abgezogen hat. Dies lässt sich nicht wieder rückgängig machen und ist deshalb ein Indikator dafür, ob die PIN auf dem Transportweg eingesehen wurde. Entwickelt wurde das Hydalam genannte Verfahren von der in Kalifornien ansässigen Firma Documotion.
Es wird in Deutschland in Lizenz von der Firma Koopmann Druck eingesetzt, um etwa gesicherte PIN-Briefe für Online-Banking oder Kreditkartenfirmen herzustellen. Koopmann erklärte gegenüber heise Security, dass man bisher keine Möglichkeit hatte, die Vorwürfe zu untersuchen, da der untersuchte Brief den Unternehmen nicht vorliegt.
Unterschiedlich blickdicht
Ferner lägen entscheidende Faktoren, welche die Sichtbarkeit der geschützten Daten beeinflussen, außerhalb des Einflussbereichs der Druckfirma. So haben die Unternehmen, die das Sicherheitspapier beziehen, die Wahl zwischen verschiedenen Papier- und Foliensorten, die sich anscheinend in der Blickdichte unterscheiden. Darüber hinaus bedrucken die Kunden die Folien im Laserverfahren selbst, was das Endresultat auch noch mal beeinflussen könne.
Dass man den Sichtschutzfolien nicht bedingungslos trauen sollte, zeigt auch eine Untersuchung der University of Cambridge, die bereits vor fast zehn Jahren durchgeführt wurde. Dabei stand unter anderem die Hydalam-Technik im Fokus. Damals gelang es in den Forschern alle untersuchten PIN-Briefe auszulesen ohne das Siegel zu beschädigen – teils mit bloßem Auge, teils mit Hilfe von GIMP. (rei)
