Letztens gab es wieder einer dieser netten Diskussionen zur GeldKarte auf Twitter. Jene welche die Verteidiger/Liebhaber gekonnt aus dem Weg gehen oder runterreden. Daraufhin viel mir ein, dass meine neue DKB VPay/Girocard ja noch die Testladung zu vollziehen hat.

Danach hat man stolze 0.01€ auf der Karte, kann dann aber mit gutem Gewissen die Karte online aufladen. Ist auch ganz einfach bis dorthin und man benötigt nur

  • einen Computer (am besten mit Fensters)
  • Internet (setzt sich eh nicht durch)
  • einen superteuren REINER SCT Kartenleser
  • viel Geduld und somit Zeit
  • Internet Explorer oder Edge Ufff

Qualys SSLlabs Test

geldkarte-laden.de SSLlabs

Ignoriert man alle Chrome Warnungen, dann erscheint folgende freundliche Meldung…

Tomcat installation

Auf der Website ist dann folgende Meldung zu lesen…

IE Warning

Daraufhin entdeckte ich die untiefen der deutschen Finanzinformatik abseits von N26, ja meine Freunde es geht schlimmer.

Da ich für meine täglichen Aufgaben einen Apple PC verwende, liegt es nahe diesen dafür zu verwenden, da auch der Treiber für den primitiven mit Goldwage gewogenen und verkauften Kartenleser besser ist. Unter Windows geht eID in den seltensten Fällen, ja ich nutze das :)

Als Erstes ist die Software weder in Homebrew noch im Mac App Store zu finden. Man bekommt eine <1 MB Datei für den Mac, welche man dann installiert. Aber was die tut ist sehr abenteuerlich. Sie startet und öffnet kein Fenster, sondern wartet auf eingehende Anfragen seitens dieser nicht auf TLS weiterleitenden Website. Ja, diese Website nutzt HTTP ohne S um Guthaben auf diese Karte zu senden. Besser wird was nach der Testanfrage passiert. Der Prozess wird wie durch Wunder im Hintergrund aktiv und begrüßte mich mit einer Fehlermeldung.

Das Programm girogo-laden ohne Fenster sitzt auf Port 6634 und wartet auf eingehende Anfragen. Diese Parameter werden dann an einen neu gestarten Prozess geleitet, welcher das Fenster anzeigt, mit dem Kartenleser kommuniziert und mit root Rechten läuft. Wenn dieser <2 MB Schrott einen Fehler hat und für RCE (Remtote Code Exection) anfällig ist, hat ein Angreifer sofort root Rechte auf dem System. Wie passend wo doch alle immer von Sicherheit reden.

Und ja, auch cardpeek kann mit dem Kartenleser reden (senden & empfangen) ohne root zu benötigen. Dies ist somit einfach die Planlosigkeit der Entwickler.

Die GeldKarte ist sowieso ein superaltes komisches Mittel welches 3DES verwendet. Selbst die Deutsche Bank beendet die Ausgabe neuer Karten zu 2020. Ja, diese Website muss noch mindestens 5 Jahre erhalten bleiben…

Der Vorgang für die Transaktion wird übrigens nur vom Browser aufgrund fehlender Parameter (Transaktionsnummer und maximaler Ladebetrag) abgebrochen. Die Begründung ist einfach die peinlichste der Geschichte. Man hat es zwar geschafft eine DSGVO Konforme Datenschutzerklärung zu bekommen aber das alte Symantec Zertifikat, das blieb. Mein aktueller Chrome Browser verweigert also die Verbindung, wo Windows die alten Zertifikate noch freundlich akzeptiert…

Das Gute ist aber noch immer, dass diese aussterbende Technik eh kaum jemand verwendet. Noch weniger werden diese Software überhaupt auf Ihrem Computer haben. Der gute Deutsche weiß ja wie unsicher das Ganze ist, kontaktlos kann man ja über Kilometer auslesen. (Aluhut aufsetz)

Diese Technologie ist eh am Aussterben, was auch gut so ist. Es ist genauso dumm, wie die girocard welche nur im deutschen Raum geht. Ein nicht deutscher oder jemand welche keine girocard besitzt sieht bei den Händlern welche denn überhaupt eine Karte akzeptieren nicht gut aus oder muss eine Surcharge bezahlen welche nicht erlaubt ist.

In Summe, es ist also genau so sicher wie die Baumwolle, wo der gute brave deutsche den ganzen Tag bei sich hat. Nicht.