[HaBo]

17.01.08, 12:11

Hallo,

Was kann man hier von halten: *klick**klick2*

Zitat:

Das Herzstück ist der USB-Stick, welcher einen Webbrowser enthält. Der eigens für die Migros Bank konzipierte Browser ist in der Lage, das M-BancNet aufzustarten, ohne dafür den auf dem Computer installierten Browser zu benutzen. Dank dieser Trennung von den übrigen Internetprogrammen auf dem Computer ist das System vor Attacken aus dem Internet maximal geschützt.

Keylogger wird das nicht stören. Genau so das mitsniffen und manipulieren auf dem lokalen rechner... auch wenn es über andere Ports läuft. Ich sehe den Nutzen nicht wirklich. Verschlüsselt die Software auf dem Stick die Daten vor dem übersenden -> dann kann Schadsoftware diesen Browser selber "missbrauchen".

Kann mir da einer auf die Sprünge helfen? Oder ist das blos ein neues Marketinginstrument...

Gruss
IsNull

**lightsaver** · 17.01.08, 12:44

also in verbindung mit einer live-distri dürfte das ganze ziemlich sicher sein, aber auf einem bereits kompromiteren system könnte ich mir zumindest theoretische angriffsmöglichkeiten vorstellen (ob diese umsetzbar sind weiß ich allerdings nicht).

interessant wäre es schonmal, ob man mit dem browser nur die bank ansurfen kann und auch, ob man die seite selber eingeben muss. wie ist der stick gegen das beschreiben geschützt. besteht kein schreibschutz könnte der browser ja theoretisch auch kompromitiert werden.
ein keylogger wäre allerdings relativ egal, da dieser höchstens die pin abgreifen könnte, der rest würd ja so wie es klang über die zusätzliche karte geregelt.

an sich finde ich das system auf den ersten blick gar nicht mal so schlecht, gerade weil man es ja scheinbar auch gut unterwegs nutzen kann.
für zuhause würde ich dennoch hbci bevorzugen falls dieses angeboten wird

HaBo Ads

brain21 · 17.01.08, 12:46

Korrektur des ersten Links: http://www.presseportal.ch/de/text/s...x?nr=100552827 Und du hast den Text schon dreimal editiert... :-D

Was soll man dazu sagen? da steht, dass es sicherer ist, das wage ich nicht zu bezweifeln. Aber auch hier ist es wiederum eine Frage der Zeit bis auch das in Frage gestellt wird; ein reines Wettrüsten, wie in allen anderen Sparten auch.

Ich denke, dass du da deine Tendenz richtig eingeschätzt hast. Und mit "Trennung von den übrigen Internetprogrammen" meinen sie wohl, dass der USB-Stick immer nur temporär am Rechner angeschlossen ist, das heißt aber nichts. Vielleicht wird der USB-Stick ja als CD erkannt, was eine Art Schreibschutz bieten soll (edit: was eigentlich total uneffizient ist, da man ja eigentlich einfach _nur_ ROM einbauen könnte...) , aber solange das Ding keinen eigenen Prozessor hat spreche ich ihm nicht sehr viel Vertrauen zu :-) Oh man, was für Überlegungen da wieder aufkommen, ich glaube ich melde mich bei der Bank an, ich will den Stick jetzt auseinander nehmen :-D

17.01.08, 12:57

Zitat:

ein keylogger wäre allerdings relativ egal, da dieser höchstens die pin abgreifen könnte, der rest würd ja so wie es klang über die zusätzliche karte geregelt.

Den Pin abfangen und speichern bringt natürlich nichts. Aber, was passiert nun, wenn der böse Trojaner, so bald eine Instanz vom Banken-Browser geöffnet wird, selber eine Instanz des Browser öffnet (versteck versteht sich- > Fenster lassen sich mit einem API Call zu "hidden" toggeln) und da frisch fröhlich alle eingaben spiegelt die der User macht? Wenn alle Daten gesammelt sind, schliesst er die Browser Instanz vom Benutzer und bucht sich selber ein nettes Sümmchen. Das ganze kann natürlch auch noch viel weniger auffällig geschehen...

Zitat:

Korrektur des ersten Links: http://www.presseportal.ch/de/text/s...x?nr=100552827 Und du hast den Text schon dreimal editiert... :-D

vv4yn3 · 17.01.08, 13:31

Es bringt sicher ein mehr an Sicherheit, auch wenns keine absolut sichere Lösung ist, aber bei allen Überlegungen muss man bedenken, dass die Kunden es einfach haben wollen, also wenn man am Computer schon was macht, dann kann man mal eben die Bankgeschäfte erledigen.
Also würde ein eigenes System fürs Online Banking wohl nicht so viel Verbreitung finden.

Ich würde sagen, dass das nicht reines Marketing ist, aber wenn man sich den Text durchliest, dann merkt man schon, dass der nicht 100%ig objektiv ist.

17.01.08, 14:25

Wenn wir schon bei LiveCDs sind - kennt da einer eine, die lediglich nen Browser mit an bord hat (und somit in maximaker geschwindigkeit gebootet hat?)
Natürlich ist das nicht durchsetztbar bei Otto-Normal user, aber für etwas Versiertere wäre das ganz nützlich. Bis man die gängigen Livesysteme gebootet hat, dauerts einfach zu lange.

Noch etwas Gehirnfurz:

Wäre folgendes (IsNullsches^^) Verfahren sicher:

Jeder Kunde bekommt eine CD. AB dieser CD muss der Benutzer booten.
Nun wird eine verschlüsselte Verbindung zum Server hergestellt; dabei sei auf der CD ein unique Key und ebenfalls auf dem Server (im folgenden "first key" genannt):

Code:

+-----------+------------------+
|  user     | first key        |
+-----------+------------------+
|  otto     | a2f3a8d...       |
+-----------+------------------+

Dann läuft die Kommunikation folgendermassen ab: (>> = client, << = server antwort)
>> username: "otto"
<< encrypt(Session_key_1, first_key)
*Session key verschlüsselt mit dem first key.
>>encrypt(Server Anfrage + Session_key_2, Session_key_1)
*Server Anfrage verschlüsselt mit dem session_key_1.
<< Server antwortet wieder verschlüsselt mit dem session_key_2 und schickt gleichzeitig den session_key_3 mit... usw

Etwa klar was ich meine? SO könnte man MITM und Trojaner ausschalten.

Huch, ich verliere die CD!?
Naja, halb so schlimm, der besitzer der CD kann zwar eine kommunikation zum Server aufbauen, aber dann muss man sich trotzdem noch mit einem PW und evtl. Vertragsnummer autentifizieren....

Gruss
IsNull

**Elderan** · 17.01.08, 20:44

Hallo,
es kommt natürlich drauf an, wie dieser USB-Stick realisiert ist.
Ist dies nur ein Speichermedium mit einem speziellen Browser drauf, ist der Zugewinn an Sicherheit praktisch nicht vorhanden.

Besitzt der Stick aber eine kleine Recheneinheit, so wie ich es dem 1. Absatz entnehmen konnte (hab nicht weitergelesen), ist ein zugewinn schon vorhanden.
Ich geh mal davon aus, dass die Daten auf dem Stick schreibgeschützt sind.

1. Sniffing:
Wenn, was sicher gemacht wird, der Browser z.B. über SSL mit der Bank kommuniziert, bringt sniffing relativ wenig.
Wenn ein Trojaner alle Daten abgreift, die so die Netzwerkkarte passieren, bekommt dieser Trojaner nur verschlüsselte Daten. Dies ist aber bei allen Browsern so.

Was muss also ein Sniffing-Programm machen? Es müsste sich in den Browser einschleusen (hooking) und die Funktion zum Verschlüsseln der Daten umleiten.

Hat der Browser auf dem Stick dann noch eine Zertifikatsprüfung integriert, wäre eine MITM Attacke nicht ohne weiteres möglich.
Solch ein Trojaner müsste das laufende Programm manipulieren. Entweder die Funktion zum ver/entschlüsseln umleiten oder die Zerfitikatsprüfung während der Laufzeit ausheben.
Hilft alles aber nichts gegen Keylogger und Screenshots, bzw. evt. ist auch Mitschneiden und Manipulieren der Daten die zwischen Stick+Rechner gehen möglich.

2. Abgegriffene PINs:
Ich denke mal, dass der Stick eine kleine kryptographische Einheit enthält und auf der Chipkarte eine Schlüssel für den Kunden hinterlegt ist (bzw. vermutlich hat die Chipkarte die Recheneinheit und der Stick bietet nur das Interface).
Ich denk mal, für den Login reicht es nicht nur aus, die PIN zu kennen, sondern vermutlich werden die Daten, die an die Bank gesendet werden, erst mittels Stick+Chipkarte signiert und in der Bank dann entsprechend überprüft ob die Daten auch von dir kommen.
Ein Angreifer, der deine PIN mitschneidet, könnte nicht die Daten signieren, da dies die Chipkarte/Stick macht und an die kommt er nicht ran

Naja Fazit:
Einen Gewisser zugewinn ist vorhanden, auch wenn er nicht allzugroß ist. Wenn der Computer kompromittiert ist, dann kann ein geschickter Angreifer auch das Online-Banking umhebeln.
Zur Not einfach den Browser "unsichtbar" starten der das Online Banking dann betreibt, oder den Programmcode zur Laufzeit so manipulieren, dass als Zielkontoadresse die Adresse des Täters immer angegeben wird.
Da dies aber doch ein recht anspruchsvoller Angriff ist, werden wohl wenige Viren-Schreiber in der Lage sein, ihn durchzuführen.
Besonders wenn es eine Insel-Lösung bleibt, wird kaum ein Trojaner/Virus/Wurm darauf ausgerichtet sein, dieses Banking zu manipulieren.

hamill · 17.01.08, 22:15

ich dachte bisher, das man sowas mit CDROMs macht, zB
http://www3.fh-swf.de/fbin/roth/moneypenny.htm
mit einem Linux, von CD gebootet.

Die Lösung von Kobil aber scheint, so weit ich das sehen kann, sich auf Windows abzustützen. Und ihr "Trick" ist einfach nur ein USB Stick mit Read-Only Bereich, in dem die client software fürs homebanking liegt (ob HBCI oder selbsterfunden, sehe ich nicht) plus einen smartcard Leser im USB Stick (die smartcard kann dann logischerweise nur eine kleine "GSM SIM" sein, keine fullsize smartcard) und PKI Zertifikaten in besagter smartcard. und alles ohne display und ohne Tastatur am Kartenleser. Da war man vor 20 Jahren schon weiter. wiegesagt, mir erschließt sich der Sinn noch nicht..

Empfehlung

17.01.08, 14:25	#6 (permalink)
IsNull Guest Likes:	Wenn wir schon bei LiveCDs sind - kennt da einer eine, die lediglich nen Browser mit an bord hat (und somit in maximaker geschwindigkeit gebootet hat?) Natürlich ist das nicht durchsetztbar bei Otto-Normal user, aber für etwas Versiertere wäre das ganz nützlich. Bis man die gängigen Livesysteme gebootet hat, dauerts einfach zu lange. Noch etwas Gehirnfurz: Wäre folgendes (IsNullsches^^) Verfahren sicher: Jeder Kunde bekommt eine CD. AB dieser CD muss der Benutzer booten. Nun wird eine verschlüsselte Verbindung zum Server hergestellt; dabei sei auf der CD ein unique Key und ebenfalls auf dem Server (im folgenden "first key" genannt): Code: +-----------+------------------+ \| user \| first key \| +-----------+------------------+ \| otto \| a2f3a8d... \| +-----------+------------------+ Dann läuft die Kommunikation folgendermassen ab: (>> = client, << = server antwort) >> username: "otto" << encrypt(Session_key_1, first_key) Session key verschlüsselt mit dem first key. >>encrypt(Server Anfrage + Session_key_2, Session_key_1) Server Anfrage verschlüsselt mit dem session_key_1. << Server antwortet wieder verschlüsselt mit dem session_key_2 und schickt gleichzeitig den session_key_3 mit... usw Etwa klar was ich meine? SO könnte man MITM und Trojaner ausschalten. Huch, ich verliere die CD!? Naja, halb so schlimm, der besitzer der CD kann zwar eine kommunikation zum Server aufbauen, aber dann muss man sich trotzdem noch mit einem PW und evtl. Vertragsnummer autentifizieren.... Gruss IsNull

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Ubs-Stick voll - kein Zugriff mehr	Antibus	Die Problemzone	4	23.02.07 19:37
Mehr Sicherheit im VPN/LAN	Whops	(In)security allgemein	4	20.12.05 01:33
mehr sicherheit nötig??	Dyner	Internet Allgemein	1	17.08.05 11:53
Mehr Sicherheit als eingeschränkter Benutzer	Flou	Windows	5	30.08.02 09:25
EBay: Mehr Kontrolle der User soll mehr Sicherheit bringen	Tec	News & Ankündigungen	0	08.05.02 11:39

17.01.08, 12:44	#2 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 42	also in verbindung mit einer live-distri dürfte das ganze ziemlich sicher sein, aber auf einem bereits kompromiteren system könnte ich mir zumindest theoretische angriffsmöglichkeiten vorstellen (ob diese umsetzbar sind weiß ich allerdings nicht). interessant wäre es schonmal, ob man mit dem browser nur die bank ansurfen kann und auch, ob man die seite selber eingeben muss. wie ist der stick gegen das beschreiben geschützt. besteht kein schreibschutz könnte der browser ja theoretisch auch kompromitiert werden. ein keylogger wäre allerdings relativ egal, da dieser höchstens die pin abgreifen könnte, der rest würd ja so wie es klang über die zusätzliche karte geregelt. an sich finde ich das system auf den ersten blick gar nicht mal so schlecht, gerade weil man es ja scheinbar auch gut unterwegs nutzen kann. für zuhause würde ich dennoch hbci bevorzugen falls dieses angeboten wird

17.01.08, 12:46	#3 (permalink)
brain21 Registriert seit: 20.06.05 Likes: 0	Korrektur des ersten Links: http://www.presseportal.ch/de/text/s...x?nr=100552827 Und du hast den Text schon dreimal editiert... :-D Was soll man dazu sagen? da steht, dass es sicherer ist, das wage ich nicht zu bezweifeln. Aber auch hier ist es wiederum eine Frage der Zeit bis auch das in Frage gestellt wird; ein reines Wettrüsten, wie in allen anderen Sparten auch. Ich denke, dass du da deine Tendenz richtig eingeschätzt hast. Und mit "Trennung von den übrigen Internetprogrammen" meinen sie wohl, dass der USB-Stick immer nur temporär am Rechner angeschlossen ist, das heißt aber nichts. Vielleicht wird der USB-Stick ja als CD erkannt, was eine Art Schreibschutz bieten soll (edit: was eigentlich total uneffizient ist, da man ja eigentlich einfach _nur_ ROM einbauen könnte...) , aber solange das Ding keinen eigenen Prozessor hat spreche ich ihm nicht sehr viel Vertrauen zu :-) Oh man, was für Überlegungen da wieder aufkommen, ich glaube ich melde mich bei der Bank an, ich will den Stick jetzt auseinander nehmen :-D

17.01.08, 13:31	#5 (permalink)
vv4yn3 Registriert seit: 13.12.07 Likes: 0	Es bringt sicher ein mehr an Sicherheit, auch wenns keine absolut sichere Lösung ist, aber bei allen Überlegungen muss man bedenken, dass die Kunden es einfach haben wollen, also wenn man am Computer schon was macht, dann kann man mal eben die Bankgeschäfte erledigen. Also würde ein eigenes System fürs Online Banking wohl nicht so viel Verbreitung finden. Ich würde sagen, dass das nicht reines Marketing ist, aber wenn man sich den Text durchliest, dann merkt man schon, dass der nicht 100%ig objektiv ist.

17.01.08, 20:44	#7 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, es kommt natürlich drauf an, wie dieser USB-Stick realisiert ist. Ist dies nur ein Speichermedium mit einem speziellen Browser drauf, ist der Zugewinn an Sicherheit praktisch nicht vorhanden. Besitzt der Stick aber eine kleine Recheneinheit, so wie ich es dem 1. Absatz entnehmen konnte (hab nicht weitergelesen), ist ein zugewinn schon vorhanden. Ich geh mal davon aus, dass die Daten auf dem Stick schreibgeschützt sind. 1. Sniffing: Wenn, was sicher gemacht wird, der Browser z.B. über SSL mit der Bank kommuniziert, bringt sniffing relativ wenig. Wenn ein Trojaner alle Daten abgreift, die so die Netzwerkkarte passieren, bekommt dieser Trojaner nur verschlüsselte Daten. Dies ist aber bei allen Browsern so. Was muss also ein Sniffing-Programm machen? Es müsste sich in den Browser einschleusen (hooking) und die Funktion zum Verschlüsseln der Daten umleiten. Hat der Browser auf dem Stick dann noch eine Zertifikatsprüfung integriert, wäre eine MITM Attacke nicht ohne weiteres möglich. Solch ein Trojaner müsste das laufende Programm manipulieren. Entweder die Funktion zum ver/entschlüsseln umleiten oder die Zerfitikatsprüfung während der Laufzeit ausheben. Hilft alles aber nichts gegen Keylogger und Screenshots, bzw. evt. ist auch Mitschneiden und Manipulieren der Daten die zwischen Stick+Rechner gehen möglich. 2. Abgegriffene PINs: Ich denke mal, dass der Stick eine kleine kryptographische Einheit enthält und auf der Chipkarte eine Schlüssel für den Kunden hinterlegt ist (bzw. vermutlich hat die Chipkarte die Recheneinheit und der Stick bietet nur das Interface). Ich denk mal, für den Login reicht es nicht nur aus, die PIN zu kennen, sondern vermutlich werden die Daten, die an die Bank gesendet werden, erst mittels Stick+Chipkarte signiert und in der Bank dann entsprechend überprüft ob die Daten auch von dir kommen. Ein Angreifer, der deine PIN mitschneidet, könnte nicht die Daten signieren, da dies die Chipkarte/Stick macht und an die kommt er nicht ran Naja Fazit: Einen Gewisser zugewinn ist vorhanden, auch wenn er nicht allzugroß ist. Wenn der Computer kompromittiert ist, dann kann ein geschickter Angreifer auch das Online-Banking umhebeln. Zur Not einfach den Browser "unsichtbar" starten der das Online Banking dann betreibt, oder den Programmcode zur Laufzeit so manipulieren, dass als Zielkontoadresse die Adresse des Täters immer angegeben wird. Da dies aber doch ein recht anspruchsvoller Angriff ist, werden wohl wenige Viren-Schreiber in der Lage sein, ihn durchzuführen. Besonders wenn es eine Insel-Lösung bleibt, wird kaum ein Trojaner/Virus/Wurm darauf ausgerichtet sein, dieses Banking zu manipulieren.

17.01.08, 22:15	#8 (permalink)
hamill Registriert seit: 30.03.04 Likes: 0	ich dachte bisher, das man sowas mit CDROMs macht, zB http://www3.fh-swf.de/fbin/roth/moneypenny.htm mit einem Linux, von CD gebootet. Die Lösung von Kobil aber scheint, so weit ich das sehen kann, sich auf Windows abzustützen. Und ihr "Trick" ist einfach nur ein USB Stick mit Read-Only Bereich, in dem die client software fürs homebanking liegt (ob HBCI oder selbsterfunden, sehe ich nicht) plus einen smartcard Leser im USB Stick (die smartcard kann dann logischerweise nur eine kleine "GSM SIM" sein, keine fullsize smartcard) und PKI Zertifikaten in besagter smartcard. und alles ohne display und ohne Tastatur am Kartenleser. Da war man vor 20 Jahren schon weiter. wiegesagt, mir erschließt sich der Sinn noch nicht..


HaBo Ads HaBOT

[HaBo]

E-Banking: USB-Stick für mehr Sicherheit?