[HaBo]

enkore

Vor kurzem ging es ja mal wieder durch alle Medien: "Cybercrime nimmt zu", "So-und-so-viele tausend Accounts sind einer Fistingattacke zum Opfer gefallen" usw.

Die Frage die ich mir jetzt stelle ist, wie kann man heute - rein objektiv betrachtet - sicheres Onlinebanking betreiben?
Das TAN Verfahren hat ja sowieso ausgedient. iTAN bietet zwar besseren Schutz, ist aber auch nicht das gelbe vom Ei.
Jetzt gibt es ja diese smartTAN Geräte (Diese kleinen Dinger die man an den Bildschirm hält) und HBCI.

Bei HBCI bringt es ja nichts, wenn man einen Klasse 1 Leser benutzt, weil ja da der Computer meine PIN mitkriegt, und damit auch jeder Trojaner sie abfangen kann. Außerdem hat ein Klasse 1 Leser kein Display, deswegen kann ein Trojaner gleich alles fälschen.
Bei einem Klasse 2 Leser hat der zwar eine Tastatur und ein Display, aber keine eigene Logik. Daher im Grunde das gleiche Problem wie beim Klasse 1 Leser, nur dass es hier für den Trojaner aufwändiger ist die Informationen zu fälschen.
Der Klasse 3 Leser bringt ja eine eigene Logik mit. Hier ist es für einen Trojaner also (erstmal) nicht möglich Daten zu replizieren oder zu verändern.
Der Klasse 4 Leser hat ja noch eine eigene Identifikationskarte. Ist aber unüblich oder zu teuer.

Über die genaue Funktionsweise von diesen smartTan dingern ist ja nicht soviel bekannt. Aber im Grunde machen die ja nichts weiter als alle Daten und irgendwas von der Karte in einen Topf zu werfen und einen Hash daraus zu berechnen.
Frage: Wenn ein Trojaner meine Onlinebankingzugangsdaten klaut, kann $böser_hacker doch auch einfach mit seinen eigenen smartTan-Gerät seine eigenen TANs generieren!? Er braucht doch nur irgendeine Information von der Karte. Und wenn das der Name des Kunden, das Ablaufdatum oder sowas ist, ist es ja nicht gerade sehr schwer diese Information zu klauen.

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

friday0D

Ich denke, dass die SmartTan Geräte relativ sicher sind wenn die Erstinbetriebnahme im 'Sicheren Zustand' erfolgt, da die hashing algos der Geräte hier über einen IV initialisiert werden, und somit sehr entrope Daten liefern. Zusätzlich gibt es dieses 'Bildschirmflickering', welches denke ich mal über eine swf produziert wird und optisch von den Geräte interpretiert wird. Hier müsste ein trojaner schon die swf optisch interpretieren, was denke ich noch schwerer zu interpretieren wäre als ein captcha.....also das war mho

lightsaver

Wobei mir derzeit kein Fall einfallen würde, bei dem HBCI ausgenutzt werden konnte.

BTW:
Es war eine Phishing-Attacke, auch wenn das ZDF da anderer Meinung war und eine nicht jugendfreie Art eines Angriffes nennt

enkore

@lightsaver/Fisting:
Das habe ich mit Absicht so geschrieben ;D

@lightsaver/HBCI:
Naja bei einem Klasse 1 Leser werden doch alle Daten plus PIN im PC verarbeitet und auch IM PC signiert. Oder liege ich da falsch? Da kann doch jeder popelige Trojaner was verändern...

@friday0D:
Die verwenden einen IV? Wusste ich nicht.
Zumindest bei der Sparkasse ist das Flackern (womit btw. die KTO/BLZ usw. übertragen werden) ein GIF was per JavaScript in der Größe angepasst wird.

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

lightsaver

Also überall, wo ich in letzter Zeit mit HBCI zu tun hatte, wurden Lesegeräte mit mindestens Klasse 2 vorausgesetzt.
Dort soll es zwar auch noch eine Angriffsmöglichkeit geben, diese liegt aber nicht bei der Signierung selbst, sondern im Homebanking-Programm. Ein Trojaner müsste dieses Programm manipulieren, um eine Überweisung zu fälschen. Dem Benutzer müsste es dabei die Daten vorgaukeln, die der Benutzer eingegeben hat. Zu Klasse 1 habe ich jetzt nichts weiter gesucht, da dies wohl ebenfalls theoretisch angreifbar sein wird

enkore

Naja also ist Klasse2 auch nicht sicher. Die haben ja kein eigenes Display wo stehen könnte, welche Kontonummer usw. benutzt wird.

Weiterhin:
Daher kann bei HBCI jeder popelige Trojaner die Überweisungen fälschen. HBCI fällt damit schonmal unter den Tisch.
Die Frage ist jetzt: Wenn ein Trojaner Zugriff auf alle Daten des Kunden hat, aber nicht auf die Karte, kann er dann einfach einen smartTAN Generator simulieren und so machen was er will?
Oder wird ein Merkmal bei smartTAN herangezogen, was nur der Bank bekannt ist, und daher nur auf der Karte und bei der Bank gespeichert ist. (Privater Key der Karte?) Das wäre dann die einzige(!) Sicherung.

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

bitmuncher

Soweit ich weiss wird die Chip-ID der Geldkarte herangezogen. Zumindest liest ein Smart-TAN-Generator davon diverse Daten ein und nutzt diese zur Generierung der TAN. Insofern ist die Karte notwendig um eine TAN zu generieren.

__________________

lightsaver

Also ein Verfahren, was ich derzeit als sicher einstufen würde wäre folgendes:

Vom BSI wird ein Live-System speziell für das Onlinebanking angeboten. Dabei ist es nicht möglich, schreibend auf das System zuzugreifen -> kein Trojaner kann sich einschleichen. Das in Verbindung mit MTan, bei dem dann noch sowohl Empfänger als auch Betrag komplett angezeigt werden müssen, dürfte eigentlich nicht zu überwinden sein.

Interessant dürfte ein ähnliches System auch für HBCI sein, dann müsste aber der Softwarehersteller ein entsprechendes Live-System mit anbieten. Damit wäre dann nämlich auch die Schwachstelle bei Klasse 2 Geräten behoben.

Ich finde solche Überlegungen aber immer interessant, da man schnell sieht, dass Sicherheit und möglichst leichte Handhabung oft nicht wirklich vereinbar sind.

enkore

Es gibt ja auch Hibiscus, das läuft auch unter Linux und unterstützt HBCI.
Die einzig wirklich sichere Möglichkeit scheint entweder HBCI oder MTAN über ein auf eine CD/DVD/... gebrannte Linuxdistro zu sein.

Ja lightsaver, genau das finde ich daran auch immer wieder sehr interessant. Meistens läuft alles Prinzipmäßig sehr sichere auf eine Linuxdistro auf einer CD hinaus.

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

bitmuncher

Man kann auch eine Virtualisierung nutzen, die bei jedem Booten von einem nicht-beschreibbaren Image quasi einen Null-Zustand des Systems inkl. der darin enthaltenen Software herstellt. Anstatt also "nur" ein Onlinebanking-Programm zu starten, startet man dieses Programm in einer VM, die von einem Read-Only-Medium kommt. Damit benötigt man keinen Reboot. Ist meine persönliche Vorgehensweise und ich stufe sie mal als relativ sicher gegen Software-Manipulation ein. Man müsste die CD in meinem Laufwerk austauschen, ohne dass ich es merke.

__________________

friday0D

Ich finde so eine live cd toll, ich frage mich ernsthaft warum die Banken nicht ernsthaft solche Distributionen herausgeben. Dies sollte zumindest im Bereich Privatkunden wesentlich kostengünstiger sein als das andere Zeugs. Außerdem könnten die Banken Ihre schönen Logos reinpacken und das Betriebssystem unter eigenem Namen Verkaufen, wäre doch toll für die, naja.

@csde_rats: Dieser Tangenerator, den ich habe, musste bei Erstinbetriebnahme durch einen Erstschlüssel initialisiert werden. Das Flickering hab ich noch nicht benutzt, allerdings wenn es gifs sind, wären diese weitaus einfacher zu interpretieren. Sind das dann geradlienige,einfarbige Strichcodes oder vergleichbares die da flackern oder was ?

lightsaver

Nur ein Wort: Bequemlichkeit!
Den meisten Leuten wäre es zu aufwendig, das zu nutzen. Die sehen nicht ein, den Rechner nur mal fürs Banking neu zu starten. Und auch Einstellungen sind da nicht unbedingt trivial, vor allem in Verbindung mit Wlan. Kannst dir ja mal 2-3 unterschiedliche Notebooks und Rechner nehmen und einfach mal die erwähnte CD vom BSI zum Laufen bringen, dann wirst du sehen was ich meine. Das bekommt der normale Benutzer oft nicht hin.

Die Idee mit der Virtualisierung finde ich da auch noch ganz gut, aber auch das wäre für viele wohl noch immer zu viel Aufwand

enkore

Ich behaupte aber einfach mal, dass ein Trojaner auf dem Wirtsrechner der Virtualisierungslösung trotz Virtualisierung die Zugangsdaten abhören kann.

Kann man den eigenen smartTAN Generator eigentlich auch mit anderen Konten (=Karten) als der eigenen einsetzen?

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

bitmuncher

Das kommt auf das zugrundeliegende System an. Ich behaupte mal, dass er das bei OpenVZ nicht schafft.

Ja, kann man. Es wäre viel zu aufwendig für jeden Kunden einen eigenen Generator herzustellen.

__________________

Chromatin

Ich bin Onlinebankinguser(privat) der ersten Stunde und zwar per Web. Gab noch nie Probleme.
Vielleicht liegt Sicherheit auch ein bischen am darunterliegenden Betriebssystem

Das Hostsystem kann immer gucken was ueber die Karte geht. Deswegen ist ja eines der grossen Übel im Reich der Virtualisierung der Mangel an sicheren Hostsystemen und Virtualisierungen allgemein.

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/