image

Paslezers voor internetbankieren gekraakt

donderdag 26 februari 2009, 14:07 door Redactie, 16 reacties

Om fraude via internetbankieren te bestrijden gebruiken verschillende Britse banken paslezers om hun klanten te authenticeren, het gebruikte protocol is niet alleen door onderzoekers gekraakt, paslezers vormen ook een directe bedreiging voor consumenten. Het Chip Authentication Programme (CAP) is door verschillende banken in Europa geïntroduceerd en bestaat uit een lezer die middels een betaalpas een code genereert voor het inloggen en uitvoeren van transacties. Het CAP protocol is echter geheim, reden genoeg voor onderzoekers om de Engelse variant ervan te reverse engineeren. Die ontdekten dat CAP is geoptimaliseerd om de kosten voor de bank en de hoeveelheid typewerk voor de klant te verminderen.

Daarnaast vonden ze vanwege ontwerpfouten talloze beveiligingsproblemen, zoals het hergebruik van authenticatie tokens en het genereren van response codes die niet "vers" zijn. Het grootste probleem was de buitensporige optimalisatie. "De inmiddels overleden Roger Needham zei eens dat optimalisatie het proces is om iets te nemen dat werkt en te vervangen door iets dat bijna werkt, maar goedkoper is. De geschiedenis van cryptografische protocollen, zowel in onderzoek als in het veld, kennen talloze voorbeelden van protocol optimalisatie waar het mis ging, omdat ontwerpers iets achterwege hadden gelaten dat onbelangrijk leek, maar wiens afwezigheid catastrofaal bleek."

Het is niet alleen het "geheime" protocol, ook de implementatie ervan door de banken laat te wensen over. CAP werkt in drie modes, identify, respond en sign. De NatWest bank gebruikt alleen de respond mode voor het overmaken van geld, terwijl Barclays een sign response vereist. Een ander probleem met de gegenereerde codes is hun "versheid". De beveiliging voorkomt het hergebruik van een code, maar kan niet weten wanneer de code gegenereerd is. Criminelen kunnen daardoor een slachtoffer een respons laten generen om die op een later moment te gebruiken.

Overvallers
De onderzoekers beschrijven in hun rapport (presentatie) verschillende scenario's hoe problemen met pinnen en paslezers de consument in gevaar kunnen brengen, bijvoorbeeld via social engineering, de zwakheden van het protocol, infiltratie door criminelen in de fabrieken die de paslezers maken, "tussenpersoon aanvallen" en software implementaties, die tot meer bankfraude lijden. Het grootste probleem dat paslezers veroorzaken is dat het criminelen een manier geeft om te controleren of een opgegeven pincode wel correct is. Vorig jaar juli werden twee Franse studenten in Engeland door criminelen om hun pincode dood gemarteld. Een jaar eerder overkwam een 62-jarige beveiligingsbeambte hetzelfde lot.

Aansprakelijkheid
In Groot-Brittannië zijn banken niet aansprakelijk voor fraude met internetbankieren. "Door het invoeren van een nieuw beveiligingssysteem, zelfs met problemen, hebben de banken de bescherming van klanten verder verzwakt." De onderzoekers roepen toezichthouders op om de beveiligingsmodellen van de banken niet te geloven. "Toezichthouders hadden banken niet gelijktijdig moeten toestaan om de aansprakelijkheid bij hun klanten neer te legen en de security engineering te optimaliseren."

Reacties (16)
26-02-2009, 15:15 door carolined
'k wil niet wijsneuzig overkomen, maar ik had al eens eerder opgemerkt dat het TAN-SMS systeem van de postbank (voorheen ING) niet verkeerd was.. ;-)
26-02-2009, 15:23 door Anoniem
TAN SMS is inderdaad redelijk veilig, vooral in combinaties met gebruikersnaam / wachtwoord.
26-02-2009, 15:25 door Anoniem
Door carolined van de postbank (voorheen ING) niet verkeerd was.. ;-)

Neem aan dat je precies anders om bedoeld :)
26-02-2009, 15:31 door Obi1r
Het is ING, voorheen Postbank ;)
Maar binnenkort waarschijnlijk .... voorheen ING :D
26-02-2009, 15:53 door Anoniem
Toezicht is er wederom niet geweest. Banken hebben in veel landen vrij spel om te doen wat ze zelf het liefst willen: zo snel en zo makkelijk mogelijk geld binnen harken. Verantwoordelijkheid nemen naar hun klanten komt niet in hun woordenboek voor. Dat gaat nog leuk worden met SEPA. De onderhandelingen schijnen al niet echt goed te verlopen door de tegenstrijdige belangen.
26-02-2009, 16:58 door Bitwiper
Door Obi1rHet is ING, voorheen Postbank ;)
Maar binnenkort waarschijnlijk .... voorheen ING :D
idd, Fortis is ook weer ABN-Amro (wanneer splitsen zij weer? :)
26-02-2009, 17:54 door Anoniem
Leuke thread over internet-bankieren en de veiligheid ervan per systeem.

http://forum.pc-active.nl/viewtopic.php?t=20972
26-02-2009, 18:10 door Anoniem
Door carolined'k wil niet wijsneuzig overkomen, maar ik had al eens eerder opgemerkt dat het TAN-SMS systeem van de postbank (voorheen ING) niet verkeerd was.. ;-)
Is inderdaad een redelijk veilig systeem. Nadat de backdoor om via een anonieme telefoon een TAN aan te vragen was afgesloten. :-)

Het is best lastig om een goed en gebruikersvriendelijke manier te vinden om de autorisatie te doen.
26-02-2009, 18:21 door Anoniem
Ben benieuwd in hoeverre dit ook opgaat voor de e-identifier van de ABN en de Rabo Random Reader.
26-02-2009, 20:08 door Necrowizard
Hmm, de rabobank gebruikt ook zo'n cardreader dingetje...

Vraag me af of die hetzelfde protocol gebruiken....
26-02-2009, 23:33 door Jan-Hein
"Het grootste probleem dat paslezers veroorzaken is dat het criminelen een manier geeft om te controleren of een opgegeven pincode wel correct is."

Dit is een probleem dat mij al een paar jaar "dwars" zit (de rest kan ik wel aan met een combinatie van techniek en organisatie), want dit probleem is totaal niet technisch van aard.
Ik kan tijdens de authenticatie proces technisch eenvoudig de mogelijkheid geven om een slachtoffer van bedreiging een soort noodsignaal te laten zenden dat niet direct door de aanvaller is te detecteren, maar wat gaat de ontvanger van dat signaal daarmee doen, en hoe liggen dan de verantwoordelijkheden bij de verdere afwikkeling van de bedreiging?
Ik heb het gevoel dat "de banken" (of de overheidsdienaren) helemaal niet zitten te wachten op zo'n mogelijkheid om het probleem van bedreigingen op te lossen.
Wat is hier voor een ontwerper wijsheid?
27-02-2009, 07:14 door Anoniem
Alles is te kraken je hebt nog steeds de pas en de reader beiden nodig om het te kraken.
27-02-2009, 08:14 door Anoniem
Door NecrowizardHmm, de rabobank gebruikt ook zo'n cardreader dingetje...

Vraag me af of die hetzelfde protocol gebruiken....

Nee
27-02-2009, 14:57 door spatieman
lekker afschuif systeem van die britten.
systeem is zo lek als maar wat, maarrr, verantwoordelijkheid nemen tegenover de klanten ho maar.
28-02-2009, 19:49 door Anoniem
Door Anoniem
Door NecrowizardHmm, de rabobank gebruikt ook zo'n cardreader dingetje...

Vraag me af of die hetzelfde protocol gebruiken....

Nee

Is een simpel "Nee" alles waar we het mee moeten doen? Als de RandomReader en e-Dentifier niet kwetsbaar zijn, dan zijn de TAN codes nog altijd milieuvriendelijker. In het geval van de randomreader kun je een nieuwe ophalen bij de Rabobank als de batterij leeg is. De oude willen ze niet eens terug.
01-03-2009, 00:22 door Anoniem
Als je gewoon drie keer dezelfde foute code in de random reader van de rabobank intikt, is je pas dan niet geblokkeerd? Als dit niet zo was kan je natuurlijk net zo lang proberen tot je alle getallen van vier cijfers hebt gehad! Eventueel met een aangepaste random reader (of meerdere random readers).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.