image

"Internetbankieren kan veel veiliger"

dinsdag 3 mei 2011, 11:33 door Redactie, 27 reacties

De manier waarop banken hun gebruikers en transacties authenticeren kan veel veiliger, aldus Rik Ferguson van het Japanse anti-virusbedrijf Trend Micro. Voor Windows is er al jaren allerlei malware in omloop die de door banken toegepaste twee-factor authenticatie kan omzeilen en dezelfde ontwikkeling vindt nu bij mobiele malware plaats. "We authenticeren het verkeerde", zegt Ferguson in een interview met Security.nl.

"Banken authenticeren nog steeds gebruikers; iets wat ik weet, mijn wachtwoord, iets dat ik heb, mijn telefoon of one-time password. Zo bewijs ik wie ik zeg dat ik ben. Ik bewijs niet dat ik iets met de transactie te maken heb." In plaats van de authenticatie op de gebruiker te baseren, moet het op de transactie gebaseerd zijn. Het rekeningnummer en over te maken geldbedrag zouden dan ook onderdeel van de authenticatie moeten uitmaken.

Calculator
Aan de hand van het ingevoerde rekeningnummer en bedrag, genereert de "calculator" een unieke code. Een code die alleen voor die ene transactie geldt. Ook als criminelen die informatie in de browser opvangen, hebben ze er nog steeds niets aan, aangezien de code niet voor een andere transactie te gebruiken is.

"Als je een bank bent die de schade door online fraude wil tegengaan door authenticatie van gebruikers, dan verspil je je tijd. Banken moeten echt naar transactie-gebaseerde authenticatie kijken, omdat het de gebruikers-authenticatie toch al bevat. Het geeft namelijk al aan dat je eigenaar van de kaart bent en de PIN hebt. Dat is twee-factor en daar voeg je de transactie aan toen en klaar ben je."

Reacties (27)
03-05-2011, 11:45 door Anoniem
Aan de hand van het ingevoerde rekeningnummer en bedrag, genereert de "calculator" een unieke code. Een code die alleen voor die ene transactie geldt.

Uh... Dit is toch precies hoe in Nederland de banken werken?
03-05-2011, 11:47 door Anoniem
"In plaats van de authenticatie op de gebruiker te baseren, moet het op de transactie gebaseerd zijn. Het rekeningnummer en over te maken geldbedrag zouden dan ook onderdeel van de authenticatie moeten uitmaken."

Dat is toch precies hoe (onder meer) de Rabobank dit doet, afhankelijk van de hoogte van het over te maken bedrag ?
03-05-2011, 11:52 door Anoniem
Goh, wat een idee. Dat niemand daar eerder op ... Oh wacht, daar hebben ze wel aan gedacht. Als de bedrag groot genoeg is dan vraagt iig de Rabo om de rekening nummer en bedrag in te voeren.

Het probleem is, mensen typen gewoon in wat ze zien en als ze worden gevraagd om de rekening nummer van iemand anders in te typen, doen ze dat gewoon. Mensen blijven de zwakke schakel, maakt niet uit hoe slim je de authenticatie maakt.
03-05-2011, 11:53 door Anoniem
Door Anoniem: "In plaats van de authenticatie op de gebruiker te baseren, moet het op de transactie gebaseerd zijn. Het rekeningnummer en over te maken geldbedrag zouden dan ook onderdeel van de authenticatie moeten uitmaken."

Dat is toch precies hoe (onder meer) de Rabobank dit doet, afhankelijk van de hoogte van het over te maken bedrag ?
ABN AMRO kijkt niet naar transactie of geldbedrag :(
03-05-2011, 11:54 door Anoniem
Eigenlijk een inkoppertje.. De eerste keer dat ik iDeal gebruikte vond ik het al vreemd dat ze niet om het bedrag vroegen of zelfs beter de begunstigde rekening. Als ik dit kan bedenken moeten security specialisten dit toch ook weten?

De Rabobank zou dit heel snel kunnen invoeren dmv de tweede controle getal aan te passen in rekening van de begunstigde.
03-05-2011, 11:58 door SirDice
Door Anoniem:
Door Anoniem: "In plaats van de authenticatie op de gebruiker te baseren, moet het op de transactie gebaseerd zijn. Het rekeningnummer en over te maken geldbedrag zouden dan ook onderdeel van de authenticatie moeten uitmaken."

Dat is toch precies hoe (onder meer) de Rabobank dit doet, afhankelijk van de hoogte van het over te maken bedrag ?
ABN AMRO kijkt niet naar transactie of geldbedrag :(
Een tijd terug overgeheveld van Fortis naar ABN (fusie). Fortis deed dit wel, in ieder geval altijd het bedrag. ABN doet dit inderdaad niet en ik zat er al eens aan te denken om daarover te klagen.
03-05-2011, 12:10 door Anoniem
ABN-AMRO doet dit ook. Dit is echter afhankelijk van het bedrag.
03-05-2011, 12:20 door Syzygy
Ik denk dat en, en beter is

Eerst de autorisatie op basis van Naam en WW.
Dan kom je in het transactie scherm.
Vervolgens:
Bij de transactie een code gebaseerd op bedrag en rekeningnummer ter bevestiging. (via een calculator thuis of via een sms op je telefoon, die weer aan de persoon gebonden is) zodoende kan er niet door een iemand onderweg die transactie gekaapt worden en omgeleid worden naar een andere account o.i.d.

TAN codes op papier kan dan echter niet meer.
03-05-2011, 12:23 door Above
Door Redactie: Calculator
Aan de hand van het ingevoerde rekeningnummer en bedrag, genereert de "calculator" een unieke code. Een code die alleen voor die ene transactie geldt.

Als je wel eens verkeerd typed op je calculator en opnieuw invoert krijg je een andere code op de calculator welke ook werkt op dezelfde pagina zonder een refresh of wat dan ook. De vraag is hoeveel codes werken er wel onder dezelfde inlog en transactie?

Volgens mij zijn er een reeks van codes gekoppeld aan je banknummer. Zo een calculator is immers voorgeprogrammeerd om bepaalde codes te genereren. Zo een calculator communiceert niet met de server van de bank.
03-05-2011, 12:33 door Anoniem
Door SirDice:
Door Anoniem:
Door Anoniem: "In plaats van de authenticatie op de gebruiker te baseren, moet het op de transactie gebaseerd zijn. Het rekeningnummer en over te maken geldbedrag zouden dan ook onderdeel van de authenticatie moeten uitmaken."

Dat is toch precies hoe (onder meer) de Rabobank dit doet, afhankelijk van de hoogte van het over te maken bedrag ?
ABN AMRO kijkt niet naar transactie of geldbedrag :(
Een tijd terug overgeheveld van Fortis naar ABN (fusie). Fortis deed dit wel, in ieder geval altijd het bedrag. ABN doet dit inderdaad niet en ik zat er al eens aan te denken om daarover te klagen.
Waarom? De methode van ABN met pincode (iets wat ik weet), calculator (iets wat ik heb) en bankpas (rekeningnummer en pasnummer) aangevuld met een tijdelijke 8-cijferige code lijkt me voldoende om veilig te kunnen internetbankieren.
03-05-2011, 13:22 door Argot
In geval van malware is iedere vorm van authenticatie onvoldoende, dunkt me.
Theoretisch gezien kan malware makkelijk alle input afluisteren en manipuleren, d.w.z. alles wat van jouw pc naar de server van de bank wordt overgebracht, nog vóór het over het SSL-lijntje gaat. Als jouw input bij de server aankomt, kan het intussen al gewijzigd zijn door de malware.
Of het gebeurt aan de hand van een tweede/gedupliceerde sessie die synchroon loopt en net een fractie van een seconde eerder is met versturen. Jouw transactie zal misschien mislukken, terwijl die onzichtbare, gehijackte transactie wel slaagt.
Of dit in de praktijk ook werkt, durf ik niet te zeggen, maar als programmeur lijkt mij dit niet onmogelijk.
03-05-2011, 13:22 door SirDice
Door Anoniem:
Door SirDice:
Door Anoniem:
Door Anoniem: "In plaats van de authenticatie op de gebruiker te baseren, moet het op de transactie gebaseerd zijn. Het rekeningnummer en over te maken geldbedrag zouden dan ook onderdeel van de authenticatie moeten uitmaken."

Dat is toch precies hoe (onder meer) de Rabobank dit doet, afhankelijk van de hoogte van het over te maken bedrag ?
ABN AMRO kijkt niet naar transactie of geldbedrag :(
Een tijd terug overgeheveld van Fortis naar ABN (fusie). Fortis deed dit wel, in ieder geval altijd het bedrag. ABN doet dit inderdaad niet en ik zat er al eens aan te denken om daarover te klagen.
Waarom? De methode van ABN met pincode (iets wat ik weet), calculator (iets wat ik heb) en bankpas (rekeningnummer en pasnummer) aangevuld met een tijdelijke 8-cijferige code lijkt me voldoende om veilig te kunnen internetbankieren.
Stel dat er malware actief is op jouw PC die onder water nog een paar extra transacties bijvoegt. Door nu ook het bedrag wat je overmaakt mee te nemen in de digitale ondertekening ben je redelijk zeker dat er niet meer wordt afgeschreven dan waar je toestemming voor hebt gegeven. Datzelfde geldt voor de tegenrekening. Je wilt wel dat het op de rekening uitkomt die je opgegeven hebt en niet naar een rekening van de eerste de beste crimineel gaat. Vandaar dat zowel het bedrag als de tegenrekening(en) meegenomen zouden moeten worden in de digitale ondertekening.
03-05-2011, 13:26 door Eerde
Volgens mij zit het bedrag bij de Rabobank al een paar jaar in de challenge/response... Wie weet het zeker ?
03-05-2011, 13:38 door Skizmo
Als de bedrag groot genoeg is dan vraagt iig de Rabo om de rekening nummer en bedrag in te voeren.
Huh ? Als ik een bedrag invoer vraagt de rabo om een bedrag in te voeren ? En hoe wou je een transactie doen zonder een rekeningnummer en een bedrag ?

Maare... alles wat er in het artikel geroepen wordt is hetgene dat de ABN-AMRO al een paar jaar doet.
03-05-2011, 13:39 door N4ppy
Door SirDice: Stel dat er malware actief is op jouw PC die onder water nog een paar extra transacties bijvoegt. Door nu ook het bedrag wat je overmaakt mee te nemen in de digitale ondertekening ben je redelijk zeker dat er niet meer wordt afgeschreven dan waar je toestemming voor hebt gegeven. Datzelfde geldt voor de tegenrekening. Je wilt wel dat het op de rekening uitkomt die je opgegeven hebt en niet naar een rekening van de eerste de beste crimineel gaat. Vandaar dat zowel het bedrag als de tegenrekening(en) meegenomen zouden moeten worden in de digitale ondertekening.
Zodra jouw machine is overgenomen dat zie jij bedrag x terwijl onder water bedrag y wordt overgemaakt. bedrag y naar bank en jij tikt braaf in wat er moet ingetikt worden. Tenzij de chalenge de vorm heeft van y8757 kun je niet zien waarvoor je (onder water) wat doet.

ABN heeft de usb versie waarbij je ziet wat je betaald hebt maar ga ervan uit dat dat ook te faken is.

Enig oplossing die ik heb is via mijn android kijken naar de laatste transacties.
Hierbij ga ik ervan uit dat de abn niet gehacked is, mijn android niet (door dezelfde partij) gehacked is en dat ze niet een andere gore truuk uithalen met mijn wifi thuis en daar een mitm doen.

Saldo net gecheck (zit op ander wifi) en ziet er nog goed uit ;)
03-05-2011, 13:43 door Anoniem
Ik weet niet hoe het bij andere banken geregeld is maar bij de Rabobank moet ik zowel mezelf als de transactie authenticeren. Boven bepaalde bedragen moet ik bovendien nog extra authenticaties doen (bedrag en tegenrekening).

Deze authenticaties vereisen het rekeningnummer, het pasnummer, de pincode, de calculator 'uitkomsten' en de bedragen.

Het grootste gevaar komt volgens van Man-in-the-middle pogingen; ze kunnen alles 'netjes' opvangen en uitwisselen tussen de bank en mij. Alleen als het bedrag en de tegenrekening onderdeel uitmaken van de gegeneerde toegangs.authenticatie code wordt het wel erg lastig.
03-05-2011, 13:52 door Syzygy
@ N4ppy

Zodra jouw machine is overgenomen dat zie jij bedrag x terwijl onder water bedrag y wordt overgemaakt. bedrag y naar bank en jij tikt braaf in wat er moet ingetikt worden. Tenzij de chalenge de vorm heeft van y8757 kun je niet zien waarvoor je (onder water) wat doet.

Even simpel
Als ik 20 euro naar rekening 100 overmaak en het algoritme is:

code = bedrag + rekening nummer + een getal dat je calculator genereert (stel in dit geval even 4010)

dan wordt het

bedrag = 20
rekening = 100
getal = 4010
code = 4130


en de "hacker" maakt er of 50 euro van of verandert de rekening in 104 (onder water )

dan zal de code niet meer kloppen door verandering in het bedrag en/of de rekening !
03-05-2011, 14:49 door SL600
Door Syzygy: @ N4ppy

Zodra jouw machine is overgenomen dat zie jij bedrag x terwijl onder water bedrag y wordt overgemaakt. bedrag y naar bank en jij tikt braaf in wat er moet ingetikt worden. Tenzij de chalenge de vorm heeft van y8757 kun je niet zien waarvoor je (onder water) wat doet.

Even simpel
Als ik 20 euro naar rekening 100 overmaak en het algoritme is:

code = bedrag + rekening nummer + een getal dat je calculator genereert (stel in dit geval even 4010)

dan wordt het

bedrag = 20
rekening = 100
getal = 4010
code = 4130


en de "hacker" maakt er of 50 euro van of verandert de rekening in 104 (onder water )

dan zal de code niet meer kloppen door verandering in het bedrag en/of de rekening !


En als we ook voor kunnen zorgen dat er geen malware draait die de variabelen en code-berekening kunnen opvangen, dan komen we een heel end.
03-05-2011, 15:00 door SirDice
Door N4ppy:
Door SirDice: Stel dat er malware actief is op jouw PC die onder water nog een paar extra transacties bijvoegt. Door nu ook het bedrag wat je overmaakt mee te nemen in de digitale ondertekening ben je redelijk zeker dat er niet meer wordt afgeschreven dan waar je toestemming voor hebt gegeven. Datzelfde geldt voor de tegenrekening. Je wilt wel dat het op de rekening uitkomt die je opgegeven hebt en niet naar een rekening van de eerste de beste crimineel gaat. Vandaar dat zowel het bedrag als de tegenrekening(en) meegenomen zouden moeten worden in de digitale ondertekening.
Zodra jouw machine is overgenomen dat zie jij bedrag x terwijl onder water bedrag y wordt overgemaakt. bedrag y naar bank en jij tikt braaf in wat er moet ingetikt worden.
Dan klopt de digitale ondertekening niet meer. Jij voert bedrag X in op je calculator, de bank doet dat met Y (dat is wat er doorgegeven was). Er is dan een verschil en de digitale ondertekeningen komen niet overeen. Je kunt er dan van uitgaan dat er met de transactie is geknoeid.
ABN heeft de usb versie waarbij je ziet wat je betaald hebt maar ga ervan uit dat dat ook te faken is.
Ik heb ook zo'n ding maar zal 'm nooit via USB gebruiken. De calculator is dan vanuit de computer te besturen en dat is nu net iets wat je niet wil.

Het hele doel van zo'n calculator kastje is dat zowel jij als de bank, afzonderlijk, dezelfde berekening uitvoeren. De cijfers die uit jouw kastje komen worden vergeleken met wat de bank berekend had. Die moeten overeenkomen, is dat niet het geval dan is er iets loos en moet de transactie afgebroken worden.
03-05-2011, 15:16 door [Account Verwijderd]
[Verwijderd]
03-05-2011, 15:53 door Syzygy
@SL600 De code berekening werkt via je calculator, die kennis gaat het net niet over !!
03-05-2011, 16:21 door Anoniem
ten eerste: nee niemand in nederland doet dit heb nog nooit gezien dat een reader het totaalbedrag toont

bij ing als je tan via sms gebruikt kijg je het tottaal bedrag bij de bevesterging

die random readers zijn per disign al niet te vertrouwen(een gespecialiseerd beedrijf kan deze dinge uit elkaar halen en dan kan iddereen dezelfde codes genereren)
maarjah als ik aan mijn bank aangeef dat ik liever met een client certificaat werk, krijg je dit : ....server stuurt die automatich...

alch het is ook gewoon een kwestie van tijd vordat een van de TARGET2 participanten gehackt word en er ineens van alle rekeningen in de eu een paar euro missen(da's miljoenen euro)

een 2/3 way auth zou beter zijn al zou ik zo niet een oplossing kunnen bedenken die werkt(vijlig en makkelijk)
behalve een device waarop ja moet worden gedrukt en die dan de connnecie veriveerd
03-05-2011, 17:15 door Eerde
Door Anoniem: ten eerste: nee niemand in nederland doet dit heb nog nooit gezien dat een reader het totaalbedrag toont~
Het gaat niet om tonen maar verwerkt in de hash... van de challenge/response !
04-05-2011, 09:08 door Anoniem
In België heeft de regelgever (CBFA) ingegrepen naar aanleiding van MitB aanvallen.
Tegen MitB helpt maar een ding: een verfierende operatie buiten controle van het systeem. Punt.

Transactieauthenticatie is een must.

Pure challenge:reponse met codes helpt dan nog niet.
Er is geen enkele redelijke manier voor de gebruiker om relatie tussen gegevens en challenge te checken.

Vandaar dat een off-line token (rekenmachientje) waarop je herkenbare transactiegegevens ingeeft noodzakelijk is.
Alternatief: verificatie via een onafhankelijk kanaal, bvb een niet-gekoppelde GSM (niet via bluetooth, kable, ...) en al zeker geen smartphone waarom je tevens je transactie doet.

Elk gegeven wat je op je aparaat typt, wat er getoond wordt en wat er naar de server gaat is onder controle van de MitM (man in the machine). Elke relatie tussen deze is dus afhankelijk van de goodwill van de MitM.
04-05-2011, 10:26 door Anoniem
"Als je wel eens verkeerd typed op je calculator en opnieuw invoert krijg je een andere code op de calculator welke ook werkt op dezelfde pagina zonder een refresh of wat dan ook. De vraag is hoeveel codes werken er wel onder dezelfde inlog en transactie?"

Dat is dan ook precies de bedoeling van een one time password. De code is maar voor zeer korte duur geldig, om zo hergebruik te voorkomen. Probeer de code die je vandaag genereert morgen maar eens te gebruiken ;)
04-05-2011, 10:41 door Anoniem
tjonge jonge wat een discussie
check www.vasco.com.
marktleider op het gebied van 2fa authenticatie en door middel van challenge response zowel op de reader als in de centrale server berekenen zij een een unieke transactie code die niet over het net verstuurd wordt maar Random aan de server en op de digipass reader wordt berekend adv bijv bedrga, rekeningnummer, transactie,code of een ander dataveld wat op je scherm staat en dat je op je reader moet overtikken zodat er een unieke transactie code wordt berekend wleke je weer naar de applicatie intikt.
.
04-05-2011, 10:47 door Anoniem
Wat een artikel. Zou je niet eerst eens inlezen in de materie alvorens je iets roept (@trend micro)? Meeste banken hebben transactie beveiliging of een combinatie van authenticatie en transactie beveiliging. Rabobank doet het al vanaf het begin, net als meeste andere banken. Dat momenteel ABN AMRO (sinds een jaar?), ING (oude postbank) en iDeal niet zo werken is een schande en zouden ze eens moeten kijken hoe andere banken in nederland en europa werken. Achterop mijn Reader staat Vasco, en die beveiligen juist de transactie (Rabobank).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.