image

Bank laat klanten via USB-stick internetbankieren

maandag 7 november 2011, 11:51 door Redactie, 11 reacties

Een Amerikaanse bank wil klanten tegen fraude beschermen door ze via een USB-stick te laten internetbankieren. De East Carolina Bank biedt zakelijke klanten een oplossing van IronKey. Die draait vanaf een USB-stick, maar kan gewoon vanuit Windows worden gestart. Trusted Access moet bescherming tegen malware zoals ZeuS en SpyEye bieden door de input van de Windows keyboard driver via een virtueel besturingssysteem te beveiligen. Window's API's, applicaties of malware die de invoer proberen te onderscheppen, krijgen daardoor alleen versleutelde ciphertext te zien.

Voor consumenten zal het programma binnenkort als download worden aangeboden. Volgens de bank kan de software als een concurrentievoordeel worden gezien, waarbij het een betere bescherming biedt dan andere banken.

Reacties (11)
07-11-2011, 12:43 door N4ppy
How does keyboard input encryption work?
Trusted Access secures keyboard input from the Windows keyboard driver through to the virtual operating environment. Windows APIs, applications, or malware attempting intercept keyboard input will receive encrypted ciphertext.

Wat als de keyboard driver hacked is?
07-11-2011, 13:07 door Anoniem
En de volgende vraag wordt het programma start niet op
Helpdesk heeft u autorun aanstaan?
07-11-2011, 13:14 door Anoniem
Door N4ppy: How does keyboard input encryption work?
Trusted Access secures keyboard input from the Windows keyboard driver through to the virtual operating environment. Windows APIs, applications, or malware attempting intercept keyboard input will receive encrypted ciphertext.

Wat als de keyboard driver hacked is?

Inderdaad, ook oplossingen als deze houden ergens op. Als de gebruikte VM een schilletje rond de keyboard driver kan vormen, kennelijk zelfs zonder daar administrator-rechten voor nodig te hebben, dan kan een ander dat vermoedelijk ook. Het is meer een stap in een wapenwedloop dan een definitieve oplossing, lijkt me.

Ik geloof dat ik het idee van een random reader of digipass of hoe je ze noemen wilt, dat in het geheel niet verbonden is met de computer of een netwerk, eigenlijk nog het beste vind werken. Daarmee onderteken je weliswaar niet de volledige transactiedata, maar die dingen worden in ieder geval nergens mee besmet en ze zijn niet afhankelijk van het toetsenbord van een mogelijk besmette machine.
07-11-2011, 13:20 door Anoniem
Even zelf een usb-sick samenstellen met gemanipuleerde programma's en wat mooie logo's van de bank en opsturen naar klanten, zullen vast een aantal in trappen.
07-11-2011, 13:22 door Anoniem
Malware die al op de PC fysieke staat kan natuurlijk gewoon doorgaan met het onderscheppen van keyboard data.
Alleen is het veel moeilijker te herleiden bij welk account/webside the onderschepte data behoord
07-11-2011, 13:45 door 0101
@N4ppy
Hmm, drivers zijn volgens mij sowieso een bij elkaar gehackt zooitje ;-)

Serieus, het punt daarbij is dat dit alleen interessant is als het een gerichte aanval betreft; er zijn ladingen drivers die je niet allemaal (kosteneffectief) kunt vervangen. Drivers moeten ook gesigned zijn trouwens, dus dat beperkt de aanvalskansen nog verder (hoewel dat omzeild kan worden; https://secure.security.nl/artikel/36976/Windows_7_rootkit_omzeilt_Microsoft_patch.html).

In theorie zou het inderdaad mogelijk moeten zijn om een driver te reverse-engeneeren, keylogger toe te voegen, te signen en dan op een slachtoffers computer te zetten... Maar dit zijn "gewone" bankklanten en daarvoor zie ik dit niet zo snel gebeuren.
07-11-2011, 13:49 door AceHighness
Mijn moeder boot al jaren vanaf een USB stick om te internet bankieren. Lijkt me nog een stuk veiliger dan deze semi oplossing.
07-11-2011, 14:05 door Anoniem
Blijkbaar kent niemand hier Ironkey en de technologieen die gebruikt worden. (maar ja, ik heb sowieso sterk de indruk dat op security.nl maar een handvol mensen zitten die daadwerkelijk snappen hoe informatie security werkt)
07-11-2011, 19:37 door Anoniem
Ironkey is een mooi product, met name op gebied van data versleuteling tijdens transport.
Surfen doe je op een sandbox portable firefox

Nadeel is wel dat je voor de keyboard nog steeds afhankelijk bent en dus ook voor exploits die hier gebruik van maken.

Grootste nadeel is dat je dus niet any-time-any-where kan werken.
Er moet een programma gestart worden vanaf de Ironkey om hem te unlocken. Dus als guest user op een machine, zoals in een hotel op een hotelcomputer, of cybercafe gaat niet werken.

Daarbij zijn Ironkeys relatief duur. Duurder dan een token over een periode van zeg 3-5 jaar.
08-11-2011, 22:34 door cryptomannetje
De Ironkey beschikt ook over een screen keyboard waarvan de toetsen gereshuffled kunnen worden. Zou dat helpen bij het internet bankieren? Naast uiteraard FF in de sandbox.
10-11-2011, 09:56 door Dev_Null
Bank laat klanten internet bankieren via BOOTABLE (en dus onveranderbare) CDROM (operatings system)
Daar zit ik op te wachten....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.