Het gebruik van de USB koppeling maakt het internetbankieren niet kwetsbaarder dan zonder. De PC moet nog steeds geïnfecteerd zijn om misbruik te maken van de USB koppeling. De aanvaller kan wellicht met minder code uit om geld te stelen.

Wanneer gebruiker 1x z'n PIN heeft ingegeven kan malware eigenhandig transacties met de bank opzetten en deze autonoom door de e.dentifier2 laten autoriseren (via USB dus zonder tussenkomst van gebruiker).

Maar als PC geïnfecteerd is kan ook geld op de 'reguliere' manier gestolen worden (Zeus, Citadel, Sinowal, etc.). Geen USB koppeling voor nodig ;)

ik gebruik rapport van trusteer om de beveilgde verbinding in de gaten te houden,zou deze de malware onderscheppen?

Dank voor de link naar het rapport, ik had al geprobeerd informatie te vinden over hoe de e.identifier2 eigenlijk werkt en zoals je wel vaker ziet bij voorlichting die door marketingafdelingen wordt gemaakt is ABN AMRO ontstellend onduidelijk in hoe het eigenlijk werkt.

Bij het signen laat het apparaat het aantal transacties en het totaalbedrag zien, dat bericht onderteken je door op de Ok-knop te drukken (en je pin-code natuurlijk). Het lek zit hem erin dat dat *niet* betekent dat het apparaat zelf op Ok reageert en ondertekent, in plaats daarvan krijgt de software op de pc een signaal dat Ok is gedrukt en die vraagt vervolgens de ondertekening aan bij de reader. De reader honoreert dat verzoek ook als de gebruiker helemaal niet op Ok heeft gedrukt, en dat is te misbruiken. Ongelofelijke blunder, dit, ondertekenen zou alleen een direct gevolg van de interactie van de gebruiker met de reader mogen zijn, zonder tussenkomst van de pc.

De reden dat het zo werkt lijkt te zijn dat op die manier een te ondertekenen bericht over meerdere schermen verdeeld kan worden. De gebruiker drukt bij elk schermpje op Ok, en aan het eind wordt de ondertekening van het geheel aangevraagd. Kennelijk wordt deze mogelijkheid (nog) niet door ABN AMRO gebruikt.

Een duidelijke zwakte in het huidige gebruik is dat alleen aantal transacties en totaalbedrag worden genoemd. Op die manier blijft het mogelijk om onderwater tegenrekeningen aan te passen, en zelfs met bedragen te schuiven, zolang het totaal maar gelijk blijft. De enige manier om het waterdicht te krijgen is door de gebruiker de afzonderlijke transacties inclusief rekeningnummers te laten ondertekenen.

Het bedrijf dat de e.identifier2 maakt heeft een patentaanvraag lopen die volgens het rapport globaal genoeg is geschreven om het lek niet te bevatten. Het hele idee van versleutelen van berichtenverkeer is dat je op die manier tussen betrouwbare eindpunten over onbetrouwbare verbindingen kan communiceren met een betrouwbaar resultaat. Als je constateert dat pc's in de verste verte geen betrouwbare eindpunten zijn (de bank beheert de pc van de klant niet en kan dus nergens van uitgaan), dan is het volkomen voor de hand liggend om het ondertekenen te verplaatsen naar een eindpunt dat wel betrouwbaar genoeg is, zoiets als de e.identifier2 dus. Ik zou het eng vinden als een patent op een onvermijdelijke uitkomst van het toepassen van basale principes gehonoreerd wordt. Dat bedrijf kan daarmee veilig internetbankieren gijzelen. Los van de open deur die ze intrappen is dit te belangrijk om niet vrij beschikbaar te zijn.

Dump Windows, installeer Ubuntu linux en ervaar virusvrij internet

Weet iemand in hoeverre het systeem van de Rabobank (heeft ook een USB reader) ook kwestbaar is voor dit soort aanvallen?

Je hebt gedeeltelijk gelijk. Het probleem is echter het (zo blijkt nu valse) vertrouwen dat mensen hebben in een via usb gekoppelde e.dentifier2. Het zou veiliger zijn omdat je altijd het echte totaalbedrag te zien waarmee malware die onzichtbare betalingen in je telebankiersessie toevoegt door de mand valt.

Het resultaat is echter averechts. Zodra de gebruiker op de normale manier via de pincode de telebankeirsessie heeft gestart kan malware zelf betalingen opstellen en autoriseren zónder dat de gebruiker dit ziet of kan stoppen.

Veel self-proclaimed experts op dit forum heb ik bij hoog en laag zien beweren dat het veiliger is omdat de hele transactieketen geencrypteerd zou verlopen. ABN AMRO heeft echter nooit informatie over de technische werking vrijgegeven. Om het belang van gefundeerde uitspraken toch maar even te benadrukken.

Uit het paper blijkt inderdaad dat de e.dentifier2 geen end-to-end encryptie gebruikt. Heel teleurstellend. IBM maakt een reader (ZTIC) waar dat wel het geval is, maar die wordt nog door geen enkele bank gebruikt.

Heb je daar een link van? Ik heb nog nooit van een Rabobank USB token gehoord. Het paper Radboud Universiteit bespreekt alle andere bekende USB tokens, en de Rabobank staat daar ook niet bij.

Perfecte samenvatting

Dit is de link. Bedenk me nu wel dat deze geen toetsenbord heeft, dus dat het specifieke probleem van ABN AMRO hier niet opgaat.
http://www.rabobank.com/content/products_services/financiallogistics/rflpdemo/verify_tool/rabocrypto_step3.jsp

Dat is gewoon een USB smart card reader, en inderdaad geen USB token voor internet bankieren. Die smart card reader kan wel gebruikt worden voor bankieren (voor zakelijk gebruik geloof ik), maar dan wordt gewoon de PKCS#11 standaard gebruikt om authenticatie de doen met een X.509 certificaat. Heel iets anders dus inderdaad.

De Rabobank Random Reader werkt niet via USB en is dus niet kwetsbaar voor dit probleem.

Je aanname klopt niet!
Trust me ;)

Dit is geen aanname maar 1-op-1 overgenomen uit de paper van de onderzoekers, hoofdstuk 7, bladzijde 11: