image

Studenten vinden manier voor veilig internetbankieren

woensdag 6 maart 2013, 15:15 door Redactie, 14 reacties

Onderzoekers en studenten van de Duitse Universiteit van Tübingen hebben in samenwerking met een beveiligingsbedrijf een nieuw proces ontwikkeld om veiliger te kunnen internetbankieren. De software zal deze week tijdens de CeBIT-beurs in Hannover worden gepresenteerd. Het idee van de studenten, een tancode via Near Field Communication (NFC), werd vier jaar geleden al bedacht.

NFC is een standaard waarmee elektronische apparaten gegevens over korte afstand kunnen uitwisselen. Als een klant een transactie via internetbankieren wil uitvoeren, stuurt de bank voor elke transactie een transactie authenticatie nummer (TAN). De TANcode wordt per sms verstuurd of via een aparte apparaatje gegenereerd.

Het gebruik van een mobiele telefoon is handig, maar heeft ook nadelen. Volgens de onderzoekers lopen gebruikers het risico dat het toestel met malware besmet raakt, waarmee criminelen de TANcode kunnen onderscheppen en gebruiken om geld van de rekening te stelen.

Handig
De NFC-TAN oplossing lijkt op de random readers en authenticators die banken gebruiken, maar in plaats van een speciaal apparaatje wordt de smartphone van de gebruiker gebruikt. Die krijgt op zijn computer een 2D code te zien, die hij met zijn telefoon via een speciale bank-app moet scannen.

Zodra de transactie is bevestigd, houdt de gebruiker zijn bankpas naast de telefoon. De kaart, die NFC ondersteunt, genereert de TANcode en verstuurt die via NFC naar de telefoon. "Het is een veiligere procedure dan TANcodes via sms-berichten", zegt Dr. Bernd Borchert.

Hij voegt toe dat het eenvoudiger is dan het gebruik van een losse TAN-generarator, aangezien er geen appart apparaat is vereist. Inmiddels zou 25% van de smartphones NFC ondersteunen en werken banken al aan het introduceren van NFC-bankpassen.

Reacties (14)
06-03-2013, 15:31 door Anoniem
Complexer, ja. Veiliger? Uhm. Leg uit?
06-03-2013, 15:46 door [Account Verwijderd]
[Verwijderd]
06-03-2013, 15:48 door Orion84
Door Anoniem: Complexer, ja. Veiliger? Uhm. Leg uit?
Het idee is dat het in principe even veilig zou zijn als het gebruik van een randomreader en dergelijke. En dat dat veiliger zou zijn dan de methode met TANcodes per SMS.

In feite combineert het het gemak van geen extra apparaat nodig hebben, met de veiligheid van het terplekke genereren van de TAN-code (en daarbij dus mogelijk ook transactie eigenschappen in die code kunnen verwerken).

De vraag is inderdaad of de combinatie van smartphone app en NFC interface net zo veilig is als een gesloten en niet-draadloos apparaat als een random reader. Mits goed geïmplementeerd kan dat prima veilig zijn, waarmee het in potentie dus veiliger is dan de 'TAN-code per SMS' methode.
06-03-2013, 17:18 door Anoniem
Het gebruik van een mobiele telefoon is handig, maar heeft ook nadelen. Volgens de onderzoekers lopen gebruikers het risico dat het toestel met malware besmet raakt
maar in plaats van een speciaal apparaatje wordt de smartphone van de gebruiker gebruikt.
De mobiele telefoon is niet veilig dus gebruiken we de smartphone... eh, wat?

Als ik het goed begrijp gebeurt het volgende:
- De bank-website toont transactiegegevens in de vorm van een QR-code.
- Op je smartphone start je de bank-app en scant daarmee die QR-code.
- Die laat de transactiegevens zien (visueel controleren), en stuurt die of misschien een hash daarover als challenge naar de bankkaart via NFC.
- De bankkaart genereert aan de hand van die challenge een response die wordt teruggestuurd naar de smartphone.
- De smartphone toont die response en de gebruiker tikt hem over in de webpagina en verstuurt hem.

Het is dus een challenge-response-mechanisme dat (vanwege het kunnen tonen op de smartphone van transactiegegevens) de transactiegegevens zelf of misschien een hash erover als challenge gebruikt, en wat ze een TAN noemen is de response die door de bankkaart is gegenereerd. Zolang dat zo robuust is dat niemand het kan reproduceren mag alles tussen bank en bankkaart inderdaad zo lek als een mandje zijn zonder dat het misgaat.

Alleen zie ik nergens een pincode ingetoetst worden om de kaart te ontsluiten. Als de kaart gejat wordt zou dat wel eens een serieus probleem kunnen zijn. De pincode via de telefoon doorgeven is geen optie, die kan nou juist besmet zijn.

Ik houd het dus liever bij een apart apparaatje, ook als ik een smartphone zou hebben.

Wat een aardig idee kan zijn is om dit concept in een toekomstige generatie calculatortjes te verwerken. Steek de kaart erin, scan de QR-code, bevestig de transactiegegevens met de pincode, neem de response over. Het voordeel boven wat nu gangbaar is is dat de challenge de volledige transactiegegevens kan omvatten, wat de ruimte tot manipulatie door aanvallers tot nul terugbrengt. Het is wel meteen een groter en ongetwijfeld veel duur apparaat met een camera en een groter beeldscherm, met een batterijgebruik dat regelmatig opladen noodzakelijk maakt. Er kleven dus ook nadelen aan.
06-03-2013, 18:53 door Anoniem
Volgens mij kan het veel eenvoudiger.
Alle nadelen die er zijn wat codes betreffen, gaan over het zeker weten dat de code die je krijgt/invoert de juiste is.

Ik woon in het buitenland en de banken hier geven aan iedere klant een rsa token.
Altijd een veilig gegenereerde code, en er is geen verbinding met een ander systeem nodig om de code te krijgen (zoals met tan-sms wel het geval is).
Overigens is dit systeem ook kwetsbaar als RSA zelf wordt gehackt zoals een paar jaar geleden.
Maar dat gebeurt volgens mij minder vaak dan dat er telefoons/pc's zijn die met bankmalware te maken krijgen.
De enige kwetsbaarheid die er bovenop komt, is dat last van MIT kan hebben en je betalingsopdracht "onderweg"wordt gewijzigd, maar dat het voor alle andere tan oplossingen (lijst/sms-code/randomreader) ook.
06-03-2013, 18:55 door Anoniem
Tsja ... en helaas staat de gemiddelde 'smart' modebiel vol met kwaadaardige Apps......
06-03-2013, 19:58 door Anoniem
Het probleem bij internetbankieren is helemaal niet dat telefoons besmet worden met malware. Zolang malware de PC controloeert, en dus de browser, maakt het niks uit via welk kanaal je TAN of autorisatiecodes krijgt. Hybride malware vangt doodleuk gewoon nog even de extra codes af via de browser.
06-03-2013, 20:48 door Anoniem
Einde internetbankieren zodra ik een telefoon van 400 of 500 euro excl abonnement moet aanschaffen om bij mijn eigen geld te kunnen.
06-03-2013, 21:03 door Anoniem
Door Anoniem: Zolang dat zo robuust is dat niemand het kan reproduceren mag alles tussen bank en bankkaart inderdaad zo lek als een mandje zijn zonder dat het misgaat.
Dat schreef ik zelf, maar ik ben van gedachten veranderd. Het is inderdaad zo dat het hele traject van het genereren van de challenge bij de bank tot en met het controleren van de response veilig is als het berekenen van de response uit de challenge op de bankkaart niet na te bootsen is, maar er kan iets anders misgaan.

Als zowel de pc als de smartphone van de klant besmet zijn met voldoende geavanceerde malware, die het verband tussen de apparaten kent, dan kan bij het initieel inleggen van de transactie de inhoud door een aanvaller aangepast worden zodat een gewijzigde versie in het systeem van de bank wordt vastgelegd. Maar elke weergave bij de klant wordt door de malware weer vervangen door de oorspronkelijke transactie. Hetzelfde gebeurt op de smartphone, zodat de klant nog steeds niets afwijkends ziet. De bankkaart ontvangt echter de aangepaste transactie, en de response die gegenereerd wordt komt overeen met wat de bank heeft vastgelegd. De klant ondertekent dus een andere transactie dan hij denkt te ondertekenen.

De QR-code in de voorbeeldapplicatie (http://cebit.nfc-tan.com/standard/transaction, tweede scherm) bevat simpelweg de transactiegegevens in tekstvorm:
Musterfirma
51334022
8343189
336,65
Bekannt
202423
null
Zelfs het QR-plaatje is eenvoudig te vervangen door een dat de gegevens die de gebruiker verwacht, een QR-code is niets anders dan gecodeerde tekst.

Natuurlijk zou dit geavanceerde malware zijn die mogelijk pas na jaren wordt ontwikkeld, maar dat er Zeus-achtige mogelijkheden aan zaten te komen heb ik ook schat ik een jaar of 3-4 bedacht voor het zover was, simpelweg door me voor te stellen dat als malware zich tussen de applicatie en de fysieke user-interface (beeldscherm, toetsenbord, muis) kan nestelen er eigenlijk geen restricties zijn. Zeus ging weliswaar in de browser zitten, maar dat is hetzelfde probleem op een andere plek.

Bij het ontwikkelen van een systeem dat daar niet gevoelig voor is moet je dus gebruik maken van een user-interface die niet door malware gekaapt kan worden. Die zit niet op een pc (tenzij de bank een live-cd levert) en niet op een smartphone. Wel op de calculatortjes die we nu van onze banken krijgen, al onderteken je daarmee weer niet de volledige transactiegegevens.

Wat me bevalt is dat de volledige transactiegegevens op een voor de gebruiker hanteerbare manier in de challenge worden meegenomen, maar dit is beslist nog niet een ultieme oplossing.
07-03-2013, 01:24 door Tijger71
hoe ingewikkelder hoe onveiliger heb een oude aparte tel waar de tan op wordt gesmst ligt altijd thuis met pin beveiliging ik hoef buitenshuis niet te bankieren en zou ik dat toch willen via een aparte tablet met zo'n rare app die alleen via de markt is te downloaden en niet via de bank site ook zoiets kroms maar dat wil ik ook niet dus betere beveiliging is er niet en me tel verliezen is in dit geval ook geen probleem kwa bankieren dan
07-03-2013, 04:43 door Anoniem
Pfoe, ingewikkeld allemaal zeg.

Een acceptgirootje in de bus gooien was toch een stuk eenvoudiger.
07-03-2013, 04:48 door Santurechia
Dus ze willen het niet meer via mobiel doen, want onveilig en daarna via smartphone want veilig. Hoe houden ze hier malware ook al weer mee tegen?
07-03-2013, 09:28 door Anoniem
Tan by sms is het beste compromis tussen security en gebruiksgemak mits je er natuurlijk voor zorgt dat je mobieltje niet besmet raakt.
07-03-2013, 10:11 door SecurityBlasterx
Als dit sky high gaat met andere woorden gelanceerd wordt dan moet je mar eens kijken naar hoeveel Android en iOS malware er meer gemaakt zal worden. Dit zal een heftig dik vet vies probleem worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.