image

Nieuw systeem voor veilig internetbankieren bedacht

donderdag 18 april 2013, 16:42 door Redactie, 14 reacties

Onderzoekers hebben een nieuw systeem ontwikkeld om veilig te kunnen internetbankieren, waardoor het risico dat een Trojaans paard de rekening leegt tot het verleden behoort. De beveiligingsoplossing is ontwikkeld door een 'spin-off' van de Cambridge Universiteit en één van de grootste Duitse banken en moet Man-in-the-Browser-aanvallen voorkomen.

Hierbij nestelt een banking Trojan zich in de browser of op de computer en manipuleert vervolgens de informatie die de gebruiker te zien krijgt of naar de bank gestuurd wordt. De door Cronto ontwikkelde oplossing gebruikt een 'visueel kanaal' om de gegevens veilig van de bank naar de klant te sturen.

Barcode
Het zorgt ervoor dat de bank een patroon van gekleurde stippen kan genereren, een zelfontwikkelde tweedimensionale barcode, die de gegevens bevat die de bank naar de klant wil sturen. Vervolgens wordt de barcode door de klant ontsleuteld middels een mobiele applicatie of een apart apparaat.

De technologie fungeert als een beveiligde 'envelop' om de gegevens, zodat het in een willekeurige omgeving en via een onbeveiligd kanaal aan de klant getoond kan worden. De malware op het systeem kan de afbeelding van de bank wel zien, maar kan de beveiligde inhoud niet wijzigen.

Malware
“Man-in-the-Browser-aanvallen in combinatie met social engineering technieken zijn grootste en actiefste dreiging voor internetbankieren", zegt Elena Punskaya, medeoprichter en CTO van Cronto. Volgens haar is het belangrijk dat bij internetbankieren er meer wordt geïdentificeerd dan alleen de klant.

"Dat is niet voldoende", laat ze weten. "Om de complexiteit van Trojaanse paarden te bestrijden, moet de bank ook de actie verifieren die de klant probeert uit te voeren, of het nu om de aankoop, een transactie of een adreswijziging is."

Transactie
De 2D-barcode die het team ontwikkelde laat banken een bericht van meer dan 100 karakters versturen, dat door de Cronto-applicatie of hardware in een fractie van seconden wordt gedecodeerd. De klant krijgt dan een bericht van de bank te zien, dat meestal vraagt om de actie die de klant wil uitvoeren te bevestigen en laat tevens opvallende eigenschappen van de transactie zien.

Om de transactie te bevestigen gebruikt de klant een zescijferige code, die de app of de hardware genereert. Deze code fungeert als de 'handtekening' van de klant en bevestigt de transactie.

Reacties (14)
18-04-2013, 18:44 door [Account Verwijderd]
[Verwijderd]
18-04-2013, 18:58 door Anoniem
het lijkt voor mij op een kwestie van wachten op een ontwikkelaar die aankomt met een een iframe dat bovenop het plaatje op het scherm wordt gezet waar een oneigenlijke transactie in paars met witte stippen wordt aangeboden die hij netjes aan je toont om te bevestigen.

en je kunt wel dual factor doen met goedkopere yubikeys bijvoorbeeld, alleen gaat het juist om de scope en infectieratio van banking trojans en de kans dat gebruikers de interface vertrouwen om een TAN'code in te voeren. hoe doe je dan verstandig risicomanagement?

misschien is het tijd voor NAP in de vorm van een client die wat checks uitvoert en SSL-VPN opzet met een eigen browser(plugin).
18-04-2013, 19:35 door golem
Ja, dit gaat duidelijk over de politiek en een imagoprobleem.
Daarnaast is Cronto is een engels bedrijf.

On topic....right...


Ik vraag me af of het wel zo gebruikersvriendelijk is als het filmpje op
de Cronto website laat zien.
Een foto van je beeldscherm maken met je smartphone of speciaal apparaat.
Ligt de zwakke plek dan niet in je smartphone ?
18-04-2013, 20:40 door WhizzMan
Door golem:
Ik vraag me af of het wel zo gebruikersvriendelijk is als het filmpje op
de Cronto website laat zien.
Een foto van je beeldscherm maken met je smartphone of speciaal apparaat.
Ligt de zwakke plek dan niet in je smartphone ?
De zwakke plek ligt in de combinatie van je browser en je smartphone. Ze moeten allebei tegelijkertijd besmet zijn en allebei realtime met de aanvaller kunnen communiceren om jou geld te laten overboeken naar een rekening van de aanvaller, zonder het te merken. De kans dat dat gebeurt is een heel stuk kleiner dan alleen maar een besmette PC.
18-04-2013, 22:41 door alfranatic
Niets nieuws onder de zon.Gebruik iets dergelijks al 'n hele tijd in Duitsland.
Kijk hier maar eens:
http://www.youtube.com/watch?v=GOQeZGe83YM
18-04-2013, 22:47 door alfranatic
P.S.

Het werkt trouwens uitstekend ,al is het even wennen om met zo'n tangenerator "aan" je beeldscherm te hangen,maar het lukt wel aardig als je eenmaal weet hoe het precies werkt.
Bovendien kun je altijd nog handmatig je tan genereren net als in Nederland.
Dan is het alleen wat minder veilig,dus de Nederlandse standaard zeg maar.
19-04-2013, 08:33 door lucb1e
Dus als ik het goed begrijp hebben ze de TAN-code of invoercode voor de Random Reader vervangen door een slechte versie van een QR code (QR kan tot1852 tekens in een code kwijt en zijn honderden libraries voor beschikbaar).
19-04-2013, 08:51 door S.lenders
Hoe bevestigt dit apparaat dat ik ben wie ik zeg dat ik ben?
Bij Rabobank is dat doormiddel van je kaart en pincode te gebruiken op de random reader en daar een uitvoercode te genereren.

Dan heb je en de juiste kaart nodig en het pincode.
19-04-2013, 09:44 door [Account Verwijderd]
[Verwijderd]
19-04-2013, 09:49 door [Account Verwijderd]
[Verwijderd]
19-04-2013, 10:08 door Anoniem
Staat of valt dit hele systeem niet met de geheimhouding van de coderingstechniek van de 2D barcode en is dit niet gewoon security through obscurity?

Zodra kwaadwillenden op de hoogte zijn van de codering kunnen ze immers via exact dezelfde man-in-the-browser-aanvallen gefingeerde informatie aan de gebruiker tonen en hem zo opnieuw ervan overtuigen dat hij een heel andere transactie doet dan er in werkelijkheid op de achtergrond plaatsvindt.
19-04-2013, 10:48 door Anoniem
Door S.lenders: Hoe bevestigt dit apparaat dat ik ben wie ik zeg dat ik ben?
Bij Rabobank is dat doormiddel van je kaart en pincode te gebruiken op de random reader en daar een uitvoercode te genereren.

Dan heb je en de juiste kaart nodig en het pincode.
Het apparaat is persoonlijk, wat op je kaart staat kan ook in zo'n ding geprogrammeerd worden. Maar als je geen pincode in moet typen bewijst dat inderdaad onvoldoende wie je bent, het bewijst alleen dat je toegang tot het apparaat hebt.

Naast persoonlijke bankpassen ook gepersonificeerde apparaten moeten leveren maakt het beheer voor de bank complexer. Kennelijk hebben ze dat over voor het elimineren van zelfs zo'n simpele handeling als een bankpas in een gleufje steken. Vroeger moest je de deur uit om een overboeking in de brievenbus te deponeren. Dingen makkelijk maken voor de gebruiker slaat door tot in het absurde als je een makkelijke handeling gaat elimineren die twee seconden duurt en die je maar af en toe doet, en dat lijkt hier te gebeuren.
Door lucb1e: Dus als ik het goed begrijp hebben ze de TAN-code of invoercode voor de Random Reader vervangen door een slechte versie van een QR code (QR kan tot1852 tekens in een code kwijt en zijn honderden libraries voor beschikbaar).
Ik vroeg me ook al af waarom ze dat niet gebruiken. Ze wekken de indruk dat de codering een beveiliging inhoudt. Dat lijkt me onzin. HTTPS is al gecodeerd, het gaat er hier niet om dat een aanvaller de challenge niet kan zien, het gaat erom dat hij niet de juiste response kan produceren. En zonder die pincode is nou juist dat niet goed afgedekt.

Door WhizzMan:
Door golem:
Ligt de zwakke plek dan niet in je smartphone ?
De zwakke plek ligt in de combinatie van je browser en je smartphone. Ze moeten allebei tegelijkertijd besmet zijn en allebei realtime met de aanvaller kunnen communiceren om jou geld te laten overboeken naar een rekening van de aanvaller, zonder het te merken. De kans dat dat gebeurt is een heel stuk kleiner dan alleen maar een besmette PC.
Het zit er dik in dat de betrokken smartphone en pc regelmatig aan elkaar gekoppeld worden, en aangezien malware met de dag geavanceerder wordt is het slechts een kwestie van tijd, en vermoedelijk maar heel weinig tijd in verhouding tot de gebruiksduur van dit soort technologie, voor dit misgaat. Een gespecialiseerd apparaat dat niet door malware geïnfecteerd kan worden bij normaal gebruik is een stuk veiliger.

De eigen barcode oogt vrolijk en aantrekkelijk, ze suggereren dat het veiligheid oplevert die helemaal niet van een propriétaire barcode afhankelijk is voor zover ik weet te beredeneren, en het apparaatje ziet er gelikt en vooral makkelijk uit, en ze leveren een app voor apparaten waarvan je niet kan garanderen dat ze betrouwbaar genoeg zijn. Alles is gericht op de zaak zo aantrekkelijk en gemakkelijk mogelijk maken, en ze zijn te veel bereid concessies aan de veiligheid te doen daarvoor. Ze hebben er patent op aangevraagd zodat er goed aan te verdienen valt als het aanslaat. Ik krijg daardoor het idee dat de verkoopbaarheid en winstverwachting belangrijker zijn dan de eigenlijke functie van het product. Jammer, ze zijn zo bezig er een slaatje uit te slaan dat ze niet de toegevoegde waarde creëren (daar ging marktwerking toch over?) die ze met hetzelfde gemak gecreëerd hadden kunnen hebben. Zo komt het op mij over.

De sterke punten die het wel heeft is dat álle transactiegegevens onderdeel van de challenge gemaakt kunnen worden, en dat je ze daarvoor niet allemaal over hoeft te typen (dat vind ik géén overbodige luxe als je zoveel meeneemt). Combineer dit niet met een app maar alleen met een gespecialiseerd apparaat waar je een bankpas insteekt, vraag de pincode van de bankpas, en gebruik liever een standaard QR-code dan de valse suggestie dat de barcodering bijdraagt aan de beveiliging, en je hebt iets waardevols.

Ik zie dit als gelikt ogend half werk.
19-04-2013, 18:42 door Anoniem
ABN e-dentifier 2 (connected mode) lijkt mij toch wat veiliger gezien de pas en pincode.
24-12-2013, 09:14 door Anoniem
Heeft iemand al wel eens naar een implementatie van deze oplossing gekeken en daadwerkelijk geconstateerd of dit inderdaad een veilige oplossing is of niet?

Zorgen zoals beschreven hierboven deel ik ook (zoals veiligheid van smartphone bij gebruik van de app-optie). Ik heb het zien werken en het ziet er voor de gebruiker/ klant wel heel gebruiksvriendelijk en efficient uit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.