Keep it simple

Michael66

Neuling

Geschlecht: keine Angabe
Beiträge: 1
Dabei seit: 01 / 2006

Betreff:

Keep it simple

· Gepostet: 27.01.2006 - 21:22 Uhr · #1

Hallo Leute !

Ich habe vor von Pin/Tan auf HBCI mit Chipkarte umzusteigen. BS ist W2000. Warum benötigt man dazu eigentlich eine Bankingsoftware ? Warum kann ich nicht ganz einfach über das Internetportal meiner Bank (Sparkasse) die Überweisungen mit HBCI abwickeln. Habe an sich kein Bock auf Wiso, Quicken und Co. Alle viel zu viele Funktionen die ich überhaupt nicht will. Was ist den die einfachste und „sicherste“ Bankingsoftware (am besten Freeware) für einfache Überweisungen mit HBCI nach den Motto: Keep it simple

Gruss Michael

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002

Betreff:

Re: Keep it simple

· Gepostet: 28.01.2006 - 09:36 Uhr · #2

"sicherste" ist genau der Punkt, deshalb solltest du auf alles browserbasierende verzichten.
Vorschlag: Schau dir mal windata@home oder Alf an, das sind sehr einfache Programme. Normalerweise hätte ich dir homecash light empfohlen, aber das wird nicht mehr weiterentwickelt. Dafür ist das komplett kostenlos.

Gruß
Raimund

Angel

Benutzer

Geschlecht:
Herkunft: NRW
Alter: 42
Beiträge: 726
Dabei seit: 06 / 2005

Betreff:

Re: Keep it simple

· Gepostet: 30.01.2006 - 08:53 Uhr · #3

Zitat geschrieben von Michael66

Warum benötigt man dazu eigentlich eine Bankingsoftware ? Warum kann ich nicht ganz einfach über das Internetportal meiner Bank (Sparkasse) die Überweisungen mit HBCI abwickeln.

Ganz einfach - weil das technisch (noch) nicht möglich ist. Wenn du HBCI mit Chipkarte nutzen willst (das absolut Beste, was du für deine Sicherheit tun kannst) wirst du um eine entsprechende Software nicht herum kommen.

Gruß,
Angel

tux-banker

Benutzer

Geschlecht: keine Angabe
Beiträge: 263
Dabei seit: 03 / 2005

Betreff:

Re: Keep it simple

· Gepostet: 30.01.2006 - 09:13 Uhr · #4

Außerdem würde ich mal behaupten dass Phishing auch Problemlos mit Kartenleser funktionieren würde, wenn man einen Web-Browser benutzt.
Wenn man sicher gehen will, sollte man auf jeden Fall auf ein Kundenprodukt zurückgreifen.

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Keep it simple

· Gepostet: 30.01.2006 - 09:20 Uhr · #5

Willst du die Signatur aus dem gephisten Auftrag rausschneiden und an einen anderen heften, oder wie soll man sich das vorstellen?
Die Signatur ist auftragsbezoegen, das funktioniert nicht so einfach.

Man könnte einen infizierten Browser aber so manipulieren das dem Signierenden ein veränderter Auftrag untergeschoben wird, das ist aber kein Phishing mehr.
Zudem das wiederum stark von der Umsetzung der Bank abhängig ist und prinzipiell genauso mit einer Software funktionieren könnte.

tux-banker

Benutzer

Geschlecht: keine Angabe
Beiträge: 263
Dabei seit: 03 / 2005

Betreff:

Re: Keep it simple

· Gepostet: 30.01.2006 - 09:53 Uhr · #6

Ganz einfach:
Ich brauche doch nur ein eigenes Applet dafür zu bauen. Wenn ich Benutzer dazu bekomme "5 unverbräuchte TANs in Feld folgendes einzutasten", kriege ich sie auch dazu zu Testzwecken ihre Chipkarte einzulegen und die PIN einzugeben oder ihre Schlüsseldatei hochzuladen... Minimal aufwendiger als die TANs abzuphishen. Das Hauptsicherheitsproblem ist einfach der Browser.
Und es ist immer noch wesentlich leichter dem Benutzer eine gefakete Internet-Seite unterzuschieben als ein fest kompilliertes Binary zu manipulieren.

klopfer

Betreff:

Re: Keep it simple

· Gepostet: 31.01.2006 - 19:25 Uhr · #7

Zitat geschrieben von tux-banker

... kriege ich sie auch dazu zu Testzwecken ihre Chipkarte einzulegen und die PIN einzugeben oder ihre Schlüsseldatei hochzuladen...

Hallo Marcel,

bislang war mein Wissenstand, das die "Schlüsseldatei" nicht von der Chipkarte hochgeladen werden kann. Wir sprechen hier von einer Chip-gestützten-Lösung für das Internetbanking, nicht von einer Diskettenlösung.

Oder liege ich da vollkommen daneben?

tux-banker

Benutzer

Geschlecht: keine Angabe
Beiträge: 263
Dabei seit: 03 / 2005

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 00:23 Uhr · #8

Hallo Udo,

Zitat

bislang war mein Wissenstand, das die "Schlüsseldatei" nicht von der Chipkarte hochgeladen werden kann. Wir sprechen hier von einer Chip-gestützten-Lösung für das Internetbanking, nicht von einer Diskettenlösung.

Nein, da liegst du völlig richtig. Aber dass du nicht an den Schlüssel kommst,
heisst ja nicht, dass du dich nicht auf die Unvorsichtigkeit des Benutzers verlassen kannst... Wie wäre zum Beispiel folgendes Angriffs-Szenario:

Der Benutzer wird durch eine Phishing-Mail auf eine nachgebaute Bankseite gelockt. Auf dieser befindet sich ein eigenes Chipkarten-Applet. Die Seite fordert nun den Anwender auf zur Überprüfung seiner Benutzerdaten die Karte in den Leser zu stecken und seine PIN über das Terminal des Kartenlesers einzugeben (genau wie er es von seiner echten Bankseite gewohnt ist).
Gutgläubig wie er nunmal ist, tut er was ihm seine Bank per Email geraten hat. Was er allerdings nicht ahnt, ist dass er mit genau diesem Einstecken der Karte und dem Eingeben seiner PIN den vorbereiteten Überweisungsauftrag absegnet, der per HBCI-Nachricht an seine Bank weitergeleitet wird und sein Geld nach St. Petersburg überweist...

Als Angreifer brauche ich also den Schlüssel von der Chipkarte garnicht.
Sobald mir der Kunde meinen gefaketen Auftrag signiert, habe ich schon gewonnen. Ob er das nun per TAN-Eingabe oder per Chipkarte macht... Einziges Hindernis ist, daß ich als Angreifer halt nicht weiss, wieviel Geld ich vom Konto abheben kann (eventuell wird der Auftrag geblockt, weil das Konto überzogen wird), aber notfalls hole ich mir mit diesem ersten Auftrag erst mal den Kontostand ab und sage dem Benutzer dass die eingegebene PIN falsch war. Dann weiss ich auch schon den genauen Betrag, den ich in meinen Überweisungsauftrag einfügen muss

Das ganze ist zwar sicherlich etwas aufwendiger zu programmieren, als derzeitige Phishing-Seiten, aber dennoch mit vertretbarem Aufwand umsetzbar. Ich würde sagen: Wer einen TAN-phishenden Trojaner programmieren kann, kriegt sowas bestimmt auch hin.

Das Hauptproblem ist und bleibt der Webbrowser!

Gruss, Marcel

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 00:55 Uhr · #9

ok, eine klassische Man in the Middle Attacke.
Lässt sich aber imo über Sessions lösen, bei der ausschließlich zwischen Kundenrechner, bzw HBCI-Schlüssel, Bankserver und immer neu (!) vom Bankserver geladenem HBCI-Applet die Daten ausgetauscht werden können.
Der Server seinerzeit prüft eine Prüfsumme, die passend zum angebotenem Applet jedes Mal eine andere ist, so ist eine Manipulation des Applets "on the fly" ausgeschlossen.
Ob das ganze dann noch HBCI ist und ob ich hier ´nen Gedankenfehler mache, wisst ihr Spezis besser als ich.

tux-banker

Benutzer

Geschlecht: keine Angabe
Beiträge: 263
Dabei seit: 03 / 2005

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 02:02 Uhr · #10

Zitat

Naja, nützt aber nix, weil man dem Kunden in diesem Fall verbieten müsste ein Kundenprodukt einzusetzen. Mein Applet macht ja nix anderes als ein Kundenprodukt zu imitieren, also wird garkeine HTTPS-Session zur Bank aufgebaut, sondern ein HBCI-Auftrag über Port 3000 eingereicht...
Und in den Auftrag kann ich einen beliebigen Produktnamen einfügen "MoneyPenny, StarMoney, VR-Networld...".
Man müsste den Kunden also schon vor die Wahl stellen Banking per Applet oder per Kundenprodukt zu machen... Beides geht sicherlich nicht parallel und das zweitere birgt sicherlich deutlich weniger Risiko. ´
Abgesehen davon ist das was du beschreibst imo kein HBCI mehr, sondern irgendeine properitäre Browser-Lösung. Soweit ich weiss, sind im FinTS-Standard keine Applets vorgesehen.

Gruss, Marcel

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 14:08 Uhr · #11

oder man verpflichtet die Hersteller, jedes mal einen Check auf Manipulation durchzuführen (Checksum wie MD5) und diesen mit zu übertragen. Der Bankserver würde dann die Software auf Manipulationen prüfen können, wenn ihm die Versionshashes bekannt sind. Seeehr theoretisch, ich weiss.

kleiner77

Benutzer

Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 14:25 Uhr · #12

Zitat geschrieben von Angel

Hier ein Beispiel für ein Applet:
http://hbci4java.kapott.org/demo/wallstreet9.html

Funktioniert technisch, ist nur nicht schön

Durch entsprechende Absicherung des Applets (Signaturen) kann man sogar einigermaßen sicher sein, dass die Software nicht kompromittiert ist - sicherer zumindest als bei der Software, die ich fest auf meinem heimischen PC installiert habe (weil die nicht signiert ist).

-Stefan-

Bratwurst

Benutzer

Geschlecht: keine Angabe
Beiträge: 480
Dabei seit: 05 / 2003

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 15:09 Uhr · #13

Zitat

oder man verpflichtet die Hersteller, jedes mal einen Check auf Manipulation durchzuführen (Checksum wie MD5) und diesen mit zu übertragen.

Tja, aber wenn ich schon das Binary gehackt habe (oder ein anderes untergeschoben) ist es nicht weiter schwierig die Original-Checksum an den Server zu schicken - der Server hat keine Chance zu prüfen, ob der Hash denn nun wirklich zur EXE passt...

Gruß
BW

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 16:12 Uhr · #14

dann musst du aber das binary hacken - und kannst es nicht einfach nachbauen. Imo ein wesentlicher Aufwands-Unterschied.

Fellini

Benutzer

Geschlecht: keine Angabe
Herkunft: Im wunderschönen Ahrtal
Beiträge: 2077
Dabei seit: 04 / 2004

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 16:44 Uhr · #15

so langsam bewegen wir uns aber wirklich im Paranoia-Bereich ... :noidea:

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6203
Dabei seit: 02 / 2003

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 16:45 Uhr · #16

Zitat geschrieben von Fellini

so langsam bewegen wir uns aber wirklich im Paranoia-Bereich ... :noidea:

Nein, schon lange angekommen

MrNett

Benutzer

Geschlecht: keine Angabe
Herkunft: Zeven
Beiträge: 1224
Dabei seit: 06 / 2003

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 17:36 Uhr · #17

Nichts ist unmöglich => toyota

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002

Betreff:

Re: Keep it simple

· Gepostet: 01.02.2006 - 23:15 Uhr · #18

da fallen mir nur ein paar meiner Lieblingszitate ein:
"Nur weil ich paranoid bin, heißt das noch nicht, dass sie nicht wirklich hinter mir her sind."
und natürlich:
"Die Frage ist nicht ob Du paranoid bist, die Frage ist, ob Du paranoid genug bist!"

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Keep it simple

· Gepostet: 02.02.2006 - 08:46 Uhr · #19

100% Sicherheit gibt es nicht, nahezu völlige Sicherheit ist für den Massenmarkt schlicht unbezahlbar.
Eine Bankanwendung ist kein Nachrichtensystem eines Geheimdienstes....

Ich denke das genau diese Betrachtung gerne übersehen wird, es geht nur um Geld, nicht um Leben. Geld ist sehr einfach ersetzbar, deswegen ist es DAS Tauschmittel überhaupt.