Hallo,

in der Regel nutzte ich StarMoney 7.0 mit HBCI Chip und
Reiner cyberJack e-com (Klasse 3) Leser.
Damit gab es all die Jahre noch nie ein Sicherheitsproblem.

Als zweite Lösung bei einem Ausfall der Ersten und für Giropay habe ich die iTan Liste deaktiviert und mir einen ChipTan Generator zugelegt.(Reiner)
Dieser arbeitet im Portal,aber auch mit StarMoney mit Flickercode zur Kontrolle der versendeten Daten.(Kontonummer und Summe)

Bei Sammelüberweisungen wird hierbei jedoch nur der Gesamtbetrag und die Anzahl der Buchungen übermittelt.
(Keine Kontonummern)

Hierbei soll es möglich sein,dass bei "Man in the Middle" Angriffen eine nicht bemerkbare Manipulation der Zielkontonummern erfolgen kann.

Bei dieser Angriffsart wird meines Wissens nach der Rechner des Opfers im Bereich der Domain Name/IP Auflösung durch betrügerische Einträge in der Windows Hosts manipuliert.Dabei kommt es zu einem Umlenken von der Bankseite hin zu der Seite des Betrügers.(Immer vorausgesetzt die Sicherheitssoftware auf dem PC kann dies nicht verhindern)
Mit dem Betrüger wird dann eine Verbindung aufgebaut,die durchaus auch SSL gesichert sein kann.(Das hier verwendete Zertifikat müsste sich ja eindeutig von dem der Bank unterscheiden(Domain und SHA1 Print etc.)
Der Angreifer baut dann seinerseits eine Verbindung zur Bank des Opfers auf und leitet die Daten mit Hilfe von Scripten in Echtzeit und mit verfälschten Zielkontonummern weiter.

Soweit, so schlecht...

Liege ich richtig in der Annahme,dass eine vom Banking Nutzer einmal korrekt mit der Bank aufgebaute SSL Sitzung die durch gewissenhafte Zertifikatsprüfung einschließlich der SHA 1 Fingerprints abgesichert wurde,nicht mehr nachträglich durch einen "Man in the Middle" Angriff manipuliert werden kann?
SSL garantiert ja eigentlich die Identität des Remoteservers(Bank),Integrität(Unveränderbarkeit) und Verschlüsselung der Daten.
Die bei der Sammelüberweisung angesprochenen Risiken würden dann nur existieren wenn der Nutzer das Zertifikat nicht prüft!


Desweiteren würde mich die Frage interessieren, ob es bei Verwendung der aktuellen Browser auf den Bankportalen noch Probleme mit Cross-Site-Scripting oder dem Einfügen von betrügerischen Frames gibt?

kragenbär

Hi Kragenbär,

der Angriff erfolgt früher. Das Umbiegen des Datenverlehrs auf Server der Betrüger ist unter Laborbedingungen praktikabel, in der "freien Wildbahn" Aufgrund der Masse nicht.
Wichtiger ist aber, dass der Angreifer schlicht einfachere Angriffsziele hat, den Browser. Hier lässt sich relativ einfach die Anzeige manipulieren und so andere Zahlungen verschleiern.

Viele Grüße

Holger

Du vergleichst Äpfel mit Birnen.
Ein Trojaner greift nicht den Datenverkehr an sondern steigt vorher ein, wie Holger schon schrieb. Insofern ist die Frage nicht wirklich relevant.

Im anderen Thread haben wir es schon thematisiert. Die aktuell größtmögliche Sicherheit bieten transaktionsbezogene Sicherungsmedien wie chipTAN, smsTAN und das Secoderverfahren der Volksbanken.
Grund: Nach der Sendung des Auftrags an die Bank werden Empfängerkontonummer und Betrag an den Teilnehmer zurück gemeldet - derzeit bei Sammlern leider nur Summen wie schon von Dir richtig erkannt - und man kann selbst den Vorgang abbrechen, wenn etwas nicht stimmt oder verdächtig ist. Und rein theoretisch ist es dabei unerheblich, ob man es über den Browser nutzt oder über ein Anwendungsprogramm. Ist am Ende alles nur Software und angreifbar. Nur die eigene Aufmerksamkeit kann ein Trojaner nicht knacken. Von daher empfehle ich immer chipTAN, smsTAN und Secoder. Auf KEINEN FALL iTAN!

Danke Euch für die Antworten,

ich würde das allerdings gern noch etwas präzisieren.
Eigentlich gibt es doch vor allem 2 Grundtypen von Angriffen auf das Browsergestützte Online Banking.
1) Phishing - Das primitive Abgreifen von Logindaten nachdem z.B per Mail unter Vorwänden aufgefordert wird einen Link zu einer vermeintlichen Bankseite zu nutzen - Diese ist dann betrügerisch...

2) Pharming
Hier geht es doch eigentlich immer um das Umbiegen von Bankadressen auf IP Nummern die zum betrügerischen Rechner führen,der wiederum einen Bankrechner vortäuscht(Look and feel)
Ein Banking Trojaner kann Einträge in die Windows Hosts vornehmen.
Z.B. Musterbank.de = IP Nummer xxxxxxxxxxxx
Normalerweise wird die Domain über einen DNS Server im Netz aufgelöst.
Wenn aber ein Eintrag in der Hosts vorhanden ist,wird dieser vorrangig verarbeitet und man landet auf der betrügerischen Seite.
Beim alten PIN/TAN Verfahren wurden hier die PIN und die TANs abgegriffen.
Beim iTan Verfahren wird der Nutzer per "Man in the Middle" in Echtzeit angegriffen.Solche "Scriptbasierten Verfahren"wurden durchaus schon beschrieben.
ChipTan ist beim Sammler dem gleichen Risiko ausgesetzt.
Warum also war meine Frage nach der Wichtigkeit der Zertifikatskontrolle irrelevant?
Sowohl dem Phishing als auch dem Pharming würde doch in jedem Fall der Boden entzogen wenn der Nutzer sich in jedem Fall vor dem Login von der Korrektheit des X.509 - Heute meist "Extended Validation" Zertifikates überzeugen würde.(Im Idealfall Abgleich des SHA1 Wertes mit der Referenz von der eigenen Bank)
Ein korrekter Fingerprint garantiert die Verbindung mit dem Bankrechner
aufgrund ausreichender Kollisionsfreiheit des Secure Hash Algorithm 1 oder 256.
So würde jeder Angriff entweder durch ein fehlendes oder ein falsches Zertifikat sofort auffliegen.
Welche Art von Angriff ist denn überhaupt noch denkbar wenn der Nutzer grundsätzlich immer vor der Eingabe von PIN/TAN und Login Daten das Zertifikat aufmerksam kontrolliert.
Müssten die Banken den Nutzer nicht noch viel intensiver dafür sensibilisieren?


Gruß vom
kragenbär

Hallo Kragenbär,

wie wir schon geschrieben haben, dein Angriffszenario 2) ist nicht praxisrelevant (würde mit den vom Michael genannten Verfahren aber auch abgesichert werden).

Viele Grüße

Holger

Weil das eine so gut wie ausgestorbene alte Variante ist. Aktuelle Trojaner bedienen sich viel raffinierterer Methoden.
Aber das war auch nicht Deine Frage. Sondern Deine Frage war, ob die Zertifikatskontrolle vor einem Trojanerangriff schützt. Dazu nochmal ganz klar: NEIN!

Zitiere:

Natürlich ist die Zertifikatskontrolle wichtig und gut beim Browserbanking. Aber sie zählt zu den selbstverständlichen und zumutbaren Verhaltensweisen eines Internetbenutzers und Browserbankingteilnehmers.

Das ist in etwa so wie die Kontrolle, ob Deine Handtasche zu ist, wenn Du über die Kirmes läufst.
Tust Du das nicht kannst Du Deine Geldbörse auch gleich in die Menge werfen.

Ich bin jetzt kein IT-Experte, aber ich habe die MITM-Angriffe so verstanden, dass der Trojaner auf die bestehende Session Einfluss nimmt. Dann würde die Prüfung des Zertifikates ja keine Chance haben, den Betrug zu merken. Sondern nur die Anzeige der Auftragsdaten vor Eingabe der TAN lässt dies erkennen.

Es gibt viele Varianten und Unterarten. Im OSI-Schichtenmodell kann man an mind. 7 verschiedenen Punkten manipulieren
Die öffentl. Besprechung solcher Details finde ich aber immer recht kontraproduktiv, weil man im Zweifel mehr Nachahmer auf den Plan ruft als man Klarheit schafft.

Kernaussage ist: Sicherheit kann man immer nur durch mehrere Faktoren erreichen. Dabei macht der eigene Verstand und die Aufmerksamkeit m.E. mindestens 95 % aus. Daher sind ja auch transaktionsbezogene Sicherungsmedien vorzuziehen, da man z.B. beim iTAN die eigene Aufmerksamkeit garnicht einbringen kann.

Um Michaels Aussage in andere Worte zu kleiden

Es gibt so viele Möglichkeiten den PC eines Anwenders zu manipulieren, dass der Schutz deutlich größer ist, wenn der Anwender die Manipulation erkennen kann und so die Freigabe eines entsprechend manipulierten Auftrag einfach unterlassen kann.

Viele Grüße

Holger

Hallo nochmal,

den bisherigen Ausführungen zur Manipulierbarkeit der Browser trotz korrekter SSL Verbindung zur Bank zufolge müsste richtig sein:

Bei Sammelüberweisung per ChipTan,also ohne Kontrollmöglichkeit der einzelnen Zielkontonummern ist es im Zweifel sicherer für den Vorgang StarMoney 7 mit HBCI Chip zu benutzen obwohl auch hier am Display des Lesers keine Kontonummern erscheinen.

Kann man eigentlich schon absehen wann der Secoder Standard sowohl von den Sparkassen,von StarFinanz(StarMoney) und den Kartenleserherstellern (z.B. Reiner) durchgehend unterstützt wird?
Brauche ich dann einen neuen Leser,mein Reiner SCT CyberJack e-com
ist schließlich updatefähig und müsste neue Firmware laden können wie bisher auch...

Ich hoffe,ich nehme das Forum nicht über Gebühr in Anspruch...


Danke
Gruß... kragenbär

Hallo Kragenbär,

es gibt im Moment kein Druck auf HBCI, da hier meines Wissens noch keine Angriffe durchgeführt wurden. Wozu auch, es gibt ja noch genügend iTAN-Nutzer
Deshalb würde ich nicht in nächster Zeit davon ausgehen, dass die Secoderfunktion im HBCI-Bereich flächendeckend bei allen Banken Einzug hält.
Mit deinem e-com bist du aber recht gut ausgestattet, der könnte ja auch mit Secoderfunktion ausgestattet werden. Ob das in Zukunft immer so bleiben wird, kann dir allerdings nur Reiner SCT sagen.

Achwas, dafür ist es ja da, kein Problem

Gruß
Raimund

Hallo Raimund, hallo Kragenbär,


Es gibt auch keine Angriffe auf das Internetbanking.....
Schwachpunkt ist der Browser und davon abgeleitet bedeutet das, dass ein Angreifer auch eher ein Kundenprodukt als solches angreifen würde, als das eigentliche Verfahren.
Und hier hat es vor einiger Zeit sehr wohl einen ersten Versuch gegeben, dem Anwender eine nachgebaute Anwendung als Update unterzujubeln!

Aber grundsätzlich hast Du recht, der Aufwand das Internetbanking anzugreifen ist dank der Nutzungsverteilung der verwendeten Browser und der Anzahl der Anwender deutlich geringer und die Erfolgsaussichten deutlich größer (noch).

Ansonsten ist die Nutzung des SECODERs im FinTS Protokoll in diesem Jahr spezifiziert worden, so das man davon ausgehen kann, dass in absehbarer Zeit diese auch Einzug bei den Softwarelösungen halten werden (Die Hersteller werden sich freuen, das da schon wieder ein neues Sicherheitsverfahren kommt)

Zum e-com. Mir selber ist spontan kein Klasse 3 Leser bekannt, der nicht auch als SECODER verwendet werden kann. Von daher solltest Du mit deinem e-com da recht gut ausgestattet sein.

Viele Grüße

Hallo Holger,

im Gegenteil, darauf warten wir ja bereits seit Jahren. Im Gegensatz zu den unzähligen (und unsäglichen ) PIN/TAN-Verfahren ist das hier endlich mal eine sinnvolle Erweiterung. Wir persönlich haben diese Meldung mit Freude aufgenommen und das ist bei den Kollegen denke ich genauso.

Tschüss

Sebastian

Hi Sebastian,

die Aussage bezog sich eher auf den Aufwand. Das diese Erweiterung wohlwollender aufgenommen wird, als die Xte TAN Variante in der Xten Segmentversion, hätte ich schon vermutet. Ich glaube auhc, dass die meisten Hersteller auf die TAN Varianten gerne verzichtet hätten, wenn es dafür die SECODER Unterstützung früher gegeben hätte
Aber es ist weiterer Aufwand, den man nicht un Funktionen umsetzen kann.

Viele Grüße

Holger

PS Habt Ihr euch die Spec schon mal angeschaut? Leider auch hier Verfahrensvarianten.........

Hallo zusammen,

als Mitarbeiter in der IT-Sicherheit einer Behörde kann ich nur folgende Tipps zum Thema Sicherheit geben:

- keine Administrationsrechte für Benutzer
- unnütze Programme und Dienste (Windows!) entfernen
- Patchstand aktuell, nicht nur Betriebssystem, sondern auch Einfallstore wie Acrobat Reader etc.
- Firewall aktivieren
- Mailanhänge im Whitelisting-Verfahren zulassen (d. h. nur bestimmte Inhalte dürfen überhaupt an einer Mail hängen)
- Prüfung auf Content-Spoofing durchführen (passt die Dateiendung zum Inhalt)

Die letzten beiden Punkte sind in Unternehmen leichter zu realisieren. Was es da für Tools für Privatanwender gibt, weiß ich im Moment nicht.

Um sichersten ist es sowieso, eine virtuelle Maschine aufzusetzen, darin nur die Banking-Software. Und beim nächsten Booten wird alles wieder auf 0 zurückgesetzt.

Ob das so realisierbar ist, hängt natürlich von dem Umfeld ab.

Hallo Torsten,

alles soweit richtig. Ist nur mal wieder so: Wer das alles drauf hat, wird eh nicht zum Opfer.oder gleich eine separate Linux-Boot-CD zum Homebanking nutzen.

Gruß
Raimund