Hallo Leute !


Ich habe vor von Pin/Tan auf HBCI mit Chipkarte umzusteigen. BS ist W2000. Warum benötigt man dazu eigentlich eine Bankingsoftware ? Warum kann ich nicht ganz einfach über das Internetportal meiner Bank (Sparkasse) die Überweisungen mit HBCI abwickeln. Habe an sich kein Bock auf Wiso, Quicken und Co. Alle viel zu viele Funktionen die ich überhaupt nicht will. Was ist den die einfachste und „sicherste“ Bankingsoftware (am besten Freeware) für einfache Überweisungen mit HBCI nach den Motto: Keep it simple

Gruss Michael

"sicherste" ist genau der Punkt, deshalb solltest du auf alles browserbasierende verzichten.
Vorschlag: Schau dir mal windata@home oder Alf an, das sind sehr einfache Programme. Normalerweise hätte ich dir homecash light empfohlen, aber das wird nicht mehr weiterentwickelt. Dafür ist das komplett kostenlos.

Gruß
Raimund

Ganz einfach - weil das technisch (noch) nicht möglich ist. Wenn du HBCI mit Chipkarte nutzen willst (das absolut Beste, was du für deine Sicherheit tun kannst) wirst du um eine entsprechende Software nicht herum kommen.

Gruß,
Angel

Außerdem würde ich mal behaupten dass Phishing auch Problemlos mit Kartenleser funktionieren würde, wenn man einen Web-Browser benutzt.
Wenn man sicher gehen will, sollte man auf jeden Fall auf ein Kundenprodukt zurückgreifen.

Willst du die Signatur aus dem gephisten Auftrag rausschneiden und an einen anderen heften, oder wie soll man sich das vorstellen?
Die Signatur ist auftragsbezoegen, das funktioniert nicht so einfach.

Man könnte einen infizierten Browser aber so manipulieren das dem Signierenden ein veränderter Auftrag untergeschoben wird, das ist aber kein Phishing mehr.
Zudem das wiederum stark von der Umsetzung der Bank abhängig ist und prinzipiell genauso mit einer Software funktionieren könnte.

Ganz einfach:
Ich brauche doch nur ein eigenes Applet dafür zu bauen. Wenn ich Benutzer dazu bekomme "5 unverbräuchte TANs in Feld folgendes einzutasten", kriege ich sie auch dazu zu Testzwecken ihre Chipkarte einzulegen und die PIN einzugeben oder ihre Schlüsseldatei hochzuladen... Minimal aufwendiger als die TANs abzuphishen. Das Hauptsicherheitsproblem ist einfach der Browser.
Und es ist immer noch wesentlich leichter dem Benutzer eine gefakete Internet-Seite unterzuschieben als ein fest kompilliertes Binary zu manipulieren.

Hallo Marcel,

bislang war mein Wissenstand, das die "Schlüsseldatei" nicht von der Chipkarte hochgeladen werden kann. Wir sprechen hier von einer Chip-gestützten-Lösung für das Internetbanking, nicht von einer Diskettenlösung.

Oder liege ich da vollkommen daneben?

Hallo Udo,



Nein, da liegst du völlig richtig. Aber dass du nicht an den Schlüssel kommst,
heisst ja nicht, dass du dich nicht auf die Unvorsichtigkeit des Benutzers verlassen kannst... Wie wäre zum Beispiel folgendes Angriffs-Szenario:

Der Benutzer wird durch eine Phishing-Mail auf eine nachgebaute Bankseite gelockt. Auf dieser befindet sich ein eigenes Chipkarten-Applet. Die Seite fordert nun den Anwender auf zur Überprüfung seiner Benutzerdaten die Karte in den Leser zu stecken und seine PIN über das Terminal des Kartenlesers einzugeben (genau wie er es von seiner echten Bankseite gewohnt ist).
Gutgläubig wie er nunmal ist, tut er was ihm seine Bank per Email geraten hat. Was er allerdings nicht ahnt, ist dass er mit genau diesem Einstecken der Karte und dem Eingeben seiner PIN den vorbereiteten Überweisungsauftrag absegnet, der per HBCI-Nachricht an seine Bank weitergeleitet wird und sein Geld nach St. Petersburg überweist...

Als Angreifer brauche ich also den Schlüssel von der Chipkarte garnicht.
Sobald mir der Kunde meinen gefaketen Auftrag signiert, habe ich schon gewonnen. Ob er das nun per TAN-Eingabe oder per Chipkarte macht... Einziges Hindernis ist, daß ich als Angreifer halt nicht weiss, wieviel Geld ich vom Konto abheben kann (eventuell wird der Auftrag geblockt, weil das Konto überzogen wird), aber notfalls hole ich mir mit diesem ersten Auftrag erst mal den Kontostand ab und sage dem Benutzer dass die eingegebene PIN falsch war. Dann weiss ich auch schon den genauen Betrag, den ich in meinen Überweisungsauftrag einfügen muss

Das ganze ist zwar sicherlich etwas aufwendiger zu programmieren, als derzeitige Phishing-Seiten, aber dennoch mit vertretbarem Aufwand umsetzbar. Ich würde sagen: Wer einen TAN-phishenden Trojaner programmieren kann, kriegt sowas bestimmt auch hin.

Das Hauptproblem ist und bleibt der Webbrowser!

Gruss, Marcel

ok, eine klassische Man in the Middle Attacke.
Lässt sich aber imo über Sessions lösen, bei der ausschließlich zwischen Kundenrechner, bzw HBCI-Schlüssel, Bankserver und immer neu (!) vom Bankserver geladenem HBCI-Applet die Daten ausgetauscht werden können.
Der Server seinerzeit prüft eine Prüfsumme, die passend zum angebotenem Applet jedes Mal eine andere ist, so ist eine Manipulation des Applets "on the fly" ausgeschlossen.
Ob das ganze dann noch HBCI ist und ob ich hier ´nen Gedankenfehler mache, wisst ihr Spezis besser als ich.

Naja, nützt aber nix, weil man dem Kunden in diesem Fall verbieten müsste ein Kundenprodukt einzusetzen. Mein Applet macht ja nix anderes als ein Kundenprodukt zu imitieren, also wird garkeine HTTPS-Session zur Bank aufgebaut, sondern ein HBCI-Auftrag über Port 3000 eingereicht...
Und in den Auftrag kann ich einen beliebigen Produktnamen einfügen "MoneyPenny, StarMoney, VR-Networld...".
Man müsste den Kunden also schon vor die Wahl stellen Banking per Applet oder per Kundenprodukt zu machen... Beides geht sicherlich nicht parallel und das zweitere birgt sicherlich deutlich weniger Risiko. ´
Abgesehen davon ist das was du beschreibst imo kein HBCI mehr, sondern irgendeine properitäre Browser-Lösung. Soweit ich weiss, sind im FinTS-Standard keine Applets vorgesehen.

Gruss, Marcel

oder man verpflichtet die Hersteller, jedes mal einen Check auf Manipulation durchzuführen (Checksum wie MD5) und diesen mit zu übertragen. Der Bankserver würde dann die Software auf Manipulationen prüfen können, wenn ihm die Versionshashes bekannt sind. Seeehr theoretisch, ich weiss.

Hier ein Beispiel für ein Applet:
http://hbci4java.kapott.org/demo/wallstreet9.html

Funktioniert technisch, ist nur nicht schön Durch entsprechende Absicherung des Applets (Signaturen) kann man sogar einigermaßen sicher sein, dass die Software nicht kompromittiert ist - sicherer zumindest als bei der Software, die ich fest auf meinem heimischen PC installiert habe (weil die nicht signiert ist).

-Stefan-

Tja, aber wenn ich schon das Binary gehackt habe (oder ein anderes untergeschoben) ist es nicht weiter schwierig die Original-Checksum an den Server zu schicken - der Server hat keine Chance zu prüfen, ob der Hash denn nun wirklich zur EXE passt...

Gruß
BW

dann musst du aber das binary hacken - und kannst es nicht einfach nachbauen. Imo ein wesentlicher Aufwands-Unterschied.

so langsam bewegen wir uns aber wirklich im Paranoia-Bereich ... :noidea:

Nein, schon lange angekommen

Nichts ist unmöglich => toyota

da fallen mir nur ein paar meiner Lieblingszitate ein:
"Nur weil ich paranoid bin, heißt das noch nicht, dass sie nicht wirklich hinter mir her sind."
und natürlich:
"Die Frage ist nicht ob Du paranoid bist, die Frage ist, ob Du paranoid genug bist!"

100% Sicherheit gibt es nicht, nahezu völlige Sicherheit ist für den Massenmarkt schlicht unbezahlbar.
Eine Bankanwendung ist kein Nachrichtensystem eines Geheimdienstes....

Ich denke das genau diese Betrachtung gerne übersehen wird, es geht nur um Geld, nicht um Leben. Geld ist sehr einfach ersetzbar, deswegen ist es DAS Tauschmittel überhaupt.