Bernd Borchert
Aktuelles
Pressemeldungen
- 20.11. GData: Gefaehrlicher-Banking-Trojaner
- 9.11. Handelsblatt: Geld-in-Gefahr,
schlecht recherchierter Artikel, neue Verfahren wie SMS-TAN oder
ChipTAN werden nicht mal erwaehnt
- 6.11. Esslinger Zeitung: Polizeibericht,
schoene Kurzbeschreibung des MiTM Angriffs: "Die Überweisungsdaten
wurden während des Onlinebanking im Hintergrund
verfälscht, so dass die von der Frau eingegebenen TANS für
die
unberechtigte Überweisung durch den Trojaner benutzt wurde."
- 19.10. ZDF WiSo: Handy-Banking
- 19.10. Web.de: 10-Fakten-zur-Passwort-Sicherheit
Trojanersichere Online Accounts
Trojaner
(eigentlich: Trojanische Pferde) sind Computer-Viren, die auf dem
Rechner des Benutzers sitzen und dort abhoeren und/oder faelschen
koennen. Einfaches Beispiel: es ist offenbar nicht schwer fuer einen
Trojaner, das Passwort zu einem email-Account abzuhoeren: wenn der
Benutzer es am Rechner eingibt, achtet der Virus ganz einfach darauf,
welche
Tasten gedrueckt werden, und schon kennt er das Passwort. Anderes
Beispiel: beim Online Banking mit dem iTAN Verfahren kann ein Trojaner
eine Ueberweisung faelschen: aus 50 Euro an X werden dann durch einen
sogenannten Man-in-the-Middle Angriff des Trojaners 5000 Euro an
Y, und das, ohne dass der Bankkunde oder die Bank etwas
davon merken (siehe weiter unten).
Ein Verfahren heisst trojanersicher, wenn ein Trojaner es
nicht schaffen kann, bestimmte Teile der Kommunikation abzuhoeren
und/oder zu
faelschen. Es werden trojanersichere Verfahren untersucht und
entwickelt, speziell solche fuer Online Accounts (Bank, email, etc.).
Alle hier vorgestellten trojanersicheren Verfahren sind gleichzeitig
auch ein sicherer Schutz gegen sogenanntes spoofing, d.h. sie
schliessen Angriffe aus, bei denen der Account-Benutzer auf eine
gefaelschte Webseite gelockt wird, die so aussieht wie die Webseite des
Account-Servers.
Online Demonstrationen von neuen Verfahren fuer trojanersichere
Online Accounts
Komfortabler und sicherer Zugriff auf die
Online Accounts via Fotohandy
Das Fotohandy wird fuer den sicheren und komfortablen Zugang zu
Internet-Accounts genutzt. Mit der Foto-PIN kann der Benutzer seine PIN
eingeben, ohne dass ein Trojaner sie abhoeren kann.
-
Foto-PIN/TAN Das
Fotohandy des Benutzers wird fuer Trojanersicherheit bei PIN und TAN
eingesetzt.
- Sicherheits-Erweiterungen des Fotohandy-Verfahren speziell fuer Online Banking sind das WYSIWYC Verfahren, das den
ueblichen Ueberpruefungsschritt der Ueberweisungsdaten einspart, und
die NFC-Foto-TAN, d.h. die
Speicherung des geheimen Schluessels auf der Scheckkarte statt auf dem
Handy:
-
WYSIWYC What-you-see-is-what-you-confirm
fuer die Fotohandy-TAN (keine Demo, nur Beschreibung)
-
NFC-Foto-TAN Das Nahfunk-Fotohandy als Mittler
zwischen Browser und Scheckkarte (keine Demo, nur Beschreibung)
Sichere "low-tech" Verfahren fuer Online Accounts, d.h. Verfahren,
die nur mit Papier oder Folien arbeiten:
-
indirekte iTAN Durch
indirekte (statt direkte) Eingabe der TAN werden Ueberweisungen
faelschungssicher.
-
zwei Varianten der indirekten TAN, die
genauso trojanersicher sind, die aber zusaetzlich auch gegen
Phishing/Pharming sicher sind:
-
Bild-TAN Durch
Mausklicks auf Bilder werden Ueberweisungen
faelschungssicher.
-
Linien-TAN Mit
Linien auf geknicktem Papier werden Ueberweisungen faelschungssicher
gemacht (under construction)
-
Cardano-TAN
Mit gelochten Papierzetteln werden Ueberweisungen faelschungssicher
gemacht.
-
Visuelle TAN Durch Folien mit kleinen
Puenktchen werden Ueberweisungen faelschungssicher gemacht (keine Demo,
nur Beschreibung)
-
Permutations-PIN/TAN Mit vertauschten Ziffern auf einem
Blatt Papier wird fuer Trojanersicherheit gesorgt.
-
Bildpasswort-TAN
Ein praktisch faelschungs- und phishingsicheres Verfahren, das
Bildpasswoerter verwendet.
Das Sichere Fenster Verfahren:
Das Verfahren ist speziell fuer
Firmen-Accounts von Mitarbeitern geeignet, die von ausserhalb des
Firmennetzes per Browser auf den Firmen-Account zugreifen wollen, z.B.
von zu Hause
aus, und zwar vom gleichen Rechner aus, den auch sonst benutzt.
Wirtschaftsspione koennen nichts abhoeren, denn die gesamte
Kommunikation wird in beide Richtungen verschluesselt. Kann auch fuer
Online
Banking eingesetzt werden ("Konto in der Schweiz"):
Sichere
Fenster Ein
Dekodier-Geraet zwischen
Rechner und Bildschirm sorgt fuer unabhoerbare Online Accounts (keine Demo).
Sonstige Verfahren:
Das iTAN Verfahren beim Online Banking ist nicht trojanersicher
So funktioniert der Man-in-the-Middle Angriff eines Trojaners auf das
iTAN-Verfahren (nach dem Motto "tarnen, abhoeren, faelschen,
taeuschen"):
Der
Bankkunde gibt eine Ueberweisung ein, sagen wir 50
Euro an X. Das Formular wird vom Bankkunden abgeschickt, doch noch
bevor es verschluesselt wird (SSL) und durch das Internet an die Bank
geschickt wird, faengt der Trojaner es ab und macht daraus eine
Ueberweisung von 5000 Euro an Y. Dieser manipulierte
Ueberweisungsauftrag wird
verschluesselt und an
die
Bank geschickt. Die Bank empfaengt den Auftrag und schickt die
Rueckfrage
"Bitte bestaetigen Sie die Ueberweisung von 5000 Euro an Y mit der iTAN
Nr. 37!" an den Bankkunden. Nachdem die Nachricht beim Kunden-Rechner
angekommen ist und entschluesselt worden ist, aber noch bevor sie auf
dem
Bildschirm des Bankkunden angezeigt
wird, faengt der Trojaner sie ab und zeigt dann dem Bankkunden am
Bildschirm anstattdessen an "Bitte
bestaetigen Sie die Ueberweisung von 50 Euro an X mit der iTAN Nr.
37!".
Ahnungslos gibt der Kunde seine iTAN Nr. 37 ein. Der Trojaner gibt die
iTAN an die Bank weiter. Die Bank ueberweist 5000 Euro an Y. Weder der
Kunde noch die Bank haben etwas von dem Betrug bemerkt. Wenn der
Trojaner gut geschrieben ist, prueft er vor dem Angriff, wieviel der
Bankkunde maximal ueberweisen kann, und zeigt nach dem Angriff dem
Bankkunden noch ein paar Tage
lang in der Konto-Uebersicht Daten an, die so aussehen, als wenn 50
Euro an
X ueberwiesen worden waeren.
Der Angriff ist auf diesen pdf-Folien
als eine Art Daumenkino nochmal dargestellt. Hier ist ein Video von
IBM, das den Angriff auf das iTAN Verfahren ebenfalls darstellt: http://video.golem.de/internet/1692/ibm-ztic.html
Gibt es solche hinterhaeltigen Computer-Viren ueberhaupt? koennen
Hacker sowas hinkriegen? Antwort: Ja. Bislang gab zwar es kaum solche
Faelle, aber hier ist ein kleiner Vorgeschmack darauf (von Anfang
2008): Silentbanker
und Sinowal.
Ebenso unsicher wie das iTAN Verfahren gegenueber einem
Trojaner-Angriff sind das
TAN-Verfahren und die Verfahren HBCI-1 und HBCI-2. Sicher sind dagegen
die Verfahren TAN-Generator und chipTAN, mobile TAN (mTAN, SMS-TAN),
HBCI-3 (d.h.
HBCI mit Display) und neue Verfahren wie z.B. Internetausweis oder
visuelle TAN. Die folgende Tabelle fasst das zusammen, wobei neue -
d.h.
noch nicht von den Banken eingesetzte Verfahren - gekennzeichnet sind.
|
Trojaner-unsicher |
Trojaner-sicher |
low-
tech,
d.h.
Papier
oder
Folie
|
|
|
elektr.
Geraet
|
|
|
Auf dieser Seite sind die
Online-Banking Verfahren steckbriefartig
beschrieben.
Studien- und Diplomarbeiten
Aktuelle Berichte ueber das Thema aus den Medien
- 14.10. Heise: mTAN
in Australien ausgehebelt
- 13.10. heute.de:
Wie sicher ist die Daten-Wolke? , BKA
warnt vor Online Gaunern
- 8.10. Tagesschau:Internetkriminalitaet,
Sendung
dazu, Passwoerter
ausgespaeht
- 7.10. Handelsblatt: So
schuetzen sie Ihr e-mail Konto
- 7.10. Heise Online:
Passwörter
von Google und Hotmail Konten ausgespäht
- 1.10. netzwelt.de: Neuartiger
Online Banking Trojaner
- 6.10.09
Ueber 10 000 Hotmail Konten geknackt
- Sancta simplicitas! Facebook
fragt user nach email Passwort, um die emails zu durchsuchen
- 28.8.09
Heise: Phishing kommt aus der Mode, dafuer legen Trojaner zu
- n-tv:
1800 Faelle von iTAN-Manipulationen im Jahr
- taz:
Auch itan schuetzt vor Phishing nicht, Mai 09
- Smart
Surfing fuer iPhone, Chip, April 09
- Alte
Nokia-Handys für Bank-Betrug gehackt, Standard, April 09
- FTD:
Zahl-von-Computer-Angriffen-stark-gestiegen, Maerz 09
- Heise:
Kaputtoptimiertes Online Banking, Maerz 09
- do-it: Mit dem Fotohandy sicher
Bankgeschäfte erledigen
- FTD:
Kriminalitaet-wandert-ins-Netz, Jan. 09
- Technology Review: Barcode
gegen Lauschangriff, Jan. 2009
- Gartner:
Banken muessen dringend ihre Online-Sicherheit verbessern, 10.12.08
- Handelsblatt:
Online Banking wird sicherer, 2.12.08
- Fotohandy
macht Online-Banking sicherer, Deutschlandfunk, 29.11.08
- Sicheres
Online-Banking per Foto-Handy, ZDF www-Seite, 28.11.08
- Betrueger
setzen auf Viren und Trojaner, Handelsblatt, 18.11.08
- Virtuelles
Keyboard geknackt, zdnet, 15.11.08
- Computerwoche
ueber das Fotohandy-TAN Verfahren der britischen Firma Cronto, 13.11.08
- Bericht ueber das Fotohandy-PIN
Verfahren, Prometheus-TV, 12.11.08
- Trojaner Sinowal,
ComputerZeitung, 11.11.08
- Kontodaten
ausgespaeht, taz, 6.11.08
- Pressemitteilung
Uni Tuebingen: Fotohandy-PIN Verfahren, 4.11.08
- USB-Stick fuer
sicheres Online-Banking, Golem.de 29.10.08
- Angriff
der
Hacker, Abendzeitung, 21.10.08
- Neues
Crypto-Tool ueberfordert Keylogger, CZ, 18.9.08
- Sicherer
Zugriff aufs Online-Konto, c't, 4.8.08
- BitKom:
Fast 4 Millionen Opfer von Computer- und Internet-Kriminalitaet, 6.7.08
- Wirtschaftwoche,
25.1.2008
- Focus, 21.1.2008
- Handelsblatt,
30.12.2007
- PC
Welt: "Mehr als 200 neue Banking-Trojaner taeglich", 7.12.2007
- Computerwoche,
6.12.2007: "Internetausweis"
- FAZ, 23.11.2007
- WDR-Sendung:
Was ist ein Trojaner?
- Heise
"iTAN-Verfahren unsicherer als von Banken behauptet", 26.8.2005
Papers/Vortraege/Statistiken/Broschueren
- 13.10.: B. Borchert:Trojanersicheres
Online Banking bei der IT-Security-Messe
it-sa
- Cronto:
internet Banking Fraud beyond Phishing
- Demo
(Reiner SCT): Comfort chipTAN
- Fiducia:
Studie Online Banking 2008
- Vortrag
B.Borchert: Trojanersichere Online Accounts (Okt. 2008)
- Info-Blatt zum
Fotohandy-PIN
Verfahren (Aug. 2008)
- Bundesbank-Statistik:
Zahlungsverkehr Deutschland 2006
- Anzahl der Online-Bankkonten: 31 Millionen
- Anzahl der Online-Ueberweisungen pro Jahr: 1,8 Milliarden
- Gesamtwert der Online-Ueberweisungen pro Jahr: 1,7 Billionen
Euro
- Mueller-Quade,
Roehrich: What you see is what you
sign, 2007
- Borchert:
Permutations-TAN (pTAN), 2007
- Greveler:
vTANs: Eine Anwendung Visueller
Kyptographie in der Online Sicherheit,
2007
- Szydlowski,
Kruegel, Kirda: Secure Input for Web Applications, 2007
- McCune,
Perrig, Reiter: Seeing is
Believing:
Using Camera Phones
for Human-Verifiable Authentication, 2005
- Balfanz,
Felten: Hand-Held
Computers Can Be Better Smart Cards, 1999
- Moni
Naor and Benny Pinkas, Visual
Authentication , Crypto 97
- Moni
Naor and Adi Shamir, Visual
Cryptography, Eurocrypt 94
Patente
- Siamack Yousofi. Validation
of Transactions, WO-2002-017556, 2001
- Moshe Steinmetz. METHOD,
SYSTEM AND DEVICE FOR AUTHENTICATION AND IDENTIFICATION FOR
COMPUTERIZED AND NETWORKED SYSTEMS, WO-2006-020096, 2004
- Pim Tuyls et. al. IMAGE
DECRYPTION DEVICE AND METHOD, WO-2004-040903, 2003
- Pim Tuyls et. al. METHOD AND
SYSTEM FOR ENABLING REMOTE MESSAGE COMPOSITION, WO-2004-081768, 2003
- Christian Hogl. Verfahren und
System zum Uebertragen von Daten, WO-2007-051842,
2005
- Luigi Lo Iacono. Verfahren
und System zur Erhoehung der Sicherheit bei der Erstellung
elektronischer Signaturen mittels Chipkarte, WO-2008-080879, 2006
- Joern Mueller-Quade, Stefan Roehrich. Verfahren zum
Ueberpruefen
und/oder Authentifizieren von Uebermittlungsdaten, WO-2008-017477,
2006
- Bernd Borchert,
Klaus
Reinhardt. Abhoer- und
manipulationssichere Verschluesselung fuer Online Accounts, WO-2008-128528,
2007
- Bernd Borchert,
Klaus
Reinhardt. Vorrichtung
und
Verfahren zur
abhoer- und manipulationssicheren Verschluesselung von Online
Accounts, WO-2009-000223,
2007
Links
Letzte Änderung: 20. Nov. ‘09 | Bei Fragen und Anregungen E-Mail an:
Bernd Borchert
Shutterbrillen-PIN/TAN Fuer Techies: abhoersichere Online
Accounts via Shutterbrille
(keine Demo)
Visuelle
Kryptographie Hier
kann man sich Folien fuer Geheimnis-Bilder selber malen und beschreiben.
