Fraude mogelijk bij internetbankieren ABN Amro - update 2
Gebruikers van de internetbankiersite van ABN Amro zijn in sommige gevallen kwetsbaar voor aanvallen. Het apparaat dat wordt gebruikt om de identiteit van een klant te controleren, kan worden gekraakt, blijkt uit onderzoek.
De kwetsbaarheid maakt het mogelijk voor kwaadwillenden om transacties via het internetbankieren van ABN Amro te manipuleren, zodat ze geld kunnen doorsluizen naar hun eigen rekening. Dat hebben onderzoekers van de Radboud Universiteit in Nijmegen ontdekt. De onderzoekers onthulden hun bevindingen in Nieuwsuur.
Klanten zijn alleen kwetsbaar als het apparaat dat wordt gebruikt om hun identiteit te controleren, de e.dentifier2, via een usb-kabel aan de computer is gekoppeld. Via malware op de pc van een slachtoffer kan dan fraude worden gepleegd. Volgens de onderzoekers is er 'geblunderd' bij de ontwikkeling van het apparaat, omdat malware ervoor kan zorgen dat een malafide transactie wordt uitgevoerd en goedgekeurd zonder dat de gebruiker op 'ok' drukt.
De kwetsbaarheid maakt het voor aanvallers mogelijk om een malafide transactie uit te voeren nadat de klant een eigen transactie heeft uitgevoerd en deze heeft goedgekeurd op zijn e.dentifier. Daarvoor onderschepten de onderzoekers het verkeer tussen de pc en de e.dentifier, iets wat bekend staat als een man in the middle-aanval. Daarbij wordt de transactie van de kwaadwillende wel op het display getoond, maar omdat de malware op de pc van het slachtoffer toegang heeft tot dat display, kan de melding binnen een seconde weer worden weggehaald.
Circa 500.000 klanten zouden de kwetsbare e.dentifier gebruiken. Aankoppelen via een usb-kabel is gebruiksvriendelijker, omdat klanten bij een transactie dan slechts hun pincode hoeven in te voeren. Anders moet ook een reeks cijfers worden ingevoerd. Bankklanten die hun e.dentifier2 niet hebben aangekoppeld, zijn niet kwetsbaar, evenals klanten met oudere versies van het apparaat. Die kunnen namelijk niet via usb worden aangekoppeld.
Volgens de onderzoekers is ABN Amro al een halfjaar geleden geïnformeerd over de kwestie, en is de bank begonnen met het ontwikkelen van een veiliger apparaat. De bank heeft zijn klanten echter niet geïnformeerd.
Dat internetbankieren onveilig kan zijn, is overigens al langer bekend. Niet alleen worden de nodige bankklanten het slachtoffer van phishing, ook rouleert er malware die tot doel heeft om logingegevens van banken te onderscheppen. Sommige malware is zelfs in staat tancodes te onderscheppen, die worden gebruikt om betalingen bij ING te bevestigen. Daartoe moet dan wel de telefoon van een slachtoffer zijn geïnfecteerd.
Update, 22:34: Details uit uitzending Nieuwsuur toegevoegd.
Update, vrijdag 8:47: Bevindingen uit research-paper in artikel verwerkt.
Bekijk ook de demonstratie van Tweakers.net over de manier waarop trojans bankgegevens ontvreemden.
Reacties (144)
Laat me raden. Het is mogelijk voor "debugging" purposes om informatie van het apparaat uit te lezen via usb en trojans en andere malware kunnen daar gebruik van maken.
Vraag me af of de ABN-AMRO zelf ook per direct stopt met aangesloten identifiers op hun bankkantoren. Als je b.v. geld gaat storten, dan hebben ze dat ding daar ook aan USB hangen.
Nu hebben ze ongetwijfeld wel een AV oplossing en een firewall met malware-scanning, maar daarmee houd je 0-day virussen niet tegen. En in de pauze een beetje surfen zullen de meeste medewerkers ook wel doen ...
Probleem met bijna al die USB devices is dat ze allemaal op dezelfde bouwstenen (chipset, API) gebaseerd zijn en vooral bij oudere 'kits' is de beveiliging zeer onder de maat. Krijg je kromme constructies als wel 1024 bits RSA en b.v. netjes AES gebruiken, maar ondertussen inderdaad gewoon de JTAG debugging aan laten staan
Nu hebben ze ongetwijfeld wel een AV oplossing en een firewall met malware-scanning, maar daarmee houd je 0-day virussen niet tegen. En in de pauze een beetje surfen zullen de meeste medewerkers ook wel doen ...
Probleem met bijna al die USB devices is dat ze allemaal op dezelfde bouwstenen (chipset, API) gebaseerd zijn en vooral bij oudere 'kits' is de beveiliging zeer onder de maat. Krijg je kromme constructies als wel 1024 bits RSA en b.v. netjes AES gebruiken, maar ondertussen inderdaad gewoon de JTAG debugging aan laten staan
Banken gebruiken meestal 3DES ipv AES
Om eigelijk nog preciezer te zijn: banken gebruiken nog 3DES ipv AES. Rijndael AES is namelijk de opvolger van 3DES als AES. Ik doel dan ook juist op het gebruik van moderne, 'veilige' crypto-methodieken op 'oude', lekke (hw) platformen. Zonder een goede fundering ben je nog niet veilig met 'goede opbouw'.
Voor meer info over & geschiedenis van 3DES vs AES zie ook: http://blogs.msdn.com/b/a...s-3des-block-ciphers.aspx
Voor meer info over & geschiedenis van 3DES vs AES zie ook: http://blogs.msdn.com/b/a...s-3des-block-ciphers.aspx
Klopt dat er 3DES wordt gebruikt. Maar het is hier niet 3DES wat gekraakt is...
Banken zijn conservatief, AES moet zich zeer lang bewezen hebben willen ze overstappen... Ook is er soms oudere aparatuur in het veld die nog geen AES kan, maar wel 3DES
Banken zijn conservatief, AES moet zich zeer lang bewezen hebben willen ze overstappen... Ook is er soms oudere aparatuur in het veld die nog geen AES kan, maar wel 3DES
Ik denk niet dat banken migratie projecten op gaan starten om in bestaande systemen 3DES te vervangen door AES.
Standaard DES met een 56 bits sleutel is voor zover ik weet alleen te kraken met Bruteforce. De 112 bit sleutels van 3DES zijn net als de 128 bit van AES te groot om met Bruteforce te kraken.
Standaard DES met een 56 bits sleutel is voor zover ik weet alleen te kraken met Bruteforce. De 112 bit sleutels van 3DES zijn net als de 128 bit van AES te groot om met Bruteforce te kraken.
Single DES met 56 bits is met brute-force anno 2012 vrijwel 'instant' te kraken en 112 vs 128 bits scheelt toch aardig wat; factor 65536
Maar goed, het hele RSA / AES / 3DES was maar een voorbeeld om te benadrukken dat zelfs sterke encryptie zinloos is als zoiets basaal als JTAG'ing en geheugen uitlezen mogelijk is.
AES versus 3DES heeft zich allang bewezen, daar gaat het niet om, natuurlijk heb je nog lang 'legacy code & algoritmes'. B.v. NIST heeft als doelstelling 3DES pas in 2030 uitgefaseerd te hebben ...
Maar goed, het hele RSA / AES / 3DES was maar een voorbeeld om te benadrukken dat zelfs sterke encryptie zinloos is als zoiets basaal als JTAG'ing en geheugen uitlezen mogelijk is.
AES versus 3DES heeft zich allang bewezen, daar gaat het niet om, natuurlijk heb je nog lang 'legacy code & algoritmes'. B.v. NIST heeft als doelstelling 3DES pas in 2030 uitgefaseerd te hebben ...
Triple-DES heeft met 112 bits slechts een security marge van om en nabij 80 bits. Tegen AES zijn bijna geen aanvallen bekend, dus reken iets van 3 bits minder. Dan is het verschil zo'n 125 - 80 = 45 bits. Dat is al een stuk grotere factor van 16 bits waar jij het over hebt. Je kan natuurlijk ook 168 bit Triple-DES gebruiken, in dat geval klopt je berekening wel. Verder heeft AES nog vele andere voordelen boven Triple DES: geen weak keys, grote blocksize, geen parity bit onzin en veel sneller.
Merk op dat ik continue met encryptie bezig ben. Ik kom zelden voor dat zoiets basaals als een te korte sleutel een probleem is. Het juiste gebruik van cryptografie is een veel groter probleem. En dat probleem is meestal nog klein als je het totale security plaatje bekijkt. Dat zijn ze bij de e-dentifier klaarblijkelijk vergeten; het verbaast me niks, op hun internet bankieren PC's in de banken zelf gebruikten ze nog steeds Internet Explorer 6, en ze deden helemaal niets om de browser te herstarten tussen klanten in. Toen ik dat melde heb ik ook nooit antwoord gehad.
Merk op dat ik continue met encryptie bezig ben. Ik kom zelden voor dat zoiets basaals als een te korte sleutel een probleem is. Het juiste gebruik van cryptografie is een veel groter probleem. En dat probleem is meestal nog klein als je het totale security plaatje bekijkt. Dat zijn ze bij de e-dentifier klaarblijkelijk vergeten; het verbaast me niks, op hun internet bankieren PC's in de banken zelf gebruikten ze nog steeds Internet Explorer 6, en ze deden helemaal niets om de browser te herstarten tussen klanten in. Toen ik dat melde heb ik ook nooit antwoord gehad.
De reden dat (3)DES nog steeds veilig is bij banken is dat codes zeer snel verlopen. Bruteforce de code kraken is eventueel wel mogelijk, maar tegen de tijd dat je de code hebt, is de code voor de transactie al verlopen..
Vervelender is dat de USB verbinding vooral door bedrijven wordt gebruikt. Als de e.dentifier2 is aangesloten via USB heb je alleen nog maar een pincode bij eerste gebruik van de sessie. Daarna voert de e.dentifier automatisch de codes voor je in. Bedrijven welke veel betalingen doen of elk uur de transacties ophalen maken veelvuldig gebruik van deze mogelijkheid.
Aangezien de fraude alleen mogelijk is bij gebruik van de USB functionaliteit vermoed ik dat niet de e.dentifier2 zelf lek is, maar eerder dat men een exploit in de (java) software voor de communicatie tussen ABN en de e.dentifier hebben gevonden of de communicatie ermee kunnen onderscheppen.
Als het probleem echt bij de e.dentifier2 ligt, dan is de enigste oplossing klanten nieuwe hardware token generators toesturen. Als het probleem bij de software voor de communicatie met de e.dentifier zit, kan kan men een software update uitbrengen..
Vervelender is dat de USB verbinding vooral door bedrijven wordt gebruikt. Als de e.dentifier2 is aangesloten via USB heb je alleen nog maar een pincode bij eerste gebruik van de sessie. Daarna voert de e.dentifier automatisch de codes voor je in. Bedrijven welke veel betalingen doen of elk uur de transacties ophalen maken veelvuldig gebruik van deze mogelijkheid.
Aangezien de fraude alleen mogelijk is bij gebruik van de USB functionaliteit vermoed ik dat niet de e.dentifier2 zelf lek is, maar eerder dat men een exploit in de (java) software voor de communicatie tussen ABN en de e.dentifier hebben gevonden of de communicatie ermee kunnen onderscheppen.
Als het probleem echt bij de e.dentifier2 ligt, dan is de enigste oplossing klanten nieuwe hardware token generators toesturen. Als het probleem bij de software voor de communicatie met de e.dentifier zit, kan kan men een software update uitbrengen..
Als het een software verhaal is, kan de malware vermoedelijk ook weer geupdate worden; denk aan het CSS decrypt-key verhaal. Ook zullen de identifier interne keys / certs geupdate moeten worden (firmware flash ?). Maar de kans bestaat natuurlijk dat met de kennis van de v1 hack (denk geheugen offsets van de keys) de geupdate versies ook weer snel ten prooi vallen ...
Ik zou zeggen, stop per direct de USB ondersteuning voor de e.identifier2, liever wat ongemak, dan gatenkaas proberen te dichten. Richt die focus op een veilige v3, als een v2.1 of v2.2 opnieuw gehackt wordt, heb je elke keer opnieuw imago-schade.
Ik zou zeggen, stop per direct de USB ondersteuning voor de e.identifier2, liever wat ongemak, dan gatenkaas proberen te dichten. Richt die focus op een veilige v3, als een v2.1 of v2.2 opnieuw gehackt wordt, heb je elke keer opnieuw imago-schade.
112 bit sleutels van 3DES zijn op dit moment en in de nabije toekomst onmogelijk te kraken met Bruteforce, tenzij jij een werkende quantum computer op je bureaus hebt staan...De reden dat (3)DES nog steeds veilig is bij banken is dat codes zeer snel verlopen. Bruteforce de code kraken is eventueel wel mogelijk, maar tegen de tijd dat je de code hebt, is de code voor de transactie al verlopen..
Dan moeten ze dat verbieden cq onmogenlijk maken
En niet komen met ik heb recht om te surfen , ja dat heb je maar niet op een bedrijfscomputer al helemaal niet om je eigen usb sticky te vullen
En niet komen met ik heb recht om te surfen , ja dat heb je maar niet op een bedrijfscomputer al helemaal niet om je eigen usb sticky te vullen
Je hebt geen idee hoe het er aan toegaat maar trek je de conclusie dat ze onbekommerd kunnen surfen en usb sticks kunnen aansluiten.
Kleine tip: je zit er faliekant naast.
Kleine tip: je zit er faliekant naast.
Ik heb de identifier2 nog nooit aan de pc gehangen omdat ik een beetje para was voor dit soort gevallen - en niet geheel onterecht blijkt nu. De enige veilige van zo'n passkey generator of hoe zo'n dinges ook noemt kan alleen veilig zijn wanneer er totaal geen interactie is met de pc anders is er altijd mee te communiceren - ook door malware/virus code...
Helaas is de batterij enkele weken van "de 1" op gegaan na weet ik niet hoeveel jaar
Helaas is de batterij enkele weken van "de 1" op gegaan na weet ik niet hoeveel jaar
[Reactie gewijzigd door shades op vrijdag 17 augustus 2012 07:26]
Ik heb zojuist het artikel met de details in google gevonden:
"Designed to Fail: A USB-Connected Reader for Online Banking"
Het lijkt geen fout door misbruik van de "debugging" interface.
"Designed to Fail: A USB-Connected Reader for Online Banking"
Het lijkt geen fout door misbruik van de "debugging" interface.
[Reactie gewijzigd door cyco2 op donderdag 16 augustus 2012 23:14]
Precies, ik heb ook nooit begrepen waarom een random reader een open interface naar een computer toe moet hebben. Hierdoor is de ABN token (bij mijn weten) ook de enige random reader geweest die ooit gehacked is door er andere firmware op te laden.
Noemen ze dat tegenwoordig ook al kraken..............
Ja ze noemen tegenwoordig alles kraken. Voorbeeld; http://4.bp.blogspot.com/...5g/s1600/kraken+small.jpg
Loopt de spuigaten uit. Anti-kraken partij starten misschien. Val je mooi in het rijtje "piratenpartij" en "dierenpoes" eh, ik bedoel, partij met de dieren.
Loopt de spuigaten uit. Anti-kraken partij starten misschien. Val je mooi in het rijtje "piratenpartij" en "dierenpoes" eh, ik bedoel, partij met de dieren.
waarom moet de identifier dan aan de pc gehangen worden? Mijn moeder bankiert ook via ABN met (ik denk) een nieuwe die ook aan de pc "kan" maar ze doet het nooit (soz, zit zelf bij Rabobank, dus weet echt niet waarvoor dat usb dient).
Wel apart dat juist de nieuwe kwetsbaar is, de oude is meestal juist kwetsbaar en de nieuwe dient dan als verbetering die probelemen oplost.
Dit kan dus ook niet even gefixt worden met een software update denk ik? (gezien je het apparaat kraakt, en de bootrom kun je volgens mij niet aanspreken via de usb poort)
Wel apart dat juist de nieuwe kwetsbaar is, de oude is meestal juist kwetsbaar en de nieuwe dient dan als verbetering die probelemen oplost.
Dit kan dus ook niet even gefixt worden met een software update denk ik? (gezien je het apparaat kraakt, en de bootrom kun je volgens mij niet aanspreken via de usb poort)
Klopt, de identifier2 hoeft niet verplicht aangesloten te worden op een PC. Is niet verplicht maar dat kan ook niet, alleen Windows is ondersteund namelijk.
Hier werkt die op Mac OSX 10.7 & 10.8 ook gewoon hoor... Hiervoor is ook software beschikbaar zie :
https://www.abnamro.nl/nl...ftware-installeren.html#/?s=0/:S0
https://www.abnamro.nl/nl...ftware-installeren.html#/?s=0/:S0
ooh dat is dan aangepast inmiddels, ik heb het van het doosje en daar spraken ze alleen over windows platformen.
(Zelf een Mac gebruiker trouwens)
(Zelf een Mac gebruiker trouwens)
Waar moet die software update vandaan komen?
En zo gek is het niet. Het nieuwe apparaat zal ontworpen zijn met het oog op het verbeteren van de veiligheid. Dat er bij de (waarschijnlijk) geheel nieuwe architectuur een ontwerpfout is gemaakt, is natuurlijk menselijk. Al is dat niet netjes!
En zo gek is het niet. Het nieuwe apparaat zal ontworpen zijn met het oog op het verbeteren van de veiligheid. Dat er bij de (waarschijnlijk) geheel nieuwe architectuur een ontwerpfout is gemaakt, is natuurlijk menselijk. Al is dat niet netjes!
Dat moet niet, maar maakt het makkelijker, want dan vult hij bepaalde codes zelf in, geloof ik. Dus je hoeft dan alleen de responscodes in te tikken. (hij leest zelf wat er van de website komt).waarom moet de identifier dan aan de pc gehangen worden? Mijn moeder bankiert ook via ABN met (ik denk) een nieuwe die ook aan de pc "kan" maar ze doet het nooit (soz, zit zelf bij Rabobank, dus weet echt niet waarvoor dat usb dient).
Zoiets.
[/zelf alleen een e-dentifier 1]
[Reactie gewijzigd door Keypunchie op donderdag 16 augustus 2012 18:35]
Niet helemaal, het is niet de response, maar je pincode.
Hmm, en ik vond het via de kabel zo makkelijk.... dan maar weer los gebruiken.
Hmm, en ik vond het via de kabel zo makkelijk.... dan maar weer los gebruiken.
Als je de e.dentifier2 via usb aan je pc koppelt hoef je bij transacties en inloggen geen codes in te voeren, maar alleen je pincode. Daarnaast kun je volgens mij zonder code ook je saldo en dergelijke controleren.
Heb het zelf een tijd gebruikt en het is opzich wel handig als je veel tranacties doet, hierbij scheelt het wel. Maar voor die paar handelingen per maand is volgens mij de moeite niet waard.
Uiteindelijk ben ik ermee gestopt omdat ik verwachte dat het veiliger was zonder usb ertussen en dat is nu dus gebleken. Was volgens mij geen kwestie van of, maar van wanneer het misbruikt zou worden.
// Zowel het makkelijk inloggen als het snel je saldo controleren zijn wat mij betreft ook wel gerealiseerd door het Snel Bankieren wat ze nu al een tijdje aanbieden. Hiermee kun je met een 5 cijferige code direct inloggen voor wat simpelere bankier zaken. Werkt exact het zelfde als de Android app en wat mij betreft wel een handige vinding.
Dus nog een reden minder om je e.dentifer2 niet aan te hoeven sluiten aan je pc.
Heb het zelf een tijd gebruikt en het is opzich wel handig als je veel tranacties doet, hierbij scheelt het wel. Maar voor die paar handelingen per maand is volgens mij de moeite niet waard.
Uiteindelijk ben ik ermee gestopt omdat ik verwachte dat het veiliger was zonder usb ertussen en dat is nu dus gebleken. Was volgens mij geen kwestie van of, maar van wanneer het misbruikt zou worden.
// Zowel het makkelijk inloggen als het snel je saldo controleren zijn wat mij betreft ook wel gerealiseerd door het Snel Bankieren wat ze nu al een tijdje aanbieden. Hiermee kun je met een 5 cijferige code direct inloggen voor wat simpelere bankier zaken. Werkt exact het zelfde als de Android app en wat mij betreft wel een handige vinding.
Dus nog een reden minder om je e.dentifer2 niet aan te hoeven sluiten aan je pc.
[Reactie gewijzigd door The System op donderdag 16 augustus 2012 18:42]
Omdat je dan alleen nog maar je pinpas in het apparaat hoeft te schuiven, je pincode hoeft in te tikken en de transactie hoeft goed te keuren door op OK te drukken.
Geen gedoe met codes overtikken: gemak dient de mens.
Geen gedoe met codes overtikken: gemak dient de mens.
[Reactie gewijzigd door CodeCaster op donderdag 16 augustus 2012 18:36]
Je moet helemaal niets, het is een optie om de identifier aan de pc te hangen via usb. Het voordeel is dat je dan een (aantal) stappen tijdens het inloggen en/of internetbankieren kan overslaan.
Ik weet niet wat de details zijn, ik koppel mijn identifier nooit via usb.
Naar mijn idee is het een stom idee geweest om het mogelijk te maken om de identifier via usb aan de pc te koppelen. De kracht van het systeem zit hem juist in het gebruiken van 2 apparaten die niet gekoppeld zijn.
Ik weet niet wat de details zijn, ik koppel mijn identifier nooit via usb.
Naar mijn idee is het een stom idee geweest om het mogelijk te maken om de identifier via usb aan de pc te koppelen. De kracht van het systeem zit hem juist in het gebruiken van 2 apparaten die niet gekoppeld zijn.
Het koppelen van systemen hoeft geen beveiligingsprobleem te geven. Als je maar zorgt dat het gehele protocol waterdicht is, en dat zal echt wel mogelijk zijn.
Het koppelen van USB-apparaten op een computer met een OS als windows kan onveilig zijn omdat de USB kwaadaardige code kan bevatten, of omdat het OS juist de gegevens op het USB-apparaat kan manipuleren. Maar als een USB-apparaat geen code kan uitvoeren (behalve die van zichzelf natuurlijk) en read-only is hoeft er niets mis te gaan. Maar goed, het is natuurlijk wel veel complexer, en het is maar de vraag of je dat risico wilt lopen. Een los apparaat is relatief simpel om 100% veilig te maken.
Het koppelen van USB-apparaten op een computer met een OS als windows kan onveilig zijn omdat de USB kwaadaardige code kan bevatten, of omdat het OS juist de gegevens op het USB-apparaat kan manipuleren. Maar als een USB-apparaat geen code kan uitvoeren (behalve die van zichzelf natuurlijk) en read-only is hoeft er niets mis te gaan. Maar goed, het is natuurlijk wel veel complexer, en het is maar de vraag of je dat risico wilt lopen. Een los apparaat is relatief simpel om 100% veilig te maken.
[Reactie gewijzigd door bwerg op donderdag 16 augustus 2012 23:30]
Dit zou natuurlijk ook kunnen gebeuren op een Mac/Linux systeem, laten we AUB niet verzanden in 'die' discussie.
Maar de rest van je punt is zeker valide. Mijn antennes zouden ook als eerste uit gaan naar USB drivers en zwakheden daarin aangezien dat a) de stap is de mogelijk maakt dat er beveiligingsmethodes 'geskipped kunnen worden' b) daar r(/w) mogelijkheden/zwakheden in kunnen zitten met een directe koppeling aan het apparaat 'waar het allemaal gebeurd'. Als ik op zoek moest gaan naar zwakheden zou ik als eerste daar beginnen...
Maar de rest van je punt is zeker valide. Mijn antennes zouden ook als eerste uit gaan naar USB drivers en zwakheden daarin aangezien dat a) de stap is de mogelijk maakt dat er beveiligingsmethodes 'geskipped kunnen worden' b) daar r(/w) mogelijkheden/zwakheden in kunnen zitten met een directe koppeling aan het apparaat 'waar het allemaal gebeurd'. Als ik op zoek moest gaan naar zwakheden zou ik als eerste daar beginnen...
[Reactie gewijzigd door rvl1980 op vrijdag 17 augustus 2012 08:05]
Als je de identifier via usb aansluit hoef je de code die het maakt niet zelf in te voeren bij het inloggen ed, dat doet de software dan voor je.
Moet niet, maar het is veel makkelijker want je hoeft niet steeds je rekeningnr. en pasnummer in te vullen. Je hoeft dan alleen je pin-code in te voeren om in te loggen.waarom moet de identifier dan aan de pc gehangen worden?
Omdat dat het veiliger is (of ik moet nu eigenlijk zeggen: kan zijn...)
De bedoeling is dat je ziet waarvoor je signed. Bij de oude e.dentifier en de Rabobank random reader weet je niet voor welk bedrag en welke rekening je je pincode opgeeft. Je denkt dat dat is voor wat je op het scherm ziet, maar daar kan malware tussen zitten... en ja dan klopt de url, zie een slotje, een groene adresbalk etc alsof er niets aan de hand is... Toch kan het geld heel ergens anders heengaan.
Dus apparaat waar je bedrag en rekekening op ziet is een goed idee en ook handiger omdat je niet hoeft over te typen... mits dit natuurlijk goed is uitgevoerd... (in hoeverre dit al mogelijk is op een PC / Telefoon die je eigenlijk niet kunt vertrouwen)
Er wordt ook erg gemakkelijk gedaan over mobiel betalen / bankieren, maar indien niet goed uitgevoerd kan dit rampzalig aflopen. De telefoons zijn tot nu toe eigenlijk niet geschikt omdat ze geen echt secure element bevatten en al helemaal niet voldoen aan de eisen die voor pinpads in een winkel gelden, zoals PCI-PTS en zelfs die worden soms geskimd.
De bedoeling is dat je ziet waarvoor je signed. Bij de oude e.dentifier en de Rabobank random reader weet je niet voor welk bedrag en welke rekening je je pincode opgeeft. Je denkt dat dat is voor wat je op het scherm ziet, maar daar kan malware tussen zitten... en ja dan klopt de url, zie een slotje, een groene adresbalk etc alsof er niets aan de hand is... Toch kan het geld heel ergens anders heengaan.
Dus apparaat waar je bedrag en rekekening op ziet is een goed idee en ook handiger omdat je niet hoeft over te typen... mits dit natuurlijk goed is uitgevoerd... (in hoeverre dit al mogelijk is op een PC / Telefoon die je eigenlijk niet kunt vertrouwen)
Er wordt ook erg gemakkelijk gedaan over mobiel betalen / bankieren, maar indien niet goed uitgevoerd kan dit rampzalig aflopen. De telefoons zijn tot nu toe eigenlijk niet geschikt omdat ze geen echt secure element bevatten en al helemaal niet voldoen aan de eisen die voor pinpads in een winkel gelden, zoals PCI-PTS en zelfs die worden soms geskimd.
[Reactie gewijzigd door p88l2 op donderdag 16 augustus 2012 20:29]
Tegenwoordig moet je als verificatie code bij de rabobank je totaalbedrag invoeren. Het rekeningnummer staat ook duidelijk aangegeven.
Op onze (wellicht oude) random reader zie je alleen je eigen rekeningnummer...
Alleen voor grote bedragen moet je bij ABN (bij Rabo weet ik eigenlijk niet) nog een keer een code intypen die afgeleid is van het rekeningnummer.
Maar kan zijn dat ook Rabonbank nieuwere versies heeft.
Alleen voor grote bedragen moet je bij ABN (bij Rabo weet ik eigenlijk niet) nog een keer een code intypen die afgeleid is van het rekeningnummer.
Maar kan zijn dat ook Rabonbank nieuwere versies heeft.
Het opbouwen van de verificatiecode gebeurt op de random reader van de Rabobank in 3 stappen die je individueel op de reader in moet voeren en met [OK] moet bevestigen. Eerst een willekeurig gegenereerd getal vanuit de website van de Rabobank, dan het totaalbedrag wat je over gaat maken en tenslotte (bij hoge bedragen) een gedeelte v/h rekeningnummer van de begunstigde partij.Op onze (wellicht oude) random reader zie je alleen je eigen rekeningnummer...
Alleen voor grote bedragen moet je bij ABN (bij Rabo weet ik eigenlijk niet) nog een keer een code intypen die afgeleid is van het rekeningnummer.
Maar kan zijn dat ook Rabonbank nieuwere versies heeft.
Niet alleen dat, tegenwoordig moet het volgens mij altijd, en is er daadwerkelijk aangegeven dat het het totaalbedrag is. Vroeger was dat niet het geval, en als mensen niet weten wat het getal voorsteld dan zullen ze er niet snel over struikelen als het totaal niet klopt. Soms zijn het echt van dit soort kleine dingetjes die het verschil maken.
Wie maakt die e.dentifier2 dan? Ik kan moeilijk geloven dat het een in-house systeem is, waarschijnlijk zit er wel een bedrijf achter dat thuis is in deze apparaten?
Een grote leverancier van dit soort spullen is vasco.com
Klopt ! Sommige Vasco Readers komen me bekend voor ... 
[Reactie gewijzigd door pingwim op donderdag 16 augustus 2012 19:00]
Alleen staat de 2 er niet bij.
De e.dentifer2 is de Ezio Shield Pro van het zweedse Gemalto.
http://www.gemalto.com/fi..._suite/product/index.html
De vraag is eigenlijk nu of de connectable DIGIPASS-apparaten ook kwetsbaar zijn: http://www.vasco.com/prod..._readers.aspx#connectable
http://www.gemalto.com/fi..._suite/product/index.html
De vraag is eigenlijk nu of de connectable DIGIPASS-apparaten ook kwetsbaar zijn: http://www.vasco.com/prod..._readers.aspx#connectable
[Reactie gewijzigd door TheodoorDG op donderdag 16 augustus 2012 20:14]
Dan is het wel een hele custom versie. De edentifier2 ziet er zo uit: http://www.abnamro.nl/nl/...sen/prive/edentifier2.jpg
De Ezio Shield Pro heeft de knoppen Login, Buy, Code, Sign. Die zitten niet op de reader van ABN-Amro.
De Ezio Shield Pro heeft de knoppen Login, Buy, Code, Sign. Die zitten niet op de reader van ABN-Amro.
Je hebt gelijk, het verschil in de indeling van knoppen was me niet opgevallen. Mogelijk is de e.dentifer2 een iets oudere versie van voor de Ezio Shield Pro?
Volgens mij lijkt het het abn-geval nog het meest op de Vasco Digipass 815 of 820.
ok gelijk maar de usb software verwijderd. Je zou toch denken dat zeker banken wel de benodigde beveiligingsexpers laten hobbiën met dit soort spul voor ze het gaan uitgeven
hebben ze ook gedaan alleen is de kwetsbaarheid gevonden op een (gesloten) systeem waar ze iets hebben gevonden wat er nog niet is. Zover ik het dus begreep is dit inmiddels aangepast en is het "gewoon" veilig.ok gelijk maar de usb software verwijderd. Je zou toch denken dat zeker banken wel de benodigde beveiligingsexpers laten hobbiën met dit soort spul voor ze het gaan uitgeven
PS ik gebruik nooit de usb kabel!
Volgens mij is dit al een tijdje bekend bij de ABN want ik zie bij sommige plaatsen waar je je edentifier moet gebruiken steeds staan dat deze niet met de usb-kabel gekoppeld moet zijn. Anders zou de transactie mislopen.
Het is wel enigszins hilarisch dat je e.dentifier2 nu gewoon via usb kunt aansluiten. Als ik het goed begrijp laat je dat ding gewoon in je usb port zitten en dan kan iedereen je rekening plunderen?
Nee dus. Je doet je pas in het apparaat om een bepaalde transactie goed te keuren (geld overmaken via internetbankieren bijvoorbeeld, of betalen via iDEAL), en deze transactie kan dan "onderschept" (en misschien aangepast? Lekker weinig informatie weer eens) worden.Door op de computer van de ABN Amro-klant kwaadaardige software te installeren, kunnen internetcriminelen transacties onderscheppen.
Zonder pas erin doet het apparaat sowieso niets, dus je rekening wordt niet zomaar geplunderd als je 'm aangesloten laat. En nee, natuurlijk kan niet zomaar iedereen je rekening plunderen, je moet wel eerst zo stom zijn om geen AdBlock te draaien en troep via advertentiesites binnen te halen.
[Reactie gewijzigd door CodeCaster op donderdag 16 augustus 2012 18:47]
Ik plug hem alleen in als ik ga internetbankieren. Er is geen reden om hem ingeplugd te laten tenzij je 10x per dag internetbankiert.Het is wel enigszins hilarisch dat je e.dentifier2 nu gewoon via usb kunt aansluiten. Als ik het goed begrijp laat je dat ding gewoon in je usb port zitten en dan kan iedereen je rekening plunderen?
Er is geen reden om hem los te koppelen, er is niets over jou bekend als je pas niet in de lezer zit.
Ik wist niet eens dat je dat geval kon koppelen. Inderdaad, een micro-USB portje. Vraag me net als aadje93 af waar die voor dient.
Edit: Is hierboven verklaard.
Edit: Is hierboven verklaard.
[Reactie gewijzigd door snesie op zaterdag 18 augustus 2012 07:41]
Voor updates als de beveiliging gekraakt is.
Ja dacht je dacht echt? Dan kan elke willekeurig virus toch ook een malware variant uploaden naar je e.dentifier2. Als de e.dentifier2 gekraakt wordt, dan moet ABN de ondersteuning online daarvoor gewoon stopzetten en haar klanten van een nieuwe reader (alsin een nieuwe versie) gaan voorzien.
Ik zit ook bij de ABN, maar wist totaal niet dat je dat apparaatje via USB aan kon sluiten. Zou het zelf ook nooit doen, gewoon apart van het internet houden dat ding. Zolang het algoritme van die codes vervolgens stand houdt, wat volgens mij bijna onmogelijk is om te kraken, dan is het allemaal veilig.
er zat een duidelijke uitleg in het doosje en een usb kabel. Dat is toch een behoorlijke hint. Zelf nooit gedaan...vond het koppelen "eng". Terecht blijkbaar.
@henze: was geen handleiding een plaatje van een usb kabel en de reader, en je moest langs de kabel om dat kreng uit het doosje te krijgen
@henze: was geen handleiding een plaatje van een usb kabel en de reader, en je moest langs de kabel om dat kreng uit het doosje te krijgen
[Reactie gewijzigd door swartzkip op vrijdag 17 augustus 2012 11:11]
Niet iedereen reads the f.... manual...
Ik ben gelukkig nooit zo stom geweest om het apparaatje aan me pc te hangen, voelde namelijk toen al aan me water, dat het met die actie verkeerd zou kunnen gaan. Toch vind ik het wel jammer dat mijn gevoelens nu bevestigd worden, aangezien ik toch wel dacht dat men hiermee rekening had gehouden tijdens het ontwerpen van dit apparaatje, blijkbaar toch niet.
Daar hoef je niet stom voor te zijn.USB connector zit er op en een kabeltje zit erbij. Logischerwijze hang je hem dan aan je PC. Daar is het ook voor.Ik ben gelukkig nooit zo stom geweest om het apparaatje aan me pc te hangen, voelde namelijk toen al aan me water, dat het met die actie verkeerd zou kunnen gaan.
Ik hang alles aan m'n PC behalve die e.indentifier. Nog nooit gedaan. Waarom?
Ik heb m'n usb poorten voor andere zaken nodig. Zo dicht je per toeval al een lek
Ach, " stom"????....
Ik gebruik(te) hem zelf wel aan een kabel. Veel eenvoudiger.
Ik denk zelfs dat het, ook nu bekend is dat hij POTENTIEEL lek is, ik het gewoon nog steeds blijf gebruiken.
Waarom? Omdat ik het idee heb dat ik zo veilig mogelijk internet en omdat dit lek alleen maar te misbruiken is als je zo stom bent om malware te accepteren!
Bovendien gaf ABN AMRO in nieuwsuur aan dat ze inmiddels algoritmes in place hebben om misbruik via deze manier te detecteren. Sowieso zullen ze jou echt niet voor de schade op laten draaien als op deze manier jouw rekening geplunderd wordt.
Kijk trouwens voor de grap eens naar hoeveel exploits en gevallen van misbruik er bij andere banken al zijn geweest. Het virus van vorige week bv.: Duizenden rekeningnummers van ING klanten op straat. Enkele tientallen van ABN klanten....
Ik gebruik(te) hem zelf wel aan een kabel. Veel eenvoudiger.
Ik denk zelfs dat het, ook nu bekend is dat hij POTENTIEEL lek is, ik het gewoon nog steeds blijf gebruiken.
Waarom? Omdat ik het idee heb dat ik zo veilig mogelijk internet en omdat dit lek alleen maar te misbruiken is als je zo stom bent om malware te accepteren!
Bovendien gaf ABN AMRO in nieuwsuur aan dat ze inmiddels algoritmes in place hebben om misbruik via deze manier te detecteren. Sowieso zullen ze jou echt niet voor de schade op laten draaien als op deze manier jouw rekening geplunderd wordt.
Kijk trouwens voor de grap eens naar hoeveel exploits en gevallen van misbruik er bij andere banken al zijn geweest. Het virus van vorige week bv.: Duizenden rekeningnummers van ING klanten op straat. Enkele tientallen van ABN klanten....
Het bedrijf achter de e.dentifier is Gemalto.
http://www.gemalto.com/fi...ase_studies/ABN_AMRO.html
Geen goede reclame voor ze.
http://www.gemalto.com/fi...ase_studies/ABN_AMRO.html
Geen goede reclame voor ze.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
