Userbase

Zijn er die van dit artikel wat meer weten?
http://www.standaard.be/artikel/detail. ... 120203_188

Titel is wel misleidend, dit is een "gewone" man-in-the-middle aanval: de gebruiker denkt dat hij tekent voor een veiligheidsmaatregel, maar eigenlijk tekent hij in de achtergrond een overschrijving.
Het systeem van de digipass zelf is dus niet gekraakt.

maar het is wel degelijk op de site van de bank, maar er is een trojan of virus of iets gelijkaardigs op je pc aanwezig. Als ik je goed begrijp.

ja, voorwaarde is dat de pc van de gebruiker geïnfecteerd is. De hacker plugt dan zijn javascripts in het client-gedeelte van de bankwebsite. Hij gebruikt dan de standaard functionaliteit van de server van de bank, maar verandert de schermen die de gebruiker te zien krijgt.

johcla schreef:Het systeem van de digipass zelf is dus niet gekraakt.

Als ik het artikel goed begrijp wel... door twee gehandtekende transacties zou de aanvaller in staat zijn je PIN-code te berekenen (op zich lijkt me dat trouwens zeer sterk).

Hierna kan hij dus veel eenvoudiger zelf transacties in jou naam doen, dan via het injecteren van andere schermen.

Mijn inziens kan dit alleen werken met digipassen die GEEN gebruik maken van een kaart want bij digipassen die werken met een kaart is de PIN code gekoppeld aan de kaart.

Gekoppeld... in de zin van "ze wordt gecontroleerd met die op de kaart", of "ze haalt extra dingen op uit de kaart voor encryptie" ?

Als men puur op basis van twee transactie codes terug de PIN code kan berekenen (wat ik nogmaals moeilijk kan geloven), dan maakt het vermoedelijk ook niet uit dat de PIN code aan de kaart gekoppeld is.

Je hebt twee soorten Digipass.

1. Is een digipass waar de pincode is opgeslaan in de digipass. Kan je op één of andere manier de pincode achterhalen dan kan je met een andere digipass elke challenge correct beantwoorden.

2. Bij deze digipass is de pincode aan de kaart gekoppeld en heb je dus ook de kaart nodig om een challenge goed te kunnen beantwoorden. Met de pincode alleen ben je niets.

En ja, een digipass van type 1 kan je met twee challenges 'kraken'.

Dat eerste type Digipass heeft Rabobank, maar die hebben niet enkel een pincode opgeslagen. Die Digipass van Rabobank heeft ook een unieke serienummer die de hackers ook te weten moeten komen en die zit ook in die challenge verweven. Je kan zo een Digipass ook niet even lenen van iemand anders om in te loggen op jouw account. Ik kan me moeilijk voorstellen dat ze dat al na 2 correcte combinaties kunnen reproduceren, ik zeg niet dat het onmogelijk is, maar het lijkt me sterk, dan moeten ze toch heel zwakke hashing-algoritmes gebruiken.

Dit artikel gaat zoals johcla zegt eerder over man-in-the-middle attacks. Er draait spyware op jouw systeem die ziet dat je naar de site van de bank surft. Op het moment dat je inlogt zet die op de achtergrond in het systeem een overschrijving naar de rekening van de bad guys gereed. De server van de bank beschouwt dit als legitiem omdat dit van dezelfde pc komt als de gebruiker die ingelogd is dus die stuurt een challenge-code op die de spyware presenteert aan de gebruiker middels een boodschap dat zijn account "geverifieerd" moet worden oid. De nietsvermoedende gebruiker doet dit en de spyware stuurt de reply terug waarna de bank het geld overschrijft.

Dat systeem is goed voor minder technische mensen maar bij mij bijvoorbeeld zou er toch een alarmbelletje gaan rinkelen als ik ineens zo een "verificatie" pop-up krijg dat niet in het normale systeem van werken past. Er is dan ook een ander systeem in de omloop waarbij er een overschrijving gestart wordt van zodra je zelf een overschrijving gaat uitvoeren, maar in plaats van de verificatiecode voor jouw overschrijving krijg je die van de malafide overschrijving te zien en bij bevestigen wordt niet jouw overschrijving maar de malafide overschrijving uitgevoerd.

Banken zijn daar trouwens heel goed van op de hoogte en dit is gewoon een calculated risk voor hun. Ze zijn "verzekerd" voor kleine bedragen die zo afhandig gemaakt worden en die storten ze gewoon terug. Bij kleine transacties of bij transacties naar rekeningen die al gekend zijn in hun systeem passen ze de "losse" bevestiging toe. Als er grote bedragen overgeschreven worden vragen ze een tweede of andere verificatie waarbij een deel van de doelrekening of het bedrag in de challenge verwerkt zit en de gebruiker dit moet nakijken of zelf moet invullen zodat de gebruiker niet klakkeloos "op OK kan klikken".

@Mathy, Rabobank maakt gebruik van het twee type digipass zoals ik beschreven heb.
Voor zover ik weet gebruikt in Belgie geen enkele bank een digipass van het type 1.
Digipass van type 1 wordt bijvoorbeeld wel gebruikt door Bolero (KBC securities).

Type 1 genereert altijd dezelfde code voor dezelfde challenge (dus geen hashing of codering) .
Type 2 genereert een code die pin-code, kaart (of iets anders: rekeningnummer, serienummer, klantnummer, enz...) gebonden is maar die ook tijdsgebonden is.

defenderII schreef:maar het is wel degelijk op de site van de bank, maar er is een trojan of virus of iets gelijkaardigs op je pc aanwezig. Als ik je goed begrijp.

dat of een frame of java van client zijde.

Cross site scripting en man in the middle attackts lijkt me...
Geen enkele techniek gaat op die manier two-factor authentication met disconnected tokens kunnen tegenhouden vermoed ik zo...
Er moet ook een afweging gemaakt worden van "welke techniek is nog gebruiksvriendelijk" eh.

Wat gaat de volgende stap zijn?
Complete gesandboxte solutions waarmee je via remote desktop-achtige toestanden een omgeving gebruikt?

meon schreef:Wat gaat de volgende stap zijn?
Complete gesandboxte solutions waarmee je via remote desktop-achtige toestanden een omgeving gebruikt?

Tja, waaom niet... eigenlijk zou iedere bank gewoon moeten voorzien in een bootable CD met daarop een Linux OS (of wat dan ook) en een secure browser. Op deze manier kan men dergelijke ellende perfect vermijden.

Dat lijkt mij nog eens gebruiksvriendelijk !