Möglichkeiten und Grenzen der modernen Schutzmechanismen

Transkript

1 Neue Bedrohungen im Internet-Banking Möglichkeiten und Grenzen der modernen Schutzmechanismen

2 Cnlab AG Cnlab AG Organisation - Gegründet Ingenieure - Sitz Rapperswil / SG - Im Besitz des Managements Security Engineering Cnlab AG Partner - HSR (Hochschule Rapperswil) - ETH Zürich - CSI Consulting Software- Entwicklung Internet- Performance- Benchmarking Testing

3 Cnlab-Angebot IT-Sicherheit Architektur- und Design-Beratung Projektbegleitung Implementierung Produktintegration Codierung Security-Reviews Konzepte Anwendungen Netzwerk Code-Reviews Technik Policies Reglementierung Prozesse Betrieb

4 Die Bedrohung

5 Wo kann etwas passieren? Angriffsziele - Kommunikation abhören - Benutzer vorspielen -Transaktion ausführen - Kundendaten lesen Infektion - Phishing - Würmer - Viren und Trojaner - Drive-by-infection Browser OS Firmware Internet DNS Angriffskonzepte - Man-in-the-middle - Man-in-the-browser - Session Hijacking - Session Stealing e-banking Bank

6 MELANI Melde- und Analysestelle Informationssicherung Quelle: MELANI Halbjahresbericht 2008/

7 Trojaner im Internet- Banking Bank 1. Tojaner wird erzeugt und verteilt. Client Router Internet 2. Kunde kontaktiert seine Bank und wählt sich ein. 1 Trojaner-Mail 2 Login in Bank-Session 3. Trojaner erzeugt unerwünschte Transaktionen innerhalb der aktiven Session. 3 Transaktionen des Trojaners innerhalb der Bank-Session $$

8 Moderne Malware: Conficker C Was können (müssen) wir am 1. April 2009 erwarten? 1. Virus wird geschrieben und verteilt (Infektion) 2. Virus kontaktiert Relay- Rechner 3. Spammer-Kunde kauft Dienst vom Virenhersteller (bzw. von einem Händler) 4. Relay-Rechner erbringen den Dienst (z.b. SPAM-Mail). Quelle Botnet-Konzept: Wikipedia

9 Die Massnahmen

10 Schweizer Verfahren 1. Streichliste 2. Matrix-Karte 3. Dynamisches Token (SecurID) 4. Mobiltelephon (MTAN) 5. Challenge/Response-Tools 6. EMV/CAP 7. Axsionics 8. SSL Client-Zertifikat 9. USB-Stick mit Smart-Card und Browser (midentity) 10. IBM Zone Trusted Information Channel (ZTIC)

11 1. Streichliste Transaktions- Bestätigung möglich durch mehrfache Codes Eingesetzt: - SGKB - TGKB - LUKB Streich- user client server Liste Vertrag Code streichen Code Code Legende: Manuell Automatisch

12 2. Matrix-Karte Transaktions- Bestätigung möglich durch mehrfache Codes Eingesetzt: - Raiffeisen Matrix user client server Card Vertrag Legende: Manuell Automatisch Code Position Code Position Code

13 3. Dynamisches Token Code wechselt automatisch (z.b. alle 30 Sekunden) Transaktions- Bestätigung möglich durch mehrfache Codes Eingesetzt - Credit Suisse DirectNet Token user client server Vertrag Legende: Manuell Automatisch Code Code Code

14 4. Mobiltelephon (MTAN) Eingesetzt: - ZKB - Raiffeisen - SGKB Mobil-Telefon user client Signierung server Vertrag mtan Transaktionsabhängiger mtan erlaubt Transaktions- mtan mtan mtan Legende: Manuell Automatisch

15 5. Challenge / Response - Tools Transaktions- Bestätigung möglich durch mehrfache Codes Eingesetzt: - UBS Telebanking - Postfinance Token User client server PIN challenge response challenge response Vertrag challenge response Legende: Manuell Automatisch

16 6. EMV CAP (Card Authentication Protocol) Bisher keine breite Anwendung. Token User client server mit SC PIN challenge response challenge response Vertrag challenge response Legende: Manuell Automatisch

17 7. Axsionics Fingerprint-Leser Flickering -Interface Grosser Display axsionics User client server challenge Transaktionsabhängiger Challenge erlaubt Transaktions- Signierung Vertrag challenge Bisher keine breite Anwendung. Fingerabdruck response response response Legende: Manuell Automatisch

18 8. SSL Client-Certificate Smart Card user client server PIN GET Startseite Zertifikat ist auf einer Smart-Card installiert Cert request (Challenge) Eingesetzt: Vereinzelt für B2B- Anwendungen PIN, challenge Signature, username Signature, username Legende: Manuell Automatisch

19 9. USB-Stick mit Smart-Card und Browser (midentity) Browser ist gegen Angriffe geschützt Eingesetzt: - Migros Bank USB-Stick user client server mit SC SSL-setup PIN challenge Challenge, PIN Signatur, Zertifikat Signatur, Zertifikat Legende: Manuell Automatisch

20 10. IBM Zone Trusted Information Channel (ZTIC) Verbindung über geschützten Proxy Bisher keine Anwendung bekannt ZTIC user client server PIN SSL-setup Legende: Manuell Automatisch Prüfwert OK challenge response Transaktionsabhängiger Challenge erlaubt Transaktions- Signierung 20

21 Schutzmechanismen im midentity Grundideen: - Verwendung der bestmöglichen Standard-Verfahren (SSL, Zertifikate, Smart-Cards) - Schutz des Clients so weit wie sinnvoll - Unterstützung aller gängigen Plattformen - Höchstmöglicher Komfort für den Anwender - Laufende Weiterentwicklung (Updates) Client-Zertifikat Standard-Zertifikat Chip-Karte Standard-Schnittstelle Gehärteter Browser Rigorose Zertifikatsprüfung White-Listing Kontrollierte Funktionalität Schutz gegen Re-Engineering Verfahren nicht publiziert Schutz gegen Eingriffe im Memory Verfahren nicht publiziert Automatischer Updater Update via Internet

22 Die Bewertung

23 Streichliste / Matrix Card dynamisches Token Mobiltelephon (mtan) C/R token Axionics SSL-Zertifikat (hard) SSL-Zertifikat (soft) midentity ZTIC Vergleich Legende kein Schutz teilweise geschützt gut geschützt nicht bekannt login Diebstahl Credentials Phishing passiv Man-in-the-Middle Trojaner 1, , Transactions session hijack session riding (html) Trojaner

24 Das Kerckhoffs-Prinzip In seiner Arbeit La cryptographie militaire (1883) stellte Kerckhoffs (..) Prinzipien auf, die ein Quelle: Wikipedia Verschlüsselungsverfahren aufweisen müsse, um als sicher zu gelten: Auguste Kerkhoffs (NL) 1. Das System muss im Wesentlichen (...) unentschlüsselbar sein. 2. Das System darf keine Geheimhaltung erfordern (...). 3. Es muss leicht übermittelbar sein und man muss sich die Schlüssel ohne schriftliche Aufzeichnung merken können (...) 4. Das System sollte mit telegraphischer Kommunikation kompatibel sein. 5. Das System muss transportabel sein und die Bedienung darf nicht mehr als eine Person erfordern. 6. Das System muss einfach anwendbar sein (...)

25 Danke Paul Schöbi Präsentation ab verfügbar unter