Internetbankieren móét en kán veiliger
Ruud Kous IT Architect IBM Nederland 30 mei 2008
Internetbankieren móét en kán veiliger
Inhoud Samenvatting..............................................................................................................................................3 1 Inleiding.....................................................................................................................................................4 1.1 Situatie................................................................................................................................................4 1.2 Probleem............................................................................................................................................4 1.3 Vraag..................................................................................................................................................4 2 Achtergrond...............................................................................................................................................5 2.1 Authenticatiegegevens zijn de sleutel tot internetbankieren...............................................................5 2.1.1 Eén-factor authenticatie is gemakkelijk in het gebruik, maar kwetsbaar......................................5 2.1.2 Multi-factor authenticatie wordt veel veiliger geacht.....................................................................5 2.1.3 ‘Out-of-band’ authenticatie maakt het lastiger om authenticatiegegevens te onderscheppen.....6 2.1.4 Alle grote Nederlandse banken gebruiken twee-factor authenticatie............................................6 2.2 Fraudeurs weten authenticatiegegevens te onderscheppen en doen zich hiermee voor als het slachtoffer (identiteitsfraude)...........................................................................................................7 2.2.1 Fraudeurs misleiden of verleiden gebruikers om naar malafide kopieën van bankwebsites te gaan (‘social engineering’ / ‘phishing’)...................................................................................7 2.2.2 Fraudeurs leiden gebruikers naar malafide kopieën van bankwebsites door netwerkadressen te veranderen (‘pharming’).........................................................................................................7 2.2.3 Malafide kopieën van bankwebsites dienen als façade voor ‘real-time’ misbruik van onderschepte authenticatiegegevens (‘man-in-the-middle’-aanval).......................................8 2.2.4 Fraudeurs onderscheppen authenticatiegegevens op de pc van de klant (‘trojans’ / ‘man-in-thebrowser’-aanval)....................................................................................................................8 2.2.5 Fraudeurs sluizen geld via lokale rekeningen (van ‘katvangers’) door naar het buitenland..........9 3 Internetbankieren móét veiliger...............................................................................................................10 3.1 De aanvallen worden steeds geavanceerder....................................................................................10 3.2 Bijna alle huidig gebruikte beveiligingsmethoden zijn gevoelig voor man-in-the-middle- of man-inthe-browser-aanvallen...................................................................................................................11 3.3 De slagingskans van aanvallen neemt toe........................................................................................12 4 Internetbankieren kán veiliger.................................................................................................................15 4.1 Maak de authenticatie van de website expliciet en randvoorwaardelijk............................................15 4.1.1 Laat de authenticatie van de website niet afhangen van vrijblijvende visuele controle door de gebruiker..............................................................................................................................15 4.1.2 Maak gebruik van sterke wederzijdse authenticatie (‘strong mutual authentication’).................16 4.2 Neem het rekeningnummer van de begunstigde op in de sleutel voor de opdrachtautorisatie.........16 4.3 Stap desnoods af van de ‘normale’ browserapplicatie en scherm de applicatie af...........................17 4.3.1 Alternatief 1: Gebruik een ‘applet’ met een soort omgekeerd ‘sandbox’-principe.......................17 4.3.2 Alternatief 2: Draai de applicatie op de server van de bank, te bedienen via een ‘terminal-client’ .............................................................................................................................................17 4.3.3 Alternatief 3: Draai de applicatie vanaf een opstartbaar en onbeschrijfbaar medium.................18 4.3.4 Alternatief 4: Draai de applicatie in een niet te wijzigen virtuele omgeving.................................19 4.3.5 Alternatief 5: Maak gebruik van een apparaat speciaal en uitsluitend geschikt voor internetbankieren.................................................................................................................19 Referenties................................................................................................................................................20
30 mei 2008
Pagina 2 van 20
Internetbankieren móét en kán veiliger
Samenvatting Dit document is een betoog dat internetbankieren momenteel onvoldoende beveiligd is en dat met bestaande technologie de huidige kwetsbaarheden weggenomen kunnen worden. Banken zijn jarenlang laks geweest in het verbeteren van de beveiliging van internetbankieren en de schade is tot nu toe waarschijnlijk ook beperkt gebleven (hierover doen de banken overigens geen mededelingen). Maar waar hackers vroeger vanuit idealisme werkten en niet uitwaren op financieel gewin, daar zijn nu criminele organisaties die hebben ontdekt dat via internet vrij gemakkelijk veel geld te verdienen valt. De verwachting is dat we aan het begin staan van een grote golf aanvallen op internetbankieren. De zwakste schakel in de beveiliging is de computer van de internetgebruiker en de internetgebruiker zelf. Met de “3x kloppen”-campagne van de Nederlandse Vereniging van Banken wordt nu geprobeerd het veiligheidsbewustzijn van de internetbankierder te vergroten. Het is maar de vraag of deze campagne enig effect van betekenis zal hebben. In dit document wordt betoogd dat van een internetgebruiker niet kan worden verwacht dat deze zijn computer goed heeft beveiligd en ook niet dat hij of zij opmerkt of een website al dan niet authentiek is en of een elektronische banktransactie al dan niet gemanipuleerd is. Er worden oplossingen aangedragen waarmee met huidige technologie zorg gedragen kan worden dat een internetgebruiker altijd met de echte bankwebsite werkt en waarmee voorkomen kan worden dat gemanipuleerde elektronische banktransacties onopgemerkt door een internetbankierder worden geautoriseerd.
30 mei 2008
Pagina 3 van 20
Internetbankieren móét en kán veiliger
1 Inleiding 1.1 Situatie Internetbankieren is voor vrijwel alle banken en hun klanten een vanzelfsprekendheid geworden. Het grootste gedeelte van alle betaalopdrachten wordt nu elektronisch, via internet gedaan. Van de mogelijke gevaren van internetcriminaliteit en de benodigde voorzorgsmaatregelen die getroffen kunnen worden om te voorkomen dat men er slachtoffer van wordt, zijn de meeste gebruikers zich niet of nauwelijks bewust .
1.2 Probleem De veiligheid van internetbankieren is echter verre van vanzelfsprekend. Banken maken geen cijfers bekend met betrekking tot het aantal fraudegevallen, noch over de hoeveelheid geld die gemoeid is met het schadeloos stellen van de slachtoffers. Maar er komen steeds meer berichten in de media over succesvolle aanvallen op het door de banken zo veilig gepropageerde internetbankieren. De zwakke plek in de beveiliging ligt bij de computer van de eindgebruiker. Vooralsnog lijkt het erop dat de banken zich nog niet al te veel zorgen maken over de proporties van de fraude1. Maar de Nederlandse Vereniging van Banken heeft desondanks de “3 x kloppen”-campagne gelanceerd, die als doel heeft om klanten bewust te maken van alle zaken die zij zelf altijd eerst zouden moeten contoleren om veilig te kunnen internetbankieren. Bovendien zeggen specialisten dat de gevallen die nu bekend zijn, slechts de aanloop vormen van een grote golf aanvallen2 van professioneel georganiseerde computercriminelen, die gebruik maken van zeer geavanceerde malware (verzamelnaam voor kwaadaardige en/of schadelijke software)3.
1.3 Vraag De vraag is dan: Moeten we met de huidige stand van zaken tevreden zijn en dus de risico’s op de koop toe nemen, of moeten we streven naar een fundamenteel betere beveiliging. En is dat eigenlijk wel mogelijk? In de hoofdstukken 3 en 4 zal ik betogen dat het niet alleen moet maar dat het ook kan. In hoofdstuk 2 geef ik u eerst wat achtergrondinformatie over een aantal basisprincipes betreffende beveiliging en aanvalsmethodieken.
1
De voorzitter van de Nederlandse Vereniging van Banken, Boele Staal, stelt dat de schade die Nederlandse banken leiden als gevolg van internetcriminaliteit “verwaarloosbaar” is. 2 “De gevallen die we nu hebben gezien, zijn het topje van de ijsberg,” zegt Uriel Maimon, zelf ooit een fervent hacker en nu onderzoeker bij beveiligingsbedrijf RSA Security, dat voor banken online-criminelen opspoort. “Over zo'n anderhalf jaar zullen Nederlandse banken nog veel meer onder vuur komen te liggen. Het zal dan lijken of die aanvallen uit het niets komen, maar dat is niet zo.” 3 “De nieuwe generatie <malware> gaat een stuk verder dan simpele HTML injectie. Roel Schouwenberg, Senior Antivirus onderzoeker bij Kaspersky Lab, is dan ook onplezierig verrast dat de malware al zo ver is. “Ik had gehoopt dat we dit pas volgend jaar zouden zien.””
30 mei 2008
Pagina 4 van 20
Internetbankieren móét en kán veiliger
2 Achtergrond 2.1 Authenticatiegegevens zijn de sleutel tot internetbankieren ‘Authenticatie’ is het proces dat wordt gebruikt om iemands identiteit vast te stellen. Het komt erop neer dat iemand om gegevens gevraagd wordt, waarmee die persoon kan ‘bewijzen’ dat hij of zij werkelijk die persoon is. Als de identiteit van een persoon is vastgesteld, krijgt deze persoon vervolgens toegang tot de rekeningen (en eventueel andere producten) die deze persoon heeft afgesloten met de bank en de rekeningen waarvoor deze persoon gemachtigd is. Voor het uitvoeren van opdrachten, bijvoorbeeld het overschrijven van een bedrag naar een andere rekening, wordt meestal nog om aanvullende authenticatiegegevens gevraagd. Het zijn deze gegevens, waar internetcriminelen naar op jacht zijn, zodat ze zich kunnen voordoen als iemand anders en op deze manier geld kunnen overmaken van de rekening van het slachtoffer naar hun eigen rekening. Authenticatie kan plaatsvinden op basis van: − iets wat je weet (bijvoorbeeld een wachtwoord, een pincode, uw favoriete kleur/huisdier, etc.) − iets wat je hebt (bijvoorbeeld een pasje, een ‘token’ (codegenerator), of een mobiel telefoontoestel) − iets wat je bent (of doet) (biometrische eigenschap, bijvoorbeeld een vingerafdruk, stem, irispatroon, maar bijvoorbeeld ook een handtekening, of het typeritme van een gebruiker)
2.1.1 Eén-factor authenticatie is gemakkelijk in het gebruik, maar kwetsbaar Bij één-factor authenticatie wordt slechts één van de bovengenoemde vormen gebruikt. Traditioneel is dat bij computersystemen een gebruikersnaam met een wachtwoord (iets wat je weet). Maar bijvoorbeeld het gebruik van een sleutel of een pasje (iets wat je hebt) om een gebouw binnen te komen valt ook onder de noemer één-factor authenticatie. Een praktijkvoorbeeld hiervan in het elektronische betalingsverkeer is de Chipknip. Enkel en alleen het bezit van de Chipknip is voldoende om er mee te kunnen betalen. Je hoeft geen pincode te weten. Een dief hoeft dus ook alleen maar deze pas te bemachtigen om er iets mee te kunnen kopen. Hiervoor is gekozen, omdat het risico van misbruik beperkt blijft tot het bedrag wat op de Chipknip staat (dit is maximaal € 500, maar er zullen weinig mensen zijn die dit bedrag op hun chipknip zullen zetten). Het voordeel is dat betalingen gemakkelijker verricht kunnen worden; sneller, en er is geen online verbinding voor nodig. Dat laatste maakt het goedkoper dan een pintransactie, wat het geschikter maakt voor betalingen van kleinere bedragen, en bovendien toepasbaar op plaatsen waar geen online verbinding voorhanden is.
2.1.2 Multi-factor authenticatie wordt veel veiliger geacht Bij multi-factor authenticatie worden twee of meer van bovengenoemde vormen van authenticatie gebruikt. Dit vereist uiteraard extra inspanning van de gebruiker om toegang te verkrijgen, maar het vereist ook extra inspanning van een fraudeur om alle benodigde toegangsmiddelen te bemachtigen. Er is slechts sprake van echte multi-factor authenticatie, als de gebruikte authenticatiemiddelen uit verschillende vormen bestaan. In het geval van twee-factor authenticatie, moet –als er gebruik wordt gemaakt van een wachtwoord of een pincode (iets wat je weet)– het andere authenticatiemiddel bestaan
30 mei 2008
Pagina 5 van 20
Internetbankieren móét en kán veiliger uit iets wat je hebt, of iets wat je bent. Als er bijvoorbeeld naast een wachtwoord, ook naar de meisjesnaam van je moeder wordt gevraagd, dan is dit geen twee-factor authenticatie, omdat er dan twee keer gevraagd wordt naar iets wat je weet. Het idee hierachter is, dat als een fraudeur achter een geheim (iets wat je weet) van iemand kan komen, de kans vrij groot is dat die persoon dan ook achter een tweede geheim van het slachtoffer kan komen (misschien zelfs via dezelfde bron van persoonlijke gegevens). Dit kan bovendien vaak op afstand gebeuren. Als als tweede authenticatievorm bijvoorbeeld wordt gekozen voor ‘iets wat je hebt’, dan is dat in ieder geval niet op afstand afhandig te maken. Dus als meerdere authenticatiemiddelen van verschillende vormen gebruikt worden, dan is de kans dat ze beide onderschept worden veel kleiner dan de kans dat één van beide authenticatiemiddelen onderschept wordt.
2.1.3 ‘Out-of-band’ authenticatie maakt het lastiger om authenticatiegegevens te onderscheppen Bij ‘out-of-band’ authenticatie wordt een ander kanaal gebruikt voor het versturen van de authenticatiegegevens dan het kanaal dat wordt gebruikt voor de hoofdcommunicatie. Voor internetbankieren is internet het kanaal voor de hoofdcommunicatie. Als voor het versturen van de authenticatiegegevens bijvoorbeeld de telefoon of sms wordt gebruikt, dan is er sprake van out-of-band authenticatie. De authenticatiegegevens zijn bij ‘out-of-band’ authenticatie moeilijker te onderscheppen, omdat hackers vooral vrij spel hebben op het internet en niet op ander kanalen.
2.1.4 Alle grote Nederlandse banken gebruiken twee-factor authenticatie De grote banken in Nederland hebben hun internetbankieromgeving beveiligd via twee-factor authenticatie. Hierdoor is het beveiligingsniveau in Nederland van het internetbankieren internationaal gezien hoog . De twee-factor authenticatie bij Nederlandse banken wordt gerealiseerd door middel van een kenniskenmerk (iets wat je weet) en een bezitskenmerk (iets wat je hebt). De meeste grote banken gebruiken als kenniskenmerk de pincode en als bezitkenmerk de pinpas met paslezer. De Postbank hanteert als kenniskenmerk een gebruikersnaam met wachtwoord en als bezitskenmerk TAN-codes. De TAN-codes kunnen als een lijst op papier beschikbaar zijn, of via sms worden ontvangen op de mobiele telefoon. De Postbank is hiermee de enige die out-of-band authenticatie gebruikt (al geldt dit alleen voor de communicatie van de bank naar de klant; de communicatie van de klant naar de bank gebeurt weer gewoon over internet).
30 mei 2008
Pagina 6 van 20
Internetbankieren móét en kán veiliger
2.2 Fraudeurs weten authenticatiegegevens te onderscheppen en doen zich hiermee voor als het slachtoffer (identiteitsfraude) Fraude met internetbankieren gebeurt door middel van identiteitsfraude; de fraudeur probeert de authenticatiegegevens van het slachtoffer te achterhalen, zodat de fraudeur zich kan voordoen als het slachtoffer en zodoende geld kan overmaken van de bankrekening(en) van het slachtoffer naar zijn eigen bankrekening. De meest gebruikte methoden waarmee een fraudeur de authenticatiegegevens onderschept, worden hieronder beschreven.
2.2.1 Fraudeurs misleiden of verleiden gebruikers om naar malafide kopieën van bankwebsites te gaan (‘social engineering’ / ‘phishing’) Een manier om authenticatiegegevens van slachtoffers afhandig te maken, is het misleiden of verleiden van internetgebruikers om naar een malafide kopie van een bankwebsite te gaan en daar het slachtoffer om de gewenste gegevens te vragen. Het nietsvermoedende slachtoffer zal braaf deze gegevens intypen. De domeinnaam van de malafide website verschilt van de originele website, maar de verschillen kunnen zeer subtiel zijn. Bijvoorbeeld met een extra tussenstreepje, zoals www.abn-amro.nl4 in plaats van www.abnamro.nl, of slechts één letter verschil, zoals www.abnarnro.nl (rn in plaats van de m). In zulke gevallen kan er zelfs een geldig certificaat zijn voor de domeinnaam, waardoor de site beveiligd kan worden, de internetgebruiker het ‘slotje’ ziet in de browser en daardoor nog eerder de site zal vertrouwen. Gebruikers zullen niet zo snel zelf een valse domeinnaam intypen (hooguit bij toeval). Daarom doen fraudeurs alle moeite om internetgebruikers op koppelingen te laten klikken die naar deze websites leiden. Veelal gebeurt dit via e-mail, maar ook via instant messaging (‘chat’-programma’s) of via sociale netwerksites, zoals ‘Hyves’. De link wordt vergezeld met een tekst die de internetgebruiker ervan moet overtuigen erop te klikken. Vaak omvat de tekst iets in de trant van dat er een probleem is opgetreden en dat de authenticatiegegevens geverifieerd moeten worden om “veiligheidsredenen”. Dit wordt ‘phishing’5 genoemd. Dit valt onder de noemer ‘social engineering’, vanwege de menselijke communicatie (in tegenstelling tot communicatie tussen machines) en het menselijke gedrag dat hierbij een belangrijke rol speelt. Een variant op phishing is ‘vishing’ (samentrekking van ‘voice’ en ‘phishing’). Dit is een vorm van social engineering die gebruik maakt van telefonie. Meestal wordt ‘Voice over IP’ (VoIP) gebruikt, omdat het hiermee relatief eenvoudig is om ‘CLI spoofing’ (Calling Line Identifier spoofing) te verrichten. Met CLI spoofing wordt het telefoonnummer vervalst van degene die belt, zodat het lijkt alsof die persoon bijvoorbeeld vanuit een bank belt. Dit draagt bij aan het vertrouwen dat mensen over het algemeen al hebben in het telefonienetwerk. Het slachtoffer krijgt bijvoorbeeld het bericht dat er verdachte transacties hebben plaatsgevonden op zijn of haar rekening. Ter “controle” dienen dan de persoonlijke gegevens doorgegeven te worden. Als sms als kanaal wordt gebruikt, dan spreekt men van ‘SMiShing’.
2.2.2 Fraudeurs leiden gebruikers naar malafide kopieën van bankwebsites door netwerkadressen te veranderen (‘pharming’) Een andere, technische, manier om slachtoffers naar een malafide website te krijgen, is om het netwerkadres (ip-adres) dat bij de domeinnaam van een bankwebsite hoort, te veranderen in het adres 4
In werkelijkheid is deze domeinnaam ook in bezit van ABN AMRO. ‘Phishing’ komt waarschijnlijk van het engelse woord ‘fishing’ (vanwege het ‘vissen’ naar persoonlijke gegevens) en ‘phreaking’, wat werd gebruikt door hackers als term voor het kraken van het telefoonnetwerk (om bijvoorbeeld gratis te kunnen telefoneren). 5
30 mei 2008
Pagina 7 van 20
Internetbankieren móét en kán veiliger van de malafide bankwebsite. Als dit gebeurt, dan spreekt men van ‘pharming’6. Hierbij hoeft de internetgebruiker zelf dus niet meer verleid of misleid te worden. Pharming kan op verschillende manieren gebeuren: − Het wijzigen van het adres van de domeinnaam op de Domain Name System (DNS)-server, door een kwetsbaarheid in de DNS-serversoftware uit te buiten. De internetgebruiker merkt hier niets van, ook antivirus- of antispywareprogramma's beschermen niet tegen deze vorm van pharming. Om dit te voorkomen, dient de internetgebruiker zelf te controleren of de website beveiligd is (dan begint het adres met https in plaats van http) en, indien dit het geval is, of het certificaat van de website overeenstemt met de domeinnaam (de internetbrowser geeft een waarschuwing indien dit niet het geval is, maar deze waarschuwing kan door de gebruiker genegeerd worden). − Het wijzigen van de DNS-server in de configuratie van de lokale netwerkrouter van het slachtoffer naar een malafide DNS-server. Deze malafide DNS-server geeft vervolgens een ander adres door voor de website van de bank. Ook hier merkt een internetgebruiker niets van en het is moeilijk te detecteren wanneer de configuratie van de netwerkrouter gewijzigd wordt. De beste maatregel die een internetgebruiker hiertegen kan nemen, is het wachtwoord van de router wijzigen in iets anders dan het standaard wachtwoord7. − Het wijzigen van het adres van de domeinnaam in het ‘hosts’-bestand op de computer van het slachtoffer. Dit is wellicht de meest eenvoudige vorm van pharming, vooral omdat de beveiliging van de computer van de internetgebruiker over het algemeen slecht is. Antivirus- of antispywareprogramma’s kunnen het wijzigen van het ‘hosts’-bestand echter gemakkelijk detecteren.
2.2.3 Malafide kopieën van bankwebsites dienen als façade voor ‘realtime’ misbruik van onderschepte authenticatiegegevens (‘manin-the-middle’-aanval) Als een internetgebruiker naar een malafide kopie van een bankwebsite is geleidt en het slachtoffer heeft hier zijn authenticatiegegevens ingevoerd, dan worden deze vervolgens door de fraudeur gebruikt om in te loggen op de echte bankwebsite en om frauduleuze transacties te doen. Deze methode wordt een ‘man-in-the-middle’-aanval genoemd. Bij deze aanval moet de fraudeur op hetzelfde moment aan het werk zijn als het slachtoffer, omdat de bemachtigde gegevens meestal maar een beperkte tijd geldig zijn.
2.2.4 Fraudeurs onderscheppen authenticatiegegevens op de pc van de klant (‘trojans’ / ‘man-in-the-browser’-aanval) Behalve via het gebruik van malafide kopieën van bankwebsites, worden authenticatiegegevens ook op de pc van de klant onderschept. Werd dit vroeger gedaan door malware in de vorm van ‘key loggers’ (waarmee alle toetsaanslagen opgeslagen worden) en ‘screen scrapers’ (waarmee alle teksten van het scherm opgeslagen worden); tegenwoordig wordt een techniek toegepast, die de ‘man-in-the-browser’techniek genoemd wordt. Via een ‘trojan’8 wordt een extensie (een extra stukje functionaliteit) in de browser geïnstalleerd. De extensie doet niets, totdat de gebruiker een bankwebsite bezoekt waarvoor de extensie geschreven is. Als de gebruiker bijvoorbeeld een betaalopdracht verstuurt, onderschept de extensie dit formulier (binnen de browser), onthoudt de door de gebruiker ingevulde waarden, wijzigt de transactie (bedrag, begunstigde) en laat dan de browser de gewijzigde transactie opsturen naar de server. Zowel de gebruiker als de server kan niet detecteren dat er met de gegevens geknoeid is. De server verwerkt de gemanipuleerde transactie en stuurt een bericht terug naar de browser met de vraag voor een autorisatiecode. De extensie vervangt de gemanipuleerde gegevens weer voor de oorspronkelijk door de gebruiker ingevoerde gegevens en laat daarna de browser het bericht aan de gebruiker tonen. De 6
‘Pharming’ is afgeleid van het engelse woord ‘farming’ (het ontginnen, verbouwen) en gespeld naar analogie van ‘phishing’. Scott Chasin, CTO of MX Logic Inc. Of Denver: “Pharming is the next-generation phishing attack: Phishing is throwing the bait out and hoping to get a bite; Pharming is planting the seeds and not trusting to chance.” 7 De standaard wachtwoorden voor routers zijn gemakkelijk via internet te vinden, bijvoorbeeld via de website van de fabrikant (waar meestal de handleidingen te downloaden zijn), of nog eenvoudiger via de website www.routerpasswords.com. 8 ‘Trojan’ of ‘Trojaans paard’: een gecamoufleerd stukje malafide software dat door een gebruiker zelf binnengehaald wordt en vervolgens toegang verschaft voor een aanval.
30 mei 2008
Pagina 8 van 20
Internetbankieren móét en kán veiliger gebruiker denkt dat alles in orde is en autoriseert de getoonde transactie. De server van de bank rond hiermee de gemanipuleerde transactie af.
2.2.5 Fraudeurs sluizen geld via lokale rekeningen (van ‘katvangers’) door naar het buitenland De meeste betalingen die worden gedaan, zijn binnenlandse betalingen. De meeste fraude met internetbankieren is echter internationaal. De fraudeurs willen dus in principe geld overmaken naar het buitenland. Omdat internationale betalingen andere eigenschappen hebben dan binnenlandse betalingen, laten binnenlandse betalingen zich niet of minder gemakkelijk wijzigen naar internationale betalingen. Daarom maken fraudeurs gebruik van ‘katvangers’ (stromannen). Deze katvangers laten tegen vergoeding hun lokale rekeningen gebruiken als begunstigde voor frauduleuze transacties en maken daarna het ontvangen geld over naar de buitenlandse rekeningen van de fraudeurs.
30 mei 2008
Pagina 9 van 20
Internetbankieren móét en kán veiliger
3 Internetbankieren móét veiliger 3.1 De aanvallen worden steeds geavanceerder Vroeger werden virussen vooral gemaakt door individuen die hun eigen bekwaamheid, of de onbekwaamheid van andere softwaremakers wilden aantonen. Ze handelden vaak uit een soort idealisme. Tegenwoordig is er sprake van kringen van wereldwijd georganiseerde misdaad, die computerkrakers inhuren. Hier is geen sprake meer van idealisme, maar gaat het gewoon om geld. Veel geld. Hierdoor worden de budgetten van dit soort internetcriminele organisaties steeds groter en worden de aanvalstechnieken steeds geavanceerder. Zaken als spam en spyware werden vroeger vooral ingezet voor marketingdoeleinden (spam: adverteren; spyware: surfgedrag in kaart brengen, om zodoende gerichter te kunnen adverteren). Tegenwoordig is spam een krachtig wapen voor internetcriminelen om trojans, ‘bots’9 en andere spyware te verspreiden. Spyware wordt tegenwoordig gebruikt om vertrouwelijke informatie te bemachtigen. Naast phishing wordt nu ook pharming toegepast. Moet bij phishing een andere (al dan niet gelijkende) domeinnaam worden gebruikt voor een malafide kopie van een bankwebsite, bij pharming leidt de echte domeinnaam naar een malafide website. Het enige wat een internetgebruiker dan nog kan opvallen, is dat er geen, of een onjuist SSL-certificaat wordt gebruikt (wat vaak niet wordt gecontroleerd, zie onder). Daarbij wordt er tegenwoordig ook gebruik gemaakt van technieken zoals ‘failover’10. Op het moment dat een nagemaakte website van Cybercriminelen ontdekt wordt, lukt het meestal vrij snel deze uit de lucht te halen. Wordt er een server met failover uit de lucht gehaald, dan worden bezoekers onmiddellijk ergens anders heengeleid. Zo kan een dergelijke site een stuk langer actief blijven , wat bestrijding moeilijker maakt. Phishing sites worden onder andere gebruikt voor man-in-the-middle-aanvallen (zie §2.2.3). Een nieuwe variant hiervan werkt niet via een ‘tussenwebsite’, maar vanaf de pc en vanuit de browser van de internetgebruiker: de man-in-the-browser-aanval (zie §2.2.4). Dit type aanval is veel moeilijker te bestrijden, omdat deze niet vanuit een centraal punt plaatsvindt, maar gedistribueerd over de geïnfecteerde computers van de slachtoffers. De (vaak weinig deskundige) gebruiker moet dan dus zelf zorgdragen voor de juiste beveiliging en eventueel voor de verwijdering van de malware. Om detectie te bemoeilijken, blijft de malware op het systeem van de gebruiker zo lang mogelijk inactief. Pas als de gebruiker een door de malware ‘ondersteunde’ banksite bezoekt, wordt de malware actief. Een berucht voorbeeld hiervan is "Sinowal". Citaat Security.nl : (Sinowal) …kan meer dan 1000 banksites herkennen, maar als je de dubbele eraf haalt kom je op zo'n 750 banken uit, en daar zitten ook meerdere Nederlandse banken tussen… …Zodra de malware ziet dat het slachtoffer een bepaalde banksite bezoekt, wordt er contact met een Command ’n Control server gemaakt. De communicatie verloopt via een versleuteld kanaal, waardoor het voor onderzoekers lastig is te zien welke instructies het besmette systeem krijgt… …Sinowal zit zo "briljant" in elkaar dat het zich, succesvol of niet, na verloop van tijd weer verwijdert om detectie te voorkomen. Ook kan de malware zichzelf updaten om virusscanners te blijven misleiden. En daar blijft het misleiden van onderzoekers niet bij. Het Trojaanse paard
9
‘Bot’ is een afkorting van robot. Zo worden kleine computerprogramma’s genoemd die automatisch en autonoom draaien en op afstand bestuurd kunnen worden door middel van een zogenaamd ‘command & control’ centrum. Een grote verzameling van computers die geïnfecteerd zijn met een bot, worden ‘botnets’ genoemd. Deze botnets kunnen op commando voor een verscheidenheid aan doeleinden worden ingezet, bijvoorbeeld een ‘Denial of Service’-aanval (bedoeld om een server ‘uit de lucht’ te halen), het versturen van spam, het verspreiden van spyware, of het stelen van vertrouwelijke gegevens. 10 ‘Failover’ is de techniek waarbij een extra systeem –dat normaal niet gebruikt wordt, maar wel synchroon gehouden wordt met het eerste systeem– het overneemt van een systeem wanneer dit systeem uitvalt, zodat de dienstverlening door kan gaan.
30 mei 2008
Pagina 10 van 20
Internetbankieren móét en kán veiliger gebruikt namelijk een speciaal algoritme, dat aan de hand van de datum bepaalt met welke server contact moet worden opgenomen… …Eugene Kaspersky (medeoprichter van Kaspersky Lab) vertelde ooit dat als er van een malware exemplaar minder dan 1000 stuks worden verspreid, geen enkele virusbestrijder de malware ooit zal opmerken. Schouwenberg laat weten dat de uitspraak van zijn baas misschien wat ver gaan, maar het geeft wel aan dat anti-virusleveranciers niet onfeilbaar zijn, en dat een crimineel met een paar honderd Trojaanse paarden zeer gericht en bijna onopgemerkt te werk kan gaan…
3.2 Bijna alle huidig gebruikte beveiligingsmethoden zijn gevoelig voor man-in-the-middle- of man-inthe-browser-aanvallen Bankwebsites doen niet voldoende moeite om aan te tonen dat hun website ‘de echte’ is. De standaard methode is het gebruik van SSL (Secure Sockets Layer), waardoor het adres van de site begint met https (in plaats van http) en ergens in de browser een hangslotje zichtbaar wordt. Deze methode vereist wel van de internetgebruiker dat deze zo opmerkzaam is om deze (subtiele) kenmerken waar te nemen. Uit onderzoek is gebleken dat veel internetgebruikers hier helemaal niet op letten, of niet eens weten wat de functie van het slotje is11. Bovendien is het voor phishingwebsites óók gewoon mogelijk om een SSLcertificaat aan te vragen. Daarom is er een nieuw SSL-certificaat ontwikkeld: het Extended Validation SSL (EV SSL) -certificaat. In tegenstelling tot het normale SSL-certificaat, kan dit niet zomaar door iedereen verkregen worden. De uitgevende instantie onderzoekt in dit geval of het om een geregistreerd bedrijf gaat, of het bedrijf in kwestie zeggenschap over het domein heeft en of de persoon die het verzoek doet bij het bedrijf werkt. Bij nieuwere browsers verandert ook de kleur van de adresbalk (bijvoorbeeld groen), als een website gebruik maakt van een EV SSL-certificaat. Zeventig procent van de internetgebruikers weet echter niet wat de groene adresbalk betekent . Ondanks deze initiatieven, blijft de internetgebruiker de zwakste schakel. Als deze de signalen niet opmerkt, niet juist interpreteert, of ze bewust negeert, blijven phishingsites bezocht worden . En zolang deze nep-bankwebsites hun slachtoffers weten te misleiden, kunnen hiermee man-in-the-middleaanvallen worden uitgevoerd. Maar, ook al zouden de banken erin slagen om een effectief middel tegen phishingwebsites in te zetten, dan blijft nog eenzelfde soort aanval mogelijk, maar dan vanaf de pc van de internetgebruiker: de man-inthe-browser-aanval. Hierbij wordt er ‘gewoon’ gecommuniceerd met de legitieme bankwebsite, maar worden de opdrachten die de internetgebruiker geeft aan de bank gemanipuleerd, zonder dat de gebruiker het ziet. En de gebruiker autoriseert nietsvermoedend de gemanipuleerde opdrachten met het veilig geachte twee-factor authenticatiemiddel van de bank. Het probleem zit hem hier, dat er (in ieder geval voor kleinere bedragen) vaak geen harde koppeling is tussen een transactie en een autorisatiecode12, waardoor gemanipuleerde transacties geautoriseerd kunnen worden door codes die bedoeld waren voor andere transacties. Dit gebrek aan harde koppeling van een autorisatiecode aan een specifieke transactie maakt deze vorm van autorisatie kwetsbaar voor man-in-the-middle- (dan wel man-in-the-browser-) aanvallen.
11
20% van de internetgebruikers heeft geen idee wat de functie van het "gouden slotje" is. In de smsberichten die door de Postbank worden verstuurd, wordt wel het totaalbedrag van de te autoriseren transacties vermeld, maar het is aan de gebruiker of hij of zij dit controleert of niet (dus ook geen ‘harde’ koppeling). Bovendien zou een fraudeur hier het bedrag ongewijzigd kunnen laten en alleen het rekeningnummer van de begunstigde kunnen aanpassen. Dit rekeningnummer wordt niet getoond in het smsbericht. 12
30 mei 2008
Pagina 11 van 20
Internetbankieren móét en kán veiliger
3.3 De slagingskans van aanvallen neemt toe De technologische vooruitgang die internetcriminelen boeken bij het ontwikkelen van aanvalstechnieken, gaat veel sneller dan de vooruitgang die de banken maken bij het beveiligen van het internetbankieren (die staat eigenlijk al jaren stil). Als de banken dus niet hun beveiliging voor internetbankieren verbeteren, lijkt het dus slechts een kwestie van tijd voordat internetcriminelen de zwakke punten in de beveiliging van internetbankieren goed weten uit te buiten en de benodigde malware weten te verspreiden naar de computers van internetgebruikers. Onderstaande nieuwsberichten illustreren de urgentie voor betere beveiliging voor internetbankieren. SNS Bankklanten doelwit van phishingaanval
Overheid waarschuwt tegen phishing op internet
9 december 2007 (bron: security.nl)
11 juni 2007 (bron: nu.nl)
Postbank waarschuwt voor nieuwe phishingmail 23 juli 2007 (bron: nu.nl)
30 mei 2008
Pagina 12 van 20
Internetbankieren móét en kán veiliger Tweehonderd klanten ABN Amro trappen in nepmail
Phishingmail richt zich op klanten Rabobank 09 februari 2007 (bron: nu.nl)
28 maart 2007 (bron: nu.nl)
Phishers ontfutselen Zweedse bank tonnen 22 januari 2007 (bron: nu.nl)
30 mei 2008
Pagina 13 van 20
Internetbankieren móét en kán veiliger Online identiteitsdiefstal kost miljarden 15 januari 2007 (bron: nu.nl)
30 mei 2008
Pagina 14 van 20
Internetbankieren móét en kán veiliger
4 Internetbankieren kán veiliger Bij de huidige vorm van internetbankieren zijn er twee belangrijke zwakke plekken: 1. De authenticatie van de bankwebsite is niet expliciet genoeg; internetgebruikers dienen dit zelf te controleren, maar dit is vrijblijvend en vaak laten internetgebruikers dit achterwege. Met als gevolg dat ze ongemerkt op een malafide kopie van een bankwebsite terecht kunnen komen. 2. Codes voor het autoriseren van opdrachten zijn vaak niet hard gekoppeld aan een specifieke opdracht, met als gevolg dat ze door internetcriminelen gebruikt kunnen worden voor gemanipuleerde opdrachten. In dit hoofdstuk worden mogelijke oplossingen voorgesteld om deze twee zwakke plekken beter te beveiligen. Ten slotte worden er ook nog alternatieven aangedragen voor wanneer zou blijken dat de populaire browserapplicatie gewoon niet voldoende valt dicht te timmeren.
4.1 Maak de authenticatie van de website expliciet en randvoorwaardelijk Als een politieagent op straat vraagt naar uw legitimatiebewijs, dan heeft u als burger het recht om van de politieagent het politielegitimatiebewijs te zien, vóórdat u uw legitimatiebewijs afgeeft. Dit ter voorkoming dat u uw gegevens aan iemand met kwade bedoelingen geeft. Zo moet het bij bankwebsites ook zijn; sterker nog, het moet onmogelijk zijn dit te vergeten of te negeren: Laat éérst de bankwebsite aantonen dat deze echt is. Laat pas daarna de klant zijn of haar identiteit bewijzen. Dit is een belangrijke stap tegen phishing en pharming, omdat de klant zijn authenticatiegegevens dan niet aan een vervalste website kan geven.
4.1.1 Laat de authenticatie van de website niet afhangen van vrijblijvende visuele controle door de gebruiker Volgens de huidige methode wordt een beveiligde website geauthenticeerd doordat de browser van de internetgebruiker het certificaat van de website controleert en aan de hand daarvan een aantal (meer of minder zichtbare) kenmerken toont aan de gebruiker. Ten eerste dient de gebruiker te verifiëren of de website überhaupt beveiligd is, door controleren of het adres begint met ‘https’ in plaats van het onbeveiligde ‘http’. Verder dient de gebruiker de domeinnaam (het gedeelte tussen de dubbele schuine streep ‘//’ en de eerste enkele schuine streep ‘/’) in het adres te controleren, om te verifiëren of het wel juist gespeld is. Ten slotte dient de gebruiker te controleren of er ergens in de browser een ‘slotje’ wordt afgebeeld (dit staat bij sommige oudere browsers helemaal onderin het browserscherm; bij nieuwere browsers wordt het slotje ook in de adresbalk getoond). Om het iets gemakkelijker te maken, laten sommige browsers de kleur van de adresbalk veranderen als er sprake is van een beveiligde verbinding (als toevoeging op het slotje). Wanneer gebruik wordt gemaakt van EV SSL (zie §3.2), dan wordt de adresbalk van de browser bijvoorbeeld groen gemaakt. De vraag is of je van een gebruiker mag verwachten dat hij of zij bovengenoemde kenmerken kan herkennen en juist interpreteren. Veel (de meeste?) internetgebruikers hebben onvoldoende kennis met betrekking tot het doel van digitale certificaten en hoe er mee om te gaan. Als er een waarschuwing verschijnt, wordt daarom onwetend op ‘OK’ of ‘Doorgaan’ geklikt, om er maar vanaf te zijn. Het probleem is dat de browser de mogelijkheid open laat om ondanks een waarschuwing toch door te gaan. Te vaak (meestal) wordt deze mogelijkheid ook benut.
30 mei 2008
Pagina 15 van 20
Internetbankieren móét en kán veiliger
4.1.2 Maak gebruik van sterke wederzijdse authenticatie (‘strong mutual authentication’) Het zou onmogelijk moeten zijn een site voor internetbankieren te laden in de browser, als de authenticatie voor de site niet klopt. Met andere woorden: maak authenticatie voor internetbankieren randvoorwaardelijk. Een manier om de authenticatie van de bankwebsite niet meer over te laten aan visuele controle door de gebruiker, is om ‘strong mutual authentication’ te gebruiken. Hiervoor zijn verschillende systemen beschikbaar. Een dergelijk systeem draagt zorg voor de authenticatie van de website en van de gebruiker. Sommige van deze systemen maken gebruik van een klein programma dat draait op de computer van de gebruiker (zoals WiKID, of Trusteer Rapport), sommigen vereisen geen additionele software, maar werken vanaf de server van de bank, samen met een unieke signatuur van het systeem van de gebruiker die van tevoren geregistreerd moet zijn (bijvoorbeeld PhishCops). Deze systemen maken het mogelijk om het inloggen te beperken tot alleen authentieke websites, wat phishing en pharming uitsluit.
4.2 Neem het rekeningnummer van de begunstigde op in de sleutel voor de opdrachtautorisatie Om een man-in-the-browser-aanval te kunnen tegengaan, is het zaak ervoor te zorgen dat autorisatiecodes niet kunnen worden gebruikt voor gemanipuleerde transacties. Als de gebruiker bij het genereren van een autorisatiecode het rekeningnummer van de begunstigde moet opgeven (of bijvoorbeeld alleen de laatste cijfers ervan), dan kan de bank dezelfde berekening uitvoeren voor de aangeboden transactie. Als het rekeningnummer van de begunstigde gewijzigd is, dan komt de berekening niet overeen met de berekening die op het apparaat van de gebruiker is uitgevoerd en zal de transactie worden afgewezen. Dit zou een effectief middel zijn tegen zowel man-in-the-middle- (phishing, pharming) als man-in-thebrowser-aanvallen. Het is dan wel noodzakelijk dat de autorisatiecode aan twee kanten wordt berekend; aan de kant van de gebruiker (bijvoorbeeld door middel van een speciale calculator) en aan de kant van de bank. Bij het sms-systeem van de Postbank bijvoorbeeld, wordt de autorisatiecode alleen berekend door de bank en out-of-band (niet via internet, maar via sms) verstuurd naar de klant. Als de transactie gemanipuleerd zou zijn, zou de bank de autorisatiecode berekenen voor de gemanipuleerde transactie (waar de klant die niet van op de hoogte is). De klant vult nietsvermoedend de autorisatiecode in en autoriseert hiermee de gemanipuleerde transactie. Bij grotere bedragen vermeld de Postbank wel de laatste cijfers van het rekeningnummer van de begunstigde in de sms, maar de klant moet hier dan wel op letten. Als de klant niet opmerkt dat het rekeningnummer anders is, kan hij of zij gewoon de transactie goedkeuren. Als daarentegen (de laatste cijfers van) het rekeningnummer door de gebruiker ingevoerd wordt op een calculator, dan wordt de gebruiker ‘gedwongen’ het rekeningnummer bewust te verifiëren, voordat hij of zij de autorisatiecode krijgt. Het zou ook het meest veilig zijn als de calculator geen enkele verbinding heeft met de pc, zodat het op geen enkele manier gemanipuleerd kan worden door eventuele malware die aanwezig zou kunnen zijn op de pc van de gebruiker. Nu is het bij internetbankieren meestal mogelijk om meerdere transacties in één keer met één autorisatiecode te versturen. Dit gebruikersgemak zou hiermee moeten komen te vervallen. Want bijvoorbeeld het combineren van alle rekeningnummers van de te verzenden transacties tot één getal (hash-code) dat zou moeten worden gebruikt om de autorisatiecode te genereren, zou niet veilig zijn. In tegenstelling tot een enkel rekeningnummer, is een dergelijk getal namelijk niet eenvoudig door een gebruiker te verifiëren en zou daarom ongemerkt gemanipuleerd kunnen worden. Voor particuliere
30 mei 2008
Pagina 16 van 20
Internetbankieren móét en kán veiliger gebruikers zou dit gemis niet eens zo erg zijn, want zij doen meestal maar één of twee overboekingen tegelijk. Voor zakelijke gebruikers is dit mogelijk een groot ongemak, omdat deze gebruikersgroep vaak veel meer transacties uitvoert.
4.3 Stap desnoods af van de ‘normale’ browserapplicatie en scherm de applicatie af Als blijkt dat zelfs bovengenoemde maatregelen op één of andere manier omzeild kunnen worden door computercriminelen, dan kan er worden overwogen om geen gebruik meer te maken van de geliefde, maar blijkbaar niet afdoende te beveiligen, standaard browserapplicatie. Hieronder worden een aantal mogelijke alternatieven voorgesteld.
4.3.1 Alternatief 1: Gebruik een ‘applet’ met een soort omgekeerd ‘sandbox’-principe Een ‘applet’ is een programma dat binnen de browser draait en net als een webpagina geladen wordt vanaf een webserver. Het programma verblijft tijdelijk op het systeem van de gebruiker. Als applet-caching uitgeschakeld is (dit kan de aanbieder van de applet instellen), dan wordt het programma iedere keer als de gebruiker het opstart, opnieuw geladen van de webserver. Dit verkleint de kans dat het programma geïnfecteerd raakt door malware. Applets worden beperkt in wat ze kunnen doen op het systeem van de gebruiker door middel van het ‘sandbox’-model: deze ‘zandbak’ is een afgeschermde ruimte waarbinnen applets mogen ‘spelen’, daarbuiten niet (tenzij de gebruiker hier expliciet toestemming voor geeft). Dit dient ter bescherming van de pc van de gebruiker tegen mogelijk malafide applets. Wat we hier zouden willen, is het omgekeerde principe: we willen de applet beschermen tegen eventueel aanwezige malware op de pc van de gebruiker. Dit komt overeen met het principe van de ‘hardened browser’, zoals beschreven door Philipp Gühring , met dit verschil dat een ‘verharde’ browser gedistribueerd zou moeten worden naar alle klanten van een bank, terwijl een applet via de normale browser werkt. Een nadeel van deze oplossing is dat de ‘omgekeerde’ sandbox nog niet bestaat. Die zou dus eerst ontwikkeld moeten worden. Het aanbieden van de applet zou wel samen moeten gaan met sterke wederzijdse authenticatie, zoals beschreven in §4.1.2, om te voorkomen dat de applet niet van de bank gedownload wordt. Voordelen: − Veel minder kwetsbaar dan html/javascript-applicatie − Eenvoudige distributie van het programma Nadelen: − Langere laadtijd startpagina applicatie − De ‘omgekeerde’ sandbox bestaat nog niet
4.3.2 Alternatief 2: Draai de applicatie op de server van de bank, te bedienen via een ‘terminal-client’ In plaats van het programma op de computer van de gebruiker te laten draaien, kan er ook worden gekozen om het op de server van de bank te laten draaien. De computer van de gebruiker is de zwakste
30 mei 2008
Pagina 17 van 20
Internetbankieren móét en kán veiliger schakel in de beveiliging en is niet door de bank te beheersen. Als het programma bij de bank draait, kan de bank zelf zorgdragen voor de beveiliging van het systeem waarop het programma draait. De gebruiker moet dan gebruik maken van een ‘terminal-client’ om het programma te kunnen gebruiken. Een terminal-client biedt als het ware een ‘venster’ waarmee de gebruiker het programma op de server kan zien. Tevens laat de terminal-client de gebruiker het programma op de server bedienen met de muis en het toetsenbord. Verder doet een terminal-client niets. Hierdoor is het nagenoeg ongevoelig voor manipulatie door malware. De terminal-client kan een aparte applicatie zijn die de gebruiker moet installeren op zijn systeem, maar het kan ook een applet zijn, zodat een gebruiker niets hoeft te installeren. Ook hier geldt weer dat deze oplossing samen moet gaan met sterke wederzijdse authenticatie, om te garanderen dat er met de server van de bank gecommuniceerd wordt. Voordelen: − Nog minder kwetsbaar, omdat er geen businesslogica op de pc van de eindgebruiker draait − Perfecte beheersbaarheid van de omgeving waarop de applicatie van internetbankieren draait Nadelen: − Vraagt meer servercapaciteit bij de bank − Klant moet de terminalclientsoftware installeren
4.3.3 Alternatief 3: Draai de applicatie vanaf een opstartbaar en onbeschrijfbaar medium Als de applicatie voor internetbankieren inclusief besturingssysteem wordt gedistribueerd op een onbeschrijfbaar medium, waarmee de computer van de gebruiker kan worden opgestart, kan een zeer veilige omgeving gecreëerd worden voor internetbankieren. Dit medium kan bijvoorbeeld een bootable cdrom, dvd-rom of read-only usb-stick zijn. De bank kan er zelf voor zorgdragen dat het medium vrij van malware is. Doordat het medium onbeschrijfbaar is, blijft het ook malware-vrij. En omdat de gebruiker zijn of haar computer moet opstarten met dit medium (waarbij de toegang tot de lokale harde schijf, usb-poorten, en dergelijke kan worden uitgeschakeld) krijg malware die eventueel op het systeem van de gebruiker aanwezig is, geen kans. Belangrijk nadeel van deze methode is dat de gebruiker zijn systeem altijd opnieuw moet opstarten als hij of zij wil internetbankieren. Dit zal als zeer vervelend worden ervaren door de meeste gebruikers. Voordelen: − Werkt totaal onafhankelijk van een mogelijk geïnfecteerd besturingssysteem van de gebruiker − Er kunnen geen wijzigingen worden aangebracht op het medium waarmee de veiligheid in gevaar zou kunnen worden gebracht − Zeer hoog beveiligingsniveau Nadelen: − Distributie van het medium naar alle klanten van de bank is noodzakelijk − Opnieuw opstarten van de computer is noodzakelijk voor het gebruik van de applicatie − Niet elke computer kan opstarten van een dergelijk medium − Niet bestand tegen een geïnfecteerd ‘BIOS’13 van de computer van de gebruiker
13
BIOS: ‘Basic Input/Output System’. Het BIOS bevat een set basisinstructies voor de communicatie tussen het besturingssysteem en de hardware van een computer.
30 mei 2008
Pagina 18 van 20
Internetbankieren móét en kán veiliger
4.3.4 Alternatief 4: Draai de applicatie in een niet te wijzigen virtuele omgeving Om tegemoet te komen aan het bruikbaarheidsprobleem in verband met het altijd opnieuw moeten opstarten bij bovengenoemde oplossing met een onbeschrijfbaar opstartbaar medium, kan worden overwogen om die veilige omgeving op te starten in een ‘virtual machine’ (VM). Een dergelijke virtuele machine draait bovenop het huidige besturingssysteem van het systeem van de gebruiker. De virtuele machine wordt dan toch opnieuw opgestart, maar de gebruiker hoeft niet zijn fysieke systeem opnieuw op te starten. Voordelen: − De computer van de gebruiker hoeft niet opnieuw te worden opgestart − Werkt onafhankelijk van een mogelijk geïnfecteerd besturingssysteem van de gebruiker − Er kunnen geen wijzigingen worden aangebracht op het medium waarmee de veiligheid in gevaar zou kunnen worden gebracht Nadelen: − Vereist VM-software op de machine van de gebruiker − Vraagt meer processor- en geheugencapaciteit op de machine van de gebruiker − De veiligheid zal waarschijnlijk niet lang duren. Als deze methode voldoende populair wordt, zal het worden gekraakt, omdat VM-manipulatietechnieken al vrij geraffineerd zijn voor zowel positieve als negatieve toepassingen
4.3.5 Alternatief 5: Maak gebruik van een apparaat speciaal en uitsluitend geschikt voor internetbankieren Er zou een apparaatje ontwikkeld kunnen worden, vergelijkbaar met een PDA14, dat uitsluitend gebruikt kan worden voor internetbankieren, waarop de software voor internetbankieren in read-only geheugen staat en dat alleen een netwerkverbinding met de bank kan maken. De klant heeft dan voor internetbankieren geen pc meer nodig en omdat het apparaat volledig is toegespitst op internetbankieren, kan het eenvoudig worden gehouden. Dit zou internetbankieren toegankelijk kunnen maken voor mensen (bijvoorbeeld ouderen) die geen computer hebben. Tegelijk zou het de functie van het ‘hardwaretoken’, of calculator kunnen vervullen, zoals die nu bij veel banken gebruikt worden. Voordelen: − Werkt onafhankelijk van enige, mogelijk geïnfecteerde, computer − Kan veel simpeler zijn dan een PC, zodat bijvoorbeeld ook ouderen ermee overweg kunnen − Kan redelijk klein zijn, bijvoorbeeld vestzakformaat, zoals een PDA, waardoor het overal mee naartoe te nemen is − Heeft geen opstarttijd, zoals een pc − Kan hardwaretoken / calculator vervangen Nadelen: − Duur − Distributie van het apparaat naar alle klanten van de bank is noodzakelijk
14
PDA: ‘Personal Digital Assistant’. Een klein computertje op vestzakformaat.
30 mei 2008
Pagina 19 van 20
Internetbankieren móét en kán veiliger
Referenties [1] De Nederlandse Bank, Kwartaalbericht (juni 2007), artikel p. 41: Internetbankieren nu en in de toekomst [2] Elsevier nr. 44 (november 2007), artikel p. 64: Betalingsverkeer: Internetbankieren [3] McAfee Virtual Criminology Report 2007: Cybercrime: The next wave [4] McAfee Virtual Criminology Report 2006: Organized Crime and the Internet [5] McAfee Virtual Criminology Report 2005: North American Study into Organized Crime and the Internet [6] Tanenbaum, Andrew S. (2003), Computer Networks (4th edition), §8.7 Authentication Protocols. Upper Saddle River, N.J.: Prentice Hall [7] De Nederlandse Bank, allesoverbetalen.nl, Internetbankieren, http://www.allesoverbetalen.nl/consumenten/internet/internetbankieren/
[8] Consumentenbond (30 oktober 2007), Computergebruikers kwetsbaarder dan ze denken, http://www.consumentenbond.nl/actueel/nieuws/nieuws2007/196013
[9] Schaafsma, Evan, webwereld.nl (1 november 2007), Banken starten campagne veilig internetbankieren, http://webwereld.nl/articles/48525/banken-starten-campagne-veilig-internetbankieren.html [10] Security.nl (28 februari 2008), 20% consumenten onbekend met gouden slotje, http://www.security.nl/article/18176/1/20%25_consumenten_onbekend_met_gouden_slotje.html
[11] Security.nl (3 april 2006), 23% phishing slachtoffers kijkt niet naar URL en SSL, http://www.security.nl/article/13258/1/23%25_phishing_slachtoffers_kijkt_niet_naar_URL_en_SSL.html
[12] Security.nl (6 november 2007), Twee-factor authenticatie kan internetbankieren niet redden, http://www.security.nl/article/17328/1/Twee-factor_authenticatie_kan_internetbankieren_niet_redden.html
[13] Corcom Security Analysing Holland (6 juni 2007), Criminele computertactieken worden geavanceerder, http://corcom.wordpress.com/2007/06/06/criminele-computer-tactieken-wordengeavanceerder/
[14] Gühring, Philipp (12 september 2006), Concepts against Man-in-the-Browser Attacks [15] Jackson, Colin e.a. (januari 2007), An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks [16] Dhamija, Rachna e.a. (april 2006), Why Phishing Works
30 mei 2008
Pagina 20 van 20