» »

Varnostna analiza bančnega protokola: Chip Authentication Programme je neustrezen

Varnostna analiza bančnega protokola: Chip Authentication Programme je neustrezen

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson, je bil CAP protokol tako optimiziran, da je varnostno povsem neustrezen. Raziskovalci so z reverznim inženiringom bančne pametne kartice in čitalca, ki ga uporabljajo v Britaniji rekonstruirali CAP protokol, katerega podrobnosti sicer - kako znano - niso bile nikoli javno objavljene.

Odkrili so številne slabosti tako v zasnovi protokola, kot tudi v sami ideji uporabe takega načina avtentikacije katerih posledica je, da napadalci svoje žrtve lahko olajšajo za poljubno vsoto na njihovem bančnem računu.

Vsekakor gre za izredno poučen članek, ki opisuje številne resnične scenarije zlorab elektronskega bančništva. Na branje!

12 komentarjev

kuglvinkl ::

300 kosmatih, kolk je to podobno recimo sistemu SKB banke? Ni kartice, samo pin se vsakič sproti poračuna s kalkulatorjem, ki ti ga dajo. WTF?
Your focus determines your reallity

FastWIND ::

300 kosmatih, kolk je to podobno recimo sistemu SKB banke? Ni kartice, samo pin se vsakič sproti poračuna s kalkulatorjem, ki ti ga dajo. WTF?


Ampak tisti pin veš samo ti ?

Utk ::

heh, še par let, pa bo nekdo začel prodajat štumfe s ključavnico. Najbolj varna stvar, vam rečem.

jan01 ::

jype ::

Ne, pri SKB uporabljajo
v katerega moraš za vsako transakcijo (prijava, podpis posamezne transakcije pri rešitvi za poslovno uporabo) vpisati geslo.

arjan_t ::

varnostnemu protokolu ki ni public ne moreš zaupat

kuglvinkl ::

Ja, tist pin vem samo jest.
Your focus determines your reallity

kody ::

še najbolj se mi zdi...
osebno PIN + RSA Secure ID
uporablja NKBM....
ker tudi certifikat od NLB je bolj tako

FastWIND ::

še najbolj se mi zdi...
osebno PIN + RSA Secure ID
uporablja NKBM....
ker tudi certifikat od NLB je bolj tako


Tudi Probanka ima sistem osebni PIN + RSA Secure ID

ender ::

Take čitalce uporablja Banka Koper, in meni se je že od začetka zdelo sumljivo, kako se SecureCode ves čas enakomerno povečuje.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

denial ::


še najbolj se mi zdi...
osebno PIN + RSA Secure ID
uporablja NKBM....


Samo pri izvajanju transakcij. Za pregled stanja je dovolj u/p... še digitalnega potrdila ne uporabljajo. Phishing heavens?
SELECT finger FROM hand WHERE id=3;

fosil ::

Samo pri izvajanju transakcij. Za pregled stanja je dovolj u/p... še digitalnega potrdila ne uporabljajo. Phishing heavens?

Morda res, ampak kaj si lahko pomaga s pregledom stanja na tvojem računu? Brez pina in rsa-ja denarja ne more nakazat.
Tako je!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

2,2 € za menjavo PIN kode (strani: 1 2 )

Oddelek: Loža
6416335 (6289) crniangeo
»

Online plačevanje

Oddelek: Loža
131939 (1596) mikhail
»

Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
23298847 (92058) sisemen 
»

Internetno bančništvo (strani: 1 2 )

Oddelek: Loža
7419774 (15460) Tilen
»

Novi varnostni mehanizmi slovenskih bank (strani: 1 2 )

Oddelek: Novice / Varnost
7112125 (8616) CaqKa

Več podobnih tem