Veiligheidsonderzoek ABN AMRO HomeNet 2.0
Door Bastiaan Bakker en Richard Odekerken
Hoofdstuk 6 - Conclusies
6. Conclusies
Het HomeNet 2.0-pakket biedt gebruikers de mogelijkheid via internet betalingsopdrachten te sturen en rekeningafschriften op te halen. Op verschillende punten zijn beveiligingsmethoden toegepast om het systeem af te schermen tegen misbruik:
- wachtwoord voor toegangscontrole tot het client pakket
- wachtwoord voor authenticatie met bank
- challenge/response calculator voor authenticatie met bank
- sessie encryptie voor confidentialiteit en integriteit van de communicatie met de bank
6.1 Gevonden problemen
Ad. 1: Wachtwoord voor toegang tot het pakket
Uit het onderzoek is gebleken dat de toegangscontrole tot het pakket en de afscherming van rekening- en betalingsgegevens minimaal is: onbekende wachtwoorden kunnen naar believen gewijzigd worden in bekende wachtwoorden, en geblokkeerde accounts kunnen worden gedeblokkeerd zonder enige vorm van autorisatie. Nog erger is dat de rekeninggegevens (balans, afschriften, etc.) en betalingsopdrachten in een niet afgeschermde database bewaard worden. Deze gegevens kunnen dus zonder enige controle gelezen en gewijzigd worden. Dit maakt het wel heel makkelijk om op diverse manieren banksaldo's aan kwaadwillenden door te sturen of betalingsopdrachten toe te voegen. Dit is alleen mogelijk op een PC die al onveilig geconfigureerd is, of op andere wijze (bijvoorbeeld door een trojan) is gecompromitteerd.
ABN AMRO heeft ons laten weten dat deze issue in HomeNet versie 3.0 is geaddresseerd.
Ad. 2: Bankwachtwoord
Aangezien de grote meerderheid van de gebruikers het bankwachtwoord hetzelfde zal kiezen als het HomeNet login wachtwoord is de wijze waarop het login wachtwoord op de lokale harddisk bewaard wordt van groot belang. Gebleken is dat HomeNet een proprietary hash functie gebruikt die alleen het wachtwoord zelf als domein heeft.
ABN AMRO heeft ons laten weten dat deze issue in HomeNet versie 3.0 is geaddresseerd.
Ad. 3: Challenge/response calculator
De challenge/response calculator maakt gebruik van een nog niet gepubliceerd proprietary algoritme, in combinatie met een geheime, per calculator unieke, sleutel. Deze sleutel is bovendien tijdsafhankelijk.
Cryptanalyse van dit algoritme laat nog geen zwakte zien, het wordt wel duidelijk dat het in software geimplementeerd veel langzamer is dan alternatieve standaardalgoritmen. Dit beperkt de mogelijkheden tot brute-force attacks.
Daarnaast blijkt het domein van challenges op een gegeven tijdstip veel kleiner dan aan de hand van de challenge lengte verwacht, namelijk 2048. Doordat de sleutel van de calculator iedere drie dagen gewijzigd wordt, heeft iedere calculator een veel groter bereik aan uitkomsten dan deze 2048, namelijk bijna 250.000 per jaar.
ABN AMRO heeft ons laten weten dat sinds eind 1999 een op Triple-DES gebaseerd token is verstrekt.
Ad. 4: Sessie encryptie
De methode waarop sessie-encryptie plaatsvindt is nog wel geheim. De code die deze encryptie aan de client-zijde uitvoert is echter aanwezig op de computer van de gebruiker. Het is derhalve mogelijk dat dit encryptiemechanisme in de toekomst ook bekend wordt. Vervolgens zou een analyse moeten uitwijzen of dit protocol bestand is tegen passieve en actieve aanvallen op de communicatie. In ieder geval is het zo, dat de wijze waarop de adressen van de bankservers binnen HomeNet worden opgeslagen, en de wijze waarop de bankservers door HomeNet worden opgezocht (door middel van DNS), gevoelig zijn voor manipulatie. Hier is een kans om het opzetten van een actieve aanval verder te bemoeilijken, gemist.
6.2 De moraal
Bovenstaande feiten laten zien dat de beveiliging van HomeNet 2.0 op diverse punten aanmerkelijk zwakker is dan binnen de opzet (PC met calculator aan internet gekoppeld) mogelijk is. Los daarvan is de opzet zelf inherent onveilig. We kunnen namelijk vrij duidelijk stellen dat de Windows PC omgegeving van de gemiddelde gebruiker geen Trusted Computing Base (TCB) is. Ook de gebruiker dient zich te realiseren dat een PC waar serieuze zaken mee gedaan worden, serieus behandeld dient te worden.
Eind november 2000 is ABN AMRO begonnen met het uitleveren van HomeNet versie 3.0, waarin de meeste van in dit verslag genoemde issues zijn geaddresseerd.
|
