Schutz von FinTS/HBCI-Clients gegenüber Malware - Hanno Langweg

D-A-CH Security 2007
Schutz von FinTS/HBCI-Clients gegenüber Malware
Hanno Langweg
Universität Bonn & Norwegian Information Security Laboratory
www.hanno-langweg.de
Jörg Schwenk
Universität Bochum
• Alle untersuchten Homebanking-Clients verwundbar
• Angriffsmethoden lange bekannt, geschützt wird trotzdem nicht
• Schutzmaßnahmen sind nicht kompliziert
Hanno Langweg 1/13

Lokale Malware-Angriffe auf FinTS/HBCI
FinTS/HBCI als Schutz gegen Phishing
•Direkte Kommunikation Kunden-PC zu Bank-Server
•Abgesichert über Chipkarte
∗Hardware
∗Kryptographie
• Klasse-2-Kartenleser mit eigener Tastatur
Erfahrungen mit Clients für elektronische Signaturen
• Untersuchungen 2001, 2006
• Geringe Fortschritte bei Client-Sicherheit
Ähnliche Defizite bei HBCI-Clients vermutet
• Auswahl: StarMoney 5.0, Quicken 2007, WISO Mein Geld 2006, VR-NetWorld 3.0
• Angriffsszenario und -methoden wie bei Signatur-Clients
Hanno Langweg 2/13

Angriffsszenario für Tests
Angriffsszenario:
• Homebanking auf Personal Computer
∗ Typisches Betriebssystem, hier: Microsoft Windows XP SP2
∗ Typische Softwareinstallation
∗ Typisches Benutzerkonto, keine Administratorrechte
• Lokale Schadsoftware – Trojanisches Pferd – auf dem PC
∗ Herkunft irrelevant, z.B. per E-Mail, Download, Tauschbörse o.ä.
∗ Keine Administratorrechte
> Standardfall “Geschützter Einsatzbereich” bei elektronischen Signaturen
(nach Klassifikation Bundesnetzagentur)
HBCI-Chipkarte sichert nur Transport über Netzwerk
> Was passiert zwischen Kunde und Chipkarte?
Hanno Langweg 3/13

Angriff #1: PIN abfangen
Angriffsziel:
• PIN herausfinden, um dann selbst Transaktionen mit der HBCI-Chipkarte zu erstellen
Methoden:
• Window messages an HBCI-Client, um PIN aus Eingabefeld auszulesen
∗ Funktioniert bei Signaturclients mittlerweile nicht mehr
• Tastatureingaben belauschen
∗ Ggf. nicht einfach automatisch auswertbar
∗ Klappt gut, wenn kein Klasse-2-Kartenleser im Einsatz
> Alle Produkte unterstützen sichere PIN-Eingabe mit Klasse-2-Lesern
> Gut ... also?
Hanno Langweg 4/13

PIN-Eingabe mit Klasse-2-Leser – wo ist das Problem?
Authentizität der Kommunikation zwischen HBCI-Client und HBCI-Chipkarte nicht garantiert
• “Mit wem spricht die Karte wirklich?”
Software
Malware
HBCI-Sw.
(Client)
Malware
HBCI-Sw.
(Client)
Kommandos
ohne PIN
Klasse-1-Kartenleser
Kommandos
mit PIN
PIN
Klasse-2-Leser
1 2 3 Kommandos
4 5 6
7 8 9
OK 0 C
HBCI-Chipkarte
PIN
Hanno Langweg 5/13

Angriff #2: Transaktionen/Auszüge verändern
(Wer Klasse-2-Leser zur Abwehr von Keyloggern fordert, akzeptiert lokale Malware)
Angriffsziel:
• Lokaler Benutzer soll verfälschte Transaktion in HBCI-Client bestätigen
Methoden:
• Fernbedienung und Manipulation der Anzeige per Window messages
∗ Klappt überall prima
∗ Alle Daten (u.a. Zahlungsempfänger) können geändert werden
• Window messages zur Ausforschung der Oberfläche
∗ Dialoge dann einfach nachzubilden
• “Secure Viewer”-Problem bei elektronischen Signaturen
> Alle Produkte verwundbar
Hanno Langweg 6/13

Angriff #3: Homebanking-Client beliebig manipulieren
Ziel:
• Schadcode im Adressraum des HBCI-Clients ausführen
Methoden:
• Chipkartenleser-Gerätetreiber austauschen
∗ Wird für Kartenzugriff benötigt
∗ Standardtreiber PC/SC
∗ Oft mit unvollständiger Referenz geladen
• Datei hinzufügen
∗ Abhängig von Ordner-Zugriffsrechten
∗ Rechte durch HBCI-Client nicht geprüft
> Alle Produkte verwundbar (abhängig von
lokalen Standardvorgaben)
Hanno Langweg 7/13

Vergleich
Produkt
PIN
abfangen
Transaktion
ändern
Transaktion
einfügen
Kontoauszug
ändern
Code
ausführen
StarMoney 5.0 ja* ja ja ja ja*
Quicken 2007 ja* ja ja ja ja
WISO
nein* ja ja ja Ja* Admin
Mein Geld 2006
VR-NetWorld 3.0 ja* ja ja ja ja*
> Ergebnisse ersetzen keine gründliche Evaluierung; Angreifereinsatz je ca. 8-10 h
> Achtung: Keine Rangfolge, keine “Gewinner”, keine Produktempfehlung
Hanno Langweg 8/13

Bekannte Probleme, ungenutzte Lösungen
Probleme sind nicht neu
•CCC 1997: Quicken ferngesteuert
•Uni Bonn 2001: Sicherheit von Signatur-Clients
•NDR 2001: Kartenleserzugriffe umgeleitet
•NISlab 2006: Sicherheit von Signatur-Clients
FinTS/HBCI kein Sonderfall
• Gleiche Probleme bei elektronischen Signaturen
∗ Technik: Klasse-2-Leser, etwas umsichtigeres Software Engineering
∗ Regulierung: BNetzA-Klassifikation der Einsatzumgebung
∗ Forschung BSI: SISI – Sichere SignaturInfrastruktur
Hanno Langweg 9/13

Was tun?
Das können Hersteller tun:
• Trusted path zwischen lokalem Benutzer und Banking-Anwendung
∗ Integrität und Authentizität wichtig, Vertraulichkeit weniger
Ausgabe auf sicherer Anzeige, sichere Benutzereingabe als Bestätigung (Hw/Softw)
∗ In Hardware: Klasse-3-Leser mit Display, FINREAD-Leser mit Software
∗ In Software: Mechanismen für Microsoft Windows vorhanden
• Integrität von Codebibliotheken zur Laufzeit prüfen
• Einstellung der Zugriffsrechte, Prüfung der Zugriffsrechte
Das können andere tun:
• [Kartenherausgeber] Änderung des Kommunikationsprotokolls Karte-Client
∗ Transaktions-Session mit doppelter PIN-Eingabe (Start, Ende)
• [eCard-API o.ä.] Gemeinsame Softwareplattform für Integritätsprüfungen
• [Microsoft] Unterstützung für Trusted Computing in Windows
Hanno Langweg 10/13

Ohne Klasse-3-Leser: Bindung Software—Karte
Daten
PIN
Sig(Daten)
4
5
0
2
7
6
3
8
1
9
PIN 1234
Eingabe 6807
Sichere Anzeige [Windows]
+ Klasse-1-Leser
•Separate WindowStation, separater
Desktop, sichere Ein-/Ausgabe
•DirectX FullScreen ExclusiveMode
•Verwürfelte PIN
Klasse-2-Leser + “Signier-Session”
•Bindung HBCI-Client–HBCI-Karte
Hanno Langweg 11/13

Die Lage mit Windows Vista
• UAC User Account Control (“Benutzerkontensteuerung“)
∗ Weniger Rechte für Prozesse, Zustimmung durch Benutzer
[Gezeigte Angriffe brauchen keine besondere Rechte]
• MIC Mandatory Integrity Control, UIPI User Interface Privilege
Isolation
∗ Einteilung aller Prozesse in “low”, “medium”, “high”, “system”
∗ Einschränkung von Window messages von “unten” nach “oben”
[Gezeigte Angriffe arbeiten auf Stufe des HBCI-Clients]
• Datei- und Registry-Virtualisierung
∗ Verhindert Modifikation einiger Dateien durch Copy-on-Write
(Kompatibilitätsmodus für Alt-Anwendungen)
∗ Achtung: Virtualisierung abhängig von Benutzer, nicht Programm
Dateimanipulation bei Bestands-Anwendungen ggf. leichter
> Von alleine kaum Verbesserung, Betriebssystem nur Werkzeugkasten für Entwickler
Hanno Langweg 12/13

Schlussbetrachtung
FinTS/HBCI-Clients bieten heute kaum Schutz vor lokaler Malware
• Momentan noch theoretisches Angriffsszenario
• Keine Insiderkenntnisse nötig, keine Administratorrechte nötig,
Verwundbarkeit im Design der Software
• Trügerische Sicherheit mit Klasse-2-Leser
• Protokoll der HBCI-Chipkarten wird bleiben
∗ Karten müssten geändert werden
∗ Karten nicht einmal flächendeckend Standard-
Sicherheitsmedium
Ausblick
• Verbesserungen durch Software-Hersteller
möglich: einfach und billig, auch alleine
• Von elektronischen Signaturen lernen – Zusammenarbeit?
Hanno Langweg 13/13