Unsichere TANs bei der Citibank - Experte: "Neueste Entwicklungen auf langem Wege knackbar"

DruckversionAls E-Mail versendenZum Magazin-Forum

Laut einer Analyse einiger TAN-Listen der Citibank durch den Sicherheitsspezialisten Felix "FX" Lindner von SABRE Labs, besteht ein potenzielles Sicherheitsrisiko durch die Bank-interne Systematik der TAN-Erzeugung. Möglichen Angreifern soll es unter bestimmten Voraussetzungen auf Grundlage bereits verwendeter und somit ungültiger TANs möglich sein, die Routine weiterer Transaktionsnummern unter Umständen vorherzusagen. Aufgrund nur geringer, jedoch gehäuft auftretender Differenzwerte der in aufsteigender Folge sortierten TANs, besteht für Phisher eine höhere Wahrscheinlichkeit weitere gültige zu berechnen, sofern diese an eine Serie benutzter TANs gelangen.

Wie aus der genaueren Untersuchung der TAN-Listen durch Lindner in einem Artikel auf heise Security hervorgeht, beginnen die Zahlen einer TAN-Liste der Citibank aus dem Jahre 2005 mit derselben Ziffer und sind aufsteigend geordnet. Das potenzielle Risiko sieht Lindner darin: "Auch ohne höhere mathematische Weihen ist zu erkennen, dass die Werte den möglichen Werteraum nicht ausnutzen." Das heißt, dass eine TAN der Citibank der analysierten Liste aus dem Jahr 2005 zwischen 167 und 1.348 größer war, als die vorige in der gleichen Zeile. Daraus folgert der Sicherheitsexperte, dass "im Vergleich zu Zufallszahlen die Verteilung der Abstände zweier TANs sehr systematisch ist." Darin besteht laut der Studie eine gute Chance für Phisher unter Zuhilfenahme bereits verwendeter und damit ungültiger TANs die Wahrscheinlichkeit eine noch gültige TAN zu erraten.

In einer weiteren Analyse einer zweiten angeforderten TAN-Liste der Citibank sieht sich Lindner in seinen Vermutungen über weiterhin nicht wesentlich veränderte Verfahren und Algorithmen zum Erzeugen der TANs bestätigt. Mittels einer so genannten differenziellen Analyse beider TAN-Listen sowie Referenz-Perl-Zufallszahlen, kann folglich nur bedingt von sicheren Zufallswerten gesprochen werden. Eine Zahlenmenge mit Referenz-Perl-Zufallszahlen weist hingegen eine hohe Entropie auf, die bei den vorliegenden TAN-Listen kaum erreicht wurden.

Eines der Hauptprobleme sieht der Fachmann darin, dass potenzielle Phishing-Opfer ihren bereits verbrauchten TANs keine weitere Bedeutung zumessen, da diese normalerweise auch nicht mehr vertraulich sind. Daher lassen sich Bankkunden generell auch leichter zur Weitergabe durch gefälschte E-Mails und Webseiten zwecks gefälschter Vorgaben in Sachen "Ermittlungen von Online-Banking-Betrügereien" bewegen. Resümierend hält Lindner fest, dass sich trotz der aufgezeigten Mängel ein "Rückschluss auf den von der Citibank verwendeten Algorithmus zum Erzeugen der TANs aus den gewonnenen Daten nicht ziehen lässt." Wenngleich nicht vom "Dammbruch der Sicherheit des Homebankings der Citibank" gesprochen werden kann, empfiehlt der Experte eine Überarbeitung des Verfahrens zur Erstellung der TAN-Listen. Die Unabhängigkeit der TANs voneinander sowie gängige Pseudo-Zufallszahlengeneratorfunktionen trägen zu mehr Sicherheit bei. Lindner rät Citibank-Kunden dazu, die Sicherheitsmängel durch die zufällige und nicht der Reihe nach stehende TAN-Nutzung selbst auszugleichen. Dies erscheint auch notwendig, da die Citibank weder das als sicher geltende HBCI (Homebanking Computer Interface) oder verbesserte TAN-Verfahren, wie etwa iTAN, mTAN oder eTAN, anbietet.

Robert Krickl, Bereichsleiter E-Business der BAWAG, weist gegenüber pressetext darauf hin, dass vollkommene Sicherheit im Bereich des Online-Banking heutzutage eine Wunschvorstellung bleibt. Neben einer empfohlenen Umstellung herkömmlicher TAN-Verfahren auf iTAN oder wie bei der BAWAG langfristig anvisierten Digitalen Signatur, die noch außerhalb des Internet-Browsers eine Datenverschlüsselung vornimmt, hält Krickl selbst neueste Entwicklungen, wie etwa iTAN oder mTAN, "von Profis auf langem Wege hinaus für knackbar." Seiner Ansicht nach geben momentane Sicherheitsstandards wie mTAN den Banken jedoch Luft, so dass er auch der Citibank diese Umstellung nahe legt.

04.10.2006, Mag. Florian Fügemann, pressetext.austria




Kommentare zu dieser News


Schreiben Sie einen Kommentar zu dieser Meldung

Newsletter abonnieren

Verpassen Sie nichts und bleiben Sie informiert mit unserem Newsletter.
Ihre E-Mail Adresse:  
RSS-Feed: Alle News aktuellUnsere News auf Ihrer Website

Weitere aktuelle Meldungen

W3B-Online-Studie: GeldKarte-Nutzer schätzen Sicherheit durch Chip
Ogone und xt:Commerce integrieren Zahlungslösung und Shopsystem
Beeindruckende Marktprognose für Handyspiele
hybris spielt beim Gaming-Experten Digiplace auf
Meet Magento Day: Die Magento Community trifft ihren Star in Leipzig

Meldungen aus anderen Themenbereichen

Lotus Notes 8.5 ab sofort verfügbar
CRM speziell für den Möbelhandel - Analyse des Kundenverhaltens und Kundenbindung
CeBIT 2009: ERP-Park, Forum, Guided Tours - Wege aus dem ERP-Irrgarten
Weniger Stress! Diesen guten Vorsatz für 2009 ganz einfach und bequem mit Nuance realisieren
IBM-Zertifikat für oxaion open

Swinger Paare
© 1999-2009 FEiG & PARTNER | Nutzungsbedingungen
Das Content Management PortalDas Dokumenten Management PortalDas IT-Security PortalDas Customer Relationship Management PortalDas E-Commerce PortalDas Enterprise Resource Planning PortalPortal für VoIP und mobile KommunikationDas Magazin für IT im KrankenhausDas Verzeichnis für IT-Profis
homeimpressumerklärung zum datenschutz - privacy policykontaktwerbung

magazin
know how
news
veranstaltungen

it-guide
produkte und anbieter
produktfinder
produktvergleich
dienstleister
eintragen
stellenangebote
stellengesuche

community
expertenforen
experten
newsletter
umfragen

ressourcen
bücher
studien
glossar
library
gallery

Schnellsuche




Commercemanager.de weiterempfehlen


Senden Sie Freunden und Bekannten einen Hinweis auf Commercemanager.de!



Aktuelle Umfrage


Verwenden Sie eine Shop-Software?