chipTAN WTF?!
Mittwoch, 12.10.2016, 13:26 > daMaxGerade eben begrüßt mich meine Bank mit diesem fröhlichen Text:
Sehr geehrtes Bloggerschwein,
die Sicherheit Ihres SpardaNet-Bankings ist uns wichtig. Deshalb schalten wir zum 31.12.2016 das iTAN- und mobile TAN-Verfahren zur Freigabe von Aufträgen ab. Die papierhafte TAN-Liste, sowie der Versand der Transaktionsnummern per SMS haben somit ausgedient. Ursachen sind Vorgaben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) sowie eine in Kürze geltende Zahlungsdiensterichtlinie der EU, die für unser Haus bindende Wirkung haben.
Gut, dass wir bereits einfache und sichere Alternativen für Sie im Angebot haben. Steigen Sie schon heute auf die SpardaSecureApp mobil (für Smartphone/Tablet) und SpardaSecureApp PC oder das ChipTAN-Verfahren um!
Hinweis: Die SpardaSecureApp für das macOS Betriebssystem erscheint voraussichtlich Ende Oktober 2016.
Super. 'Ne extra Software, die ich mir auf jedem Rechner installieren soll und von der die MAC-Version noch nicht mal fertig ist? Ich passe.
Bleibt also chipTAN. Was ist das? Na, ein wirklich kinderleichtes Verfahren:
Sagt mal, GEHT'S NOCH?!? Karte in Generator stecken, Generator an Monitor halten, Grafikgröße anpassen(!!), "F" drücken (what?!? "F" wie "fenerieren" oder "ferzeugen" oder "ferechnen" oder was?), dann sämtliche Daten selber noch mal überprüfen(!!!) und dann eine beschissene TAN bekommen, die ich dann auch noch abtippen muss? Soll ich dabei vielleicht noch einradrückwärtsfahren Kettensägen jonglieren und währenddessen Gershwin gurgeln?
Aber echt jetzt. Komplizierter geht's nu wirklich nimmer. Meine Fresse. Toll, diese computerisierte Welt. Echt toll.
Wieso kann ich mit meiner MasterCard weltweit jede beschissene Rechnung begleichen, indem ich einfach nur eine 3-stellige Prüfziffer eingebe? Aber nein, chipTAN ist ja so einfach. Hass! 
Das haben wir davon, dass der gesamte Politsondermüll nach Brüssel verklappt wird, wo er dann von "Überholspuren auf der Datenautobahn" faseln darf.
Artikel als RSS
Hallo, ich benutze das ChipTAN-Verfahren bei der Postbank schon seit Jahren; ist wirklich sehr einfach. Blöd ist nur, wenn die Batterien leer sind,aber das merkt man ja schon vorher.
Der Scheißdreck funktioniert auch nicht in geschäftlichen virtualisierten PC-Umgebungen (VDI). Mit RDP als Übertragungsprotokoll mal gar nicht, mit dem flotteren PCoIP nur, wenn man den Flickertakt auf unter 20% runterdreht, damit sicher jeder Takt angezeigt und von den Fotozellen erkannt wird. Und dann fällt einem bei der resultierenden langen Übertragungszeit schier der Arm ab. Schon mal was von "Gorilla-Arm" gehört? Seit den 80ern ein gesetzter Begriff:
http://catb.org/jargon/html/G/gorilla-arm.html
Ich habe das *VOR* der Zwangseinführung mit diversen Banken herumdiskutiert. Die hatten das Szenario virtualisierter PCs und die Latenzen bei der Bildschirmübertragung überhaupt nicht auf dem Schirm. Ich habe denen *VORHER* angesagt, daß das so nicht funktionieren wird. Die haben überhaupt nicht verstanden, was ich da erzählte. Und wir reden hier nicht nur vom "Bankberater", nein, ich wurde an deren Haus-IT weitervermittelt. Kein Sachverstand weit und breit. Da bekomme ich manchmal schon den Eindruck, daß am Fachkräftemangel etwas dran ist. Wenn auch anders, als die Politik meint.
Da sind also "Lösungsdesigner" unterwegs, die nur den Einsatzfall "Einzelbenutzer am einem PC/Laptop" kennen und nicht die leiseste Idee von möglichen IT-Szenarien haben und uns auf Basis dieser Unkenntnis mit immer neuen Problemen beglücken.
Das ist dieser vielgerühmte Fortschritt, von dem man allerorten immer wieder hört. Dankeschön!
@OldFart: das ist echt der Hammer. Ich hatte da bis gerade eben noch NIE von gehört und falle gerade echt aus allen Wolken. So ein absolut kaputter Scheißdreck.
@da]v[ax:
Sparkassen und Volksbanken sind mit dem Zeugs schon seit 2-3 Jahren unterwegs.
Unsere Buchhalter an der Arbeit erkennt man am isoliert ausgeprägten Armmuskel. Clevere Zeitgenossen basteln sich mit Unterlagen aus Bürotisch-Gegenständen und Tesafilm einen Stand, auf den man das Teil aufsetzt und wo es an den Monitor gelehnt den mit 20% der Sollgeschwindigkeit dahinschnarchenden Flickercode einliest. Alternativ kann man die Überweisungsdaten aus dem Online-Formular natürlich per Tastatur am Generator auch manuell eingeben, um eine TAN zu erzeugen. Das bißchen IBAN ist doch ein Klacks. So fügt sich eine Verbesserung an die andere. Das war übrigens die Empfehlung der Bank-IT an unsere Buchhalter. Und das meinen die ERNST!
Wenn das nur jemand geahnt und uns gewarnt hätte ... seufz.
@ChipTANfreund: wirklich? Dieser Scheiß mit Flimmerbildchen? Das soll einfach sein? Also in Star Trek funktionieren Computer irgendwie einfacher und ein iPhone ist auch einfacher zu bedienen...
@OldFart: also es ist langsam nicht mehr zu leugnen: die Welt wird komplizierter, dööfer, schlimmer. Ich kann BEIM BESTEN WILLEN nirgends eine Verbesserung entdecken. Außer vielleicht in der Gendermainstreamforschung. Die sind ja alle happy soweit.
@da]v[ax:
Das ist der Trend: Complex non-solutions for simple non-problems.
Einen hab ich noch: Die Flickerbilder gibts in verschiedenen Implementierungen. Wenns gut läuft, nutzt die eigene Bank animierte GIFs. Wenns blöd läuft, ist das Flash.
Ausschließlich Flash. Schon erlebt.
Da erhöhen die also die Security, indem sie Nutzer, die in Kenntnis der Sachlage Flash von ihren PCs verbannt haben, dazu zwingen, Flash zu installieren. Finde ich voll überzeugend, echt mal. Und damit können wir nahtlos zur anderen Meldung des Tages überleiten:
https://blog.todamax.net/2016/wisst-ihr-was-schon-lange-nicht-mehr-kaputt-war/
@OldFart: oh Hilfe
Da fügen sich die DDoS-Angriffe mit dem IoT gedanklich nahtlos ein - Sicherheit ist überbewertet, außer wenn man es regulär nutzen will, da geht dann unter DNA-Probe und Opferung des ältesten Sohnes nichts mehr.
Apropos IoT: https://www.theguardian.com/technology/2016/oct/12/english-man-spends-11-hours-trying-to-make-cup-of-tea-with-wi-fi-kettle
k.A., wo ich den link heute gefunden hatte... Soviel zum Fortschritt. Ich habe da mittlerweile auch ziemliche Bauchschmerzen mit. Und dann will unser glorreicher Bundesrat ab 2025 oder 30 keine Neuwagen mit Verbrennungsmotoren mehr zulassen - das wird ein Spass werden.
@ein anderer Stefan: mwahahaaa der Guardian-Artikel
Um mal irgend jemand zu zitieren: The most convincing proof that intelligent life exists out in space is that they did not try to contact us.
Oder auch: we life in times of smart phones and stupid people.
@da]v[ax:
Sind sie?
Ich nutze ebenfalls chipTan bei der Sparkasse - ist eben sicherer als SMS Tan oder die alten gedruckten TAN Listen. Wer will schon zu einer dieser Lokalzeitungsgeschichten werden, die von irgendwelchen Scammern um ihr Erspartes gebracht wurden? Wer es immer am Bequemsten haben will, trägt eben auch das Risiko - siehe Faulheit beim Passwortmanagement, Firewall Setup usw.
Der Mehraufwand bei einer Überweisung mit chipTan gegenüber SMS Tan sind jedenfalls wenige Sekunden bei mir. Ist einfach nicht der Rede wert und kein echtes Problem.
Und was Star Trek angeht, wäre ein typischer Kommandocode (wie z.B. der Selbstzerstörungsmechanismus der Enterprise) selbst mit einem 80er Jahre Computer schneller geknackt, als Spock "faszinierend!" sagen kann.
"Garak-1-3-5-9", ernsthaft, Mr. Garak? Kein Wunder, dass er von seinem Chef beim cardassianischen Geheimdienst ins Exil geschickt wurde.
@Vox Populist:
Wers nutzen will und kann, herzlich gerne, kein Problem.
Aber den Kram zu erzwingen und dann relevante Einsatzszenarien so verkackt zu haben, daß in bestimmten professionell gemanagten Environments der Mist schon im Konzept gar nicht funzt, das geht halt nicht.
Sparkasse, oh ja. Deren Flickerbilder im browserbasierten Internetbanking sind Flash.
Repräsentativ für den Verein:
https://www.spk-ro-aib.de/pdf/chiptan/chiptan_hilfe.pdf (Punkt 6)
Einziger Ausweg, wenn Flash keine Option ist: SFIRM kaufen, installieren und das Banking damit abwickeln. Das ist im Mehrplatzbetrieb ein Alptraum für sich. Applikationsvirtualisierung? Haben die Brüder nie etwas von gehört. Also installieren und administrieren wie anno dunnemals. Alles manuell. Wie beim PC privat zuhause. Boah, Mann. Immerhin hat die Software aber eine eigenimplementierte Flickeranzeige, die kein Flash braucht.
Ebensfalls repräsentatives Beispiel:
http://sparkasse-sw.pitcom.net/privatkunden/konten_und_karten/online_banking/leitfaden_sfirm_chiptan.pdf
Wie krank ist das denn alles? Müssen wir uns wirklich um diesen Murks immerzu herumimprovisieren?
@OldFart: OMG wie kaputt. Und du scheinst dich auch noch beruflich damit auseinandersetzen zu müssen. Mein tief empfundenes Mitleid ist dir gewiss
Machen wir auch schon seit zwei Jahren. Und weil mir das zu kompliziert ist, macht´s meine Frau, und die kommt damit prima klar. Ich bin bei uns eben die Muskeln und sie das Hirn.
P.S.: Ich gehöre auch zu den Leuten, die bisweilen vor Ort in der Bank eine Schreibleseschwäche vortäuschen und z.B. Überweisungsformular von der netten Mitarbeiterin ausfüllen lassen (machen die ohne Mucken). Derweil bediene ich mich an den Gummibärchen.
@ninjaturkey:
Bei euch gibts ne Bankfiliale? Also doch ein urbanes Zentrum, nix mit Hinterland, wie immer behauptet
Bei uns hat unlängst die Sparkasse zugemacht (so wie vor ein paar Jahren schon der REWE). Jetzt sind die ganzen alten Leutchen aufgeschmissen. Keine Kohle und nix zum Einkaufen. Dann haben die sich in der Gemeinde organisiert und einen Bankautomaten herbeilobbyiert. Steht jetzt beim Bürgerhaus, weil die Sparkasse auch Haus und Grundstück vertickt hat.
Die Sparkasse hat für den Automat einem Probebetrieb eingewilligt. Nach einem Jahr wird "evaluiert", ob sich der Automat für die Bank rechnet. Da würde ich als (hypothetischer) alleingelassener Noch-Kunde doch mal gegenevaluieren, ob sich die Sparkasse noch für mich rechnet. Ausgerechnet das wesentliche Pfund, mit dem die punkten, nämlich die allgegenwärtige Präsenz (für so Leute mit Lese/Schreibschwäche und Gummibärchenaffinität), geben die auf. Strategen!
Also, ich möchte mal eine Lanze für das ChipTAN-Verfahren brechen.
Es ist nämlich das einzige Verfahren, das mir bekannt ist und einigermaßen sicher ist.
TAN auf Papier oder aus dem TAN-Generator ist trivial zu hacken, dich muss nur jemand auf eine gefälschte Bank-Seite umleiten und du musst glauben, dass das die echte Bank-Seite ist. Angriffsziel ist hier nicht nur der Nutzer, der auf so etwas hereinfällt, sondern auch die ganze Schadsoftware auf deinem PC. Ganz besonders gut funktioniert dieser Angriff, wenn ein Antivirenhersteller Schlangenöl in deinen Browser installiert und ihn damit kaputtpatcht und ein paar Sicherheitslücken einbaut.¹ Beliebige andere Schadsoftware auf deinem Rechner oder beliebige andere Browser-Addons tun es aber auch. Dieser Angriff skaliert trivial auf zigtausende Nutzer. Fertig ist der Millionen- bzw. Milliardenschaden für Bank und Verbraucher.
SMS-TAN ist etwas komplizierter, weil der Kunde entweder leichtsinnig genug sein muss, das Online-Banking auf dem selben Smartphone zu machen (die Sparkasse hat das mal einige Zeit sogar beworben). In diesem Fall reicht eine einzige Schadsoftware auf deinem Smartphone. Wenn du nicht so leichtsinnig warst, wirst du trotzdem bestimmt ein Smartphone haben, das du hin und wieder mit deinem PC synchronisierst. Ist eines von beiden infiziert, dann auch ganz schnell das andere, und dann ist der Spaß auch vorbei. Egal ob der Kunde leichtsinnig war, auch SMS-TAN skaliert trivial auf hunderttausende Opfer.
Und dann gibt es eben das ChipTAN-Verfahren, bei dem auf dem Kartenlesegerät Betrag und Empfänger angezeigt wird. Diese Informationen werden Verschlüsselt und signiert von deiner Bank über den Monitor auf das Lesegerät transportiert. Wenn die Implementierung der SmartCard da drin nicht völlig verkackt wurde, ist das auf der Seite des Bankkunden unhackbar. Ein Angreifer müsste schon deine Bankkarte oder dein Kartenlesegerät durch abgehörte Hardware ersetzen und dann neben deinem Haus Funk-Hardware aufstellen, die mit der manipulierten Hardware kommuniziert. Das ist nicht realistisch skalierbar auf tausende Angriffe.
Ja, das ChipTAN-Verfahren ist etwas umständlich, aber sicher. „Bequemes sicheres Überweisen von zu Hause“ war von vornherein eine Lüge. Für die Bank ist es aus wirtschaftlichen Gründen viel klüger, ChipTAN als einziges Online-Banking-Verfahren zu erzwingen. Und ich denke, auch für den Kunden ist das besser. (Achtung Ironie: ) Außer natürlich für die Kunden, die noch nie in ihrem Leben Schadsoftware auf ihrer unknackbar sicheren Kommunikationselektronik hatten.
¹ Für diejenigen, die nicht bei fefe mitlesen: Viele „Antiviren“-Software und anderes Zeug, wofür man teils Geld ausgibt, installiert sich in den Browser oder zwischen Browser und Internet als transparenter Proxy. Es macht alle Verschlüsselung weg, überprüft Hashes und filtert ein paar als schadhaft bekannte Webseiten weg und macht neue Verschlüsselung drauf, der dein Browser vertraut. Leider hat sich in der Vergangenheit gezeigt, dass diese „Antiviren“-Software weniger sicher ist, als die Mainstream-Browser (Internet Explorer/Edge, Firefox, Chrome, Safari). Manchmal steht da drin sogar Tür und Tor offen, dass ein Angreifer über diese Software erst einen PC hacken kann.
Nachtrag zu meinem vorigen Kommentar:
Die „SpardaSecureApp“ und die TAN-App von der Sparkasse sind per Design mindestens genauso unsicher und kaputt wie die SMS-TAN. Völlig egal wie sicher die App programmiert sein mag/könnte. Siehe auch: https://www.fau.de/2015/10/news/wissenschaft/leichtes-spiel-fuer-hacker/
@OldFart: Das ist ja schwach, mit der Sparkasse. Ich kenne die Geschichte anders herum, wo in kleinen Dörfern inzwischen Bankmitarbeiter von Ort zu Ort fahren und bei den alten Leuten die Bankgeschäfte machen und ihnen (kleine Summen an) Bargeld mitbringen. Und zwar in Orten, in denen es nie eine Bank gegeben hat. Ist aber auch die Volksbank/Raiffeisenbank.
ohgraus. bedeutet das im klartext, daß demnächst sämtliche banken auch mTAN abschalten? hatte ich bisher nämlich null probleme mit; altes, *normales* handy zum empfang und gut is.
scheisse!
@Chris:
Siehste? Und an der Hürde scheiterte bisher noch JEDER Phishing-Versuch. Seit über 10 Jahren. Deshalb halte ich eine TAN-Liste auf Papier immer noch für sicher genug.
Und du schreibst selber, dass die "SecureApp" jetzt schon kaputt ist. Von der Mobilversion fange ich gar nicht erst an, denn Android ist durch und durch kaputt. Tja. Alles scheiße.
@DasKleineTeilchen (20): yep, richtig erkannt, mTAN wird ebenfalls zum 1.1.2017 abgeschaltet.
@da]v[ax:
Ja, ein paar Leute (du eingeschlossen) kennen sich mit IT gut genug aus, um nicht da reinzufallen. Auf den Großteil der Bevölkerung trifft das aber nicht zu. Und sollte mein PC mal Schadsoftware haben, weiß ich nicht mit 100%iger Sicherheit, ob ich das erkennen sollte.
Es scheint so oft zu passieren, dass die Banken sich aus regulatorischen oder wirtschaftlichen Gründen dazu gezwungen sehen, die unsicheren Techniken abzuschaffen.
@Chris: und Leute, die auf so plumpes Phishing reinfallen, sind in der lage, einen chipTAN-Generator zu bedienen? Ichweißjanich
Is ja auch egal. Ich finde das Verfahren unnötig kompliziert. Angesichts einer Kreditkarte, die wirklich MEGA easy dagegen ist, ist dieses neue Verfahren hoffnungslos kaputt. Ne extra App (mit GARANTIERT 100 Sicherheitslücken) oder wahlweise ein überkompliziertes Stück Hardware... das kann's in meinen Augen echt nicht sein.
@OldFart: Die Flickerbilder sind bei mir nicht Flash, da ich Flash nicht nur nicht installiert, sondern auch standardmäßig über Browserplugin (Firefox) geblockt habe.
Wenn das bei Dir noch flash only ist, hat Dein Sparkassenverbund das offensichtlich noch nicht upgegradet, was zugegeben ziemlich peinlich ist.
Warum die Bezahlung per Kreditkarte keinen TAN-Gegencheck erfordert, oder auch nur ein Passwort oder Sicherheitsfrage, wäre übrigens wirklich mal eine Nachforschung wert.
@Vox Populist:
Der CCC hat zu dem Thema einige Recherche betrieben. Da kann man nachlesen. daß es verschiedene Displayverfahren gibt und Flash in der Optionenliste Nr. 1 sein soll.
https://wiki.ccc-ffm.de/projekte:tangenerator:start
Es ist also keineswegs so, daß Flash abgelöst werden wird und irgendwer nur gepennt hat. Es gibt aber Banken, bei denen die Implementierer schon mal Alternativen aus der Liste an den Start gebracht haben. Die Sparkassen-IT gehört nicht dazu. Bei den Volksbanken ist kein Flash nötig, da ggfls. auf diese Fallback-Alternativen gewechselt wird. Es gibt auch eine Musterlösung zum Testen in Javascript:
https://6xq.net/flickercodes/
Im CCC-Text findet man auch die Anleitung, wie man per URL mit Parametern bei der Bank die serverseitige Erstellung eines GIF anstoßen und mit wget abholen kann - wenn sie diese Mimik am Start hat.
Auf Github gibts diversen fertigen Code für Java und Javascript. Einen, den ich ad-hoc finde:
https://github.com/willuhn/hbci4java/blob/master/src/org/kapott/hbci/manager/FlickerCode.java
Die Javascript-Version finde ich grad nicht wieder. Gab es aber. Irgendwo dort halt.
@OldFart:
you are the pro here, there's no doubt about that.
@da]v[ax:
ach, you godda be fucking kidding me! VOLLIDIOTEN, aaaargh!!!11!11
@da]v[ax:
absolut. wenn man sich so die unterschiedlichen themenfelder, die oldfart in seinen kommentaren behandelt, ansieht, wirda mir langsam unheimlich.
oldfart, who the fuck are you in echt, hm? you cant be just a nerd, can you?
@DasKleineTeilchen:
Hihi. Sehr schmeichelhaft, danke. *rotwerd*
Zur Frage: Ich bin der ehemalige Setzer der Enzyklopaedia Britannica und da habe ich beruflich bedingt das ein oder andere gelesen. Seit die gedruckte Ausgabe eingestellt ist und nur noch mit diesem Internet rummacht, ist mir fad und ich bin ein bißchen böse auf den Fortschritt. Jetzt schleiche ich hier durchs feindliche Neuland und suche nach dessen Achillesferse.
@OldFart: WTF?! Echt jezz? Cool. ICH finde es schmeichelhaft, dich zu meinen Lesern zählen zu dürfen.
@da]v[ax:
Uh. Jetzt bin ich nicht sicher, ob wir beide noch im Veralberungsmodus sind, oder nicht. Ist dann aber meine Schuld, ich hätte meinen Post zuvor besser so gemarkert. Ich dachte, das wäre aufgrund früherer obskurer Selbstbeschreibungen offensichtlich. Manchmal ist die Trennlinie wohl zu dünn und nicht gut zu erkennen. My bad.
Aber ich tu das jetzt mal ins Lager für "brauchbare Stories". Scheint ne gute Legende zu sein, wenn ich mal eine brauche.
Zum Thema ChipTAN zurück: Die Banken bzw. Finanzdienstleister haben wohl langsam begriffen, dass man nicht weiter kommt, wenn man versucht den Nutzer/Kunden zu erziehen. Siehe auch: „Stop trying to fix the user” von Bruce Schneier, https://www.schneier.com/blog/archives/2016/10/security_design.html
tl;dr: Wir (IT-Industrie) haben darin versagt, sichere Systeme zu entwickeln und versuchen jetzt, die Opfer zu erziehen, damit sie die Systeme sicher machen. Das ist Victim blaming.
ChipTAN löst genau dieses Dilemma. Mit mTAN, SMS-TAN und wie sie alle heißen muss man den Nutzer erziehen, dass er sehr gut aufpasst, dass er nicht hereingelegt wird. Man versucht das System durch Erziehung des Nutzers zu fixen. Bei ChipTAN ist die Technik gefixt.
@Chris:
"Bei ChipTAN ist die Technik gefixt"
es gibt kein "sicheres" system. jedenfalls vorläufig nicht. und von "gefixter technik" zu reden und gleichzeitig FLASH als default benutzen, ist ja wohl der treppenwitz der woche. sorry.
@OldFart:
well played, säzzer, well played
@OldFart: LOL shit. Da bin ich dir jetzt wohl echt auf den Leim gegangen.
und schon wird die "gefixte technik" genau so modifiziert, daß die ursprüngliche "sicherheit" dahinter komplett für den arsch ist!
"Das Verfahren wird jedoch mittlerweile von Banken wie der Commerzbank, der Norisbank und der Deutschen Bank anders eingesetzt - als zweite App auf dem Smartphone. Das Abfotografieren des Codes entfällt, stattdessen werden die entsprechenden Daten im Hintergrund von der Photo-Tan-App an die Banking-App übermittelt."
http://www.golem.de/news/commerzbank-und-deutsche-bank-forscher-zeigen-angriff-auf-photo-tan-verfahren-1610-123884.html
(via fefe)