Maken van een USB driver voor de ABN AMRO e.dentifier2

[Vistaus]

Is er een andere manier om in te loggen? Want ik moet een responsecode invullen van mijn edentifier.2 maar omdat *buntu verder niks doet dan hem herkennen als USB-apparaat (zelfs na het installeren van gscriptor e.d.), krijg ik die responsecode niet.

[grizzler]

Zojuist een tijd aan het prutsen geweest om dit onding op de Mac van mijn buurvrouw aan de praat te krijgen. Werkt niet, zogenaamd omdat de browser niet geschikt is (Firefox 6 is kennelijk niet Firefox 2.0 of beter).

Zonder USB-verbinding produceert het apparaat echter wel een responscode. Heb je dat al geprobeerd? Dus kabel eruit, pas er even uit en weer in, op 1 drukken, pincode invoeren en op OK drukken.

[Vistaus]

Als ik die kabel en pas eruit haal, dan floept het apparaatje uit. Enige andere suggestie?

Edit: Oh nee, nu werkt het wel. Dankje!

[Vistaus]

Heb trouwens ontdekt dat die kabel zelfs overbodig is. Gewoon pasje erin, even eruit, terug erin en je krijgt de optie om in te loggen. Dus laat die driver maar zitten, dit is veel makkelijker dan steeds weer die kabel aansluiten

[Roland_3.141592]

Ik vermoed dat er een fundamenteel probleem is met een driver voor linux. Zo'n driver moet geheim zijn, want als het open source is, of mogelijk om met reverse-engineering te kraken, of als je de communicatie specs hebt, dan kan je immers een alternatieve driver maken die de codes kan doorsluizen naar een kwaadwillende derde partij. En het onderhouden van een closed source driver voor linux is lastig vanwege de vele versies. Het is verder gevaarlijk om te veronderstellen dat zo'n malafide driver-versie niet op je linux systeem kan raken.

Hetzelfde speelt met het probleem dat er geen linux driver is voor de usb variant van de Digitenne ontvanger die KPN verkoopt, zij willen voorkomen dat je programmas van RTL etc digitaal gaat downloaden en opslaan.

Een oplossing is de beloofde Android ondersteuning voor de e.dentifier2. Immers, het moet toch mogelijk zijn om android ook op je linux-desktop pc te draaien als een subprocess, of met Xen.

Een andere oplossing is als ABN de usb communicatie tussen e.dentifier2 en browser gaat versleutelen, dan speelt bovengenoemd fundamenteel probleem niet. Blijkbaar is dat niet het geval. Dit herinnert me aan de waarschuwing die ik een tijdje terug ergens las dat MD5 niet meer echt veilig is maar wel nog wordt toegepast bij ABN Amro internet bankieren.

[Cumulus007]

Ik vermoed dat er een fundamenteel probleem is met een driver voor linux. Zo'n driver moet geheim zijn, want als het open source is, of mogelijk om met reverse-engineering te kraken, of als je de communicatie specs hebt, dan kan je immers een alternatieve driver maken die de codes kan doorsluizen naar een kwaadwillende derde partij. En het onderhouden van een closed source driver voor linux is lastig vanwege de vele versies. Het is verder gevaarlijk om te veronderstellen dat zo'n malafide driver-versie niet op je linux systeem kan raken.

Hetzelfde speelt met het probleem dat er geen linux driver is voor de usb variant van de Digitenne ontvanger die KPN verkoopt, zij willen voorkomen dat je programmas van RTL etc digitaal gaat downloaden en opslaan.

Een oplossing is de beloofde Android ondersteuning voor de e.dentifier2. Immers, het moet toch mogelijk zijn om android ook op je linux-desktop pc te draaien als een subprocess, of met Xen.

Een andere oplossing is als ABN de usb communicatie tussen e.dentifier2 en browser gaat versleutelen, dan speelt bovengenoemd fundamenteel probleem niet. Blijkbaar is dat niet het geval. Dit herinnert me aan de waarschuwing die ik een tijdje terug ergens las dat MD5 niet meer echt veilig is maar wel nog wordt toegepast bij ABN Amro internet bankieren.

Welnee, die Digitenne-ontvanger in de vorm van een USB-stick is gewoon een universeel ontwerp met gangbare hardware. KPN maakt gebruik van de Anysee E30, dit is een apparaat dat drivers heeft voor Linux. Deze drivers zijn echter niet compleet, de smartcardreader in de tuner wordt niet ondersteund. Het kunnen ontvangen van de versleutelde zenders is een softwarekwestie: met een zogenaamde softcam kun je Conax-versleutelde zenders gewoon ontvangen mits je een geldige smartcard hebt.

Verder heb je wel gelijk betreft de E.dentifier. De verbinding tussen het apparaat en de computer zal vast versleuteld zijn. Mocht dit niet zo zijn (dit lijkt me een grote blunder), dan zou je met veel kennis van het USB-protocol met een USB-sniffer de verbinding kunnen afluisteren en reverse-engineering toepassen.

[Roland_3.141592]

Welnee, die Digitenne-ontvanger in de vorm van een USB-stick is gewoon een universeel ontwerp met gangbare hardware. KPN maakt gebruik van de Anysee E30, dit is een apparaat dat drivers heeft voor Linux. Deze drivers zijn echter niet compleet, de smartcardreader in de tuner wordt niet ondersteund. Het kunnen ontvangen van de versleutelde zenders is een softwarekwestie: met een zogenaamde softcam kun je Conax-versleutelde zenders gewoon ontvangen mits je een geldige smartcard hebt.

Dat met die smartcard reader: daar zal dus nooit een linux driver voor komen om dezelfde reden als voor de e.dentifier2. Het onder Windows gedecodeerde beeld kan je ook niet met een softcam naar een ander systeem, bijv. linux, brengen, want de Windows tv software is dermate beveiligd (dichtgetimmerd) dat je echt niet zomaar een kopietje van het tv-scherm kan maken. Het Windows platform is gewoon erg goed in content-protection, en het linux systeem niet.

Verder heb je wel gelijk betreft de E.dentifier. De verbinding tussen het apparaat en de computer zal vast versleuteld zijn. Mocht dit niet zo zijn (dit lijkt me een grote blunder), dan zou je met veel kennis van het USB-protocol met een USB-sniffer de verbinding kunnen afluisteren en reverse-engineering toepassen.

Het zou zomaar kunnen zijn dat de veiligheid van de usb-verbinding tussen internet-bankieren browser-window en e.dentifier2 berust op obscurity in plaats van versleuteling. Immers, met versleuteling zou er geen beletsel zijn om de specs vrij te geven voor een open-source driver. De bank maakt inderdaad een grote blunder: ofwel security by obscurity dus niet echt veilig, ofwel zinloos geheim houden van de details van een beveiligde verbinding met als gevolg enkele duizenden ontevreden klanten met linux pc's.

Waar blijft het verslag van een handige jongen (m/v) met een usb sniffer?

[Lonestarr]

Er zal niet veel verschil zijn tussen de communicatie via usb en het met de hand intikken van de codes.

Met de hand:
Voer pas in
website vertelt welke optie (inloggen, betalingen verzenden, optie 1, optie 2...)
e.dentifier vraagt pincode - user geeft pin op e.dentifier
e.dentifier vraagt transactiecode - user geeft code
e.dentifier geeft authorisatiecode - user typt code in op website en drukt op enter
transactie afgelopen

Met de e.dentifier:
Voer pas in
website geeft aan e.dentifier de optie (inloggen, betalingen verzenden, optie 1, optie 2...)
e.dentifier vraagt pincode - user geeft pin op e.dentifier
website geeft via usb de transactiecode
e.dentifier geeft via usb authorisatiecode
transactie afgelopen

In principe hoeft hier dus weinig aan versleuteld te worden. Het genereren van de authorisatiecode vindt in beide gevallen in de e.dentifier plaats. Bij de usb-optie scheelt het alleen 2 maal menselijk typwerk. Alleen wanneer er door een malafide maker een driver gemaakt wordt die het verkeer omleidt kan dat kwaad, maar de user zou dan ook op een gespoofte site moeten zitten. Dan is hij zonder de usb-variant echter ook het haasje...

Just my 2 cents...

[Johan van Dijk]

Erg groot kickje, maar toch relevant in dit topic: Fraude mogelijk bij internetbankieren ABN Amro

Belangrijkste quote:

Klanten zijn alleen kwetsbaar als het apparaat dat wordt gebruikt om hun identiteit te controleren, de e.dentifier2, via een usb-kabel aan de computer is gekoppeld. Via malware op de pc van een slachtoffer kan dan fraude worden gepleegd. Volgens de onderzoekers is er 'geblunderd' bij de ontwikkeling van het apparaat, omdat malware ervoor kan zorgen dat een malafide transactie wordt uitgevoerd en goedgekeurd zonder dat de gebruiker op 'ok' drukt.

Nu is de kwestie van malware op Linux niet zo groot, maar ook als ik Windows zou gebruiken zou ik liever het apparaatje niet aansluiten

[RikRik]

Nog een link: http://nos.nl/artikel/407660-internetbankieren-abn-amro-onveilig.html

[markba]

Even terzijde, maar als je wilt telebankieren bij ABN/AMRO hoeft de identifier  niet perse aangesloten te zijn op je PC:
https://www.abnamro.nl/nl/prive/slimbankieren/edentifier2/gebruik_edentifier2.html:

Zonder usb-kabel
- Steek uw betaalpas in de e.dentifier.
- Klik op 'log in' op de ABN AMRO homepage.
- Volg de instructies op het scherm.

Het enige wat je extra moet doen is dat je bepaalde nummers van die identifier handmatig moet overnemen naar de website. Maw ook met een Linux-systeem (Android, etc.) kun je prima internetbankieren, ook als je geen driver hebt voor die identifier. Je bespaart je de moeite om zo'n driver te ontwikkelen en Is ook veiliger ook (blijkt).

[RikRik]

Verkeerd beeld
Er is ook forse kritiek op het onderzoek of in elk geval de berichtgeving van Nieuwsuur, omdat onterecht de e.dentifier2 eruit wordt gepikt als enige onveilige variant. Zo stelt Nieuwsuur dat losse e.dentifiers wel veilig zijn, maar niets is minder waar.

Ook van bankklanten met losse e.dentifiers, random readers of tancodes wordt de rekening steeds vaker geplunderd door trojans en man-in-the-browser aanvallen.

http://webwereld.nl/nieuws/111508/usb-e-dentifier-van-abnamro-lek.html

Volgens mij is internetbankieren met een linux systeem de meest veilige optie

[Roland_3.141592]

Hier is de paper met de volledige beschrijving van het onderzoek naar de e.dentifier2 en wat er mee mis is: http://www.cs.ru.nl/E.Poll/papers/nordsec2012.pdf

Ik mailde de volgende vraag naar de auteur:
> Ligt het voor de hand dat banken ervoor kiezen om geen linux versie van de
> driver voor e.dentifier2-achtige apparaten te maken, omdat het lastig is
> om closed-source drivers voor linux te maken, en dat geheimhouding van de
> algorithmes moet bijdragen aan de veiligheid van hun systeem?

Het antwoord van deze security expert was:
> Ik weet eigenlijk niet waarom de banken geen linux versie hebben
> gemaakt van de USB driver. Er zitten geen echte geheimen in de driver,
> en er is geen reden om de werking vd driver geheim te houden.

Hij suggereerde nog dat het wellicht gaat om het "beschermen van IP", en dat met tracen van web- en usb- verkeer het vrij eenvoudig zou moeten zijn om zelf een linux driver te maken. De bovenstaande paper met de beschrijving van de algemene werking van de e.dentifier2 helpt natuurlijk al enorm.