[Home/Nieuws]  [Magazines]  [Meetings]  [Downloads]  [Redaktie]  [Geschiedenis]


Veiligheidsonderzoek ABN AMRO HomeNet 2.0
Door Bastiaan Bakker en Richard Odekerken

Hoofdstuk 2 - Beschrijving van het HomeNet 2.0 pakket

2. Beschrijving van het HomeNet 2.0 pakket

2.1 Overzicht van de functionaliteit van HomeNet 2.0

HomeNet is het ABN AMRO Electronic Banking-pakket voor particulieren. Met behulp van een PC en een modem wordt direct via een telefoonlijn of via het Internet contact gelegd met de computer van de bank. Op deze manier is het mogelijk om betalingsopdrachten te geven en om actuele rekeninginformatie op te halen. Tevens is het mogelijk om HomeNet te gebruiken voor het geven van effectenorders en het beheren van een effectenportefeuille.

Tot slot geeft HomeNet toegang tot de zogenaamde 'Informatie en Thema Service', een on-line informatiebank. Door middel van deze dienst worden ook dienstmededelingen met betrekking tot het gebruik van HomeNet aan de gebruiker doorgegeven.

HomeNet werkt aan de server-zijde op basis van zogenaamde postbussen. Elke gebruiker beschikt over een eigen postbus, waarin tijdens de communicatie met de bank de betalingsopdrachten worden geplaatst. Ook wordt dan de in de postbus klaarstaande rekeninginformatie door HomeNet opgehaald.
Op de server worden alle postbussen op bepaalde tijdstippen gecontroleerd op klaargezette betaalopdrachten (polling-mechanisme). Elke nacht, na het verwerken van alle mutaties, worden nieuwe rekeningoverzichten in de postbus klaargezet.

2.2 Softwarematige opbouw

HomeNet is een in Borland C/C++ geschreven 16-bit Windows pakket, en geschikt voor Windows 3.0 en hoger. Windows NT wordt niet officieel ondersteund - zelf kregen wij HomeNet op één Windows NT 4.0 systeem niet aan de gang.

Tijdens het installeren van HomeNet wordt ook de Borland Database Engine geïnstalleerd. Dit is een verzameling drivers waarmee in Borland C geschreven programmatuur (redelijk) eenvoudig toegang tot diverse soorten databases kan krijgen.

2.3 Configuratie van HomeNet

2.3.1 Contractnummer

Bij het installeren wordt de gebruiker verzocht om het zogenaamde contractnummer in te voeren. Dit contractnummer wordt gebruikt als identificatie van de gebruiker ten opzichte van de bank. Tevens dient een postbusnummer te worden ingesteld. Vermoedelijk wordt dit gebruikt om met meerdere personen van één contractnummer gebruik te kunnen maken.

2.3.2 Methode van communicatie

Ook kiest de gebruiker voor de methode van communicatie met de bank. Hierbij is te kiezen uit ietwat verwarrende terminologie:
  • Direct via de telefoonlijn
  • Intranet
  • Internet
Wanneer direct via de telefoonlijn gecommuniceerd wordt, belt de modem van de PC waarop HomeNet geïnstalleerd is, direct met een modem van de bankserver. Bij de opties Intranet en Internet wordt gebruik gemaakt van een FTP-verbinding (File Transfer Protocol) die wordt opgezet over de TCP/IP-stack van Windows. Overeenkomstig met de aparte optiek die vandaag de dag door KPN Telecom (Switchpoint) gehanteerd wordt, houdt Internet in dat de verbinding wordt opgezet door middel van een inbelverbinding ("Externe Toegang" binnen Windows), terwijl Intranet betekent dat de PC beschikt over een directe verbinding met Internet (via ethernetkaart of kabelmodem).

Wanneer gebruik wordt gemaakt van een ISDN-modem is het niet mogelijk om een directe verbinding met de bank te gebruiken, en is de gebruiker aangewezen op de Internet-optie.

De term Intranet ten spijt is het niet zonder meer mogelijk om HomeNet te gebruiken in combinatie met een zogenaamde IP-masquerading firewall. Dit komt doordat HomeNet geen gebruik maakt van de standaard poortnummers die voor FTP-verbindingen gebruikelijk zijn (20 en 21).

In geval van een Linux firewall gaf de helpdesk het advies aan de firewall startup scripts de regel

/sbin/modprobe ip_masq_ftp ports=21,42,63
toe te voegen. In de door ons gebruikte configuraties hielp dit inderdaad.

2.3.3 Wachtwoorden

Tijdens de installatie wordt de gebruiker verzocht om een zogenaamde 'hoofdgebruiker' aan te maken. Het wachtwoord van deze gebruiker kan vrij gekozen worden, en dient slechts om de toegang tot het HomeNet pakket te beveiligen. Voor de identificatie en autorisatie van de communicatie met de bank wordt gebruik gemaakt van het contractnummer in combinatie met een zogenaamd 'bankwachtwoord'. Dit wordt in eerste instantie door de bank toegekend en samen met het contractnummer aan de gebruiker verzonden. Na de eerste communicatiesessie met de bank wordt de gebruiker verplicht het bankwachtwoord te wijzigen. Het is toegestaan om het bankwachtwoord gelijk te maken aan het gebruikerswachtwoord.

2.3.4 Beveiligingsmiddel

Tot slot wordt tijdens de installatie nog gevraagd van welk 'beveiligingsmiddel' gebruik zal worden gemaakt. Hierbij is te kiezen uit de volgende opties:

  • Calculator
  • SmartCard PE 112/122
  • SmartMouse (SC)
Het beveiligingsmiddel wordt gebruikt ter versterking van het autorisatiemechanisme voor de communicatie met de bank. Door naast een wachtwoord (security by knowledge) ook een fysiek 'ding' nodig te hebben (security by posession) is het niet mogelijk om zich voor iemand anders uit te geven door simpelweg een ander contractnummer in te voeren en het bijbehorende wachtwoord te raden of te bemachtigen. Het beveiligingsmiddel wat standaard bij HomeNet wordt verstrekt, is de 'calculator' (Vasco Access Key II). Het betreft een apparaatje waar tijdens de communicatie met de bank een challenge in ingevoerd dient te worden, waarna na enige tijd een response, bestaande uit 6 letters en/of cijfers, op het display verschijnt. Deze response dient vervolgens weer in HomeNet ingevoerd te worden, waarna de bank-server controleert of het een geldige response betreft.

2.4 Het veiligheidsonderzoek

Thuisbankieren met HomeNet houdt dus in dat er van drie 'componenten' gebruik wordt gemaakt: het lokale, op de PC geïnstalleerde, HomeNet pakket, de calculator, en de bankserver. Het veiligheidsonderzoek is dan ook opgesplitst in drie delen.

2.4.1 De Vasco Access Key II

Deze 'black box' lijkt noodzakelijk voor succesvolle autorisatie bij de bank-server. Er wordt geprobeerd inzicht te krijgen in de werking van het token en de rol die deze speelt bij de autorisatie. In hoofdstuk drie wordt de Access Key nader belicht.

2.4.2 De communicatie met de bank

Na een kort onderzoek is gebleken dat de bankserver op Internet benaderd wordt door middel van het FTP-protocol. In verband met onze wens om het onderzoek binnen de Nederlandse wetgeving te laten plaatsvinden, zijn er geen verdere pogingen ondernomen om de bankserver aan te vallen. In hoofdstuk vier is wel nog gekeken naar de manier waarop de gegevens verzonden en ontvangen worden.

2.4.3 Het lokale pakket

De software biedt grofweg twee functies:
  • Toegang bieden tot en afschermen van de lokaal opgeslagen gegevens. Hoe dit in zijn werk gaat zal in hoofdstuk vijf worden onderzocht.
  • Communicatie met de bank-server voor het verzenden van betaalopdrachten en het bijwerken van de lokaal opgeslagen gegevens. De communicatie met de bank-server is in hoofdstuk vier onder de loupe genomen.
Vorige Inhoudsopgave Volgende

De informatie in 't Klaphek dient slechts een educatief doel. Gebruik van deze informatie zou strafbaar kunnen zijn. De redaktie wijst iedere verantwoordelijkheid voor gebruik door lezers van de in 't Klaphek opgenomen informatie af. De mening van een auteur weerspiegelt niet noodzakelijkerwijs de mening van de redaktie of uitgever.