{"id":265518,"date":"2022-05-22T00:47:00","date_gmt":"2022-05-21T22:47:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265518"},"modified":"2023-08-30T14:56:59","modified_gmt":"2023-08-30T12:56:59","slug":"nachlese-gehrteter-online-banking-browser-s-protect-neue-version-neue-erkenntnisse","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/22\/nachlese-gehrteter-online-banking-browser-s-protect-neue-version-neue-erkenntnisse\/","title":{"rendered":"Nachlese: Geh&auml;rteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Der Deutsche Sparkassen- und Giroverband stellt mit dem <em>S-Protect <\/em>einen \"geh\u00e4rteten\" Browser bereit, der Online-Banking-Kunden der Sparkassen vor den Risiken bei Bankgesch\u00e4ften auf Windows PCs oder Macs besser sch\u00fctzen soll. Bei einem Test stellte sich heraus, dass diese Software in einer Komponente anf\u00e4llig f\u00fcr DLL-Hijacking war. Inzwischen haben die Entwickler nachgebessert und gegen\u00fcber mir auch einige Details zum technischen Konzept des geh\u00e4rteten Browsers S-Protect offen gelegt. In nachfolgendem Text gehe ich auf die Informationen und Erkenntnisse zur aktualisierten Fassung von S-Protect ein.<\/p>\n<p><!--more--><\/p>\n<h2>Ein kurzer R\u00fcckblick<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/004be64559f743069460b429423e506a\" alt=\"\" width=\"1\" height=\"1\" \/>Vom deutschen Sparkassen- und Giroverband wurde das Projekt eines geh\u00e4rteten Browsers zum Online-Banking auf Desktop-Systemen (Mac, Windows) angesto\u00dfen. Und die <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">Sparkasse Niederrhein<\/a> stellt den Browser als <em>S-Protect<\/em> im Moment im Rahmen eines Pilot-Projekts auf ihrer Webseite als sichere L\u00f6sung zum Online-Banking auf dem PC an.<\/p>\n<p>Bei heise gab es zum 2. Mai 2022 den Artikel <a href=\"https:\/\/www.heise.de\/news\/Phishing-Schutz-mit-gehaertetem-Sparkassen-Browser-7071148.html\" target=\"_blank\" rel=\"noopener\">Sichereres Online-Banking mit geh\u00e4rtetem Browser der Sparkassen<\/a> \u00fcber dieses Konzept, und ich hatte mir zum Artikel die Notiz verfasst \"da solltest Du bei Gelegenheit mal dr\u00fcber bloggen &#8211; denn der Ansatz, einen \"geh\u00e4rteten\" Browser f\u00fcr Online-Banking zu verwenden, klang f\u00fcr mich spannend.<\/p>\n<p>Sicherheitsexperte Stefan Kanthak hatte sich die L\u00f6sung S-Protect der Sparkasse Niederrhein in Bezug auf Sicherheitsprobleme angesehen und stie\u00df darauf, dass der Download <em>s-protect.exe <\/em>anf\u00e4llig f\u00fcr DLL-Hijacking-Schwachstellen sei.<\/p>\n<p>Stefan Kanthak hatte mich bei den Mails zwischen der IT der genannten Sparkasse und sich auf cc gesetzt, so dass ich \u00fcber die sich abzeichnende Problematik im Bilde war. Im Mail-Austausch zeichnete sich f\u00fcr mich keine irgendwie geartete L\u00f6sung ab, so dass ich das Modul ebenfalls einem eigenen Test unterzog und die DLL-Hijacking-Schwachstelle im Download <em>s-protect.exe <\/em>verifizieren konnte. Am 9. Mai 2022 hatte ich die Ergebnisse im Artikel <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/09\/gehrteter-online-banking-browser-s-protect-ein-totalausfall\/\">Geh\u00e4rteter Online-Banking-Browser S-Protect, ein Totalausfall?<\/a> dokumentiert.<\/p>\n<h2>Neue Entwicklungen und Erkenntnisse<\/h2>\n<p>Mit obigem Artikel war das Thema aus meiner Sicht abgeschlossen, die Entwickler konnten nachbessern oder auf den Sachverhalt reagieren. Durch Leserkommentare konnte ich aber Kontakt mit den Entwicklern aufnehmen. Zum 17. Mai 2022 gab es dann ein Telefonat, in dessen Nachgang mir diverse Informationen bereitgestellt wurden. Das ist der Anlass f\u00fcr diesen Nachfolgeartikel.<\/p>\n<h3>Anf\u00e4lligkeit des Starters behoben, Browsersicherheit nicht getestet<\/h3>\n<p>Die Entwickler haben mir gegen\u00fcber best\u00e4tigt, dass das seinerzeit von mir getestete Modul <em>s-protect.exe <\/em>anf\u00e4llig f\u00fcr DLL-SearchPathHijacking war. Das Konzept der Entwickler besteht aber aus zwei Komponenten:<\/p>\n<ul>\n<li>Dem sogenannten Starter <em>s-protect.exe<\/em>, der vom Benutzer von der jeweiligen Sparkassenseite als portable Anwendung heruntergeladen wird.<\/li>\n<li>Dem eigentlichen geh\u00e4rteten Browser, der von <em>s-protect.exe <\/em>auf der Maschine eingerichtet wird.<\/li>\n<\/ul>\n<p>Im Sinne der Transparenz: Diese Information wurde von keiner der Sparkassen, wo der Download erh\u00e4ltlich ist, auch nur angedeutet &#8211; das habe ich durch die Diskussion mit den Entwicklern erfahren.<\/p>\n<p>Alle Ausf\u00fchrungen in meinem Artikel bezogen sich ausschlie\u00dflich auf den sogenannten Starter <em>s-protect.exe<\/em>, der f\u00fcr DLL-SearchPathHijacking anf\u00e4llig war<em>. <\/em>Ob dies ggf. auch f\u00fcr den eigentlichen geh\u00e4rteten Browser zutrifft, wurde von mir nicht mehr getestet. Daf\u00fcr gab es zwei Gr\u00fcnde:<\/p>\n<ul>\n<li>Im Artikel stand die DLL-Hijacking-Schwachstelle des vom Nutzer herunterladbar und ausf\u00fchrbaren Moduls <em>s-protect.exe <\/em>in der Betrachtung des Sicherheitskonzepts im Vordergrund.<\/li>\n<li>Weiterhin verweigerte der Starter in meiner Windows 7-Umgebung anschlie\u00dfend jegliche Funktion, so dass zus\u00e4tzliche Komponenten des Browsers erst gar nicht heruntergeladen und eingerichtet wurden.<\/li>\n<\/ul>\n<p>Es l\u00e4sst sich also festhalten, dass der geh\u00e4rtete Browser von mir nicht separat (und nach meinem aktuellen Kenntnisstand auch nicht von Stefan Kanthak) getestet wurde.<\/p>\n<blockquote><p>Stefan Kanthak wies in seiner Antwort auf den Punkt \"der Browser wurde nicht getestet\" darauf hin, dass es dazu auch keine Veranlassung gab: \"Es gen\u00fcgt, eine Schwachstelle aufzuzeigen, um Konzept zu zerlegen. Wieso sollte ich weitere unbezahlte Arbeit machen.\"<\/p><\/blockquote>\n<p>Die nachfolgenden Informationen, die mir nun vorliegen, blieben daher unber\u00fccksichtigt. Nach einer telefonischen Diskussion schrieben mir die Entwickler am 17. Mai 2022 zum Sachverhalt folgendes:<\/p>\n<ul>\n<li>Der Starter war anf\u00e4llig f\u00fcr DLL-SearchPathHijacking. Herr Kanthak hat leider nur den Starter auf Sicherheit \u00fcberpr\u00fcft. [Dazu verweise ich auf die obige Stellungnahmen von Herrn Kanthak.] Seine Testergebnisse lassen daher keine R\u00fcckschl\u00fcsse auf die Sicherheit des Browsers zu.<\/li>\n<li>Wir haben Teile der Sicherheitsfunktionen des Browsers auf den Starter ausgedehnt, so dass der Starter jetzt nur System-DLLs aus dem Windows-Verzeichnis nutzt.<\/li>\n<li>Der Browser ist gesch\u00fctzt durch ein Zwiebelschalenmodell unterschiedlicher Sicherheitsfunktionen. Auch wenn man einen Mechanismus angreift, sind andere Mechanismen in der Lage gegenzuhalten.<\/li>\n<li>Ein gro\u00dfer Teil der Sicherheit wird durch das Whitelist-Konzept erzeugt. Dies unterscheidet den Bank-Browser strukturell von allen anderen Browserkonzepten.<\/li>\n<\/ul>\n<p>Zur Aussage, dass die Testergebnisse von Herrn Kanthak keine R\u00fcckschl\u00fcsse auf die Sicherheit des Browsers zulassen, antwortete dieser:<\/p>\n<blockquote><p>Jede vom Starter geladenen DLL kann bzw. konnte jede Komponente des anschlie\u00dfend gestarteten Browsers kompromittieren, beispielsweise die Signaturen immer als g\u00fcltig ausweisen und den Browser mit ausgetauschten Dateien starten!<\/p><\/blockquote>\n<p>Ich habe diese Hinweise zum Anlass genommen, den sogenannten Starter (<em>s-protect.exe<\/em>) erneut von der Webseite der <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">Sparkasse am Niederrhein<\/a> herunterzuladen und in einem Sicherheitstestbett auf die DLL-Hijacking-Schwachstelle zu testen. Zudem erm\u00f6glichen mir die jetzt vorliegenden Informationen eine etwas erweiterte Betrachtung.<\/p>\n<p>Kurzfassung des aktuellen Stands: Die Ausf\u00fchrung der Entwickler l\u00e4sst sich best\u00e4tigen, in meiner Testumgebung konnte ich in diesem Modul keinerlei DLL-Hijacking-Anf\u00e4lligkeiten mehr feststellen. Dieser Punkt ist inzwischen durch die Nachbesserung abger\u00e4umt.<\/p>\n<h3>Hinweis auf nicht unterst\u00fctzte Windows-Versionen<\/h3>\n<p>In meiner Testumgebung verwende ich bevorzugt Windows 7 SP1 mit Extended Security Update-Support (ESU). Das Betriebssystem wird ja von Microsoft noch bis Januar 2023 mit Sicherheitsupdates versorgt. In der Anfang Mai 2022 getesteten Form verweigerte S-Protect aber die Funktion und meldete sich mit diesem Dialogfeld.<\/p>\n<p><img decoding=\"async\" title=\"S-Protect-Meldung alt\" src=\"https:\/\/i.imgur.com\/QneS9Ix.png\" alt=\"S-Protect-Meldung alt\" \/><\/p>\n<p>An dieser Stelle r\u00e4tselte ich, was da an nicht erf\u00fcllten Systemvoraussetzungen gegeben sei. Der Hinweis, das Log-Protokoll in die Zwischenablage zu kopieren, brachte mich nicht weiter, da diese Informationen verschl\u00fcsselt waren. Bei meinem Telefonat mit den Entwicklern stellte sich heraus, dass S-Protect (auf Anforderung von Kunden) die Funktion auf Betriebssystemen sofort einstellt, wenn diese nicht mehr im Support f\u00fcr die Allgemeinheit sind. Beim Test der aktuellen Fassung von S-Protect erhalte ich nun diese wesentlich aufschlussreichere Meldung.<\/p>\n<p><img decoding=\"async\" title=\"S-Protect-Meldung\" src=\"https:\/\/i.imgur.com\/hKBWsd3.png\" alt=\"S-Protect-Meldung\" \/><\/p>\n<p>Also auch hier wurde nachgebessert, mit der Anforderung kann der Benutzer etwas anfangen. Das Log-Protokoll ist zwar weiterhin verschl\u00fcsselt, aber normale Benutzer k\u00f6nnen damit eher nichts anfangen &#8211; das ist aus meiner Sicht f\u00fcr die Zielgruppe in Ordnung. An diesem Punkt kann ich also feststellen, dass die zwei Kritikpunkte aus meinem urspr\u00fcnglichen Artikel im Rahmen der Nachbesserung durch die <a href=\"https:\/\/www.coronic.de\/protect\/\" target=\"_blank\" rel=\"nofollow noopener\">Entwickler von Coronic<\/a> beseitigt wurden und somit gegenstandlos sind.<\/p>\n<h2>Erl\u00e4uterungen der Entwickler zum S-Protect-Konzept<\/h2>\n<p>Inzwischen liegt mir eine schriftliche Stellungnahme der Entwickler zum Konzept von S-Protect und den von mir im ersten Artikel aufgeworfenen Sicherheitsfragen vor. Hier ein Abriss dessen, was mir jetzt an Informationen vorliegt.<\/p>\n<h3>Der Starter war anf\u00e4llig f\u00fcr DLL-SearchPathHijacking, der Browser ist es nicht<\/h3>\n<p>Getestet wurde von mir urspr\u00fcnglich der Starterprozess <em>s-protect.exe<\/em>, nicht jedoch den Browser selbst. Der Starter <em>s-protect.exe <\/em>ein gesondertes Programm, das den Browser auf Aktualit\u00e4t pr\u00fcft, bevor der eigentliche Browser startet. Der Starter (als reiner Update-Pr\u00fcfer) stand, so die Entwickler in der Stellungnahme, daher sicherheitstechnisch nicht so stark im Fokus wie der Browserprozess. Daf\u00fcr gibt es zwei Gr\u00fcnde:<\/p>\n<ul>\n<li>Es wurde lediglich gezeigt, dass man den Starter dazu bringen kann eine DLL zu laden und dann eine Falschmeldung anzuzeigen. Das kann man aber auch, indem man die Starter-Exe l\u00f6scht und eine beliebige Datei gleichen Namens auf den Desktop legt. Das ist f\u00fcr alle Computer gleich: l\u00f6sche die Anwendung, ersetze sie durch die Falschmeldung, das funktioniert immer. Ein gegen DLL-SearchPathHijacking abgesicherter Starter kann weiter durch Austauschen der Exe manipuliert werden.<\/li>\n<li>Der Browser ist mit mehreren Sicherheitsmethoden (dazu unten etwas mehr) gesch\u00fctzt. Eine geladene DLL im Starter stellt keinen erfolgreichen Angriff auf den Browser da.<\/li>\n<\/ul>\n<p>Anmerkungen: Das Problem, dass die Dateien wie <em>s-protect.exe<\/em>, die beim Download durch den Nutzer mit dessen Berechtigungen abgelegt werden, durch jeden Prozess, der \u00fcber diese Benutzerrechte verf\u00fcgt, ersetzt wird, hatte ich im urspr\u00fcngliche Artikel ja bereits angedeutet. Das ist das prinzipielle Problem bei portablen Apps.<\/p>\n<h3>Der Browser liegt im Benutzerprofil<\/h3>\n<p>Ich habe dann nachgesehen, beim Starten von <em>s-protect.exe<\/em> wird von diesem der eigentliche Browser <em>protect.exe <\/em>samt den ben\u00f6tigten Dateien im Benutzerprofil:<\/p>\n<p>C:\\Users\\&lt;username&gt;\\AppData\\Local\\CORONIC\\<\/p>\n<p>abgelegt. Beim Aufruf l\u00e4sst sich \u00fcber ein Dialogfeld eine Desktop-Verkn\u00fcpfung auf den Starter anlegen. Der Profilordner mit den Dateien des geh\u00e4rteten Browsers ist mit den jeweiligen Benutzerrechten beschreibbar &#8211; die Dateien im Benutzerprofil lie\u00dfen sich also durchaus austauschen. Umgehen lie\u00dfe sich dies lediglich durch eine installierbare (msi-Installer-) Version des<em> s-protect<\/em>-Pakets, die dann administrative Berechtigungen erfordert.<\/p>\n<p>Die Dateien in diesem Profilordner sind allerdings digital durch Coronic signiert und k\u00f6nnen beim Start des Moduls <em>starter.exe<\/em> per Internet aktualisiert werden. Auf meinem Windows 10-Testsystem ben\u00f6tigt der Browser dann auch einige Zeit, bis er arbeitsf\u00e4hig ist. Wenn ich es richtig gesehen habe, wird die QT5 Web-Engine zur Implementierung des Browsers verwendet.<\/p>\n<p>Wie es letztendlich um die Sicherheit dieses Pakets bestellt ist, vermag ich nicht abschlie\u00dfend zu beurteilen &#8211; und sehe dies auch nicht als meine Aufgabe (bin ja kein bezahlter Pentester). Ein Anf\u00e4lligkeit gegen DLL-SearchPathHijacking konnte ich bei einem schnellen Test nicht feststellen. Die notwendigen DLLs im Profilverzeichnis trugen ein aktuelles Datum. Hier kommt es in meinen Augen darauf an, wie zuverl\u00e4ssig und zeitnah der Entwickler ggf. in den Helper-Bibliotheken aufgedeckte Sicherheitsl\u00fccken durch aktualisierte Module schlie\u00dfen kann. Jedenfalls wird der geh\u00e4rtete Browser beim Start auf Aktualisierungen gepr\u00fcft. Und zur Frage: M\u00fcssen Schwachstellen sofort gefixt werden, da sehr kritisch, gibt es im folgenden Text auch noch eine Absch\u00e4tzung.<\/p>\n<h3>Modifikationen am Starter<\/h3>\n<p>Auf Grund meines Artikels haben die Entwickler reagiert und schreiben, dass sie Teile der Sicherheitsfunktionen des Browsers auf den Starter ausgedehnt haben. Hier die Kernpunkte der schriftlichen Aussagen:<\/p>\n<blockquote><p>Trotz unserer Anmerkungen im vorangegangenen Abschnitt, haben wir uns entschieden den Starter mit Sicherheitsmechanismen des Browsers weiter abzusichern.<\/p><\/blockquote>\n<p>Die Entwickler m\u00f6chten damit der Diskussion vorgreifen, wann genau welche Sicherheitsmechanismen am besten ergriffen werden sollten. Sie merken auch an, dass es nicht schade, den Starter st\u00e4rker abzusichern. Aber das ist nicht wirklich hilfreich, das der betreffend abgesicherte Starter weiterhin durch einfachen Austausch der exe-Datei manipuliert werden k\u00f6nnte.<\/p>\n<blockquote><p>Das gilt aber auch f\u00fcr die Dateien des eigentlichen Browsers und der Bibliotheken, die von einem Angreifer mit lokalen Benutzerrechten ausgetauscht werden k\u00f6nnten. Damit k\u00f6nnte das nachfolgend skizzierte Sicherheitskonzept des Browsers durch Ersetzen der pr\u00fcfenden Module au\u00dfer Kraft gesetzt werden. Aus praktischen Erw\u00e4gungen stellt sich aber die Frage, ob Angreifer diesen Aufwand treiben.<\/p><\/blockquote>\n<h3>Wie wird der Browser gesch\u00fctzt?<\/h3>\n<p>Kern- und Angelpunkt des ganzen Ansatzes ist die Frage, ob es Angreifern gelingt, die Komponenten des geh\u00e4rteten Browsers zu kompromittieren &#8211; oder ob Schwachstellen, die vielleicht durch fehlende Updates der Komponenten entstehen, ausgenutzt werden k\u00f6nnten. Hier hatte ich eine kurze Diskussion mit den Entwicklern und diese haben mir auch schriftlich einige zus\u00e4tzliche Informationen zukommen lassen. Der verfolgte Ansatz: <em>Der Browser ist gesch\u00fctzt durch ein Zwiebelschalenmodell unterschiedlicher Sicherheitsfunktionen<\/em> &#8211; und G<em>esch\u00e4ftsprozesse im Internet sind nur so sicher wie der Browser mit dem sie durchlaufen werden<\/em>. Dazu schreiben die Entwickler:<\/p>\n<ul>\n<li>Die Aufgabe eines Browsers ist es, jede Internetseite anzuzeigen und jedes Video abzuspielen. Damit ist der Browser das genaue Gegenteil einer sicheren Software, denn er erlaubt erst einmal alles. So zielen auch die Angriffsmethoden von Banking-Trojanern stets auf die Manipulation von Browserfunktionen. Sie ver\u00e4ndern die Seitendarstellung der Bank im Browser und t\u00e4uschen die Nutzer mit gef\u00e4lschten Einblendungen.<\/li>\n<li>Um dem zu begegnen, wurden die technischen Schutzverfahren von Banken in den vergangenen Jahren immer komplexer. Auch Zweikreisverfahren n\u00fctzen wenig, solange der Nutzer sich, basierend auf den gef\u00e4lschten Meldungen im Browser, nicht korrekt verh\u00e4lt und sich gewisserma\u00dfen selber ausraubt. Gerade bei diesen fehlgeleiteten und technisch nicht aufgekl\u00e4rten Kunden muss man heute attestieren, dass jeder Online-Gesch\u00e4ftsprozess nur so sicher ist, wie der Browser mit dem er durchlaufen wird.<\/li>\n<li>K\u00f6nnte man den Zugriff der Trojaner auf den Internetbrowser des Bankkunden verhindern, so w\u00e4re der im Browser ablaufende Gesch\u00e4ftsprozess sofort wieder sicher \u2013 weil gegen Fehlbedienung gefeit.<\/li>\n<li>Gleichzeitig muss der Browser so einfach zu benutzen sein, dass ihn auch nicht technisch-affine Kunden (denn die werden \u00fcblicherweise beklaut) problemlos und fehlerfrei benutzen k\u00f6nnen. Wegen dieser einfachen Nutzbarkeit ist der Browser als portable Anwendung designed, man kann ihn herunterladen, ihn ohne Adminrechte nutzen, alles ist auf Endkunden ohne technische Vorbildung ausgelegt.<b><\/b><\/li>\n<\/ul>\n<p>Hier verwenden die Entwickler den Ansatz: <em>Der Browser kontrolliert sich selbst und die genutzten Bibliotheken anhand von Zertifikaten.<\/em><\/p>\n<ul>\n<li>Im Update-Prozess des Starters werden s\u00e4mtliche f\u00fcr den Browser ben\u00f6tigten Dateien heruntergeladen. Diese werden anhand ihrer Zertifikate und Pr\u00fcfsummen kontrolliert. Auch der Update-Server selbst wird \u00fcberpr\u00fcft und auch der Update-Server \u00fcberpr\u00fcft den Client anhand seiner Zertifikate.<\/li>\n<li>Alle im Programmverzeichnis des Browsers befindlichen DLLs sind signiert.<\/li>\n<li>Der Browser selbst ist mit einem Code-Zertifikat signiert, sodass der Nutzer jederzeit \u00fcberpr\u00fcfen kann, dass es sich tats\u00e4chlich um die Browser-Datei der Firma CORONIC handelt.<\/li>\n<li>Beim Programmstart des Browsers wird erneut die Identit\u00e4t der Softwaresignaturen \u00fcberpr\u00fcft. Die Pr\u00fcfung wird f\u00fcr alle Artefakte der Software durchgef\u00fchrt.<\/li>\n<li>Der gesamte Prozessspeicher wird zur Laufzeit stetig auf Manipulation \u00fcberwacht.<\/li>\n<\/ul>\n<p><em>Hinweis der Entwickler:<\/em> Auch das bisher m\u00f6gliche Nachladen einer DLL im Starterprozess (wie von Herrn Kanthak gezeigt) h\u00e4tte keine Auswirkung auf den Browserprozess. Selbst wenn er weitere manipulierende DLLs nachgeladen h\u00e4tte, k\u00f6nnten diese im Browser-Prozessraum nicht agieren und die Sicherheit des Browsers nicht beeintr\u00e4chtigen.<\/p>\n<blockquote><p><em>Anmerkung:<\/em> Diese Annahme der Entwickler im letzten Absatz kann ich nicht abschlie\u00dfend werten und best\u00e4tigen oder widerlegen, da mir da die zeitlichen Ressourcen und auch die Kenntnisse fehlen, dies bis zum letzten Winkel zu durchdenken und zu \u00fcberpr\u00fcfen. Ich gestehe aber, dass mir genau an dieser Stelle die meisten Bauchschmerzen kommen. Denn gelingt es, nur ins unreine gedacht, einem Angreifer den Starter und dann die initale Updater-Komponente samt den Pr\u00fcfroutinen des geh\u00e4rteten Browsers auszutauschen, w\u00e4re eine Manipulation in meinen Augen denkbar.<\/p>\n<p>Stefan Kanthak antwortete zu meinem im vorherigen Absatz aufgeworfenen Punkt: Ich wage sehr zu bezweifeln, dass a) alle Dateien digital signiert sind, und b) die Signaturen bei jedem Laden gepr\u00fcft werden (das Zeitfenster zwischen der Pr\u00fcfung durch den Starter und dem Laden im Browser ist sicher gross genug, um die signierten Dateien auszutauschen), und c) dass alle der vielen verwendeten Drittanbieter-Komponenten wie Qt5 keine Schwachstellen haben (Qt5 beispielsweise hat bis vor kurzem Dateien aus einem gaenzlich anderen Pfad C:\\&#8230; geladen), und d) keine der DLLs\/EXE-Dateien des Browsers anfaellig fuer DLL-Hijacking ist.<\/p><\/blockquote>\n<h3>Das Whitelist-Konzept des Browsers<\/h3>\n<p>Bei der Diskussion mit den Entwicklern kam nat\u00fcrlich auch ein Punkt auf, der nicht von der Hand zu weisen ist: 90 % aller mit Schadsoftware hinterlegten Internetseiten werden von den g\u00e4ngigen Standardbrowsern nicht (schnell genug) erkannt. Der Nutzer infiziert sich beim Besuchen der manipulierten Internetseite oder seine Zugangsdaten (PIN) werden abgefischt. Dies passiert mit dem S-Protect Bank-Browser nicht, so die Entwickler, da dieser nur die freigegebenen Seiten der jeweiligen Bank aufrufen kann.<\/p>\n<p>Um das sicherzustellen \u00fcberpr\u00fcft der S-Protect-Browser nicht nur die G\u00fcltigkeit der Bank-Zertifikate, sondern kontrolliert die Zertifikate anhand ihres Hashwertes auf Echtheit. Das Whitelist-Konzept hat nach Ansicht der Entwickler drei positive Folgen f\u00fcr den Nutzer:<\/p>\n<ul>\n<li>Wenn der Nutzer immer daran denkt, seine Bankgesch\u00e4fte nur mit dem Bank-Browser zu machen, kommt er auf keine Phishing-Seiten.<\/li>\n<li>Die Anforderungen an eine dauerhafte Aktualit\u00e4t der Rendering-Engine entf\u00e4llt, denn der Nutzer bewegt sich nur auf den \"guten Seiten\" seiner Bank.<\/li>\n<li>Da die meisten Social-Engineering-Angriffe per Telefon darauf basieren im Vorfeld Kontonummer und die PIN zu entwenden, scheitern auch viele betr\u00fcgerische Telefonanrufe, denn aus dem Bank-Browser lassen sich die Anmeldedaten nicht herauskopieren.<\/li>\n<\/ul>\n<p>Am Kern dieser Argumentation ist nat\u00fcrlich etwas dran. Verwendet der Bankkunde immer den von seinem Institut bereitgestellten, geh\u00e4rteten S-Protect-Browser, kommt er auf keine fremde Seiten. Selbst wenn eine Schwachstelle im Browser existiert, w\u00e4re dies weniger kritisch, da die Webseiten der Banken f\u00fcr Online-Banking i.d.R. keine Schadsoftware beherbergen &#8211; Angriffe aus dieser Ecke durch eine kompromittierte Online-Banking-Seite sind eher nicht zu erwarten.<\/p>\n<h2>Mein abschlie\u00dfendes Fazit<\/h2>\n<p>Das Konzept des geh\u00e4rteten Browsers, der sich selbst und die Online-Bankseite zur Sicherheit \u00fcberpr\u00fcft, ist nachvollziehbar. Der einzige Punkt, der mich am gesamten Konzept fragend zur\u00fcckl\u00e4sst: Gibt es ein Szenario, bei dem ein Angreifer die auf dem Rechner liegenden Komponenten des geh\u00e4rteten Browsers so austauschen und manipulieren kann, dass der S-Protect-Browser zwar startet, die vermeintlichen Pr\u00fcfungen nicht mehr ausf\u00fchren kann und dann Daten vom Nutzer, die dieser ggf. eingibt, abgreift.<\/p>\n<p>Ist der gestartete Browser integer, verhindert er zumindest das Anfertigen von Screenshots oder das Markieren und Kopieren von Inhalten in die Windows-Zwischenablage (das ist mir aufgefallen, als ich die Lizenzbedingungen f\u00fcr diesen Beitrag herauskopieren wollte). Zudem stellt er sicher, dass der Benutzer auf der Online-Banking-Seite seines Instituts unterwegs ist.<\/p>\n<p>Aber an dieser Stelle kommen wir mit der Annahme \"der gestartete Browser ist integer\"\u00a0etwas zum Kernproblem des gesamten Ansatzes, welches Stefan Kanthak in folgender Aussage aufgreift:<\/p>\n<blockquote><p>Sobald der Austausch einer Datei zwischen Pr\u00fcfung und Laden m\u00f6glich ist oder im Browser eine Datei aus einem anderen Pfad geladen wird, ist die Aussage \"der Browser ist ohne Installation sicher verwendbar\" nicht mehr haltbar.<\/p>\n<p>Da der Installationspfad \u00fcberall gleich %LOCALAPPDATA%\\CORONIC\\ ist, kann ein Angreifer dies f\u00fcr Manipulationen nutzen.<\/p><\/blockquote>\n<p>Hier kommt es in meinen Augen auf die Betrachtungsweise an. Stelle ich die Frage, ist es aus Sicherheitsgr\u00fcnden besser, beim Online-Banking den S-Protect-Browser anstelle eines Standard-Browsers zu verwenden, lautet die Antwort Ja. Denn der Browser kann sich nur mit der Bankingseite der jeweiligen Sparkasse verbinden. Der Preis besteht darin, dass der Nutzer penibel darauf achten muss, den S-Protect-Browser f\u00fcr sein Online-Banking zu verwenden. Auf meiner langsamen Testmaschine dauert es schon mal eine Minute, bis der S-Protect-Browser arbeitsbereit ist. Das l\u00e4uft dann doch auf eine Geduldsprobe hin. Steht der Bankkunde dies durch, oder greift er doch zu seinem Standard-Browser?<\/p>\n<p><a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Geh\u00e4rteter Online-Banking-Browser S-Protect\" src=\"https:\/\/i.imgur.com\/xWvjOb9.png\" alt=\"Geh\u00e4rteter Online-Banking-Browser S-Protect\" \/><\/a><br \/>\nGeh\u00e4rteter Online-Banking-Browser S-Protect, <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">Sparkasse am Niederrhein<\/a><\/p>\n<blockquote><p>Ich m\u00f6chte hier eine Analogie anf\u00fchren: Ein Sicherheitsgurt beim Auto sch\u00fctzt vor den Folgen eines (leichteren) Unfalls oder milder diese, kann aber keinen Unfall als solches verhindern.<\/p><\/blockquote>\n<p>Als problematisch empfinde ich in diesem Kontext, wie der S-Protect-Browser f\u00fcr die Zielgruppe beworben wird. Die Sparkasse am Niederrhein preist diesen ja mit \"Rundumschutz f\u00fcr Ihr Banking\" an. Das verleitet Nutzer u.U. zum Gef\u00fchl der totalen Sicherheit (mir kann jetzt nichts mehr passieren), die aus den oben skizzierten Gr\u00fcnde so nicht gegeben ist. Wird das System kompromittiert, hilft der S-Protect-Browser u.U. auch nicht mehr. Hier sehe ich die gr\u00f6\u00dfte Gefahr: Es wird eine Sicherheit vorgespiegelt (der Sicherheitsgurt verhindert den Unfall), die so nicht gew\u00e4hrleistet werden kann.<\/p>\n<p>Was bleibt noch anzumerken?\u00a0Die Entwickler haben nach meinem ersten Artikel schnell reagiert und den Browser bzw. dessen Startmodul \u00fcberarbeitet. Die initialen Kritikpunkte aus meinem ersten Artikel sind damit ausger\u00e4umt &#8211; die aktualisierte Fassung des Browser liegt bereits auf der Seite der betreffenden Bank. Das ist top. Auch zeigten sich die Entwickler im Austausch offen und haben mir die obigen Informationen bereitgestellt &#8211; ein positiver Zug, den ich so nicht (immer) von anderen Firmen in \u00e4hnlichen Situationen kenne.<\/p>\n<p>Was im R\u00fcckblick nicht ganz optimal gelaufen ist: Ich h\u00e4tte ggf. versuchen k\u00f6nnen, die Entwickler vorab zu recherchieren und zu kontaktieren. Da ich aber \u00fcber den Mail-Austausch zwischen Stefan Kanthak und der betreffenden Sparkasse im Bilde war, deutete sich f\u00fcr mein Gef\u00fchl ein \"kein Weiterkommen\" an. Ich habe daher gehandelt, den Artikel verfasst und Stefan Kanthak vorab dr\u00fcber schauen lassen.<\/p>\n<p>Andererseits wurde im Beitrag ja keine Sicherheitsl\u00fccke im eigentlichen Sinne offen gelegt, die sofort einen unberechtigten Abfluss von Daten erm\u00f6glicht h\u00e4tte. Vielmehr drehte sich alles um die Frage: Wie sicher m\u00fcssen\/sollen bestimmte Module sein und was ist an Design-Kriterien zu beachten. Daher waren die Kriterien f\u00fcr ein resposible disclosure auch nicht gegeben. Mit dem hier vorliegenden Nachtragsartikel, den sowohl die Entwickler als auch Stefan Kanthak vorab lesen konnten, steht jetzt eine weitergehende Betrachtung zur Verf\u00fcgung, so dass sich Jeder \u00fcber die Pros und Cons informieren und dann seine Einsch\u00e4tzung treffen kann.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Deutsche Sparkassen- und Giroverband stellt mit dem S-Protect einen \"geh\u00e4rteten\" Browser bereit, der Online-Banking-Kunden der Sparkassen vor den Risiken bei Bankgesch\u00e4ften auf Windows PCs oder Macs besser sch\u00fctzen soll. Bei einem Test stellte sich heraus, dass diese Software in &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/22\/nachlese-gehrteter-online-banking-browser-s-protect-neue-version-neue-erkenntnisse\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-265518","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265518","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265518"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265518\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265518"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265518"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265518"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}