Keylogger?!

Hmm.. also einen Keylogger macht sicher nicht nur mit dem System ein Problem... oder irre ich mich da?!

Irgendwie liest sich das mal wieder nach wunderbaren Halbwahrheiten und heissgestricken Stories... Naja... hauptsache man hat seine Geschichte - oder?

. . . -- -- -- . . . -- -- -- . . . -- -- -- . . . -- -- -- . . . -- -- --
Die deutsche Rechtschreibung ist Freeware, Du darfst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.

SirRobin schrieb:
--------------------------------------------------------------------------------
> Hmm.. also einen Keylogger macht sicher nicht nur mit dem
> System ein Problem... oder irre ich mich da?!

Nein, aber wenn es keine Nachrichten gibt macht man halt welche.

Ein bissl wie Leute die Plastikfolie über die Teppiche legen für den Fall das eingebrochen wird und die Einbrecher dreckige Schuhe haben.

Man muss halt Prioritäten setzen.

Ihr scheint beide nicht im Kontext zu stehen. Das BMI (incl. Minister) und das BSI behaupten zusammen mit der Firma NXP, dass dieser PA sicher sei. Und das ist er eben nicht.
Hier wude die einfachste aller Angriffsmöglichkeiten dargestellt. Alle anderen Angriffsmöglichkeiten zu veröffentlichen, hielte auch ich für sehr fragwürdig. Damit sind die Prioritäten wohl klar, oder?

Nö... wenn es darum geht dass etwas sicher ist... welche Antwort hat da Priorität? Eben: "Nichts ist sicher"... Und das weiß auch jeder der halbwegs 1 und 1 und nicht mal 1 und 0 zusammenzählen kann...
Was hier wieder passiert ist, dass ein Redakteur der normalerweise für die Gartensendung zuständig ist, seinem Praktikanten, der normalerweise den Humus von A nach B karrt, den Auftrag gegeben hat: "Hey Jung.... ich geh an Baggersee und du mach mal was zu diesem P-Zeugs..." Statt sich um P-rimeln zu kümmern kam halt ne Geschichte zum P-erso raus... So einfach ist das...

. . . -- -- -- . . . -- -- -- . . . -- -- -- . . . -- -- -- . . . -- -- --
Die deutsche Rechtschreibung ist Freeware, Du darfst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.

ich, wer sonst schrieb:
--------------------------------------------------------------------------------
> Hier wude die einfachste aller Angriffsmöglichkeiten dargestellt.

Die einfachste Moeglichkeit ist immernoch jemandem heimlich ueber die Schulter schauen, wenn er seine PIN eingibt. Oder jemand schreibt sie auf einen Zettel und legt sie neben den Perso in die Brieftasche (ja solche Leute gibts auch). Kein Computerwissen notwendig... eine News dazu aber auch nicht.

Ich hab die Sendung nicht gesehen, hat man den CCC nur befragt oder haben die dabei echt mitgemacht?

Die PIN ist nur das vordergründige Problem.

Die Ignoranz mit der die Verantwortlichen hier sicherheitstechnisch eben nicht zureichende Technik als "Sicher" verkauft wird ist der eigentliche Skandal.

"Nichts ist sicher" macht sich die Sache auch zu einfach. Sicher ist: Es gibt vorgefertigte Lösungen, einigermaßen frei zugänglich, die einen Rechner übernehmen und/oder überwachen können. Solange die Authentifizierung über den Rechner geschieht, ist das abhören und die Manipulation keine größere technische Herausforderung. Das gilt für Windows genau wie für Mac OS und Linux/UNIX. Minimale Voraussetzung für "Sicherheit" ist ein Lesegerät, das die Eingabe und Überprüfung der PIN selbst durchführen kann. Das macht eine Einmischung um _Größenordnungen_ aufwändiger.

Was die auf dem Perso-Chip gespeicherten Daten angeht: Egal wie gut ein Verfahren gesichert ist, wenn die Daten es wert sind, wird das Verfahren früher oder später geknackt. Die einzige Möglichkeit das zu verhindern ist, keine interessanten Daten zu speichern. Besonders bei einem Verfahren, das Jahrzehnte unverändert "in the wild" überleben wird, gleichgültig was passiert.

Ich werde mir jedenfalls demnächst einen neuen Perso holen, _bevor_ ich einen mit Chip bekomme.

Das Problem ist doch - wenn ich jemanden über die Schulter schaue und dem danach die Karte klaue - hab ich einen über den Tisch gezogen. Wenn ich aber ein nicht extra dafür gesichertes System an einen unsicheren PCs anschließe - und über 90% der privaten PCs sind unsicher - dann hab ich schnell die Möglichkeit nicht nur einen zu beklauen sondern tausende und das ohne nennenswerten Mehraufwand.

Hier steht eigentlich der Aufwand eine sicher Hardware herauszugeben in keiner Beziehung zu den potenziell möglichen Schaden....

Wenn man so was macht, dann bitte richtig. Wo die Methode, das ist schon immer gut gegangen hinführt - haben wir erst kürzlich bei der Loveparade gesehen. - Für die potenzielle Möglichkeit das Massen an Nutzern durch unsichere Technik abgezockt werden, sollte man sich etwas mehr ins Zeug legen für ein sicheres System.

Könnten sonst auch gleich alle Pins in einer Datenbank speichern und den Schlüssel verteilen :)

ich, wer sonst schrieb:
--------------------------------------------------------------------------------
> Ihr scheint beide nicht im Kontext zu stehen. Das BMI (incl. Minister) und
> das BSI behaupten zusammen mit der Firma NXP, dass dieser PA sicher sei.

Falsch.

Was das Lesegerät angeht ist auch seitens des BSI klargestellt das es 3 Kategorien gibt und das die Teile ohne Tastatur die unsicherste Variante darstellen.

Was den ePA angeht ist der ePA, nach dem Stand der Technik und im Rahmen des vertretbaren Aufwandes, als sicher zu betrachten.

Ansonsten gilt sicher ist nur der Tod und das es im Leben, auch ausserhalb der IT übrigens, nun mal Risiken gibt sollte bekannt sein und es gibt eben auch Grenzen ab denen sich der Aufwand nicht mehr lohnt.

Auch beim CCC jedenfalls werden kaum Leute sitzten die ihren Rechner im eigenen Rechenzentrum betreiben und dort Leute sitzen haben die das ganze 24/7 beschützen und überwachen.