TAN Generator?

Ich glaube die Internetcommunity ist die absolute Expertengruppe in Sachen Paranoia. Ein bisschen Risiko ist eben überall dabei. Man kann nichts 100% sicher machen.

Genauso gut kann am Geldautomat einer warten bis man das Geld abgehoben hat, und sich danach mittels "Messer an Kehle" die Kohle holen.
Oder die arme kleine Oma dazu zwingen das Konto leer zu räumen.
Dafür braucht er keinen einzigen PIN, TAN, iTAN oder sonst irgendwas auszuspionieren. Er muss nur nen halbwegs unbeobachteten Geldautomaten finden.

Sollen wir deswegen jetzt neben jedem Geldautomaten Wachleute postieren? Wobei, die könnten ja selber der Täter sein. Also besser nur in Begleitung von 10 Bekannten als Bodyguards zum Geldholen gehen. Von denen könnte aber auch einer Kohle gebrauchen, und mit 20 Freunden das Konto des Beschützten und der 9 anderen Beschützer leeren.

Ich befürchte fast, um jedes Risiko auszuschließen müssen wir das Geld abschaffen, ich sehe keine andere Möglichkeit um wieder in Frieden schlafen zu können.

Mein Appell: Bleibt doch etwas realistisch. Ein Verfahren was in 99.999.999 von 100 Mio Fällen funktioniert sollte doch ausreichen, oder? (Und ich bin mir sicher, dass alleine in D so viele Online-Transaktionen pro Tag ohne jede Probleme getätigt werden.

Und das ist noch nicht mal irgendeine iTAN, sondern genau die, die das System als nächste zu verwendende iTAN ausgewählt hat.

-jm2c

HeRoKe schrieb:
-------------------------------------------------------
> /mecki78 schrieb:
> --------------------------------------------------
> -----
> >
> Mit TANs:
> Der Keylogger fängt
> deinen PIN ab. Jetzt kann sich
> der Hacker
> zwar anmelden und deinen Kontostand
> sehen,
> aber ansonsten nichts machen. Du machst
> eibe
> Überweisung, der Keylogger fängt die TAN
>
> ab... ja, nur leider hast du die gerade
> zeitgleich
> benutzt *und* entwertet.
>
> Halt mein Freund - genau zu diesem Zeitpunkt
> schießt der Hacker nämlich deine Session ab. Du
> denkst noch: "blöder Bankserver" und derweil hat
> Hacker eine frische, unverbrauchte TAN im Besitz,
> mit der er in den nächsten Minuten deinen
> Kontostand plündert.
>
>

jm2c schrieb:
-------------------------------------------------------
> Und das ist noch nicht mal irgendeine iTAN,
> sondern genau die, die das System als nächste zu
> verwendende iTAN ausgewählt hat.

[ ] Du hast das iTAN Verfahren verstanden?

Die iTAN, die das System ausgewählt hat, hat es für deine eine Transaktion bestimmt. Wenn ein Hacker nun eine neue Transaktion starten will (und das will er wohl, weil was hat er davon deine Transaktion abzuschliessen, die bringt ihm nichts!) dann will das System auch eine neu iTan.





/Mecki

HeRoKe schrieb:
-------------------------------------------------------
> Halt mein Freund - genau zu diesem Zeitpunkt
> schießt der Hacker nämlich deine Session ab. Du
> denkst noch: "blöder Bankserver" und derweil hat
> Hacker eine frische, unverbrauchte TAN im Besitz,
> mit der er in den nächsten Minuten deinen
> Kontostand plündert.

Falsch! Tut er nicht. Genau deswegen gibt es ja iTANs. In dem Moment, wo du eine Transaktion initiierst wählt der Server eine iTAN. Diese iTAN ist ab jetzt nur noch für diese eine Transaktion gültig. Wenn der Hacker eine neue Transaktion in Auftrag gibt, dann will der Server auch eine neue iTAN. Mit der iTAN, die der Hacker jetzt von dir hat kann er genau eine Sache machen: Deine angefangene Transaktion zuende führen. Für alles andere ist die Nummer nicht zu gebrauchen.



/Mecki

HeRoKe schrieb:
-------------------------------------------------------
> Das ganze nennt sich dann HBCI oder neuerdings
> FinTS, gibt es schon seit mehr als 10 Jahren und
> hat sich am Markt nie richtig durchgesetzt wel es
> "zu kompliziert" ist.

Sicherheit ist nunmal kompliziert. Entweder man will es sicher, dann muss man aber eben auch mehr Aufwand in Kauf nehmen. Oder man will es einfach, aber einfach ist eben nie sicher.


/Mecki

Alternativvv schrieb:
-------------------------------------------------------

> "handy-signale" sind nicht unverschlüsselt.

Erstens ist eine Verschlüsselung "optional". Im Modus A5/0 sind die Daten *wirklich* total unverschlüsselt. Dieser Modus ist z.B. in Frankreich Standard und auch *dein* Handy arbeitet in dem Modus im Frankreichurlaub.

Was die anderen Modi angeht, zitiere ich aus der Wikipedia:

"Der Kodeschlüssel wird vom Algorithmus A5 zur symmetrischen Verschlüsselung der übertragenen Daten verwendet. Schon angesichts der geringen Schlüssellänge kann davon ausgegangen werden, dass die Verschlüsselung keine nennenswerte Sicherheit gegen ernsthafte Angriffe bietet."

> der von dir angesprochene imsi-catcher ist recht
> aufwändig zu bedienen, furchtbar teuer in der
> anschaffung und erfordert eine ganze menge
> logistik um ihn einzusetzen

Ja richtig. Derartiges hat ja Kriminelle schon immer davon abgehalten es zu benutzen. Andere Hackertools mit denen schon zig erfolgreichen Angriffe durchgeführt wurden sind deutlich schwieriger zu bedienen und was heisst teuer? Im Zweifelsfall "klaut" man so ein Teil.

> das ist nicht mal
> grade gemacht wie jemandem einen trojaner
> unterzujubeln oder ähnliches.

Du vermischt hier zwei Aussagen von mir. Die erste Aussage war, dass man jemanden leicht einen Trojaner unterjubeln kann. D.h. hatte gar nichts mit dem IMSI Catcher zu tun. Dazu kann man Schwachstellen in der Bluetooth Schnittstelle von Handies ausnutzen (gibt schon ein paar Fälle dokumentierter Handywürmer, die sich so verbreiten) oder jemanden einfach MMS mit Attachments schicken und Schwachstellen in der Handysoftware ausnutzen. Und selbst wenn alles sicher ist, gibt es noch genug Nutzer, die bei Rückfragen vom Handy einfach mal mit Ja antworten. Wie viele Idioten gibt es die von fremden Leuten EXE Dateien per Mail annehmen und einfach mal ausführen?

> und legal erhältlich
> ist es für strafverfolgungsbehörden und niemand
> sonst

Richtig. Kriminelle halten sich ja bekanntlich immer genau an das Gesetz. Frage ich mich nur warum sie dann Kriminelle genannt werden. Automatische Schusswaffen und Splitterbomben sind ja auch nicht für Privatleute legal erhältlich, daher gibt es ja auch keine Kriminelle, die so was haben. Gut das Gesetze absolut unüberwindbare Blockkaden für Kriminelle darstellen.

In welcher Welt lebst du noch mal genau?

> und dann basiert
> die sicherheit einzig und allein auf der
> hardwaresicherheit des gerätes.

Ist bei einem EC Karten Lesegerät im Supermarkt auch nicht anders. D.h. du zahlst also nie mit EC Karte, weil du ja dem Gerät nicht trauen kannst. Dafür vertraust du aber (siehe oben) dass sich Kriminelle immer brav an Gesetze halten.

> man-in-the-middle funktioniert auch etwas anders,
> da du mit dem bösen verbunden bist und er mit
> deiner bank merkst du nichts davon.

[ ] Du verstehst wie eine SSL Verbindung funktioniert?

Ich denke nicht. Weil dann zeigst du mir bitte mal, wie ein Krimneller das SSL Cert austauschen kann, gegen ein Cert, dass korrekt mit einer Root CA unterschrieben ist und für den gleichen Webserver der Online Bank ausgestellt wurde. Denn ohne so ein Cert schlägt jeder Browser sofort Alarm. Und nur wenn er das Cert erfolgreich austauschen kann, hat er auch nur die geringste Chance den Verkehr mitzulesen oder zu verändern. Ansonsten kommt da nur Datenmüll für ihn über die Leitung, der mit 128 Bit verschlüsselt ist (was bei einem Bruteforce Angriff länger zu knacken dauert als unser Sonnensystem alt werden wird).

> jetzt könnte
> er den zufallswert für seine überweisung abfangen,

Nein, kann er eben nicht. Er kann nämlich nur Datenmüll empfangen zwischen dir und deiner Bank.


/Mecki



1 mal bearbeitet, zuletzt am 06.07.09 13:33 durch /mecki78.