Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Online-Banking: In 150 Tagen…

trotz lästiger Umstellung: PhotoTAN ist 100% sicher!

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. trotz lästiger Umstellung: PhotoTAN ist 100% sicher!

    Autor: herc 17.04.19 - 18:09

    PhotoTAN: ein kleines Extragerät von der Größe zweier Zigarettenschachteln (ca. 35 euro) photographiert eine Art bunten QR Code und generiert damit eine TAN.
    Gleichzeitig wird der Geldbetrag und das Zielkonto im Minidisplay des Gerätes angezeigt.

    der grandiose Vorteil: das kleine Gerät ist quasi unhackbar, da die Übertragung optisch erfolgt. Die geringe Komplexität des optischen Kanales ist gut abzusichern, ganz im Gegesatz zu Wifi, Bluetooth oder USB.

    Selbst für den extremst unwahrscheinlichen Falles irgendeines superspecial Farbmusters, welches einen Bug auslöst kann der Angreifer trotzdem schwerlich manipulieren, da er den privaten Schlüssel im Gerät niemals auslesen kann, da der optische Kanal unidirektional ist - es können keine Informationen vom Gerät zurückfließen. Also kann ein Angreifer auch nicht die nötige Ausgabe auf dem Gerät (Kontonummer und Betrag) generieren bzw. manipulieren.

    Da müsste ein Angreifer schon an den privaten Schlüssel gelangen so wie er bei der Bank in einem (hoffentlich hoch abgesicherten System) hinterlegt ist.

    also .. ich habe mir so ein optisches Phototan gerät geholt. sicherlich werde ich niemals eine Handyapp benutzen .. die androidsmartphones von heute sind löchrig wie schweizer käse..

  2. Re: trotz lästiger Umstellung: PhotoTAN ist 100% sicher!

    Autor: herc 17.04.19 - 18:18

    p.s. ein hack wäre nur möglich, wenn über den optischen kanal auch noch so viel umfangreicher code eingeschleust würde, daß auch die Anzeige entsprechend manipuliert wird.
    Wie soll das gehen ? 1. bug auslösen. 2. muss der bug gleichzeitig dafür sorgen, daß valider, fehlerfreier code so im speicher plaziert wird, daß die interne CPU des gerätes diesen ohne crash ausführt..
    was meint ihr ? gibts hier einen security experten, der mögliche Angriffswege auf solche Datendioden kennt ?

  3. Re: trotz lästiger Umstellung: PhotoTAN ist 100% sicher!

    Autor: Localhorst86 18.04.19 - 08:21

    Was spricht denn dagegen ein altes smartphone im Flugmodus mit einer PhotoTAN app zu betreiben?

    Ich selbst habe meine PhotoTAN app auf meinem smartphone und somit immer dabei, auch wenn ich nicht zuhause bin. Kam mir schon mehrmals gelegen wenn ich z.B. bei meinen Eltern war und ich einen Dauerauftrag oder so ändern musste, dann konnte ich das gleich vor Ort machen - was erledigt ist ist erledigt.

  4. Re: trotz lästiger Umstellung: PhotoTAN ist 100% sicher!

    Autor: Truster 18.04.19 - 09:19

    soweit ich eben woanders im Forum gelesen habe, wird dir der "private Schlüssel" via QR Code per Post zugesendet. Mit dessen Code kann man weitere Generatoren einfach aktivieren. Ich hoffe doch sehr dass das nicht so ist. Beim cardTAN verfahren denkt man sich bei der Ersteinrichtung noch einen zusätzlichen PIN aus. Will heissen, du brauchst:
    * Login vom Internet Banking
    * Karte
    * PIN für tancard
    * Optische Übertragung durch flickercode (optional) oder manuelle Dateneingabe

  5. Re: trotz lästiger Umstellung: PhotoTAN ist 100% sicher!

    Autor: herc 18.04.19 - 09:33

    Ok - es gibt also einen kleinen Angriffspunkt falls der Brief mit dem Colorcode abgefangen und geöffnet wird. Oder wo siehst Du das Problem mit dem per Post zugesendeten Code / priv.key ?

  6. Re: trotz lästiger Umstellung: PhotoTAN ist 100% sicher!

    Autor: Localhorst86 18.04.19 - 09:34

    Truster schrieb:
    --------------------------------------------------------------------------------
    > soweit ich eben woanders im Forum gelesen habe, wird dir der "private
    > Schlüssel" via QR Code per Post zugesendet. Mit dessen Code kann man
    > weitere Generatoren einfach aktivieren. Ich hoffe doch sehr dass das nicht
    > so ist. Beim cardTAN verfahren denkt man sich bei der Ersteinrichtung noch
    > einen zusätzlichen PIN aus. Will heissen, du brauchst:
    > * Login vom Internet Banking
    > * Karte
    > * PIN für tancard
    > * Optische Übertragung durch flickercode (optional) oder manuelle
    > Dateneingabe

    Selbstverständlich muss man sich zum Registrieren des Geräts mittels QR Code im Online Banking anmelden. Eine separate PIN gibt es nicht.

    Man kann jetzt hier natürlich argumentieren dass somit das PhotoTAN verfahren genauso unsicher ist wie das iTAN verfahren, wer Zugang zu dem QR Code und die Bankingdaten hat kann beliebig alles machen was er/sie will - als hätte man die iTAN Liste geklaut.

  7. Re: trotz lästiger Umstellung: PhotoTAN ist 100% sicher!

    Autor: herc 18.04.19 - 09:35

    ok - ein altes abgelegtes smartphone im Flugmodus ist eine gute und kostenlose Alternative. Das Phototan Gerät kostet immerhin 35 euro - und das muss man natürlich selber bezahlen :/

  8. Nichts ist 100% sicher!

    Autor: Kondom 18.04.19 - 10:38

    Es ist sehr sicher, aber sicher nicht 100%

    PhotoTAN übers Smartphone sollte man sich zumindest dreimal überlegen. Das wurde schon mehrfach geknackt:
    https://www.computerwoche.de/a/phototan-hack-von-banken-apps-verhindern,3326115

    Ein extra photoTAN Leser ist da deutlich sicherer.


    chipTAN ist mindestens genauso sicher wie PhotoTAN, die Geräte gibt's aber schon für 10¤ oder gleich kostenlos von der Bank.



    1 mal bearbeitet, zuletzt am 18.04.19 10:51 durch Kondom.

  9. "Flugmodus"

    Autor: Kondom 18.04.19 - 10:43

    Was wenn dein Smartphone infiziert ist und dir nur das Symbol für den "Flugmodus" zwar angezeigt wird aber im Hintergrund alles weiter aktiv ist?

    Ein seperates Gerät ist da immernoch einen Tick sicherer.

  10. Re: "Flugmodus"

    Autor: Localhorst86 18.04.19 - 10:54

    Kondom schrieb:
    --------------------------------------------------------------------------------
    > Was wenn dein Smartphone infiziert ist und dir nur das Symbol für den
    > "Flugmodus" zwar angezeigt wird aber im Hintergrund alles weiter aktiv
    > ist?
    >
    > Ein seperates Gerät ist da immernoch einen Tick sicherer.

    SIM Karte raus und nicht mit dem WLAN verbinden?

  11. Re: "Flugmodus"

    Autor: Kondom 18.04.19 - 11:05

    > nicht mit dem WLAN verbinden

    Das gleiche wie beim Flugmodus. Wenn dein Smartphone infiziert ist, kann dir sonstwas als aktiviert/deaktiviert angezeigt werden.

    Wenn es unbedingt ein Smartphone sein soll, dann brauchst du zum Zeitpunkt der Transaktion ein Smartphone (alt oder neu) das wirklich noch nie mit irgendeinem WLAN in Reichweite verbunden war. Nur so hast du das gleiche Sicherheitslevel wie ein separater photoTAN oder chipTAN Generator.


    Erfolgreiche Angriffe auf photoTAN per Smartphone gab es schon:

    https://www.computerwoche.de/a/phototan-hack-von-banken-apps-verhindern,3326115

  12. Re: "Flugmodus"

    Autor: Localhorst86 18.04.19 - 11:16

    Kondom schrieb:
    --------------------------------------------------------------------------------
    > > nicht mit dem WLAN verbinden
    >
    > Das gleiche wie beim Flugmodus. Wenn dein Smartphone infiziert ist, kann
    > dir sonstwas als aktiviert/deaktiviert angezeigt werden.
    >
    > Wenn es unbedingt ein Smartphone sein soll, dann brauchst du zum Zeitpunkt
    > der Transaktion ein Smartphone (alt oder neu) das wirklich noch nie mit
    > irgendeinem WLAN in Reichweite verbunden war. Nur so hast du das gleiche
    > Sicherheitslevel wie ein separater photoTAN oder chipTAN Generator.

    Man kann es zwar mit den Konjunktiven übertreiben, aber auch das ist doch überhaupt kein Problem: Man hat für das TANphone ein separates WLAN das man nur einschaltet wenn man wirklich mit dem Internet verbunden sein muss (z.B. App Updates für die Photo TAN app) - den Rest der Zeit bleibt das WLAN aus und das TANphone dass wegen der absolut gezielten hacks trotz Flugmodus noch WLAN an hat kann sein WLAN nicht finden.

    Und jetzt kommst du: "Was wenn dein Router auch gehackt ist und das WLAN trotzdem eingeschaltet hat?"....

  13. Re: "Flugmodus"

    Autor: Faraaday 18.04.19 - 11:57

    Ganz besonder sicher ist das App System. Man hat 2 Apps aus dem Google App Store installiert. Die Namen der beiden Apps passen einigermaßen zu den Namen die im Bankschreiben angegeben wurden. Bei beiden gibt man lediglich seine Bank Zugangsdaten ein. Danach kann man seinen Finger auf den Sensor legen und die Daten werden automatisch zwischen den beiden Apps übertragen. Ein Anruf beim Servicecenter: "Ich schau mal nach wie die App auf meinem Handy heißt. Och bei mir (Bankangestellter) heißt die ein bischen anders, aber wird schon passen."
    Laut Bank das sicherste Verfahren. Lol. Aber man ist versichert, Fehler gehen zu Lasten der Bank.

    Nett ist auch Wunschpin:
    -separates Schreiben: Rufen sie folgende Nummer an und sagen ihre Wunschpin, nachdem Sie ihre Zugangsdaten eingegeben haben.
    Als Betrüger muss man nur:
    -warten bis jemand vermehrt Post von einer Bank bekommt.
    -Dann einfach einen Brief mit anderer Telefonnummer einwerfen.
    -selbst die richtige Zentrale Nummer für MAstercard/Visacardanbieter anrufen und den Wunschpin weitergeben.
    Die richtige Zentrale Telefonnummer für Wunschpin wird nicht von der Bank ausgegeben, sondern vom Kartenanbieter. Diese Nummer ist auch nicht einfach zu verifizieren. (Selbst Bankangestellte meinen einfach mal anrufen und sehen was passiert.)

    Meldet man sich übrigens bei der Bank weil die Homepage plötzlich anders aussieht und ein neues Zertifikat hat, sagt die Bank: Warum rufen sie überhaupt an, sie sind doch auf der Bankhomepage. Einfach anmelden, wenn es nicht geht sind sie auf einer falschen Homepage.

    Soviel zum Thema Sicherheit beim Banking.

  14. Re: "Flugmodus"

    Autor: Localhorst86 18.04.19 - 13:30

    Faraaday schrieb:
    --------------------------------------------------------------------------------
    > Ganz besonder sicher ist das App System. Man hat 2 Apps aus dem Google App
    > Store installiert. Die Namen der beiden Apps passen einigermaßen zu den
    > Namen die im Bankschreiben angegeben wurden. Bei beiden gibt man lediglich
    > seine Bank Zugangsdaten ein. Danach kann man seinen Finger auf den Sensor
    > legen und die Daten werden automatisch zwischen den beiden Apps übertragen.
    > Ein Anruf beim Servicecenter: "Ich schau mal nach wie die App auf meinem
    > Handy heißt. Och bei mir (Bankangestellter) heißt die ein bischen anders,
    > aber wird schon passen."
    > Laut Bank das sicherste Verfahren. Lol. Aber man ist versichert, Fehler
    > gehen zu Lasten der Bank.
    >
    > Nett ist auch Wunschpin:
    > -separates Schreiben: Rufen sie folgende Nummer an und sagen ihre
    > Wunschpin, nachdem Sie ihre Zugangsdaten eingegeben haben.
    > Als Betrüger muss man nur:
    > -warten bis jemand vermehrt Post von einer Bank bekommt.
    > -Dann einfach einen Brief mit anderer Telefonnummer einwerfen.
    > -selbst die richtige Zentrale Nummer für MAstercard/Visacardanbieter
    > anrufen und den Wunschpin weitergeben.
    > Die richtige Zentrale Telefonnummer für Wunschpin wird nicht von der Bank
    > ausgegeben, sondern vom Kartenanbieter. Diese Nummer ist auch nicht einfach
    > zu verifizieren. (Selbst Bankangestellte meinen einfach mal anrufen und
    > sehen was passiert.)
    >
    > Meldet man sich übrigens bei der Bank weil die Homepage plötzlich anders
    > aussieht und ein neues Zertifikat hat, sagt die Bank: Warum rufen sie
    > überhaupt an, sie sind doch auf der Bankhomepage. Einfach anmelden, wenn es
    > nicht geht sind sie auf einer falschen Homepage.
    >
    > Soviel zum Thema Sicherheit beim Banking.

    Hat zwar alles nichts mit dem Thema iTAN, mTAN und photoTAN zu tun, aber ich kann mir nur schwer vorstellen dass deine angesprochenen Themen so im wahren Leben stattgefunden haben (Ich nehme an du übertreibst hier ein wenig um das ganze auszuschmücken ;))

    1. Wunschpin - die legt man am Automaten fest, garantiert nicht "per Telefon".

    2. Melden von Veränderungen der Homepage - Supportmitarbeiter werden i.d.R. über Änderungen im System informiert, insbesondere wenn es auch sofort sichtbar ist (Neue Funktion im System, neue Homepage etc.). Das kenne ich sich von meinen letzten zwei Arbeitgebern und das ist unter Garantie auch bei Banken so. Bei meiner alten Bank gab es sogar ein paar Wochen vor Änderung der Homepage gesonderte Mitteilungen beim Einloggen im Onlinebanking.

    3. Gleiches gilt für Apps - Womöglich wird der Mitarbeiter nicht sofort wie aus der Pistole geschossen sagen können "Die App heißt genau 'Cayman Island Offshore Banking (don't tell the IRS)'" aber er hat Dokumentationen an der Hand mit denen er das (ggf. auf Nachfrage des Kunden) nachprüfen kann. Auch sollte der Mitarbeiter in der Lage sein, dem Kunden Hilfe zur Selbsthilfe an die Hand geben zu können ("Prüfen Sie dass die App aus dem Appstore/Playstore kommt und vom Herausgeber "Doitsche Punk" stammt") - Auch Banken bemühen sich um kompetente Mitarbeiter.

    Ich kann mir vorstellen dass das Gespräch in etwa so stattgefunden haben könnte:

    B: "Cayman Island Offshore Banking, wie kann ich Ihnen helfen?"
    K: "Hallo, Herschel Shmoikel Pinchas Yerucham Krustofsky mein Name. Ich bin Kunde bei Ihnen und möchte für mein geheimes, illegales Konto gerne Online Banking nutzen."
    B: "Kein Problem Herr Krustofsky, rufen Sie einfach den Playstore auf und laden unsere 'Cayman Island online banking' App herunter"
    K: "Ich kann die nicht finden, in der Suche taucht nur "Cayman Island Mobile" auf"
    B: "Das ist gut möglich der Name kann in unterschiedlichen App Stores anders benannt sein. Ist der Herausgeber der App 'Doitsche Punk'?"
    K: "Ja"
    B: "Dann handelt es sich um unsere App, diese können Sie sorglos herunterladen. Kann ich Ihnen noch irgendwie helfen?"
    K: "Danke alles bestens."

  15. Re: "Flugmodus"

    Autor: twothe 18.04.19 - 15:01

    Die PhotoTAN kann ganz einfach geknackt werden: ich nehm dir das Gerät weg und mach dann Überweisungen wie ich möchte.

    Und wenn du jetzt sagst "Dann muss man halt auf sein Gerät aufpassen!" dann frag ich zurück: "Und wie unterscheidet sich das von ner iTAN-Liste?"

  16. Re: "Flugmodus"

    Autor: Tantalus 18.04.19 - 15:07

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Und wenn du jetzt sagst "Dann muss man halt auf sein Gerät aufpassen!" dann
    > frag ich zurück: "Und wie unterscheidet sich das von ner iTAN-Liste?"

    Der Unterschied ist, dass ein Photo-TAN-Gerät immun gegen MITM-Angriffe ist, Du brauchst auf jeden Fall physischen Zugang zum Gerät. Und wenn Du den hast, kannst Du genauso gut den Kontoinhaber mit nem Messer am Hals dazu "motivieren", eine passende Überweisung zu tätigen.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  17. Re: "Flugmodus"

    Autor: Localhorst86 18.04.19 - 15:13

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Die PhotoTAN kann ganz einfach geknackt werden: ich nehm dir das Gerät weg
    > und mach dann Überweisungen wie ich möchte.
    >
    > Und wenn du jetzt sagst "Dann muss man halt auf sein Gerät aufpassen!" dann
    > frag ich zurück: "Und wie unterscheidet sich das von ner iTAN-Liste?"

    Es unterscheidet sich dadurch von der iTAN Liste, dass das Gerät i.d.R. gesperrt und auch verschlüsselt ist, eine iTAN Liste liegt *immer* im Klartext vor. Und wie Tantalus bereits schrieb: Hast du Zugriff auf mein Gerät, hast du auch Zugriff auf mich und somit andere Methoden an mein Geld zu kommen.



    1 mal bearbeitet, zuletzt am 18.04.19 15:13 durch Localhorst86.

  18. Undifferenziert

    Autor: treysis 18.04.19 - 16:02

    Kondom schrieb:
    --------------------------------------------------------------------------------
    > PhotoTAN übers Smartphone sollte man sich zumindest dreimal überlegen. Das
    > wurde schon mehrfach geknackt:
    > www.computerwoche.de

    Leider war schon die Veröffentlichung, auf der dieser Artikel basiert, schon sehr undifferenziert geschrieben. Nur bei genauerem Lesen wurde klar, dass es photoTAN nur DANN betrifft, wenn Banking und photoTAN-App auf dem gleichen Gerät verwendet werden. Das hat die comdirect damals z.B. noch gar nicht erlaubt. Wer heute die Geräte trennt, bei dem ist photoTAN immer noch eine der sichersten Methoden.

  19. Re: "Flugmodus"

    Autor: treysis 18.04.19 - 16:03

    Kondom schrieb:
    --------------------------------------------------------------------------------
    > Erfolgreiche Angriffe auf photoTAN per Smartphone gab es schon:
    >
    > www.computerwoche.de

    Aber auch nur, weil alles auf einem Gerät lief. Bei getrennten Geräten = kein Problem. Aber das kommt in der Veröffentlichung nur heraus, wenn man ein bisschen zwischen den Zeilen liest.

  20. Re: "Flugmodus"

    Autor: tsp 18.04.19 - 16:58

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Die PhotoTAN kann ganz einfach geknackt werden: ich nehm dir das Gerät weg
    > und mach dann Überweisungen wie ich möchte.
    >
    > Und wenn du jetzt sagst "Dann muss man halt auf sein Gerät aufpassen!" dann
    > frag ich zurück: "Und wie unterscheidet sich das von ner iTAN-Liste?"

    Naja was den Diebstahl angeht unterscheidet es sich hier nicht - aber was die Möglichkeit von Angriffen mit Schadsoftware / MITM (wenn mans schafft, dass man dem Nutzer ein korrektes Zertifikat für seine Online Banking Webseite anzuzeigen) unterscheidet sich's insofern, als dass man dem Nutzer nicht einfach andere Überweisungsdetails anzeigen, nach einem iTAN fragen und dann diesen TAN mit anderen Überweisungsinformationen absenden kann - beim PhotoTAN sollten Überweisungsdetails mit hineingerechnet werden, sodass der generierte TAN eben nur für diese spezifische Überweisung verwendbar ist ...

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. mWGmy World Germany GmbH, Köln
  2. Amprion GmbH, Pulheim-Brauweiler
  3. MACH AG, Berlin, Lübeck
  4. Modis GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Age of Wonders: Planetfall für 39,99€, Imperator: Rome für 23,99€, Stellaris für 9...
  2. (aktuell u. a. Acer One 10 Tablet-PC für 279,00€, Asus Zenforce Handy für 279,00€, Deepcool...
  3. 799,00€ (Bestpreis!)
  4. 1.199,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

  1. H2.City Gold: Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
    H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor

    Damit die Luft in Städten besser wird, sollen Busse sauberer werden. Ein neuer Bus aus Portugal mit Brennstoffzellenantrieb emititiert als Abgas nur Wasserdampf.

  2. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.

  3. Polizei: Hunde, die nach Datenspeichern schnüffeln
    Polizei
    Hunde, die nach Datenspeichern schnüffeln

    Spürhunde können neben Sprengstoff und Drogen auch Datenspeicher oder Smartphones erschnüffeln. Die Polizei in Nordrhein-Westfalen hat kürzlich ihre frisch ausgebildeten Speicherschnüffler vorgestellt.


  1. 18:18

  2. 18:00

  3. 17:26

  4. 17:07

  5. 16:42

  6. 16:17

  7. 15:56

  8. 15:29