1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Sparangebot für Online-Banking per…

Kritische Masse

  1. Thema

Neues Thema Ansicht wechseln


  1. Kritische Masse

    Autor: weltraumMonster 13.06.07 - 12:43

    Ab dem Zeitpunkt an dem die breite Masse auf HBCI umgestiegen ist, wird es statt PIN Phishing eben Trojaner geben, die Transaktionen vor deren Signierung durch die Smartcard auf der HBCI Karte manipulieren und dem Benutzer vorgaukeln alles laufe nach Plan...
    Danach wird man feststellen das man Solche sicherheitskritischen Prozesse nur auf einer Trusted Plattform abwickeln kann... und die wird es wahrscheinlich so schnell nicht geben (wenn überhaupt... )

  2. Re: Kritische Masse

    Autor: c++fan 13.06.07 - 14:39

    weltraumMonster schrieb:
    -------------------------------------------------------
    > Ab dem Zeitpunkt an dem die breite Masse auf HBCI
    > umgestiegen ist, wird es statt PIN Phishing eben
    > Trojaner geben, die Transaktionen vor deren
    > Signierung durch die Smartcard auf der HBCI Karte
    > manipulieren und dem Benutzer vorgaukeln alles
    > laufe nach Plan...
    Ach quatsch. Und auch das (i)TAN-Verfahren ist doch nicht soo schlecht.

    > Danach wird man feststellen das man Solche
    > sicherheitskritischen Prozesse nur auf einer
    > Trusted Plattform abwickeln kann... und die wird
    > es wahrscheinlich so schnell nicht geben (wenn
    > überhaupt... )

    Weil wir sie NICHT WOLLEN.

  3. Re: Kritische Masse

    Autor: Linguist 13.06.07 - 15:18

    weltraumMonster schrieb:
    -------------------------------------------------------
    > Ab dem Zeitpunkt an dem die breite Masse auf HBCI
    > umgestiegen ist, wird es statt PIN Phishing eben
    > Trojaner geben, die Transaktionen vor deren
    > Signierung durch die Smartcard auf der HBCI Karte
    > manipulieren und dem Benutzer vorgaukeln alles
    > laufe nach Plan...


    Phishing ist so ausgelegt, dass es fast keinen Aufwand bedeuted und somit jeder ergaunerte Betrag Reingewinn ist. Um bei einer HBCI-Ueberweisung mit einem Klasse-3 Leser reinzupfuschen, wird wohl mehr Arbeit noetig sein, als man mit einem durchschnittlichen Beutezug reinholt.

    iTAN erhoeht ja auch nur den Aufwand, die 110%-Unknackbar-Superdupersicher-Augenwischerei muss man ja nicht ernst nehmen.

    Hier noch ein schoenes Zitat der Prostbank auf meiner HBCI mit Smartcard-Anfrage: "Wir haben so viele Kunden, da bedeutet das einen viel zu hohen Aufwand und Kosten". BMW hat auch viele Kunden, ich bin froh, dass sie die Bremsen trotzdem nicht eingespart haben. Irgendwie sympatischer als Prostbank.

  4. Re: Kritische Masse

    Autor: ;) 13.06.07 - 16:32

    weltraumMonster schrieb:
    -------------------------------------------------------
    > Ab dem Zeitpunkt an dem die breite Masse auf HBCI
    > umgestiegen ist, wird es statt PIN Phishing eben
    > Trojaner geben, die Transaktionen vor deren
    > Signierung durch die Smartcard auf der HBCI Karte
    > manipulieren und dem Benutzer vorgaukeln alles
    > laufe nach Plan...
    > Danach wird man feststellen das man Solche
    > sicherheitskritischen Prozesse nur auf einer
    > Trusted Plattform abwickeln kann... und die wird
    > es wahrscheinlich so schnell nicht geben (wenn
    > überhaupt... )
    Ja, will kommen im 21. Jahrhundert in dem sich die Menschheit selbst vernichtet, als Schutz dagegen bauen sie dann TPM und befinden sich unter digitaler Kontrolle. Vielleicht kommt ja irgendwann die digitale Aufklärung.
    Aber na ja wenn du gerne deine Freiheit vernichtet möchtest, rate ich dir zu Online Banking und vor allem zu einem TPM. Viel Spaß!
    Dann kannst du auch gleichzeitig noch den Weltmarktführer anpreisen und die GPL als kommunistisches Propagandamaterial bezeihnen, um deiner geistigen Armut noch mehr Ausdruck zu verleihen.

  5. Re: Kritische Masse

    Autor: Die unkritische Masse 13.06.07 - 16:58

    ;) schrieb:
    -------------------------------------------------------
    > Aber na ja wenn du gerne deine Freiheit vernichtet
    > möchtest, rate ich dir zu Online Banking

    Verdammt, ich mach was falsch. Ich mach seit... 4 oder 5 Jahren Onlinebanking, bin immer noch Frei und mein Konto hat auch noch keiner geplündert. Woran liegt das bloß? Vielleicht, weil ich auf meine PIN und TANs aufpasse und auf Phishing nicht reinfalle...? Und mein Rechner keine Wurmschleuder ist...?

    > Dann kannst du auch gleichzeitig noch den
    > Weltmarktführer anpreisen und die GPL als
    > kommunistisches Propagandamaterial bezeihnen, um
    > deiner geistigen Armut noch mehr Ausdruck zu
    > verleihen.

    Hehe. Redmondsche Softwareprodukte haben bei mir Hausverbot. ;-)

  6. Re: Kritische Masse

    Autor: Korrumpel 13.06.07 - 18:16

    Die unkritische Masse schrieb:
    -------------------------------------------------------
    > Verdammt, ich mach was falsch. Ich mach seit... 4
    > oder 5 Jahren Onlinebanking, bin immer noch Frei
    > und mein Konto hat auch noch keiner geplündert.
    > Woran liegt das bloß? Vielleicht, weil ich auf
    > meine PIN und TANs aufpasse und auf Phishing nicht
    > reinfalle...? Und mein Rechner keine Wurmschleuder
    > ist...?
    Japp, So isses!
    Selbst meinem 60-jährigen Vater habe ich dsa OnlineBanking erfolgreich beigebracht.
    Zwei einfache Regeln:
    1. Banking-URL immer direkt im Browser eingeben bzw. per Bookmark.
    2. Nach PIN/TAN wird niemand fragen. Wer danach fragt, ist ein Betrüger -> nie preisgeben.

    Zwar ist er letztens auf den Telekom-Rechnungs-Trojaner reingefallen und hat seinen Rechner infiziert (das wird ihm bestimmt nicht nochmal passieren, getreu nach dem Motto "einmal und nie wieder"), aber beim Online Banking läßt er sich nicht lumpen. Auf meine sporadischen Fragen, wie er sich dabei zu verhalten hat, antwortete er immer korrekt. Ist meine Art, immer mal wieder zu schauen, ob er doch was nicht kapiert hat.

    > Hehe. Redmondsche Softwareprodukte haben bei mir
    > Hausverbot. ;-)
    Bei mir ned. Aber trotzdem, das eigene Verhalten ist ausschlaggebend. Und bei uns beiden funzt es da ja ganz wunderbar.
    Ich benutze ja nichtmal diese AutoVervollständigen-Funktion im Browser bei Eingaben in Formularen. Meine PIN/TAN lese ich schließlich auch vom Zettel ab. :-)

    Sichere Grüße,
    Korrumpel.

  7. Re: Kritische Masse

    Autor: Korrumpel 13.06.07 - 18:21

    weltraumMonster schrieb:
    -------------------------------------------------------
    > Ab dem Zeitpunkt an dem die breite Masse auf HBCI
    > umgestiegen ist, wird es statt PIN Phishing eben
    > Trojaner geben, die Transaktionen vor deren
    > Signierung durch die Smartcard auf der HBCI Karte
    > manipulieren und dem Benutzer vorgaukeln alles
    > laufe nach Plan...
    Ich habe diese Prozedur schonmal mitgemacht, also Zertifizierung einer Smartcard über´s Web. War schon ein ganz schöner Heckmeck, bis man sich durch die einzelnen Schritte durchgekämpft hat.
    Nun, das Ganze lief per HTTPS ab, logisch. Wie kann also ein Trojaner da etwas manipulieren? 1. Würde ein manipuliertes Zertifikat nicht verifiziert werden können seitens der Bank. 2. Wäre der verschlüsselte Datenstrom nicht entzifferbar für den Trojaner bzw. Man-in-the-middle, um zeitnah das Ganze zu manipulieren. Und wenn, wären wir wieder bei Punkt eins.

    Lieg ich da falsch oder hab was übersehen?

  8. Re: Kritische Masse

    Autor: shizzelmanizzel 13.06.07 - 18:33

    Korrumpel schrieb:
    -------------------------------------------------------
    > Lieg ich da falsch oder hab was übersehen?

    Du musst halt sicherstellen, dass du mit der Bank und nicht dem Man in the Middle kommunizierst. Andernfalls übernimmt dieser die Kommunikation mit der Bank für dich mit deinem Zertifikat.

    Wenn sich dieser auch noch in Form eines Trojaners oder RootKits in dein System gefressen hat, ist eh alles zu spät ;)

    Wer weiß ob DNS korrekt arbeitet? Ob das Routing nicht manipuliert ist? Ob die Zertifikate wirklich echt sind und die Authorities nicht manipuliert sind? Das Internet ist böse. Theoretisch ist da alles drin.

  9. Re: Kritische Masse

    Autor: Korrumpel 13.06.07 - 18:41

    shizzelmanizzel schrieb:
    -------------------------------------------------------
    > Korrumpel schrieb:
    > --------------------------------------------------
    > -----
    > > Lieg ich da falsch oder hab was übersehen?
    >
    > Du musst halt sicherstellen, dass du mit der Bank
    > und nicht dem Man in the Middle kommunizierst.
    > Andernfalls übernimmt dieser die Kommunikation mit
    > der Bank für dich mit deinem Zertifikat.
    >
    > Wenn sich dieser auch noch in Form eines Trojaners
    > oder RootKits in dein System gefressen hat, ist eh
    > alles zu spät ;)
    >
    > Wer weiß ob DNS korrekt arbeitet? Ob das Routing
    > nicht manipuliert ist? Ob die Zertifikate wirklich
    > echt sind und die Authorities nicht manipuliert
    > sind? Das Internet ist böse. Theoretisch ist da
    > alles drin.

    Ok. Kapiert. Aber bei der Zertifizierung muß ich auch noch eine spezielle Software der Bank installiert haben und benutzen. Dieses müßte der Angreifer ja auch berücksichtigen.

    Außerdem weiß der Angreifer nicht, bei welcher Bank ich bin, und alle Banken berücksichtigen (bzw. die wichtigsten)?

  10. Re: Kritische Masse

    Autor: Mac Addict 13.06.07 - 23:15

    c++fan schrieb:
    > --------------------------------------------------
    > auch das (i)TAN-Verfahren ist
    > doch nicht soo schlecht.

    Doch.
    Zumindest, wenn es zwangsweise eingeführt wird. :-(

    ___
    MA

  11. Re: Kritische Masse

    Autor: XNeo 14.06.07 - 04:58

    weltraumMonster schrieb:
    -------------------------------------------------------
    > Ab dem Zeitpunkt an dem die breite Masse auf HBCI
    > umgestiegen ist, wird es statt PIN Phishing eben
    > Trojaner geben, die Transaktionen vor deren
    > Signierung durch die Smartcard auf der HBCI Karte
    > manipulieren und dem Benutzer vorgaukeln alles
    > laufe nach Plan...
    > Danach wird man feststellen das man Solche
    > sicherheitskritischen Prozesse nur auf einer
    > Trusted Plattform abwickeln kann... und die wird
    > es wahrscheinlich so schnell nicht geben (wenn
    > überhaupt... )

    Ein Klasse-3-Leser mit Display, der Dir z.B. bei Zahlungen mit der GeldKarte den Betrag vorher anzeigt, ist genau eine solche "Trusted Platform"...

    Henning.

  12. Re: Kritische Masse

    Autor: attac 14.06.07 - 08:47

    Korrumpel schrieb:
    -------------------------------------------------------
    > shizzelmanizzel schrieb:
    > --------------------------------------------------
    > -----
    > > Korrumpel schrieb:
    >
    > --------------------------------------------------
    >
    > -----
    > > Lieg ich da falsch oder hab
    > was übersehen?
    >
    > Du musst halt
    > sicherstellen, dass du mit der Bank
    > und nicht
    > dem Man in the Middle kommunizierst.
    >
    > Andernfalls übernimmt dieser die Kommunikation
    > mit
    > der Bank für dich mit deinem
    > Zertifikat.

    Genau diese hast Du übersehen - damit kann er deine Überweisung manipulieren und Kohle auf sein kto. umleiten.
    Dies würde allerdings einen Superpotenten Angreifer erfordern.
    Ausser - siehe hier direkt darunter:
    >
    > Wenn sich dieser auch noch
    > in Form eines Trojaners
    > oder RootKits in dein
    > System gefressen hat, ist eh
    > alles zu spät
    > ;)
    >
    > Wer weiß ob DNS korrekt arbeitet? Ob
    > das Routing
    > nicht manipuliert ist? Ob die
    > Zertifikate wirklich
    > echt sind und die
    > Authorities nicht manipuliert
    > sind? Das
    > Internet ist böse. Theoretisch ist da
    > alles
    > drin.
    >
    ******************************************************************
    > Ok. Kapiert. Aber bei der Zertifizierung muß ich
    > auch noch eine spezielle Software der Bank
    > installiert haben und benutzen. Dieses müßte der
    > Angreifer ja auch berücksichtigen.
    Uninteressant.
    >
    > Außerdem weiß der Angreifer nicht, bei welcher
    > Bank ich bin, und alle Banken berücksichtigen
    > (bzw. die wichtigsten)?
    >
    man in the middle - da bekommt er ja alles mit und alles was er braucht.

  13. Re: Kritische Masse

    Autor: Die unkritische Masse 14.06.07 - 09:16

    Korrumpel schrieb:
    -------------------------------------------------------
    > 1. Banking-URL immer direkt im Browser eingeben
    > bzw. per Bookmark.
    > 2. Nach PIN/TAN wird niemand fragen. Wer danach
    > fragt, ist ein Betrüger -> nie preisgeben.

    Das sollte sich jeder OnlineBanker über den Schreibtisch hängen.

    > > Hehe. Redmondsche Softwareprodukte haben bei
    > > mir Hausverbot. ;-)

    > Bei mir ned.

    Bei mir auch nicht aus Sicherheitsgründen; als ich noch Windows benutzt habe, war das einfach vernünftig konfiguriert und fertig war der Lack. Wer behauptet, daß Windows per se unsicher ist, weiß nur nicht, wie er's sicher konfiguriert kriegt (und dazu gehört, daß man sich keine Schädlinge auf den Rechner zieht...)

    > Aber trotzdem, das eigene Verhalten
    > ist ausschlaggebend.

    So isses.

    > Ich benutze ja nichtmal diese
    > AutoVervollständigen-Funktion im Browser bei
    > Eingaben in Formularen.

    Igitt, die ist ja auch von Übel. :-D

    > Meine PIN/TAN lese ich
    > schließlich auch vom Zettel ab. :-)

    ... und der liegt bei mir zu Hause in ner Metallschatulle. Immer. So kann ich zwar unterwegs nicht onlinebanken, aber von einem fremden PC aus möchte ich das auch nicht...

  14. Re: Kritische Masse

    Autor: Die unkritische Masse 14.06.07 - 09:18

    attac schrieb:
    -------------------------------------------------------
    > man in the middle - da bekommt er ja alles mit und
    > alles was er braucht.

    Das geht nur, wenn Korrumpel nicht checkt, ob der SSL-Fingerprint in Ordnung ist. Den kriegt der MITM nämlich nicht gefälscht. Ehrlich nicht.

    Nen Trojaner würde ich nicht als "MITM" bezeichnen. Wer so was hat, hat eh verloren.

  15. Re: Kritische Masse

    Autor: attac 14.06.07 - 10:53

    Die unkritische Masse schrieb:
    -------------------------------------------------------
    > attac schrieb:
    > --------------------------------------------------
    > -----
    > > man in the middle - da bekommt er ja alles
    > mit und
    > alles was er braucht.
    >
    > Das geht nur, wenn Korrumpel nicht checkt, ob der
    > SSL-Fingerprint in Ordnung ist. Den kriegt der
    > MITM nämlich nicht gefälscht. Ehrlich nicht.
    >
    > Nen Trojaner würde ich nicht als "MITM"
    > bezeichnen. Wer so was hat, hat eh verloren.

    Eben mal gecheckt das das doch nicht so einfach ist :)
    man lernt halt nie aus.
    War zu schnell mit tippen und zu langsam mit dem Kopf. :)

    http://de.wikipedia.org/wiki/Homebanking_Computer_Interface

    und teilweise recht interessante Geräte
    http://www.matrica.de/produkte/produktreader1.html#ecom

    Wäre nur gut,wenn die evtl. auch OFX Direct Connect für US Banken könnten - gerade mal da angefragt.





  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareentwickler Backend (m/w/d)
    eLearning Manufaktur GmbH, Kleve, Düsseldorf (Home-Office möglich)
  2. IT Projektleiterin/IT Projektleiter (w/m/d) Release- und Deploymentmanagement
    Berliner Stadtreinigungsbetriebe (BSR), Berlin
  3. Ausbilder im Berufsfeld Informatik (m/w/d)
    Europäisches Berufsbildungswerk Bitburg des DRK Landesverband Rheinland-Pfalz e.V., Bitburg
  4. DevOps Engineer (m/f/d)
    Enote GmbH, Berlin

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 18,99€
  2. 9,17
  3. 8,99€
  4. 20€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Adventures: Kreuzfahrt in den Tod und andere Abenteuer
Adventures
Kreuzfahrt in den Tod und andere Abenteuer

Gattenmord auf dem Traumschiff in Overboard und Bären als Mafiosi in Backbone: Golem.de stellt die besten neuen Adventures vor.
Von Rainer Sigl

  1. The Medium im Test Nur mittel gruselig

Wasserstoff: Der Kampf um die Gasnetze
Wasserstoff
Der Kampf um die Gasnetze

Die Gasindustrie will künftig mit Wasserstoff heizen, viele Fachleute lehnen das ab. An der Frage entscheidet sich die Zukunft der Gasnetze.
Von Hanno Böck

  1. Erneuerbare Energien Wasserstoff-Megaprojekt in Australien ausgebremst
  2. Klimakrise Grüner Wasserstoff für die Gas-Therme
  3. Wasserstoff Kawasaki stellt ersten Wasserstofftanker fertig

Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
Razer Blade 14 im Test
Der dreifach einzigartige Ryzen-Laptop

Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
Ein Test von Marc Sauter

  1. Razer Der erste Blade-Laptop mit Ryzen ist da