Jump to content
Andreas900

Sicherheit bei Online Banken

Recommended Posts

ZappBrannigan
Posted

Signaturen sind nicht unbedingt notwendig, MACs könnten z.B. auch tun.

Solltest du mit MACs MAC-Adressen meinen liegst du absolut falsch. Meine MAC-Adresse kann ich mit einem einzigen Kommandozeilenbefehl in jede beliebige ändern.

 

Gerade RSA schrammt wirklich nur knapp an Hexenwerk vorbei, ibs. wenn die Software auf Systemen laufen soll, auf denen in konkurrierenden Prozessen möglicherweise Malware läuft, die gerne den Schlüssel hätte. Sowohl hat RSA keine konstante Laufzeit von Natur aus (sodass Schlüsselbits über die CPU-Auslastung an andere Prozesse leaken können) als auch erzeugen die bedingten Sprünge im Code tendentiell Traces im Cache, die anhand des Zugriffstimings anderer Prozesse diesen Ebenfalls einen Rückschlußauf Schlüsselbits erlauben können. Und das Padding falsch zu machen ist auch gefährlich, falls jemand versucht sein sollte, was eigenes zu erfinden. Aber ja, es gibt mehr als genug fertige Implementierungen, und die eine oder andere ist sogar brauchbar ;-)

Ja, natürlich sind Schwächen in der ursprünglichen Implementierung bekannt. Lösungen für diese aber auch.

 

Ansonsten gebe ich dir aber Recht. Security-through-obscurity ist immer der falsche Weg (closed-source bedeutet natürlich nicht unbedingt, dass man sich auf obscurity verlässt).

 

Die Diskussion ist aber insgesamt eher akademisch. Ich gehe nicht davon aus, dass bei der Implementierung Anfängerfehler gemacht worden sind. Evtl. gibt es irgendwo Sicherheitslücken über die NSA & Co. Zugang bekommen könnten, aber ein Wald-und-Wiesen-Hacker wäre sicher restlos überfordert.

Share this post


Link to post
Sisyphos
Posted

Bei der mTAN (SMS-TAN) versucht man die Nachteile der iTAN zu vermeiden, indem man einen zweiten unabhängigen Kanal hinzuzufügen, über den die transktionsabhängige TAN übertragen wird. Die Sicherheit des Verfahrens basiert darauf, daß dieser zweite Kanal (die Übertragung per SMS) tatsächlich unabhängig ist. Wenn Du Online-Banking aber auf dem Smartphone betreibst und die SMS auch mit diesesm Smartphone empfängst, kann von Unabhängigkeit nicht mehr die Rede sein. Aber selbst wenn das Online-Banking per Computer und der Empfang der mTAN über Smartphone erfolgt, kann man dieses Verfahren nicht mehr als sicher ansehen, da es inzwischen Viren gibt, die versuchen (z.B. bei der Synchronisation von Daten), sowohl den Rechner als auch das Smartphone des Benutzers anzugreifen. Das kann man vermeiden - und hier kommt wieder das Problem vor dem Computer ins Spiel - indem man für den Empfang ein Uralt-Mobiltelefon völlig ohne Internetzugang wählt.

 

Soweit richtig - man kann aber auch Abhilfe schaffen, indem man während der Zeit des Onlinebankings den Empfang/das Absenden mobiler Daten am Smartphone einfach ausschaltet.

 

Einmal abgesehen, daß damit das Problem wieder einmal vor den Computer verlagert wird und der Bankkunde wirklich die Disziplin aufbringen muß, das jedesmal zu machen, ließe es sich auch technisch leicht umgehen, denn das Smartphone muß ja die mTAN per SMS empfangen können und somit eingeschaltet sein. Sobald sich aber ein Virus auf Deinem Smartphone eingenistet hat, must Du vom worst case ausgehen, also davon daß der Virus die komplette "Herrschaft" über Dein Smartphone hat, insbesondere also auch die Datenübermittlung selbstständig ein- und ausschalten kann.

Share this post


Link to post
Maikel
Posted
Haltet ihr Online Banken für sicher

Zumindest für sicher genug, daß ich sie nutze.

 

Wenn ich so überlege, was das früher für ein Aufwand war, Überweisungen von Hand auszufüllen und zur Bank zu bringen ...

 

Vor etwa 25 Jahren, als solche Papierüberweisungen noch üblich waren, hat mein Bruder in Rahmen einer Studienarbeit festgestellt, daß etwa 10% der Überweisungen gar keine Unterschrift hatten. Und trotzdem durchgelaufen sind. Soviel zum Thema Sicherheit.

Share this post


Link to post
edan
Posted

Chip Tan kann man auch aushebeln:

 

Bei chipTAN comfort erzeugt ein spezielles Gerät die TAN für eine Transaktion. Nach Eingabe seines Auftrags hält der Kunde seinen optischen TAN-Generator mit eingebauten Fototransistoren vor den Bildschirm, auf dem die Bank einen Schwarz-Weiß-Blinkcode (Flickercode) sendet. Der Code enthält die Überweisungsdaten sowie weitere zur Berechnung der TAN benötigten Daten. Das Gerät zeigt nach dem Einlesen des Codes den Überweisungbetrag und das Konto an – eine Manipulation der Transaktion durch einen Betrüger oder Trojaner sollte normalerweise sofort auffallen. Nach dem Drücken der Bestätigungstaste erhält man die TAN. Soweit so gut.

 

Zumindest bei der Sparkasse lässt sich das Verfahren in Zusammenhang mit Sammelüberweisungen per Man-in-the-Middle-Attacke aushebeln. In einer Sammelüberweisung kann der Kunde einzelne Überweisungen zusammenfassen und mit einer einzigen TAN legitimieren. Der Haken an der Sache: Anders als bei Einzelüberweisungen erscheinen im "chipTAN comfort"-Gerät bei einer Sammelüberweisung nur die Gesamtsumme und die Anzahl der Überweisungen. Einzelne Zielkonten zeigt das Gerät nicht an. Somit hat der Kunde keine Möglichkeit eine Manipulation der Transaktionsdaten festzustellen. Ein Trojaner könnte beispielsweise die vom Kunden abgeschickten Daten im Browser abfangen und durch eigene Austauschen, sodass zwar die Summe und die Zahl der Überweisungen gleich, die Zielkonten aber andere sind.

 

Aber auch Einzelüberweisungen ließen sich auf diesem Wege manipulieren, wenn der Kunde nicht aufpasst. Dazu fängt ein Trojaner die Einzelüberweisung einfach ab und wandelt sie in eine Sammelüberweisung mit nur einer Überweisung um und schickt sie an die Bank. Den dann von der Bank übertragenen sogenannten Flickercode leitet der Trojaner an das Opfer weiter. Auf dessen Gerät erscheint nun die Summe, als Anzahl der Überweisung eine 1 und die TAN. Fällt dem Opfer nicht auf, dass das Gerät die Kontonummer des Empfänger nicht anzeigt und gibt es anschließend die TAN ein, so hat der Angreifer sein Ziel erreicht.

 

chipTAN-Verfahren der Sparkassen ausgetrickst

Share this post


Link to post
CHX
Posted

 

 

Soweit richtig - man kann aber auch Abhilfe schaffen, indem man während der Zeit des Onlinebankings den Empfang/das Absenden mobiler Daten am Smartphone einfach ausschaltet.

 

Einmal abgesehen, daß damit das Problem wieder einmal vor den Computer verlagert wird und der Bankkunde wirklich die Disziplin aufbringen muß, das jedesmal zu machen, ließe es sich auch technisch leicht umgehen, denn das Smartphone muß ja die mTAN per SMS empfangen können und somit eingeschaltet sein. Sobald sich aber ein Virus auf Deinem Smartphone eingenistet hat, must Du vom worst case ausgehen, also davon daß der Virus die komplette "Herrschaft" über Dein Smartphone hat, insbesondere also auch die Datenübermittlung selbstständig ein- und ausschalten kann.

 

Eine gewisse Selbstdisziplin gehört schon dazu - aber wie immer alles eine Frage der Gewöhnung.

 

Du meinst, dass ein derartiges Virus exakt für den Moment der mTAN-Übertragung die Datenübermittlung ein- und dann wieder ausschaltet? Woher weiß das Virus, dass in dem Moment eine mTAN hereinkommen wird?

Share this post


Link to post
Staatenverbund
Posted

Signaturen sind nicht unbedingt notwendig, MACs könnten z.B. auch tun.

Solltest du mit MACs MAC-Adressen meinen liegst du absolut falsch. Meine MAC-Adresse kann ich mit einem einzigen Kommandozeilenbefehl in jede beliebige ändern.

 

Nein, ich meine damit Message Authentication Codes, das symmetrische Äquivalent zu Signaturen.

 

Deine MAC-Adressen kriegt Deine Bank ja nie zu sehen, wenn Du nicht gerade in ihrem LAN hängst oder IPv6 mit Autoconfiguration und ohne Privacy Extensions betreibst. Und wenn die Software auf Deinem Gerät die MAC-Adresse auslesen wollen würde, würde es auch reichen, den SIOCGIFHWADDR-ioctl()-Call per LD_PRELOAD (sofern das Binary nicht statisch gegen die libc gelinkt ist bzw. den Syscall nicht an dieser vorbei, z.B. auf x86 per Software-Interrupt 0x80, macht) oder per ptrace() umzubiegen, dafür muss man weder den SIOCSIFHWADDR-ioctl() bemühen (was ifconfig benutzt) noch das E²PROM der NIC mit der MAC drin umprogrammieren. (Hilfe, wie komme ich von hier aus nur wieder on Topic? ;-)

 

Ja, natürlich sind Schwächen in der ursprünglichen Implementierung bekannt. Lösungen für diese aber auch.

 

Ansonsten gebe ich dir aber Recht. Security-through-obscurity ist immer der falsche Weg (closed-source bedeutet natürlich nicht unbedingt, dass man sich auf obscurity verlässt).

 

Joa, oftmals ist die Rechtfertigung dafür, Code geschlossen zu halten, natürlich wieder, Implementationsfehler geheim zu halten, "damit sie nicht ausgenutzt werden können". Aber wenn man prüfen könnte, ob das, was der Code nominell tun sollte, sinnvoll ist, wäre man schonmal einen nennenswerten Teil der Obskurität los :-)

 

Die Diskussion ist aber insgesamt eher akademisch. Ich gehe nicht davon aus, dass bei der Implementierung Anfängerfehler gemacht worden sind. Evtl. gibt es irgendwo Sicherheitslücken über die NSA & Co. Zugang bekommen könnten, aber ein Wald-und-Wiesen-Hacker wäre sicher restlos überfordert.

 

Dann bist Du entweder ein gnadenloser Optimist oder Du hast Dich bisher eher wenig mit IT-Security beschäftigt ;-)

 

Zum einen ist die Geschichte voll von Fällen, wo Leute kryptografische Lücken als rein akademisch und deshalb keiner weiteren Beachtung wert bezeichnet haben, die dann ganz verdattert waren, wenn jemand mit einem mal demonstriert, dass der Angriff durchaus auch praktisch funktioniert. MD5 in X.509-Zertifikaten, anyone? Padding Oracles/Lucky Thirteen in TLS, anyone? Oder BEAST in TLS vielleicht?

 

Zum anderen ist es an der Tagesordnung, dass Anfängerfehler gemacht werden. Lies mal eine Weile bugtraq oder full-disclosure, das sollte Deinen Optimismus etwas dämpfen ;-)

 

Hast Du Dir mal die Veröffentlichungen der Gruppe um Ross Anderson angeguckt? Das sind doch auch alles Anfängerfehler in der frischen Spec, keine clevere Kryptografie, die nach Jahrzehnten der Arbeit irgendwann Kollisionen in MD5 oder SHA1 findet. Ich selbst habe erst kürzlich einer Bank einen absoluten Anfängerfehler in ihrem Onlinebanking gemeldet - mehr will ich dazu aus verschiedenen Gründen nicht sagen, auch wenn es so vielleicht ein wenig dürftig ist, aber der Track-Record ist echt schlecht, und bei geheimen Verfahren besonders.

 

Da fällt mir noch ein Tip ein, was bei der Begutachtung von Onlinebanken hilfreich ist:

 

https://www.ssllabs.com/ssltest/

 

Funktioniert auch mit HBCI-Servern, wenn Transport über HTTPS. Wenn es da kein großes grünes A gibt, lieber einen Bogen drum machen - für eine Bank ist die Schwelle meiner Meinung nach eigentlich zu niedrig, aber wer die Reportdetails analysieren kann, der braucht meinen Tip vermutlich nicht ;-) (und ja, es gibt Banken in Deutschland, die diese Hürde nicht nehmen).

Share this post


Link to post
Staatenverbund
Posted
Haltet ihr Online Banken für sicher

Zumindest für sicher genug, daß ich sie nutze.

 

Wenn ich so überlege, was das früher für ein Aufwand war, Überweisungen von Hand auszufüllen und zur Bank zu bringen ...

 

Vor etwa 25 Jahren, als solche Papierüberweisungen noch üblich waren, hat mein Bruder in Rahmen einer Studienarbeit festgestellt, daß etwa 10% der Überweisungen gar keine Unterschrift hatten. Und trotzdem durchgelaufen sind. Soviel zum Thema Sicherheit.

 

Das ist höchstens ein Sicherheitsproblem für die Bank, aber nicht für den Kunden - und die Bank wird sich ausgerechnet haben, dass es ökonomischer ist, bei Kleinbetragsüberweisungen die Prüfung einzusparen und stattdessen gelegentlich einem Kunden ein paar DEM zu erstatten, das Sicherheitsproblem also effektiv per Versicherung zu lösen, weil das billiger ist als Unterschriftenprüfung. Für den Kunden ist das vollkommen unproblematisch, weil die Bank ja per Gesetz dafür haftet, wenn sie unautorisiert Geld vom Kundenkonto abbucht, bzw. sogar von Vorteil, weil es die Kosten und damit potentiell die Preise senkt. Das ist nicht zu vergleichen mit einer Situation, wo die Bank höchstens aus Angst vor schlechter PR aus Kulanz Schäden reguliert.

Share this post


Link to post
Sisyphos
Posted

 

Eine gewisse Selbstdisziplin gehört schon dazu - aber wie immer alles eine Frage der Gewöhnung.

 

Du meinst, dass ein derartiges Virus exakt für den Moment der mTAN-Übertragung die Datenübermittlung ein- und dann wieder ausschaltet? Woher weiß das Virus, dass in dem Moment eine mTAN hereinkommen wird?

 

Ein Virus braucht nur alle eingehenden SMS zu überwachen und ggf. deren Anzeige zu unterdrücken, um zu erkennen, wann eine Online-Transaktion durchgeführt wird. Der Betrüger könnte zuvor auch eine "stille" SMS senden. Der Virus könnte ebenso, die Datenübermittlung grundsätzlich aktivieren und nur deren Anzeige unterdrücken. Der Möglichkeiten gibt es viele.

 

Aber ich gebe Dir recht, daß das ein eher unwahrscheinliches Szenario ist, da sich Betrüger wohl darauf verlassen können, daß es genug Bankkunden gibt, die die erforderliche Selbstdisziplin nicht aufbringen. Das größte Sicherheitsrisiko sitzt wie schon erwähnt vor dem Computer und Sicherheit und Bequemlichkeit schließen sich nun einmal gegenseitig aus.

Share this post


Link to post
Staatenverbund
Posted

Eine gewisse Selbstdisziplin gehört schon dazu - aber wie immer alles eine Frage der Gewöhnung.

 

Du meinst, dass ein derartiges Virus exakt für den Moment der mTAN-Übertragung die Datenübermittlung ein- und dann wieder ausschaltet? Woher weiß das Virus, dass in dem Moment eine mTAN hereinkommen wird?

 

Eine Möglichkeit wäre, weil das zugehörige Gegenstück auf dem PC gerade den Auftrag an die Bank eingereicht hat (was ja nicht unbedingt durch den Benutzer passieren muss) und das der Komponente auf dem Telefon mitgeteilt hat.

 

Aber Dein Denkfehler liegt eigentlich schon früher: Alle Deine Eingaben auf dem Telefon gehen an die Software und alle Ausgaben kommen von der Software. Wenn ein Virus Dein Telefon kompromittiert hast, ist nichts was es anzeigt mehr vertrauenswürdig, auch nicht die Anzeige, ob gerade eine Datenverbindung besteht. Nur weil das Symbol nicht mehr angezeigt wird, heisst das ja nicht, dass keine Datenverbindung mehr vesteht. Und außerdem kann auch ein Virus ja per SMS kommunizieren, keine "Datenverbindung" notwendig.

Share this post


Link to post
CHX
Posted

Eine gewisse Selbstdisziplin gehört schon dazu - aber wie immer alles eine Frage der Gewöhnung.

 

Du meinst, dass ein derartiges Virus exakt für den Moment der mTAN-Übertragung die Datenübermittlung ein- und dann wieder ausschaltet? Woher weiß das Virus, dass in dem Moment eine mTAN hereinkommen wird?

 

Eine Möglichkeit wäre, weil das zugehörige Gegenstück auf dem PC gerade den Auftrag an die Bank eingereicht hat (was ja nicht unbedingt durch den Benutzer passieren muss) und das der Komponente auf dem Telefon mitgeteilt hat.

 

Aber Dein Denkfehler liegt eigentlich schon früher: Alle Deine Eingaben auf dem Telefon gehen an die Software und alle Ausgaben kommen von der Software. Wenn ein Virus Dein Telefon kompromittiert hast, ist nichts was es anzeigt mehr vertrauenswürdig, auch nicht die Anzeige, ob gerade eine Datenverbindung besteht. Nur weil das Symbol nicht mehr angezeigt wird, heisst das ja nicht, dass keine Datenverbindung mehr vesteht. Und außerdem kann auch ein Virus ja per SMS kommunizieren, keine "Datenverbindung" notwendig.

 

Frage 1: Wenn sowohl auf dem PC als auch auf dem Smartphone gute und zuverlässige Virenscanner im Hintergrund laufen würden: wie hoch wäre dann noch die Wahrscheinlichkeit, dass es auf diese Art funktionieren könnte?

 

Frage 2: Das Argument der Scheinabschaltung "mobiler Daten" hatte ich erwartet - allerdings lässt sich das leicht im Vorfeld mittels Smartphonebrowser oder What'sApp o.ä. überprüfen...

 

Frage 3: Wie kann ein Smartphonevirus ohne Datenverbindung mittels SMS mit dem kompromittierten PC kommunizieren?

Share this post


Link to post
Staatenverbund
Posted

Frage 1: Wenn sowohl auf dem PC als auch auf dem Smartphone gute und zuverlässige Virenscanner im Hintergrund laufen würden: wie hoch wäre dann noch die Wahrscheinlichkeit, dass es auf diese Art funktionieren könnte?

Es gibt keine guten und vor allem keine zuverlässigen Virenscanner, Virenscanner sind mehr oder weniger Snake-Oil - wenn Du nicht auf alles klickst was bei drei nicht auf den Bäumen ist (vor allem wenn es sich um Programme handelt) ist es nicht unwahrscheinlich, dass ein Virenscanner mehr Sicherheitslücke als Sicherheitsmechanismus ist. Naja, und wenn Du ein wenig bekanntermassen in Hinsicht auf ihre Sicherheit schrottige Software wie Adobe Flash/PDF Reader und das Java-Browserplugin meidest.

 

Virenscanner sind Blacklist-Security und Blacklist-Security funktioniert nicht - sie können also nur konkrete bekannte Viren erkennen (auch wenn die Hersteller oft etwas anders behaupten), daher helfen sie nur gegen schon öffentlich bekannte Viren, also Viren, von denen idR. auch bekannt ist, welche Sicherheitslücken sie ausnutzen, was wiederum bedeutet, dass diese Sicherheitslücken idR. bereits geschlossen sind. Die Ausnahme bilden die Fälle, in denen der Benutzer die Sicherheitslücke ist, deswegen "wenn Du nicht auf alles klickst was bei drei nicht auf den Bäumen ist", oder wo die Hersteller der Software sich nicht für die Sicherheit ihrer Software interessieren. Und das ist auch nicht nur so, weil die Antiviren-Hersteller irgendwie faul sind, sondern das folgt unvermeidbar daraus, dass die Äquivalenz von Turingmaschinen nicht entscheidbar ist (und dass der Zustand echter PCs eine endliche Größe hat, hilft dabei praktisch auch nicht weiter ;-).

 

Auf der anderen Seite ist so ein Virenscanner aber idR. ein recht komplexes Stück Software, das mit haufenweise nicht vertrauenswürdigen Daten in Berührung kommt, weshalb der Virenscanner selbst eine nennenswerte Angriffsoberfläche darstellt, die man nutzen kann, um ein System zu kompromittieren. Exemplarisch würde ich diese beiden Paper hier von Tavis Ormandy (Security-Engineer bei Google) empfehlen, der sich den Spaß gemacht hat, einmal den Sophos-Virenscanner auseinanderzunehmen (zum Teil wahrscheinlich zu technisch für ein allgemeines Publikum, aber ich denke, zumindest der Tenor ist auch so verständlich, mindestens die Einleitung und das Fazit ;-):

 

http://lock.cmpxchg8b.com/sophail.pdf

http://lock.cmpxchg8b.com/sophailv2.pdf

 

Ich möchte das allerdings nicht als unbedingte Empfehlung verstanden wissen, Virenscanner zu deinstallieren - wer auf alles klickt was sich ihm in den Weg stellt, lebt mit Virenscanner wahrscheinlich sicherer als ohne (aber auch nur sicherer, nicht auch nur näherungsweise sicher, denn da draußen ist mehr als genug Malware unterwegs, die Virenscannern (noch) nicht bekannt ist, und es kommt natürlich auch immer mal was neues dazu).

 

Frage 2: Das Argument der Scheinabschaltung "mobiler Daten" hatte ich erwartet - allerdings lässt sich das leicht im Vorfeld mittels Smartphonebrowser oder What'sApp o.ä. überprüfen...

 

Nein, alles was Du auf dem Display siehst ist unter Kontrolle der Software, im Falle der Kompromittierung also unter der Kontrolle des Angreifers/des Virus, wirklich alles, ohne Ausnahme, auch was aussieht wie der Webbrowser oder wie What'sApp (übrigens auch so ein Fall von "voller Anfängerfehler", ich kann die Deinstallation nur empfehlen). Wobei es in dem konkreten Fall auch damit getan wäre, wenn der Virus einfach im Kernel einen Paketfilter aktiviert, damit das Netz für normale Anwendungen tatsächlich tot aussieht, keine Notwendigkeit, einen Webbrowser zu faken. Aber was auch immer der genaue technische Mechanismus ist, den der Angreifer nutzt: Was ein kompromittiertes Telefon anzeigt, ist nicht vertrauenswürdig, nicht auch nur das kleinste bisschen.

 

Frage 3: Wie kann ein Smartphonevirus ohne Datenverbindung mittels SMS mit dem kompromittierten PC kommunizieren?

 

Eine Möglichkeit wäre ein Smartphone-Botnet, der Virus auf Deinem Telefon schickt eine SMS an ein anderes Telefon im Botnet (der dortige Virus kann ja dessen Telefonnummer herausbekommen und, solange eine Datenverbindung besteht, an andere Telefone verteilen), das den Inhalt dann per IP an Deinen PC weiterreicht.

 

(Was natürlich nicht heißt, dass es nicht helfen kann - solange es genug Leute gibt, die leichter anzugreifen sind, mag es durchaus die Sicherheit erhöhen.)

Share this post


Link to post
Sisyphos
Posted

 

Frage 3: Wie kann ein Smartphonevirus ohne Datenverbindung mittels SMS mit dem kompromittierten PC kommunizieren?

 

Nur kurz noch ergänzend zu den ausführlichen Anmerkungen von Staatenverbund:

 

Die SMS-Übermittlung erfolgt nicht als Datenverbindung sondern über den Sprachverbindungsteil des GSM-Standards (vereinfacht ausgedrückt über einen Signalisierungskanal, der für die Abwicklun der Sprachtlefonie erforderlich ist. Deswegen können ja auch Uralt-Phones,die noch keine Datenübermittlung beherrschen, SMS senden und empfangen). Das Ausschalten der Datenverbindung kann also SMS nicht blockieren. Im übrigen mußt Du beim Online-Banking die mTAN per SMS empfangen. Du darfst also die SMS-Übermittlung nicht ausschalten, selbst wenn das überhaupt ginge.

Share this post


Link to post
Staatenverbund
Posted

Nur kurz noch ergänzend zu den ausführlichen Anmerkungen von Staatenverbund:

 

Die SMS-Übermittlung erfolgt nicht als Datenverbindung sondern über den Sprachverbindungsteil des GSM-Standards (vereinfacht ausgedrückt über einen Signalisierungskanal, der für die Abwicklun der Sprachtlefonie erforderlich ist. Deswegen können ja auch Uralt-Phones,die noch keine Datenübermittlung beherrschen, SMS senden und empfangen). Das Ausschalten der Datenverbindung kann also SMS nicht blockieren. Im übrigen mußt Du beim Online-Banking die mTAN per SMS empfangen. Du darfst also die SMS-Übermittlung nicht ausschalten, selbst wenn das überhaupt ginge.

 

Flugzeugmodus ;-)

 

Aber ja, danke für die Klarstellung, der Sprachgebrauch ist wahrscheinlich etwas verwirrend, wenn man mit ihm nicht vertraut ist ("Datenverbindung" für eine Packet Service Session mit einem Internet Protocol Access Point, also nach traditioneller Telefonnetz-Diktion ja überhaupt keine Verbindung, während man SMS "versendet", obwohl sie zumindest teilweise immernoch über traditionelle Paging-Mechanismen übertragen werden (ist aber aucht nicht mehr zwingend, man kann ab GPRS SMS auch per Packet Service versenden, aber natürlich unabhängig von einer etwaigen IP-Session) ... alles wirr ;-).

Share this post


Link to post
Andreas900
Posted

Die Tan-Liste erscheint mir als am unsichersten. Das behaupten alle Banken und außerdem besteht der Nachteil, dass die Tan Nummern für jegliche Transaktionen genutzt werden können. Fängt jemand eine Tan Nummer ab, kann er sie für eine andere Überweisung nutzen. Ich kenne persönlich jemanden, dem so Geld vom Konto gestohlen wurde.

 

Ich schwanke derzeit zwischen Photo Tan und SMS Tan Verfahren.

 

Das Photo Tan Verfahren verstehe ich nicht ganz. Das Bild auf dem PC ist verschlüsselt und muss von Deinem Handy entschlüsselt werden, aber inwieweit ist dies eine Zwei-Wege-Sicherheit? Das klingt so als könnte JEDER mit JEDEM Handy, das die Entschlüsselungssoftware hat, den Code entschlüsseln können. Knackt jemand Deinen Bank Online Account, braucht er dann nur noch irgendein Handy mit Software....oder? Kann mir jemand die Photo Tan erklären???

 

Das SMS Tan Verfahren klingt so sicher wie Dein Handy ist. Wird das Handy ohne Pin-Sicherung geklaut und meldest Du es nicht sofort, dann bist Du sozusagen selbst schuld. Dramatischer ist die Frage, wie leicht ein Betrüger über Deinen Mobilfunkbetreiber an eine Sim Karte kommt. Wenn ein Mobilfunkbetreiber nur gegen Ausweis oder persönlichem Kennwort Sim Karten verschickt und auch das am besten nur an Deine registrierte Hausanschrift, scheint mir das sicher. Auch sollte man sein Handy optimalerweise nicht an den Computer anschließen (Virusgefahr) und nur bei Bedarf online gehen. Antiviren Software versteht sich von selbst.

 

Egal welches Verfahren, grundsätzlich sollte ein PC geschützt werden (AntiVir, Norton usw.) inklusive Firewall, regelmäßiger Virenscan etc. Bei Aufruf des Bankingportals sollte man auf die Adresszeile achten. I.d.R. sind die Seiten ja lizensiert und man er kennt zb Durch Hervorhebung der Adresse/Schlüsselsymbole etc. Ich öffne inzwischen auch nur noch bekannte Emails oder solche, die ich erwarte. Fremde Emails oder jegliche ominöse Zahlungsaufforderungen werden ignoriert, auch wenn dort auf dem ersten Blick bekannte Firmen stehen. Ganz beliebt sind Adressen, die seriös klingend anfangen "AmazonPayment" aber auf xyz@ newmail.de enden und offensichtlich gefälscht sind.

Share this post


Link to post
ZappBrannigan
Posted

Das Photo Tan Verfahren verstehe ich nicht ganz. Das Bild auf dem PC ist verschlüsselt und muss von Deinem Handy entschlüsselt werden, aber inwieweit ist dies eine Zwei-Wege-Sicherheit? Das klingt so als könnte JEDER mit JEDEM Handy, das die Entschlüsselungssoftware hat, den Code entschlüsseln können. Knackt jemand Deinen Bank Online Account, braucht er dann nur noch irgendein Handy mit Software....oder? Kann mir jemand die Photo Tan erklären???

Nach Installation muss die PhotoTAN-App noch mit Hilfe einer von der Bank per Post zugeschickten PhotoTAN personalisiert werden.

Share this post


Link to post
Staatenverbund
Posted

[...] die ich erwarte. Fremde Emails oder jegliche ominöse Zahlungsaufforderungen werden ignoriert, auch wenn dort auf dem ersten Blick bekannte Firmen stehen. Ganz beliebt sind Adressen, die seriös klingend anfangen "AmazonPayment" aber auf xyz@ newmail.de enden und offensichtlich gefälscht sind.

 

*lol* - sag mal, warum fragst Du überhaupt, wenn Du sowieso nicht liest, was man Dir schreibt?

 

Was eine gigantische Zeitverschwendung ...

Share this post


Link to post
CHX
Posted

 

Frage 3: Wie kann ein Smartphonevirus ohne Datenverbindung mittels SMS mit dem kompromittierten PC kommunizieren?

 

Nur kurz noch ergänzend zu den ausführlichen Anmerkungen von Staatenverbund:

 

Die SMS-Übermittlung erfolgt nicht als Datenverbindung sondern über den Sprachverbindungsteil des GSM-Standards (vereinfacht ausgedrückt über einen Signalisierungskanal, der für die Abwicklun der Sprachtlefonie erforderlich ist. Deswegen können ja auch Uralt-Phones,die noch keine Datenübermittlung beherrschen, SMS senden und empfangen). Das Ausschalten der Datenverbindung kann also SMS nicht blockieren. Im übrigen mußt Du beim Online-Banking die mTAN per SMS empfangen. Du darfst also die SMS-Übermittlung nicht ausschalten, selbst wenn das überhaupt ginge.

 

Hallo Sisyphos,

 

ja, das ist schon alles klar soweit - meine Rückfrage bezog sich ja auf folgenden Einwand von Staatenverbund:

 

Und außerdem kann auch ein Virus ja per SMS kommunizieren, keine "Datenverbindung" notwendig.

Share this post


Link to post
Andreas900
Posted

[...] die ich erwarte. Fremde Emails oder jegliche ominöse Zahlungsaufforderungen werden ignoriert, auch wenn dort auf dem ersten Blick bekannte Firmen stehen. Ganz beliebt sind Adressen, die seriös klingend anfangen "AmazonPayment" aber auf xyz@ newmail.de enden und offensichtlich gefälscht sind.

 

*lol* - sag mal, warum fragst Du überhaupt, wenn Du sowieso nicht liest, was man Dir schreibt?

 

Was eine gigantische Zeitverschwendung ...

 

Wieso?

 

Öffnest Du jede Email, egal von wem sie kommt?

 

Ich bin sehr dankbar für die vielen Hinweise zur Sicherheit. Immerhin geht es hier für manche um 10 oder gar 100tausende € und mehr, die man einer Bank anvertraut und bei den Banken genießt Sicherheit für den Kunden nicht immer den höchsten Stellenwert...

Share this post


Link to post
Staatenverbund
Posted

Wieso?

 

Öffnest Du jede Email, egal von wem sie kommt?

 

Die Antwort bezog sich nicht direkt auf das zitierte Ende Deines Posts, mehr auf das gesamte Posting, das ich nur aus Platzgründen aufs Ende gekürzt hatte - das machte auf mich den Eindruck, dass Du nicht wirklich gelesen hast, was so geschrieben wurde. Photo-TAN hat mit Verschlüsselung nichts zu tun (würde jedenfalls keinen Sinn ergeben, was sie tatsächlich tun ist ja geheim), GSM ist sicherheitstechnisch ein Schweizer Käse und ein geklautes Handy nur ein Problem von vielen, Antiviren-Software versteht sich nicht von selbst (aber möglicherweise für Dich durchaus sinnvoll), ein PC sollte auch nicht grundsätzlich "geschützt werden" (jedenfalls nicht in dem Sinne, wie die Hersteller von "Sicherheitssoftware" das darstellen), Firewalls sind bedingungslos für die Tonne (jedenfalls die, die Du meinst, sog. Desktop-Firewalls, die man sich auf dem eigenen Rechner installiert, die erfüllen keinerlei Funktion), regelmäßiger Virenscan ist wahrscheinlich sinnlos (kennt jemand dazu Statistiken? Ich würde davon ausgehen, dass die meisten Viren als erstes mal den Virenscanner unschädlich machen - wenn der Virenscanner etwas bringen soll, dann muß er den Virus fangen, bevor er sich auf Deinem System einnistet) - ich hätte gedacht, dass ich das weitgehend alles schonmal geschrieben habe in dieser oder jener Form, aber vielleicht sind mir auch einfach die Zusammenhänge alle klarer, in dem Fall sorry.

 

Was E-Mails angeht: Ja, klar, warum denn nicht? Wenn man sichere E-Mail-Software benutzt, kein echtes Problem. Weshalb ich das gleiche mit der E-Mail-Software, die Du benutzt, wahrscheinlich nicht tun würde - vielleicht, nachdem ich die HTML-Ansicht abgeschaltet hätte, je nach Produkt. Wenn Dein Mailer Dir die Betreffzeile und die Existenz von Anhängen anzeigt, hat er die Mail sowieso schon komplett geparst, wenn der Parser eine Sicherheitslücke hat, ist es an der Stelle schon zu spät, und die Anzeige von Plaintext ist einfach genug, dass der Code eher keine Sicherheitslücken enthält. HTML-Anzeige für Real-World-Tagsuppe dagegen ist ja quasi nicht ohne Sicherheitslücken zu machen ...

 

Mit Anhängen will man vermutlich etwas vorsichtiger sein, weil die Software, mit der der Anhang geöffnet wird, idR. wesentlich komplexer ist, und weil sie oft nicht darauf ausgelegt ist, mit nicht vertrauenswürdigen Daten umzugehen.

 

Das was Du als "lizenziert" bezeichnest ist übrigens mehr oder weniger nur eine Methode von Certificate Authorities, mehr Geld zu verdienen, die sogenannten Extended Validation Certificates (wenn die Adresszeile grün wird und so). Das hat nichts mit staatlicher Aufsicht oder so zu tun, das sind ein paar Firmen auf dem Planeten, die solche Zertifikate für Geld ausstellen, eine dubioser als die andere. Wenn Du da Sicherheit haben willst, empfiehlt es sich, sich mal die Liste der von Deinem Browser akzeptierten Zertifizierungsstellen (Certificate Authorities/CAs) anzugucken und vielleicht ein paar zu deaktivieren, von denen Du meinst, dass sie sich nicht als Deine Bank ausgeben können sollten (CNNIC? Chunghwa Telecom? Türktrust? Deutsche Post? DFN-Verein? Hongkong Post? VISA? Nur einige der spannenden Unternehmen, denen mein Browser standardmäßig vertraut :-) - oder ein eigenes Browser-Profil anzulegen, das nur die eine Zertifizierungsstelle zulässt, die Deine Bank benutzt (so betreibe ich Web-Onlinebanking).

 

Und wichtiger als auf den Inhalt der Adresszeile zu achten ist, selber die Adresse in die Adresszeile einzugeben bzw. ein Bookmark zu benutzen, das man selber von Hand angelegt hat, mit Eingabe der Adresse von Hand, und dabei die Adresse auf jeden Fall mit https (mit s!) einzugeben, und auf keinen Fall die Adresse aus E-Mails zu nehmen, ausschliesslich von schriftlichen Mitteilungen der Bank. Schadet nicht, danach ruhig nochmal einen Blick drauf zu werfen, dass die Adresse mit dem übereinstimmt, was man eingegeben hat, aber wenn die Bank keinen Unsinn macht, sollte eigentlich niemand die Adresse verändern können, ibs., wenn Du die vertrauenswürdigen CAs zusammengestrichen hast. (Und ich habe Banken schon den hier gemeinten Unsinn machen sehen, von daher ...)

 

Ich bin sehr dankbar für die vielen Hinweise zur Sicherheit. Immerhin geht es hier für manche um 10 oder gar 100tausende € und mehr, die man einer Bank anvertraut und bei den Banken genießt Sicherheit für den Kunden nicht immer den höchsten Stellenwert...

 

Jo, eben, deshalb würde ich die Finger von nicht öffentlich dokumentierten Verfahren lassen, sofern sie nicht mit einer umfassenden Haftungsübernahme der Bank kommen.

Share this post


Link to post
ZappBrannigan
Posted · Edited by ZappBrannigan

DFN-Verein?

Nun ja, dem Deutschen Forschungsnetz vertraue ich (auch als Nutzer desselben) dann doch ;)

 

Ansonsten wieder mal ein sehr informativer Post.

Share this post


Link to post
Staatenverbund
Posted

DFN-Verein?

Nun ja, dem Deutschen Forschungsnetz vertraue ich (auch als Nutzer desselben) dann doch ;)

 

Naja, aber fragt sich doch schon, wobei? Einem DFN-Zertifikat für einen Uni-Mailserver kann man sicher ruhig vertrauen - aber ob ich denen deswegen gleich die Möglichkeit einräumen will, über mein gesamtes Vermögen zu verfügen, bzw. ihnen vertrauen will, dass sie es schützen? Mal ganz abgesehen von bösen Absichten, ist die CA halt auch einfach ein weiterer Punkt, über den man angegriffen werden kann (siehe diginotar, die für den Niederländischen Staat Zertifikate ausgestellt haben, aber offensichtlich keine Ahnung von IT-Sicherheit hatten, sodass jemand sich mit deren Root-Zertifikat ein Zertifikat für Google ausgestellt und damit Man-in-the-Middle-Angriffe auf den halben Iran (oder so) gemacht hat ...).

 

Ansonsten wieder mal ein sehr informativer Post.

 

Thx!

Share this post


Link to post
Andreas900
Posted

Antiviren-Software versteht sich nicht von selbst (aber möglicherweise für Dich durchaus sinnvoll), ein PC sollte auch nicht grundsätzlich "geschützt werden"

 

Also Deiner Meinung nach sind Antiviren Programme alle für die Tonne oder nur für Dummies wie mich sinnvoll? (Ich frag garnicht böse, ich bin ja für Tips dankbar)

Dass Antiviren Programme vor vielen Gefahren nicht (ausreichend) schützen möchte ich natürlich garnicht bezweifeln.

 

Und wichtiger als auf den Inhalt der Adresszeile zu achten ist, selber die Adresse in die Adresszeile einzugeben bzw. ein Bookmark zu benutzen, das man selber von Hand angelegt hat, mit Eingabe der Adresse von Hand, und dabei die Adresse auf jeden Fall mit https (mit s!) einzugeben, und auf keinen Fall die Adresse aus E-Mails zu nehmen, ausschliesslich von schriftlichen Mitteilungen der Bank.

 

Der Hinweis ist sicherlich gut, ich gebe die Adresse selbst meist händisch ein. Meine Browsereinstellungen werde ich prüfen.

 

Schade, dass wir etwas vom Thema abgewichen sind, welches Tan Verfahren ihr bevorzugen würdet.

Share this post


Link to post
la plata
Posted

Durch Google gelangt man mit seinem PC auch recht schnell auf "besondere" Seiten ohne es zu beabsichtigen. Daher spiele ich mit dem Gedanken mir ein separates Netbook zu kaufen, welches ausschließlich für das Onlinebanking genutzt wird. Macht so etwas Sinn? Welches System (Win, Linux, Mac) eignet sich da am besten bzw. ist am sichersten?

 

 

 

 

Share this post


Link to post
Staatenverbund
Posted

Also Deiner Meinung nach sind Antiviren Programme alle für die Tonne oder nur für Dummies wie mich sinnvoll? (Ich frag garnicht böse, ich bin ja für Tips dankbar)

 

So könnte man es vielleicht kurz zusammenfassen ;-) - aber halt schon mit den oben erwähnten Einschränkungen - wer sich Flash installiert, sollte vermutlich nicht auf einen Virenscanner verzichten, und so.

 

Dass Antiviren Programme vor vielen Gefahren nicht (ausreichend) schützen möchte ich natürlich garnicht bezweifeln.

 

Das ist ein wesentlicher Aspekt: Antiviren-Software ist kein Ersatz für sichere Arbeitsweise, dafür ist sie viel zu unzuverlässig. Man kann sie vielleicht als nicht besonders reißfestes Sicherheitsnetz sehen. Wenn man dauernd runterfällt, lebt man mit wahrscheinlich sicherer, aber man sollte sich trotzdem nicht aus Spaß mal fallen lassen.

 

Aber dazu kommt, dass Antiviren-Software halt auch Nachteile mit sich bringt, neben dem Ressourcenverbrauch und der damit einhergehenden schlechten Systemperformance auch Sicherheitsprobleme.

 

Ich denke, das wird von Benutzern oft falsch eingeschätzt, weil sie mental Computersicherheit und Angriffe darauf wie eine Art Kampf, eine phyische Auseinandersetzung, eine Art Kräftemessen betrachten. Also, ein Virus ist halt ein Einbrecher, und besonders schlimme Viren bringen besonders leistungsstarke Einbruchswerkzeuge mit, und dagegen kann man sich dann schützen, indem man dicke Software-Stahlplatten und -Sicherheitspersonal wie Firewalls oder Virenscanner vor der Haustür montiert/positioniert, und wenn sie dick/kräftig genug sind, dann kommt auch der stärkste Virus nicht mehr durch, oder so. Natürlich nicht wirklich so konkret, aber eben mit der abstrakten Vorstellung, dass man nur ausreichend dicken/starken Schutz installieren muss, um sicher zu sein, oder das zumindest mehr Schutz bedeutet, dass das System sicherer ist, während die Virenschreiber einfach immer mehr Durchschlagskraft in ihre Produkte einbauen.

 

Eine solche Vorstellung könnte aber kaum weiter von der Realität entfernt sein. Leider ist es schwer, ähnlich zugängliche Analogien zu finden, die die Realität zutreffend wiederpiegeln. Das wesentliche ist, dass es in keiner Weise um "Stärke" oder "Kraft" geht. Ein Computervirus ist einfach ein Programm, und Programme wiederum sind einfach Daten, genauso wie ein Bild oder eine Webseite oder eine Videodatei, ... - der Unterschied zu anderen Daten ist einfach nur, dass Programme in einer Sprache geschrieben sind, die beliebige Anweisungen an den Computer beschreiben kann, während Bilder z.B. idR. in einer Sprache geschrieben sind, die nur beschreiben kann, wie der Computer ein Bild malen soll. Wichtig ist aber erstmal, dass die Existenz einer solchen Liste von Anweisungen nicht automatisch bedeutet, dass der Computer sie auch ausführt. So ähnlich wie ein Buch, in dem eine Anleitung steht, wie man Dich vergiftet, für Dich kein Sicherheitsrisiko ist - erst wenn jemand sich daran macht, die Schritte der Anleitung ausuführen, könnte es ein Problem geben, aber Du könntest das Buch problemlos lesen, und auch Deinem besten Freund könntest Du das Buch vermutlich problemlos zu lesen geben. Aber angenommen, Dein bester Freund wäre sehr einfältig, und würde blind befolgen, was immer Du ihm befielst (will sagen: angenommen, Dein bester Freund wäre ein Computer ;-), dann solltest Du aufpassen, dass Du ihm niemals versehentlich sagst, er sollte die Anleitung in dem Buch ausführen. Durchlesen ist in Ordnung, Vorlesen ist auch in Ordnung, Ausführen ist nicht in Ordnung - aber ein Buch, das gefährliche Tätigkeiten beschreibt, ist selbst halt nicht irgendwie auf magische Weise gefährlich. Das beschreibt den ganzen Bereich von Viren, die irgendwelche zwielichtigen Webseiten Dir unterzuschieben versuchen, als "Downloadtool" oder "Super-Browser-Toolbar" oder "Online-Virenscanner" (damit meine ich jetzt nicht echte Virenscanner, sondern Fake-Virenscanner), oder die an E-Mails als Attachments dranhängen, wo die E-Mail behauptet, es handele sich um ein Textdokument. Ein wesentlicher Haken hierbei ist, dass Windows Programme anhand ihrer Dateiendung erkennt, und wenn Du eine Datei anklickst, die eine Programm-Dateiendung hat, Windows diese standardmäßig ausführt und sie nicht etwa anzeigt (was zugegebenermassen auch nicht besonders nützlich wäre, aber halt wesentlich sicherer, eben der Unterschied zwischen Lesen und Ausführen) - deswegen vor allem mit Archivdateien im Anhang aufpassen, denn ein E-Mail-Programm wird Dich tendentiell davor warnen, wenn Du einen Anhang auszuführen versuchst, aber das Packer-Programm hat halt keine Ahnung, dass das Archiv aus einem E-Mail-Anhang stammt, und dass Programme im Archiv daher mit Vorsicht zu geniessen sind.

 

Naja, und dann gibt es natürlich noch die Malware, die Sicherheitslücken direkt in der Software ausnutzt - das ist die Stelle, an der es mit den Analogien schwierig wird. Hauptmerkmal dieser Malware ist, dass sie nicht als Programmdatei im traditionellen Sinne daherkommt, sondern in der Regel in einer sonstigen Datendatei, also einem Bild oder einem Flash-Objekt oder einem PDF, eingebettet ist. Theoretisch sollte das natürlich gar nicht gehen, bzw. halt keine Gefahr bedeuten, denn z.B. ein PDF-Viewer versteht halt nur PDFs, und wenn er in einer PDF-Datei über Anweisungen in der "allgemeinen Computersprache" stolpert, sollte er einfach einen Fehler melden, dass er die Datei nicht versteht (er würde gar nicht bemerken, um was es sich handelt, einfach nur, dass es nicht zur Grammatik der "PDF-Sprache" passt, andere Sprachen versteht er nicht), und gut. Der Grund, weshalb man damit trotzdem einen Rechner kompromittieren kann, ist, dass Software manchmal fehlerhaft ist, manche häufiger, manche seltener. Nun ist das Programm, das z.B. die PDF-Datei interpretiert ja auch ein Programm, also auch nur Daten, und zwar Daten in der "allgemeinen Computersprache" (sog. Maschinensprache im Regelfall), die in den Arbeitsspeicher geladen wurden, und die der Prozessor von dort ausführt. Im Arbeitsspeicher ist aber ja nicht nur das Programm selbst, sondern auch die Datenstrukturen, die es verwendet, während es die PDF-Datei interpretiert (quasi sein Notizbuch, damit es den Überblick nicht verliert), darunter natürlich auch der Inhalt der PDF-Datei selbst. Und dann gibt es z.B. Programmierfehler, die dazu führen, dass das Programm unter bestimmten Bedingungen nicht in die Datenstruktur schreibt, in die es schreiben sollte, sondern stattdessen ein wenig daneben in den Arbeitsspeicher schreibt. Wenn der Benutzer Pech und der Angreifer Glück hat, kann es nun sein, dass dort ein Teil des Programms liegt - und unter Umständen kann der Angreifer so das Programm dazu bringen, einen Teil des Programms selbst zu überschreiben, z.B. mit einer Anweisung, als nächsten Schritt die Anweisungen auszuführen, die in die ja ebenfalls im Arbeitsspeicher befindliche PDF-Datei eingebettet sind - naja, und wenn der Prozessor dann irgendwann an die Stelle des Programms kommt, an der die Anweisung überschrieben wurde, wird er diese ausführen, also auch die Anweisungen, die in der PDF-Datei eingebettet sind, und damit hätte der Angreifer dann die Kontrolle über den Rechner übernommen (diese konkrete Art von Sicherheitslücke nennt man übrigens einen Buffer Overflow). Und wenn der Angreifer clever ist, dann bettet er den Maschinencode so ein, dass es die Regeln der "umgebenden Sprache" (also z.B. der "PDF-Sprache") nicht verletzt, ein bisschen so wie man in einem deutschen Buch einen Absatz englischen Text zitieren kann, ohne, dass das deutsche Grammatikregeln verletzen würde.

 

Wichtig daran sind zwei Beobachtungen: Zum einen braucht es einen Programmierfehler. Hat die Software keine Programmierfehler, dann ist nichts zu holen, egal was man anstellt (außer man klaut den Computer oder man überzeugt den Benutzer, den Virus auszuführen, natürlich). Der Computer folgt strikter mathematischer Logik, und wenn die Logik der Software keine Fehler hat, dann kann der Angreifer als Gegenmaßnahme nicht einfach mehr "Sprengstoff" in den Virus tun. Zum anderen ist die Ausnutzung einer solchen Sicherheitslücke kein "offensichtlich auffälliges Verhalten", das z.B. ein Virenscanner leicht erkennen könnte - da schleppt nicht ein Virus eine Bombe an, und der Virenscanner müsste halt einfach nur nach Sprengstoff gucken (was in der physischen Welt ja auch schon schwierig genug ist), sondern die "infizierte" Datei kann nach den massgeblichen Regeln vollkommen unverdächtig aussehen, und das Problem liegt schlicht darin, dass die Software mit der Sicherheitslücke sich ihrerseits nicht exakt an die Regeln hält.

 

Wenn eine Sicherheitslücke nun noch unbekannt ist, hat der Virenscanner also wenig Chance, den Angriff zu erkennen - und wenn man die Sicherheitslücke kennt, ist man besser beraten, den ursächlichen Programmierfehler zu beseitigen, dann ist der Virenscanner an der Stelle auch wieder überflüssig. Und so oder so ist man besser beraten, Software ohne oder mit wenig Sicherheitslücken zu verwenden (was man mehr oder weniger natürlich nie so ganz sicher wissen kann, aber es gibt durchaus signifikante messbare Qualitätsunterschiede, und grundsätzlich kann man davon ausgehen, dass mehr Funktionsumfang eine höhere Komplexität bedeutet, und höhere Komplexität erhöht die Wahrscheinlichkeit, dass die Entwickler (bei gleicher Kompetenz) mehr Fehler gemacht haben).

 

Aber wenn man weiterdenkt, kommt man zu einem noch viel interessanteren Ergebnis: Damit der Virenscanner überhaupt eine Chance hat, Angriffe zu erkennen, muss er ja ebenfalls Code enthalten, der PDF-Dateien und Bilder und Archivformate usw. usf. "versteht", damit er sie auf Unregelmäßigkeiten untersuchen kann. Das ist also ein wesentlicher Teil der sicherheitskritischen Funktionalität der jeweiligen Anwendungssoftware, mit der man die Dateien betrachten könnte, der im Virenscanner dupliziert ist. Und die Entwickler, die Antiviren-Software schreiben, können natürlich ganz genau so Fehler machen, wie die, die einen PDF-Betrachter oder Webbrowser oder wer weiß was schreiben. Und die gleiche Art von Programmierfehlern verursacht im Virenscanner natürlich die gleiche Art von Sicherheitslücke - dem Angreifer kann es ja relativ egal sein, ob er über den Virenscanner einbricht oder über den Webbrowser. Man müsste also vielleicht den Virenscanner mit einem Virenscanner schützen ... naja, oder vielleicht auch nicht ;-) Das ist, was man als "vergrößerte Angriffsoberfläche" bezeichnet.

 

Der Hinweis ist sicherlich gut, ich gebe die Adresse selbst meist händisch ein. Meine Browsereinstellungen werde ich prüfen.

 

Schade, dass wir etwas vom Thema abgewichen sind, welches Tan Verfahren ihr bevorzugen würdet.

 

Naja, es hängt ja dummerweise alles zusammen - wenn Dein Rechner sicher ist und Du weißt, wie Du Zertifikate im Browser prüfst, und wenn Du nicht auf Phishing reinfällst, ist iTAN wahrscheinlich das sicherste. Um den Rechner nur fürs Banking sicher zu kriegen, mag auch eine der erwähnten Linux-Live-CDs gut geeignet sein, da gibt es ja wohl speziell auf Online-Banking zugeschnittene, habe ich mir aber nie näher angeguckt (ich glaube, die c't hat da ein Projekt?)

 

Ansonsten würde ich, glaube ich, als nächste Option chipTAN sehen (was genau vor sich geht, weiß man zwar nicht, aber meine Hoffnung wäre, dass die etablierten Player im Smartcard-Markt halbwegs brauchbares Crypto gebaut haben ... aber viel mehr als eine Hoffnung ist das auch nicht, und der Track Record ist auch eher gemischt), dann die photoTAN mit Lesegerät (zumindest die grundsätzliche Verfahrensweise zeigt kein offensichtlich schwachsinniges Design, aber was für Crypto sie machen, weiß man halt nicht), mTAN käme mir nicht ins Haus, zumindest nicht für Kontostände jenseits von 1000 EUR oder so ;-)

 

Man könnte natürlich auch mal bei der Bank der Wahl anfragen, ob sie eine Spezifikation rausrücken. Wenn das Design solide ist, können sie damit ja nur gewinnen. AES ist ja auch nicht sicher, weil es geheim ist, sondern weil vier Jahre lang alle interessierten Kryptographen der Welt die verschiedenen Kandidaten auf Mängel untersucht haben, bevor Rijndael ausgewählt wurde - und auch zehn Jahre später sind noch keine bedrohlichen Probleme bekannt geworden, obwohl jeder nachlesen kann, wie AES funktioniert, und ähnliches gilt für viele andere kryptografische Verfahren. Wenn geheime Verfahren irgendwann öffentlich werden, sieht das oft anders aus ...

Share this post


Link to post
Staatenverbund
Posted

Durch Google gelangt man mit seinem PC auch recht schnell auf "besondere" Seiten ohne es zu beabsichtigen. Daher spiele ich mit dem Gedanken mir ein separates Netbook zu kaufen, welches ausschließlich für das Onlinebanking genutzt wird. Macht so etwas Sinn? Welches System (Win, Linux, Mac) eignet sich da am besten bzw. ist am sichersten?

 

Klar, wenn Du Deinem Haupt-Rechner nicht besonders traust und Dein online verwaltetes Vermögen groß genug ist, um ein wenig Aufwand zu rechtfertigen - die Hardware, die man dafür braucht, ist ja nicht mehr teuer.

 

GNU HURD oder OpenBSD. Also, die Browser, oder zumindest die Browser-Engines sind ja eh überall die gleichen (mal vom IE abgesehen), daher sind verschiedene Plattformen von den Browser-Sicherheitslücken idR. gleich betroffen. Allerdings sind die meisten Viren ja für die stärker genutzten Plattformen, einfach weil das profitabler ist, von daher ist im Zweifel die Plattform mit den wenigsten Nutzern die am wenigsten riskante bzgl. nicht-zielgerichteter Angriffe. Also danach sortieren und das erste nehmen, was Dir nicht zu aufwendig ist ;-)

 

Das spricht natürlich auch dafür, einen Rechner zu nehmen, der kein x86er ist, also wahrscheinlich was ARM-basiertes, vielleicht ein Raspberry Pi? Das bisschen Linux-Malware, das es gibt, dürfte wohl eher nicht für ARM sein (außer Android-Malware, natürlich ...).

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...