Softpicks.Net Deutsch

Hi,

Sebastian Gottschalk schrieb:

> Wer redet davon daß der Ganove die PIN kenne?

Dunkel bleibt mir deiner Rede Sinn.. was soll Ganove mit den
Einzelteilen eines HBCI-Zugangs machen, wenn er nicht alle hat? Ohne
Private Key aber mit PIN gibts keine Autorisierung und keine
PIN-Eingabemöglichkeit, ohne PIN aber mit Private Key (wenn wir mal
davon ausgehen, dass dem Ganoven die Chipkarte zufälligerweise
zugeflogen ist) hat er drei Versuche bis zur Zugangssperrung, zusätzlich
gibts eine Selbstzerstörung des Chips auf der Chipkarte nach weiteren
PIN-Eingabeversuchen.

Ich kann also dem Kunden perfekt erklären, dass er folgendes machen soll:

1. Auf die Bankenhomepage gehen (ja, bitte mit Firefox).
2. Chipkarte einlegen.
3. Über einen Link in der Bankenhomepage zur Banking-Seite gehen.
4. Signiertes Java-Applet kommt.
5. Anmelden, Banken, Abmelden.
6. Chipkarte herausnehmen.

Es stellt sich erst gar nicht die Diskussion, dass er auf

Hi,

Hendrik Weimer schrieb:

> Das ist uninteresssant. Ein kompromittierter Client kann trotzdem
> andere Transaktionen signieren lassen als dem Nutzer angezeigt werden.

Stelle bitte ein gedanklich nachvollziehbares Szenario dar, dass gemäss
den derzeitigen HBCI-Spezifikationen funktioniert.

Besim

--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Wir sind wirklich über Aids innerhalb des Weissen Hauses besorgt -
irren Sie sich da ja nicht!" -- George W. Bush, 43. US-Präsident
.

Besim Karadeniz <besim [at] netplanet.org> writes:

> Hendrik Weimer schrieb:
>
> > Das ist uninteresssant. Ein kompromittierter Client kann trotzdem
> > andere Transaktionen signieren lassen als dem Nutzer angezeigt werden.
>
> Stelle bitte ein gedanklich nachvollziehbares Szenario dar, dass gemäss
> den derzeitigen HBCI-Spezifikationen funktioniert.

<86mzxr6ie0.fsf [at] gienah.enyo.de>

Hendrik
.

Hi,

Volker Birk <bumens [at] dingens.org> schrieb:
> Thomas Wallutis <thomas [at] wallutis.de> wrote:

>> > das Speichern auf Festplatte geht, da liegen alle immer wieder gebrauchten
>> > Dinge (implementiert über eine hart verschlüsselte Datei im Windows-
>> > Dateisystem).
>> Diese Datei wird dann nach einiger Zeit auch wieder Ziel von Angriffen sein.
>
> Bei hinreichend harter Kryptographie bleiben solche Angriffe vergebens.

vielleicht hab ich da ja was in den falschen Hals bekommen, aber gilt bei den
meisten Kryptografiemethoden nicht:

- der Aufwand ist (heutzutage) zu hoch zum Knacken

- die Sicherheit hängt von der Implementierung ab

Na ja, Freitag Nachmittag bin ich hoffentlich schlauer;-)

Soll heissen: ich habe die Befürchtung, so eine CD würde 100% Sicherheit
suggerieren.

>
>> Die Bank soll den Leuten Zettel an die Hand geben, die ihnen sagt wie sie
>> (relativ) sicher Online-Banking machen können. Halten Sie sich nicht dran,
>> haben sie eben Pech gehabt. Verstehen sie den Zettel nicht, müssen sie eben
>> jemand fragen, der es versteht (Unwissenheit schützt vor Strafe nicht).
>
> Das Problem: auf den Zetteln müsste stehen: "Benutzen Sie auf keinen
> Fall Ihren Windows-PC".

Manchmal frage ich mich, wieso noch Geld auf meinem Konto ist;-)

Nee, mittlerweile halte ich mich an den Zettel...

Bis denn

Thomas

.

Hi,

Volker Birk schrieb:

> Man greift die UI an. Man gaukelt dem Benutzer vor, er würde 23 eingeben,
> dem Programm gaukelt man vor, der Nutzer habe 42 eingegeben. Zeigt das
> Programm dann plichtschuldig 42 an, so ersetzt man die Anzeige der zwei
> Ziffern wieder durch 23.

Gut, spielen wir so einen fingierten Dialog einfach mal durch, wenn du
Erklärungsbedarf notwendig hast:

1. Kunde soll auf einer Phishing-Site seine PIN eingeben.
2. Kunde legt vielleicht sogar pflichtbewusst seine Chipkarte vorher
ein, obwohl er gesagt bekommen hat, dass er niemals nach seiner
PIN vor der Einlage seiner Chipkarte in den Reader gefragt werden
kann.
3. Kunde gibt PIN ein, Gegenstelle empfängt diese.
4. Ganove hat die PIN. Vielleicht, wenn er programmieren und die
Chipkarte steuern kann, sogar unterzeichnet mit dem Private Key des
Kunden und verschlüsselt mit dem Public Key der Bank.
5. Ganove spielt einen Dialog vor, Kunde überweist angeblich
6. Ganove erhält den Dialog und.. tja, er erhält eben den Dialog.

Und nun? Was kann er machen? Nichts. Private Key von mir hat er nicht
und kriegt er nicht, weil die Chipkarte ihn nicht herausgeben kann und
sich der Prozessor nach genügend Fehlversuchen selbst zerstört. Da
kannst du mir noch so viele Message Hooks installieren.. die Sicherheit
liegt in einer völlig anderen Ebene und ohne meinen Private Key läuft
nichts aber auch rein gar nichts.

Ich weiss, dass du in deinem Vortrag supertoll herausgefunden hast, dass
Windows völlig unsicher ist, alles auf dieser Welt praktisch
kompromitiert ist und niemandem vertraut werden könne, der Windows
benutzt. Ich sage dir, dass es mir mit HBCI via Chipkarte und einem
Klasse-2-Kartenleser völlig breit an mir vorbeigeht, ob der Rechner, den
ich so für das Banking verwende, verwanzt, abgehört, mitgelesen wird
oder ein Männchen darin sitzt, so lange es meine Chipkarte gibt. Genau
genommen selbst mit einem Kartenleser der Klasse 1 ohne externe Tastatur.

Besim

--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Politik wird immer noch mit dem Kopf und nicht mit dem Kehlkopf
gemacht." -- Helmut Kohl, dt. Bundeskanzler a. D.
.

Hi,

Volker Birk schrieb:

> Du hast es wieder nicht verstanden.

Komm, erkläre es, sei mein persönlicher Held für heute.

Besim

--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Du fühlst dich im Moment sicher wie Alice im Wunderland, während sie
in den Kaninchenbau stürzt." -- Morpheus in "The Matrix"
.

Besim Karadeniz <besim [at] netplanet.org> writes:

> Ich weiss, dass du in deinem Vortrag supertoll herausgefunden hast, dass
> Windows völlig unsicher ist, alles auf dieser Welt praktisch
> kompromitiert ist und niemandem vertraut werden könne, der Windows
> benutzt. Ich sage dir, dass es mir mit HBCI via Chipkarte und einem
> Klasse-2-Kartenleser völlig breit an mir vorbeigeht, ob der Rechner, den
> ich so für das Banking verwende, verwanzt, abgehört, mitgelesen wird
> oder ein Männchen darin sitzt, so lange es meine Chipkarte gibt. Genau
> genommen selbst mit einem Kartenleser der Klasse 1 ohne externe Tastatur.

du verstehst das problem nicht.

ein angriff auf einen Klasse-2-leser liefe so ab, dass die
kompromittierende applikation darauf wartet, dass du eine ganz normale
transaktion startest, und dir zu jenem zeitpunkt eine falsche
transaktion unterschiebt.

das kann man mit einem Klasse-2-leser nicht verhindern.

--
frobnicate foo
.

Hi,

Wie realistisch bewertest du die Situation denn, vor allem im Bezug auf
Applikationen innerhalb von Browsern und deren Kommunikation mit
externen Datenträgern?

Besim

--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Schiedsrichter kommt für mich nicht in Frage, schon eher etwas, das
mit Fussball zu tun hat." -- Lothar Matthäus zu seiner Karriere
.

[Juergen P. Meier]

Besim Karadeniz <besim [at] netplanet.org>:
> Juergen P. Meier schrieb:
>
>> Zeigt der Kartenleser vom Typ 2 auch die Daten an, die er gerade
>> verschluesselt?
>>
>> Wenn nicht, dann loest er das Problem des Unsicheren Clients nicht,
>> oder wie willst du erkennen koennen, das im Hintergrund anstatt der
>> 19,95? Ueberweisung an ePay dein Kreditlimit mit einer Ueberweisung an
>> ein Bermudanisches Nummernkonto ausgeschoepft wird.
>
> Weil der Kartenleser nach EAL3 zertifiziert ist, unten auf der einzigen
> Schraube ein intaktes Siegel hat, von meiner Bank an mich verkauft wurde
> und ich das nachweisen kann. Vertrauenskette ist geschlossen und
> eindeutig nachvollziehbar.

Dein Kartenleser macht Homebanking ganz alleine, ohne PC mit $OS und
$CLIENT-SW? Wow. Ist das nicht Unbequem, die Ueberweisungsdaten in den
Kartenleser einzutippen?

Mir duenkt du hast implizites Vertrauen in deine Software und das OS
auf der sie laeuft. wieso? Und ist das Uebertragbar auf andere?

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
.

[Juergen P. Meier]

Volker Birk <bumens [at] dingens.org>:
> Juergen P. Meier <nospam-2005 [at] jors.net> wrote:
>> > Gewinnbeeinflussend sind _wesentlich_ insbesondere unter anderem
>> > auch Abschreibungen von Investitionen, Rückstellungen und Zinsen.
>> Kann man die nicht als Kosten bezeichnen? (zumindest fuer die aktuelle
>> Berechnung). IANAW
>
> Eben nicht. Genau deshalb argumentiere ich ja. Allein die Zinsen werden
> manchmal als Kosten gesehen, spielen hier aber die kleinste Rolle.

Ich bin (bekennender) Laie. "Kosten" ist fuer mich *kein* Fachbehriff.

Ich weis, das ich mich hierzu verhalte, wie ein $DAU der IT
Fachbegriffe falsch verwendet.
Da hier aber kein BWL-Forum ist, darf ich das .

Ja, ich kann nachvollziehen (transferleistung), das "Kosten" in der
BWL als Fachbegriff eine bestimmte Definition hat, die sich mir jedoch
entzieht (mangels Kenntnisse).

>> Hier ist kein BWL Forum.
>
> Stimmt. Aber es wurde betriebswirtschaftlich argumentiert.

Ich denke eher, es wurde laienhaft argumentiert. Mir zumindest ist
klar, das die Welt in der BWL ebensowenig einfach ist, wie in jedem
anderen Fachgebiet auch. Und dass man nichts auf so eine einfache
Gleichung reduzieren kann.

[BWL]

> Wie soll denn die ganze vorgelegte Rechnung stimmen, bei der es um
> Kapital geht AFAIR, wenn diese Zusammenhänge nicht klar sind?

Wie viele extreme Abstraktionen: garnicht.

Doch im Detail interessiert das vielleicht garnicht, sofern die
Aussage, die getroffen werden sollte, von diesen Details nicht
wesentlich beeinflusst wird (das kann hingegen nur ein Fachkundiger
abwaegen) bezueglich ihrer Aufgabe im Kontext. (Hier: irgendwas.
Hab vergessen, worum es geht).

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
.

Hi,

Juergen P. Meier schrieb:

> Mir duenkt du hast implizites Vertrauen in deine Software und das OS
> auf der sie laeuft. wieso?

Ich habe Vertrauen darin, was ich hier installiere und was nicht und
kann deshalb relativ gut einschätzen, ob mein verwendetes System
kompromitiert ist oder lauffähig.


> Und ist das Uebertragbar auf andere?

Wenn ich für andere sprechen würde, wäre ich nicht in dieser Newsgruppe,
ich wäre Heiliger und würde den ganzen Tag lachen.

Besim

--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Der Horizont vieler Menschen ist ein Kreis mit Radius Null - und das
nennen sie ihren Standpunkt." -- Albert Einstein (1879-1955)
.

[Juergen P. Meier]

Besim Karadeniz <besim [at] netplanet.org>:
> Juergen P. Meier schrieb:
>
>> Mir duenkt du hast implizites Vertrauen in deine Software und das OS
>> auf der sie laeuft. wieso?
>
> Ich habe Vertrauen darin, was ich hier installiere und was nicht und
> kann deshalb relativ gut einschätzen, ob mein verwendetes System
> kompromitiert ist oder lauffähig.

Du, Ja. Ich, auch. Aber DAU?

>> Und ist das Uebertragbar auf andere?
>
> Wenn ich für andere sprechen würde, wäre ich nicht in dieser Newsgruppe,

Es geht nicht darum, fuer andere zu sprechen, sondern fuer sie
Hilfmittel zu konzipieren.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
.

Hi,

Juergen P. Meier schrieb:

> Es geht nicht darum, fuer andere zu sprechen, sondern fuer sie
> Hilfmittel zu konzipieren.

Als ob ich je etwas anderes gesagt hätte in diesem Thread..

Es geht nicht darum, dem Benutzer das Spielzeug komplett wegzunehmen,
wenn er nicht weiss, um was es geht. Es geht darum, ihm zu erklären,
weshalb er mit seinem Spielzeug verantwortungsvoll umgehen muss, wenn er
bestimmte Dinge machen möchte. Das schützt vor gelegentlichen
Blindgängern auch nicht, aber es gibt keine vollkommene Sicherheit,
niemals und nirgendwo.

Besim

--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Wer sich auf seinen Lorbeeren ausruht, trägt sie an der falschen
Stelle." -- Henning Schulte-Noelle, CEO Allianz Group
.

Juergen P. Meier wrote on 15. February 2005:
>
> Florian Diesch <diesch [at] spamfence.net>:
> [Internetfuehrerschein]
>
> Warum ist eigentlich niemandem in dieser Diskussion bisher
> Aufgefallen, das der Fahrzeugfuehrerschein in verschiedene Klassen
> aufgeteilt ist? Alles OePNV-Nutzer oder wie?

Die meisten User sollten nur am OePNV teilnehmen.

> Die Analogie moege sich jeder selbst aufmalen.

Auto-Analogies passen schon.

> scnr,
> Juerge

Auch.

F'up poster.
--
Andreas
Die FAQ dieser Gruppe unter http://www.stud.tu-ilmenau.de/~traenk/dcsm.htm
Linkliste zum Thema Computersicherheit http://www.linkblock.de/
.

Nicholas Preyß wrote:

>>> Dann muss sich die Malware ins Bios oder ins NIC PROM schreiben?
>>
>> Das ist bei den meisten PCs per Hardware auszuschließen.
>
> Was möchtest du mir damit sagen?

Es gibt einige BIOS-EEPROMs, die so implementiert sind daß ein
Schreibschutz per Software aktiviert werden kann, dieser aber bei der für
den Schreibvorgang notwendigen Vorbereitung wieder flöten gehen kann.
Verfügt solch einer zusätzlich nicht über einen hardwareseitig umgesetzten
Schreibschutz, dann ist das ein echtes Problem. Schau mal in die Doku zu
UniFlash, da sind einige Chips benannt.

Im Falle von NIC-PROMs ist sowas bislang noch nicht bekannt.
--
Dieser Schrieb stellt eine private Meinungsäußerung des Verfassers im
Sinne der gesetzlich garantierten Meinungsfreiheit dar. Wem das nicht
passt, der wende sich an das Bundesverfassungsgericht. Viel Erfolg!
Key: 0xA0E28D18 FP: 83AE 1136 1E2B 9767 8FB2 7594 4128 1A9E A0E2 8D18
.