// EntheoBlog

Volltext: "Technologie ist schwer - Sicherheitstechnologie noch mehr"

createOption('InternetAddress','Automatically create links for internet addresses ?','yesno','yes'); $this->createOption('NewWindow','Open links in a new window?','yesno','no'); $this->createOption('MailAddress','Automatically create links for mail addresses ?','yesno','yes'); $this->createOption('RewriteMailAddress','Rewrite mail addresses with [at] and [dot]?','yesno','yes'); $this->createOption('at','Placeholder for @','text','[at]'); $this->createOption('dot','Placeholder for .','text','[dot]'); } function getEventList() { return array('PreItem', 'PreComment'); } function Treatment($_text) { global $CONF, $blog; if ($this->getOption('NewWindow') == 'yes') { $nw="onclick=\"javascript:window.open(this.href, '_blank'); return false;\""; } if ($this->getOption('InternetAddress') == 'yes') { $_text = preg_replace('/(\s)([http|https|ftp|file]+:\/\/[a-zA-Z0-9_?=&%;+-.\/]*)/si','\1\2',$_text); $_text = preg_replace('/(\s)(www\.[a-zA-Z0-9_?=&%;+-.\/]*)/si','\1\2',$_text); } $at = $this->getOption('at'); $dot = $this->getOption('dot'); if ($this->getOption('MailAddress') == 'yes') { if ($this->getOption('RewriteMailAddress') == 'no') { $_text = preg_replace('/(\s)([a-zA-Z0-9\._-]+@[a-zA-Z0-9\._-]+\.[a-zA-Z]{2,5})/s','\1\2',$_text); } else { $_text = preg_replace('/(\s)([a-zA-Z0-9\._-]+)@([a-zA-Z0-9\._-]+)\.([a-zA-Z]{2,5})/s','\1\2'.$at.'\3'.$dot.'\4',$_text); } } if ($this->getOption('MailAddress') == 'no' && $this->getOption('RewriteMailAddress') == 'yes'){ $_text = preg_replace('/(\s)([a-zA-Z0-9\._-]+)@([a-zA-Z0-9\._-]+)\.([a-zA-Z]{2,5})/s','\1\2'.$at.'\3'.$dot.'\4',$_text); } return $_text; } function event_PreItem($_data) { $_data[item]->body = $this->Treatment($_data[item]->body); $_data[item]->more = $this->Treatment($_data[item]->more); } function event_PreComment($_data) { $_data['comment']['body'] = $this->Treatment($_data['comment']['body']); } function supportsFeature ($what) { switch ($what) { case 'SqlTablePrefix': return 1; default: return 0; } } } ?>

04 September

Technologie ist schwer - Sicherheitstechnologie noch mehr

Wenn man mit Banken redet, so kann sich einem schon mal das Gefühl aufdrängeln, dass die gar nix peilen. Genau diesen Eindruck hatte ich, als eine Bitte um schriftliche Mitteilung von Schlüssel-IDs und Fingerprints der Online-Banking-Server (vielleicht ja auf jedem Kontoauszug) mit dem Hinweis quittiert wurde, dass die ja auf der Website (eben des Onlinebanking) zu finden wären.

Hier mal mein Text an die Bank:

Sehr geehrte Sachbearbeiterin, sehr geehrter Sachbearbeiter, wie vor einigen Monaten schon einmal angeregt, möchte ich meinen Wunsch erneuern, doch bitte auf den Kontoauszügen oder anderen brieflichen Mitteilungen der Postbank die Schlüssel-ID und den Fingerprint des Serverschlüssels der Postbank (wenn es mehrere für https://direkt.postbank.de und https://banking.postbank.de gibt dann eben beide Paare) abzudrucken. Dies würde die Kunden der Postbank in die Lage versetzen zu überprüfen ob der aufgerufene Server auch wirklich zur Postbank gehört. Sind weder ID noch Fingerprint bekannt, so ist es für Kunden nicht möglich zu erkennen, ob eventuell ein Trojaner, Wurm oder Virus die Hosts-Datei des Rechners oder den / die Nameservereinträge umschrieb und entsprechend Aufrufe der Bankingseiten auf völlig anderen Servern kriminellen Hintergrundes landen. Sind die Daten jedoch bekannt, so ist der Kunde in der Pflicht, diese zu prüfen - Postbank könnte sich darauf berufen, alles getan zu haben um die Sicherheit von Transaktionen zu gewährleisten. Sind diese Daten beim Kunden nicht bekannt, so hat der Kunde keine Chance eine gut gemachte Phishingseite zu erkennen und Postbank könnte in eine Schadenersatzpflicht geraten. Der Aufwand für ein solches Vorgehen ist nach meinem Dafürhalten minimal, zumal diese Daten auch auf der Rückseite der Auszüge vermerkt werden können, da sie sich nicht ändern also schon bei der Herstellung der Auszugsformulare gedruckt werden könnten.


Und hier die Antwort der Postbank - an der man recht gut sehen kann, dass da jemand wirklich nicht nachdachte.

Gerne informiere ich Sie.

Auf unserer Homepage haben wir für Sie die Fingerprints abgebildet.

Gehen Sie auf unserer Homepage oben rechts auf Sicherheitshinweis. In der neuen Seite scrollen Sie nach unten. Unter dem Punkt Internet finden Sie die Hinweise zu Fingerprints.

Haben Sie noch Fragen? Unter der Telefonnummer (0180) 30 40 700 (0,09 Euro/Minute) sind wir 7 x 24 Stunden für Sie erreichbar.

Mit freundlichen Grüßen

Ihr Postbank E-Mail Team


Wie man leicht erkennen kann, hatte ich damit auf einen Angriff abgehoben, der durch den Nutzer nicht erkennbar ist. Ist der Server postbank.de z.B. in der Hosts-Datei oder dem Nameserver mit einer falschen IP-Adresse hinterlegt, so bemerkt der Besucher des falschen Servers natürlich nicht, dass er sich auf einem völlig anderen System befindet. Es ist also nur noch Sache des Betreibers der Phishingseite, diese gut genug zu gestalten - und im Zweifel vielleicht sogar selbst nach Kontaktaufnahme des Kunden mit seinem Server, den Bankenserver nach den vom Kunden gewünschten Daten zu fragen (Logininformationen sind ja vorhanden wenn sich der Kunde bei ihm einloggte).
Natürlich wäre es bei einem solchen Angriff sehr einfach möglich, den eigenen Fingerprint und die eigene Schlüssel-ID auf dem eigenen Server zu hinterlegen.

Bleibt also festzuhalten, dass Kunden der Postbank auch weiterhin von jeglicher Haftung frei sind, wenn irgend eine Transaktion ihrer Onlinekonten durch kriminelle Elemente durchgeführt wird - man ist ja noch nicht mal bereit, so eine simple Maßnahme wie das Abdrucken von Fingerprints zu realisieren um existierende Angriffe wie das Umschreiben von Hosts-Dateien ins Leere laufen zu lassen.

[Druckversion direkt zum Drucker senden]

Geschrieben von harko um 15:38:21 Uhr - Kategorie: Technik
Karma: 16 [+/-]
Trackback
Derzeit keine Trackbacks vorhanden.
Mit dieser TrackBack url kann der Beitrag verlinkt werden (right-click, copy link target). Wenn Ihr Blog keine Trackbacks anbietet, kann Ihr Trackback manuell durch dieses Formular eingebaut werden .

Comments
Noch keine Kommentare vorhanden.
Add Comments