Beiträge gettagt mit Sicherheit
Was ist mobileTAN?
15. Aug
Vor ein paar Wochen Monaten habe ich mal das iTAN Verfahren erklärt. Heute ist mal mobileTAN dran. Bei mobileTAN erhält der Online Banking Benutzer seine TAN per SMS aufs Handy. MobileTAN ist für Geschäftsreisende und Leute die Wert auf Sicherheit legen sinnvoll.
Beim mobileTAN wird also eine TAN generiert die auf ein Handy verschickt wird. Um mobileTAN freizuschalten wird zuerst die gewünscht Nummer bei der Bank oder im Online Banking System der Bank hinterlegt. Ein paar Tage später erhält man seinen Freischaltcode. Mit dieser kann mTAN freigeschalten werden.
Das sichere an mobileTAN: 2 getrennte Wege. Einmal das Internet mit dem die TAN bestellt wird und einmal der Mobilfunk mit dem die TAN empfangen wird. Ein Hacker bräuchte somit Zugang zum Online Banking (Zugangskennung + PIN) und zum Handy (Handy + PIN).
Eine angeforderte TAN kann nur innerhalb von 5 Minuten eingegeben werden, sonst wird diese ungültig (Fehlversuch). Das schützt auch vor Angriffen eines Hackers der die TAN eventuell auf anderem Weg später abfragen und benutzten möchte. Die angeforderte TAN ist auch nur für den angegebenen Auftrag gültig. Zusätzlich sind Informationen des Auftrags zur erzeugten TAN in der SMS enthalten, welche auch vom Kontoinhaber geprüft werden sollten.
Die Kosten der angeforderten SMS belaufen sich (je nach Bank) auf 0,00 € – 0,12 €/TAN.
Das mobileTAN Verfahren zählt zu den sichersten Möglichkeiten Online Banking abzuwickeln!
Sicherheitspatch für Online Banking
09. Jul
Die Volks- und Raiffeissen Banken welche an die FIDUCIA angeschlossen sind haben in den vergangenen Tagen einen Sicherheitspatch für das Online Banking eingespielt. Da Webinterface wurde verfeinert um der sogenannten Man-In-The-Middle Phishing Methode vorzubeugen.
Die Man-In-The-Middle Methode funktioniert wie folgt:
Normalerweiße gibt es da den Online Banking Benutzer und die Bank bzw. das Rechenzentrum der Bank.
Der Online Banking Benutzer sendet also über eine verschlüsselte Verbindung seine Daten zur Bank und erhält Daten vom Rechenzentrum welche ebenfalls Verschlüsselt sind.
Bei der Man-In-The-Middle Attake wird dem Online Banking Benutzer suggeriert er wäre mit seiner Bank verbunden. Der Login funktioniert wie gewohnt. Nach dem Login fordert das System den Benutzer auf TAN Nummer einzugeben. 100 Stück. Da sich der Kunde ja auf der “sicheren” Seite des Rechenzentrum also seiner Bank befindet schöpfen viele Benutzer kein Verdacht. Das https ist da, das Schloss-Symbol ist da und der Virenscanner aktiv und funktionsbereit.
Die TAN Nummern werden natürlich nicht von der Bank abgefragt. Hier hat sich ein Virus bzw. Trojaner zwischen den Online Banking Benutzer und dem Rechenzentrum geklinkt. Er protokolliert nicht nur die Login Informationen sonder ändert die Weboberfläche um gezielt TAN Nummer zu klauen.
Um genau diesem Vorgehen vorzubeugen wurde der Sicherheitspatch eingespielt. Benutzer mit einem befallenem System bekommen die Meldung das ein Technischer Fehler aufgetreten sei und man mit seinem Bankberater Kontakt aufnehmen soll. Also z.B. mir 
Da der Patch sehr neu ist kann es jedoch zu ungerechtfertigten Fehlermeldungen kommen, es sollte auf jeden Fall mit der Bank gesprochen werden.
Was ist iTAN?
03. Jun
iTAN oder indizierte TransAktionsNummer ist die häufigst genutzte Art seine Transaktionen digital zu unterschreiben. Leider ist es auch die unsicherste Art.
Bei der iTAN bekommt man einen TAN Bogen. Dieser ist mit knapp 200 TANs bestückt. Die TANs haben eine fortlaufende Indexnummer. Wird nun einen Überweisung zur Bank gesendet verlangt das System natürlich erstmal eine PIN um überhaupt den Zugangsweg zu öffnen. Nun erzeugt die Bank per Zufall eine Indexnummer die uns mitgeteilt wird. Jetzt suchen wir aus dem TAN-Bogen anhand der Indexnummer die richtige TAN aus. Solange die TAN nicht eingegeben wurde gilt diese als reserviert und wird nach 5 Minuten oder beim Abbruch durch den Benutzer automatisch entwertet. Dies ist übrigens ein Fehlversuch!
Gefahr hierbei sind Phisingseiten und Viren. Eine Phisingsite kann nämlich Indexnummer und TAN anfragen. Ebenfalls könnte ein Virus die TAN erspähen indem er nach der TAN Eingabe eine Fehlermeldung erzeugt und die TAN an einen Phising-Server sendet. Außerdem könnte ein Virus kurz vor dem Absenden die Überweisung abändern.
Aktuell gibt es einen Trojaner der nach Login im Online Banking System 100 TAN über eine virtuelle Tastatur abfrägt. Hier gilt mal wieder, die Bank wird NIEMALS 100 TANs verlangen! Wenn so etwas oder ähnliche Vorgänge im Online Banking passieren ist die Bank zu informieren!
Um einige dieser Gefahren zu minimieren gibt es das iTAN+ Verfahren. Ein etwas verfeinertes Verfahren. Welche Banken dieses Verfahren einsetzen kann ich leider nicht genau sagen.
Beim iTAN+ gibt es genauso wie beim normalen iTAN Verfahren eine TAN-Liste welche indiziert ist. Allerdings wird die Indexnummer nicht in Klarschrift angezeigt welche ein Virus speichern könnte, sondern ähnlich wie in einem Captcha als Bild. Im Hintergrund findet man zusätzlich das Geburtsdatum und Informationen zu der Überweisung. Das iTAN+ Verfahren funktioniert jedoch nicht über Online-Banking-Software.
In den nächsten Tagen bzw. Wochen werde ich noch ähnliche Themen über Online Banking ansprechen. z.B. mTAN, HBCI-Schlüsseldiskette, HBCI-Chipkarte, EBICS usw.
Falls Ihr Fragen zu Online Banking habt, nur los
WordPress 2.8.6 verfügbar
13. Nov
Wie ich gerade erfahren habe ist jetzt WordPress 2.8.6 verfügbar.
Wieder ein Sicherheitsupdate darum sollten alle Blogger schnell updaten. Geschlossen wird eine Apache Sicherheitslücke (betrifft nicht Strato) sowie eine XSS Sicherheitslücke.
Wünsch allen schönes weiteres Bloggen, ich fahr jetzt in die Arbeit
Die wichtigsten Sicherheitsregeln am PC!
27. Apr
- Komplettsicherung
Machen Sie regelmäßig eine Kopie Ihres Rechners. Achten Sie beim Fotokopieren auf ausreichend Helligkeit und Kontrast. - Schreibgeschützte Disketten
Benutzen Sie nur schreibgeschützte Disketten. Bedenken Sie:
Eine Diskette
ist nur dann schreibgeschützt, wenn der Diskettenaufkleber vollständig entfernt wurde und man diese nicht mehr beschriften kann. - Schutz vor Infektionen
Breiten Sie nachts ein grobes Leintuch über Ihrem Rechner aus. Sorgen Sie dafür, dass auch die Peripheriegeräte ausreichend bedeckt sind. - Datensicherung
Machen Sie Datensicherungen nach der Schwiegermutter-, Onkel-, Nichte-Methode. - Virus-Prophylaxe
Scannen Sie regelmäßig den Festplatteninhalt. Towergehäuse sollten nur quer auf dem Flachbettscanner abgelegt werden. Bei Handscannern reicht zwar ein Abtasten der Verzeichnisstruktur am Monitor, aber aufgepasst:
Die Ergebnisse
können ungenau sein. - Schutz vor Bootsektor-Viren
Regelmäßiges Putzen der Cowboystiefel beugt einem Virenbefall des Bootsektors vor. - Großzügiges Entfernen von Infektionsherden Kommen Sie einem möglichen Virenbefall zuvor, und löschen Sie alle Dateien, die besonders bedroht sind, wie Dateien mit der Endung “.EXE”, “.COM” und “.BAT”.
- Vorsicht bei Raubkopien
Benutzen Sie nur Originalviren, deren Herkunft Sie kennen.
Neben der
rechtlichen Situation sprechen auch praktische Gründe wie Originalanleitung und Benachrichtigung bei evtl. Updates für diese Maßnahme. - Konsequente Hygiene
Mitarbeiter an firmeneigenen Rechnern sollten sich stündlich desinfizieren lassen. In der Praxis haben sich Vorrichtungen wie “VirSPRAY (TM)” bewahrt, die automatisch in gleichbleibender Konzentration in der Raumluft des jeweiligen Büros verteilt werden. - Isolation
Ein virenbefallener Rechner sollte für einige Wochen in Quarantäne gehalten werden. Achten Sie auf entsprechende Sicherheitskleidung (Mundschutz, Ray-Ban-Brille und Jacket-Krone), und sorgen Sie dafür, dass Besuchern mit Disketten der Zutritt, notfalls mit Gewalt, verwehrt wird.
3 – 2 – 1 gehackt
13. Mrz
Michael Fuchs von MiFuPa.de darf sich mit einem gehackten Account rumschlagen. Das ist kein Einzelfall sondern passiert immer öfter. Ärgerlich ist ein gehackter Account natürlich, allein das jemand sein strenggeheimes Passwort herausgefunden hat ist, find ich, peinlich. Noch schlimmer wenn dann noch Schaden angerichtet wird wie im Falle von Michael z.B. Artikel in Höhe von 300 Euro ersteigert werden.
Fairerweiße hat sich der Hacker (13 Jahre) bei ihm gemeldet und will Vergebung. Der Ärger bleibt natürlich auf der Seite des Opfers des Verkäufers und Ebay erfreut das sicherlich auch nicht.
Wie er an das Passwort kam? Anscheinend hat der vermeindliche Hacker ein Forum gehostet. Jede vernünftige Foren Software verschlüsselt zwar das Passwort mit einer MD5 Verschlüsselung, jedoch kann man diese zurückrechnen. Also einmal im falschen Forum gewesen und schon hat jemand dein Passwort, die E-Mail wird ja auch abgelegt und der “böse” Admin versucht gleich mal ob Passwort zum E-Mail Account gehört -.-
Deshalb wäre wichtig seine Passwörter von Zeit zu Zeit komplett zu erneuern und zwar nicht auf das selbe. Ein Trick:
Ein sehr starkes Passwort für sehr wichtige Accounts (E-Mail, Ebay)
Ein starkes Passwort für weniger wichtige Accounts (Forum, Twitter etc.)
Ein starkes Passwort für unwichtige Accounts
Für Accounts die direkt mit Geldtransaktionen zu tun haben empfehle ich pro Account ein eigenes zu verwenden. (Online-Banking, PayPal, etc)
So muss man sich 3 Passwörter merken + die Passwörter für Geldtransaktionen.
Mich hat der Fall nachdenklich gestimmt ich werde wohl auch mal meine Passwörter ändern müssen
Ach ja meiner Meinung nach sollte da auch ein bisschen Kontrolle der Webmaster erfolgen wie mit den Daten umgegangen wird, es gibt Leute die tatsächlich die kompletten E-Mails ihrer registrierten User verkaufen und schön Geld machen. Die E-Mail Daten geben bestimmt nicht schlecht Geld.
PS: Mein Passwort wurde noch nicht gehackt NEIN NICHT VERSUCHEN!!
E-Mail verschlüsseln…
06. Sep
Der N00B:
Für jeden Spam Bot einsehbar und absolut unsicher, der Text:
Der Verschleierer:
Etwas schwieriger aber trotzdem leicht zu knacken
orcan5[at]gulli[punkt]com
Der Paintbenutzer:
Aber auch hier können BOTS die Bilder lesen
Der Photoshopbenutzer:
Jetzt wirds schon schwieriger…
BOTs können jetzt das Bild fast nicht mehr lesen allerdings wird es für das menschliche Auge auch immer schlechter lesbar.
Der Programierer:
Orginell und funktionell aber nicht 100% sicher
Script in den Header.
<script type="text/javascript">
function email(name, domain,tld, link)
{
if(link.length == 0)
{
link = name + ‘@’ + domain + ‘.’ + tld;
}
var display_this = ‘<a href="mailto:’ + name + ‘@’ + domain + ‘.’ + tld + ‘">’ + link + ‘</a>’;
document.write(display_this);
}
</script>
Script im Body:
<script type="text/javascript">email(‘orcan5‘, ‘gulli‘, ‘com‘, ‘E-Mail‘);</script>
die Funktion benötigt: emai(‘vorderer Teil der E-Mail‘, ‘Domain‘, ‘Endung‘, ‘Anzeigetext‘)
Das Script hab ich übrigens bei Gulli gefunden
The Winner:
Ich glaube das ist die einfachste und beste Art seine E-Mail zu verschlüsseln
E-Mail anzeigen Das Script gibt es bei reCAPTCHA
Ach ja die E-Mail orcan5@gulli.com verwend ich nur noch um Spam zu sammeln
[ratings]
