Eigentlich halte ich nicht soviel davon, Nachrichten die Irgendwo erscheinen auch noch mal zu wiederholen, aber bei diesem Problem ist vielleicht eine Ausnahme ganz angebracht:
http://www.heise.de/newsticker/meldung/48793
Deswegen sind Frames böse…unter anderem [img]
http://www.fb18.de/gfx/24.gif[/img]
Lasst einfach das Homebanking sein…
Dann müsste ich ja die Bank wechseln. Nöö, die geben mir so schicke Zinsen. %)
Lasst einfach das Homebanking sein…
Was ? Dann müsste ich ja die 20 m über die Straße zu meiner Bank laufen [img]
http://www.fb18.de/gfx/22.gif[/img]
Außerdem wird man ja dann abhängig von den Öffnungszeiten. Ich bleibe lieber Homebanker…
Übrigens hat man das Problem mit den Frames ja nicht, wenn man ein Programm fürs Homebanking nutzt [img]
http://www.fb18.de/gfx/25.gif[/img]
…wo sich wieder der Vorteil von HBCI offenbart – aber die verdammten Banken und Sparkassen wollen das ja abschaffen.
Jupp z.B. die Haspa will leider wieder auf PINs und TANs umstellen…
Begründung der Mitarbeiter : "Das ist doch viel sicherer !".
Erst nach einigem Nachfragen wird zugegeben, dass der Haspa das Rechenzentrum zu teuer ist und die das mit wem anders zusammenlegen. Und dann unterstützt das auch nur noch PINs und TANs [img]
http://www.fb18.de/gfx/26.gif[/img]
…wo sich wieder der Vorteil von HBCI offenbart – aber die verdammten Banken und Sparkassen wollen das ja abschaffen.
Ja Spitze… machen wir das ganze abhaengig vom Laufen von irgendwelcher Hardware und entsprechenden Treibern… natuerlich nur auf unser aller Lieblings-OS. Und dann alles auch noch vollautomatisch, damit jede Soft im Hintergrund beliebige Transaktionen ausfuehren kann, ohne auf eine echte userseitige Transaktion warten zu muessen.
Nee, da gefallen mir PIN/TAN schon wesentlich besser, das ist eine ueberschaubare Sache.
(Nicht, dass ich Homebanking haette oder verwenden wollte.)
Ich will zwar die Diskussion nicht schon wieder entfachen, aber was du erzählst ist einfach Quatsch (sorry wenn ich das so sagen muss). Eine HBCI-Implementierung gibt es für die meisten Betriebssysteme und eine Software kann nichts ohne dein Wissen machen, wenn du ihr den Schlüssel vorenthällst.
Dein PIN/TAN-Verfahren über das WWW ist im Übrigen genauso davon abhängig, dass es für dein Betriebssystem einen Browser gibt, der die Sprache der Bank versteht. Denn leider ist diese ja in den seltensten Fällen wirklich echtes HTML.
Eine HBCI-Implementierung gibt es für die meisten Betriebssysteme
Diesen Satz hoere ich immer wieder von Verfechtern irgendwelcher nicht-so-verbreiteter Techniken. Er bedeutet etwa: "Fuer Windows (nur das neueste natuerlich) existiert fertige Implementation, Mac OS soll bald kommen, fuer Linux gibts so ein Projekt bei Sourceforge, das ganz toll viel Unterstuetzung vom Konsortium bekommt und das von einem Linux-Guru mit nur 22 Stunden Gefrickel auf der Kommandozeile zum Laufen kommt. Die GUI ist ein separates Projekt und noch zu instabil." ;-) Gut, HBCI gibts schon laenger und ist wohl in einschlaegige Geldsoftware eingebaut, aber ich bin immer fuer einfache und nicht-komplexe Loesungen. Der HBCI-Markt ist wohl zu klein, um Probleme auf Dauer auszuraeumen.
und eine Software kann nichts ohne dein Wissen machen, wenn du ihr den Schlüssel vorenthällst.
Und wie sieht der bei HBCI ueblicherweise aus? Diskette, Chipkarte, Passwort?
Dein PIN/TAN-Verfahren über das WWW ist im Übrigen genauso davon abhängig, dass es für dein Betriebssystem einen Browser gibt, der die Sprache der Bank versteht. Denn leider ist diese ja in den seltensten Fällen wirklich echtes HTML.
Das ist 1. eine ganz andere Qualitaetsstufe – fehlende Treiber / Software mit eventuellen HTML-Darstellungsproblemen auf eine Stufe stellen zu wollen, kommt mir nicht sinnvoll vor.
Und 2. will jeder im Netz navigieren, d.h. wo findest du jemanden, der mit seiner Softwareinstallation zwar nicht surfen (und daher stoert ihn die Nichtvorhandenheit eines hinlaenglich kompatiblen Browsers nicht), aber unbedingt Onlinebanking machen will?
Joa, du magst nicht ganz unrecht haben. Gerade bei der Implementierung sieht es aber glaube ich bei HBCI wirklich ganz gut aus (z.B. openhbci und GnuCash, welches meines Wissens sogar mehr oder weniger ein Vorzeigeprojekt ist).
Der Schlüssel ist natürlich meistens auf Diskette oder Chipkarte. In der neusten Spezifikation von HBCI ist aber auch die Authentifizierung mittels PIN/TAN vorgesehen.
Warum ich den Vergleich mit der Browser-Software gezogen habe, ist dass halt bei HBCI ganz klar spezifiziert ist, wie nun die Kommunikationsschnittstelle umgesetzt werden muss. Bei einem Webinterface kocht jeder sein eigenes Süppchen. Da ich nun einmal Verfechter von offenen Standards bin, sehe ich da klar den Vorteil von HBCI. Wobei deine Einwände ja schon berechtigt sind.
Der Schlüssel ist natürlich meistens auf Diskette oder Chipkarte. In der neusten Spezifikation von HBCI ist aber auch die Authentifizierung mittels PIN/TAN vorgesehen.
Bekomm ich so einen Leser fuer meinen Mac…? Und wenn ich noch Linux auf dem Mac laufen haette…? Dann wohl weder die Soft (hoechstens selbstcompiliert) noch den Kartenlesertreiber. Und Diskettenlaufwerke haben Mac seit 1998 nicht mehr, einige moderne PCs (Laptops sowieso) auch nicht mehr.
Was spezifieren die eigentlich, nur die Kommunikation / lokale Anbindung an einen HBCI-"Treiber" oder auch alle Details der Authentifizierung? Immerhin offen, das ist schon mal gut.
Bei einem Webinterface kocht jeder sein eigenes Süppchen. Da ich nun einmal Verfechter von offenen Standards bin, sehe ich da klar den Vorteil von HBCI.
Da ist was dran. Vielleicht sollte man fuer die entscheidenden Dialoge beim Homebanking eine Untermenge von HTML als Norm festsetzen, um diesen Punkt zu klaeren.
Uebrigens: Was hindert eigentlich ein im Hintergrund laufendes Programm, darauf zu warten, bis das Filesystem in Erscheinung tritt, welches die Schluessel enthaelt, alles zu kopieren und damit spaeter im Hintergrund Mist zu bauen? Wenn es keine TANs gibt, kann es ja mit den immer selben Credentials viele Transaktionen ausfuehren, oder? Wobei, es gibt ja diese Chipkarten (mit Klasse-3-Leser?), die die Verschluesselung selbst durchfuehren und nicht nur als Speicher dienen. Hmm.
Bekomm ich so einen Leser fuer meinen Mac…?
USB-Stick? CD-RW? MP3-Player? Flash-Card? Digi-Cam? (okay, langsam übertreibe ich)
Wie das mit den Chipkarten-Lesegeräten ist, weiß ich nicht.
Uebrigens: Was hindert eigentlich ein im Hintergrund laufendes Programm, darauf zu warten, bis das Filesystem in Erscheinung tritt, welches die Schluessel enthaelt, alles zu kopieren und damit spaeter im Hintergrund Mist zu bauen?
Was hindert ein im Hintergrund laufendes Programm, darauf zu warten, bis du deine PIN und die aktuelle TAN eingibst, dann statt deiner gewünschten Überweisung was ganz anderes zu machen?
Lasst einfach das Homebanking sein…
Und Homebanking ist das einzige verwundbare Ziel?
Lasst einfach das Homebanking sein…
Und Homebanking ist das einzige verwundbare Ziel?
Mit dem anderen Zeug auf einem Privatrechner kannst du kaum real-life-relevanten Unfug treiben, hoechstens private Daten veroeffentlichen, aber das waere schon eine sehr persoenliche nicht-profitorientierte Aktion. Aber Homebanking, da hoert der Spass auf. Wenn ich ein paar Tage kein Netz habe oder keine Dokumente bearbeiten kann oder keine Musik hoeren kann, so be it. Aber Geldverwaltung? Autsch. Erst, wenn entsprechende Appliances auf dem Markt sind. Und das dann auch noch unbedarften Heimusern verkaufen, die sich vor Werbetrojanern, Dialern und anderer Schadsoftware kaum retten koennen.
Uebrigens: Was hindert eigentlich ein im Hintergrund laufendes Programm, darauf zu warten, bis das Filesystem in Erscheinung tritt, welches die Schluessel enthaelt, alles zu kopieren und damit spaeter im Hintergrund Mist zu bauen?
Was hindert ein im Hintergrund laufendes Programm, darauf zu warten, bis du deine PIN und die aktuelle TAN eingibst, dann statt deiner gewünschten Überweisung was ganz anderes zu machen?
Nun, das waere immer noch eine einzelne Transaktion statt beliebig vieler, und sie muesste vermutlich zeitgleich erfolgen, allein schon, weil es schwieriger waere, dem Nutzer eine komplette Transaktion vorzusimulieren als eine echte ablaufende nur zu veraendern. Ausserdem kann ein Prog, das sich die kompletten Auth-Daten zieht, einfach Kontakt zu einem Rechner im Internet aufnehmen, alles dort "sichern" und der Betrug kann zu einem bestimmten Zeitpunkt stattfinden, oder viele Konten gleichzeitig gepluendert werden (schnell, ehe die Schadsoft entdeckt wird), oder der Trojaner loescht sich selbst nach der Datenuebertragung, um die Tatrekonstruktion schwierig / unmoeglich zu machen, etc.
Ist nur so Brainstorming, ich will PIN/TAN auch nicht verteidigen, aber fuer besser als komplizierteres halte ich es schon. Es ist griffig und die Implikationen werden besser verstanden.
Mit dem anderen Zeug auf einem Privatrechner kannst du kaum real-life-relevanten Unfug treiben
Och, ich denke mit Kreditkarteninfos lässt sich auch einiges Tun, es gibt bestimtm noch genug Leute bei denen die zu holen sind…
Mit dem anderen Zeug auf einem Privatrechner kannst du kaum real-life-relevanten Unfug treiben
Es ging ja darum Webseiten zu spoofen, nicht Daten vom Rechner auszulesen. Und das ist durchaus an einigen Ecken unbequem. Neben Banking fallen mir da spontan Onlineshops ein, ePay, Webmail, …
Nun, das waere immer noch eine einzelne Transaktion statt beliebig vieler, und sie muesste vermutlich zeitgleich erfolgen, allein schon, weil es schwieriger waere, dem Nutzer eine komplette Transaktion vorzusimulieren als eine echte ablaufende nur zu veraendern.
Noe. "Bitte geben Sie PIN/TAN ein" - Eingabe erfolgt - "Eingabe ungueltig" (PIN und TAN sind dann vom Anwender auszustreichen). Der Trojaner hat jetzt ein gueltiges PIN/TAN Paar. Warum etwas simulieren, das nicht noetig ist?
MoKrates
Noe. "Bitte geben Sie PIN/TAN ein" - Eingabe erfolgt - "Eingabe ungueltig" (PIN und TAN sind dann vom Anwender auszustreichen). Der Trojaner hat jetzt ein gueltiges PIN/TAN Paar. Warum etwas simulieren, das nicht noetig ist?
MoKrates
aber das ist doch nun etwas, was nicht nur homebanking bzw. frames betrifft. Einige leute würden sich doch sogar selbst viren raufpacken, wenns denen gesagt wird… *seufz
Wer sich nicht fragt wieso eine noch nicht benutzte TAN ungültig ist und das noch 20mal wiederholt, na ja… dem kann auch kein hbci helfen…
Noe. "Bitte geben Sie PIN/TAN ein" - Eingabe erfolgt - "Eingabe ungueltig" (PIN und TAN sind dann vom Anwender auszustreichen). Der Trojaner hat jetzt ein gueltiges PIN/TAN Paar. Warum etwas simulieren, das nicht noetig ist?
Nein. 1. Es ist immer noch nur eine Transaktion statt vieler. 2. Der Angriff erfolgt nicht voellig unauffaellig. 3. Der Angriff wird immer noch zeitlich eingeschraenkt – eigentlich muss die betruegerische Transaktion sogar sofort erfolgen, denn den Kunde wird ja sofort seine Ueberweisung mit der naechsten TAN versuchen. Dann gibt es natuerlich diverse Moeglichkeiten.
Der Trojaner faengt sie alle ab und der Kunde ist frustriert und holt Hilfe (Hotline oder am naechsten Tag in der Filiale).
Der Trojaner faengt sie nicht mehr ab und die naechste TAN wird entweder nicht akzeptiert (ist ja aus Banksicht die uebernaechste, oder sie wird akzeptiert und die vorige ab sofort als ungueltig betrachtet (ist ja schon vorbei).
… und noch einiges mehr. In jedem Fall ist das alles nicht so schoen wie das komplette Kopieren aller Credentials – nur dann hat man wirklich die Macht ueber das Konto.
Der Trojaner faengt sie nicht mehr ab und die naechste TAN wird entweder nicht akzeptiert (ist ja aus Banksicht die uebernaechste, oder sie wird akzeptiert und die vorige ab sofort als ungueltig betrachtet (ist ja schon vorbei).
Zumindest bei der Postbank passiert letzteres, man kann beliebige TANs vom Zettel nutzen, nur werden dann alle die vor der benutzten TAN stehen ungültig.
Noe. "Bitte geben Sie PIN/TAN ein" - Eingabe erfolgt - "Eingabe ungueltig" (PIN und TAN sind dann vom Anwender auszustreichen). Der Trojaner hat jetzt ein gueltiges PIN/TAN Paar. Warum etwas simulieren, das nicht noetig ist?
MoKrates
Das ist m.E. kein Problem des Protokolls, sondern des Endanwenders.
schlaue trojaner gehen beim pin tan klauen so vor das sie die ersteinmal die erste tan merken und keine tan rauslassen und bei der zweiten tan eingabe die erste rausschicken so das der trojaner eine gültige tan behält und daher etwas zewit für die überweisung hat da der anwender bei der zweiten eingabe ja zufrieden gestellt wird und zwei tans durchstreicht…
planetopia bildet *g*
schlaue trojaner gehen beim pin tan klauen so vor das sie die ersteinmal die erste tan merken und keine tan rauslassen und bei der zweiten tan eingabe die erste rausschicken so das der trojaner eine gültige tan behält und daher etwas zewit für die überweisung hat da der anwender bei der zweiten eingabe ja zufrieden gestellt wird und zwei tans durchstreicht…
Was für zwei TAN-Eingaben? Ich weiß auch nicht, wie das bei anderen Banken ist, wenn die zweite TAN von einer zweiten Überweisung kommen soll, klappt das nicht, miene Bank zumindest shcickt die Dinger per sofort raus, sprich was nicht sofort aufm Konto abgebucht ist, ist suspekt…
planetopia bildet *g*
Einspruch euer Ehren [img]
http://www.fb18.de/gfx/24.gif[/img]
wenn man mich <blink> nicht </blink> verstehen will auch gut…..
so ist's gemeint:
mensch gibt tan ein, trojaner schick falsche tan raus merkt sich richtige , mensch bekommt meldung das tan ungültig, mensch vermutet das durstreichen vergessen zu haben und streicht tan durch, mensch gibt zweiten versucht nächste tan ein, trojaner schickt erste tan raus, mensch bekommt meldung das transaktion erfolgreich, trojaner merkt sich zweite tan. resultat trojaner glücklich mensch (un)glücklich…
Okay, aber hat Mokrates nicht genau das schon gepostet bis auf dass die zweite TAN bei ihm noch nicht vorkam, aber logische Konsequenz wäre?
planetopia bildet *g*
Einspruch euer Ehren [img]http://www.fb18.de/gfx/24.gif[/img]
Aber, aber, nichts gegen Herrn Brunnsteins Lieblings-Sendung! [img]
http://www.fb18.de/gfx/28.gif[/img]
