Welche Kreditkarte?

[Bitshock]

Wir sind uns sicher einig, dass jede IT, jedes System oder Gerät angreifbar ist?

Na klar sind wir uns da einig. Mit der nötigen Vorsicht und einigen Kenntnissen kann man den Attacken von Skript-Kiddies weitgehend ausweichen. Ist man aber erstmal im militärischen/Geheimdienstbereich angekommen, hilft nichts mehr. Ich hab mal gestaunt, als in 'nem Vortrag auf einem Jahreskongress des CCC vorgestellt wurde, wie selbst Kryptochips (Hardware) geknackt werden. Die Chips werden maschinell und spanabhebend im Nanometerbereich abgeschliffen und die Leiterbahnen/Speicherzellen schichtweise freigelegt. Die anschließende Analyse dauert dann etliche Monate, ist aber letztendlich in der Lage, Verschlüsselungen mit Schlüssellängen von mehr als 2048 Bit zu knacken, theoretisch. Soviel zur prinzipiellen Machbarkeit. Trotzdem scheuen staatliche Organe (z.B. das FBI, da hat @wiwowa Recht) meist vor dieser Methode zurück, weil viel zu aufwendig und zeitraubend. Warum auch, wenn social engineering und waterboarding schneller zum Erfolg führt.

Also: Wenn das Ziel hochwertig genug ist, spielt Aufwand keine Rolle. Alles kann geknackt und ausgenutzt werden. Sind wir als kleine Sextouristen hochwertige Ziele? Nein! Für staatliche Orange sind wir nur unerwünschter Beifang, um den man sich nicht weiter kümmert. Auch für gangsterhafte Profi-Datenklauer sind wir als Nicht-Millionäre uninteressant. Solche Leute betreiben Industriespionage, das ist viel lukrativer. Vieles von dem, was hier im Thread gesagt wurde, ist wahr, aber ich trage keinen unnötigen Aluhut und mache mir als Einzelperson über *solche* Angreifer keine Sorgen.

Übrig bleiben zweitklassige Angreifer (die können gefährlich sein), und Skript-Kiddies (die kann man auch mit Bordmitteln, ein paar Kenntnissen und vorsichtigem Verhalten gut fernhalten). Darum geht es mir, deshalb gehe ich nicht auf alle Argumente hier ein. Welche Art von Angriffen machen wir Sorge? Das sind Angriffe mit der datentechnischen Schrotflinte. Viele Schüsse in Blaue, pro Schuss gehen 999 Kugeln daneben, aber eine trifft. Die Masse bringt dann den Profit. Bei PC-gestützten Infrastrukturen sind das im Moment die Verschlüsselungs-Trojaner, bei mobilgerätegestützten Infrastrukturen sind das die Abräumer von Konten kleiner Leute - dazu zähle ich mich auch.

Eine Überlebensweisheit von IT-lern ist: Gehe keine unnötigen Risiken ein, und die ausschliessliche Nutzung von Apps für Finanztransaktionen ist für mich ein unnötiges Risiko. Als Krediitkartennutzer bin ich Zwangsmitglied einer Solidargemeinschft und zahle deshalb über meine Kontoführungsgebühren die Entschädigung für die Dummheit anderer Leute mit, und das kotzt mich an. Das habe ich hier zu begründen versucht, bin aber nicht immer durchgedrungen. Formuliere ich zu unscharf ?

Als Beispiel nur zu einem einzigen der hier vorgebrachten Argumente:

Biometrische Authentifiziereng (Fingerabdruck, aber ich erweitere das mal um Augeniris Scan, Venenbahnen der Handfläche) sind sichere Verfahren. Nein, sind sie nicht. Jedes der Verfahren ist bereits geknackt worden, es liegen einfache Anleitungen für Amateure dazu in Netz. Einen Fingerabdruck zu bekommen ist supereinfach. Schon vor über 10 Jahren konnte man im Netz den Fingerabdruck von Wolfgang Schäuble downloaden - er hatte bei einem Empfang ein Bierglas angefasst, und ein Kellner hatte es an sich genommen. Mittlerweile geht es noch viel einfacher, auch kontaktlos aus mehreren Metern Entfernung. Ein Profiphotograf ist drauf gekommen. Er hat Angela Merkels Hand beim winken mit Tele aufgenommen und mit dem Foto rumgespielt. Beste Qualität. Jetzt muss man noch das Handy klauen oder finden, und man muss den Fingerabdruck per 3D-Drucker auf eine Latex-ähnliche Masse drucken, die man sich wie die Spitze eines Gummihandschuhs über den eigenen Finger stülpt. Ein bißchen Fettcreme drauf und wieder abgewischt, ein Rest bleibt kleben. Sowas kann jeder Simpel, wenn er sich einen 3D-Drucker kauft. Was der Schäuble damals alles so angefasst hat (Waffen z.B.) hat für viele Lacher im Netz gesorgt. Also behaupte hier niemand, der Fingerabdruckscanner seines Handys sei ein Sicherheitsfeature.

Das war nur ein Beispiel, stellvertretend für viele weitere. Es bleibt dabei: Zwei-Faktor-Authentifizierung auf nur einem einzigen Gerät ist Murks und Stückwerk. Man knackt ein Feature dieses Gesamtkunstwerks aus Gerät, App, und dazu gehörigem Übertragungsweg, dann das nächste, und schwupps hat man Zugriff auf das Konto. Um den zweiten Faktor braucht man sich überhaupt nicht zu kümmern, weil der nicht existiert. Deshalb dürfte der bevorzugte Angriffsweg auf ein Konto über den Handyzweig des Verfahrens laufen. Denn Handyuser sind dümmer und unvorsichtiger (Vorurteil, Urteil und Meinung, alles in einem). Kopflos wie eine Hammelherde.

Als Administrator eines Business-Netzwerks mit Client/Server Aufbau, oder auch nur als Admin eines Einzel-PCs, kann ich die Benutzer oft dazu zwingen, Dummheiten zu unterlassen. Die Härtung eines Netzwerks gegen Angriffe (Hardware, Betriebssystem, und Anwendersoftware), die Erstellung zwingender Gruppenrichtlinien usw. sind das tägliche Brot der Admins, sowas hab ich viele Jahre gemacht. Die deutlich höhere Sicherheit und Robustheit von Netzwerken und Einzel-PCs einfach außen vor zu lassen und zu versuchen die komplette 2FA auf ein einziges Gerät zu verlagern, ist nicht nur unklug sondern auch bodenloser Leichtsinn. Sowas wird zwar funktionieren, aber nie die gleiche Sicherheit haben wie eine echte 2FA. PC-User haben zwar mehr Knöpfe und Stellschrauben zur Verfügung, können aber kaum in so schneller Zeit einen solchen Riesenschaden anrichten wie es Handyuser können.

Ein paar Jahre vor meiner Rente habe ich dann noch den Einzug der Smartphones in die professionelle IT-Welt miterleben dürfen, Stichwort BYOD (Bring Your Own Device). Für jeden Admin ein Alptraum, schlimmer als einen Sack Flöhe hüten. Unsere Rückzugsgefechte: Die Notebooks von Aussendienstlern konnten nur noch mit von uns gehärteten Boot-DVDs genutzt werden, sonst gab es keine Verbindung ins Netz. Die Installation eigener Zusatzprogramme/Tools war unmöglich. Alle Mitarbeiter erhielten ein Diensthandy, die Benutzung eigener Geräte war verboten. Alles vergeblich, heute haben private Mobilgeräte einen festen Platz in der Berufswelt. Mitarbeiter werden nicht mehr per bcc-Adressfeld im Mailclient gemobbt, sondern per Whatsapp.

Diese Entwicklung finde ich einfach Kacke., deshalb habe ich mich weiter oben hier im Thread als Oldschooler bezeichnet. Es geht sooo viel an Sicherheit verloren, und dauernd muss ohne Sinn und Verstand rumgefrickelt werden. Die Abhängigkeit von Softwarelieferanten und Marketingtrompetern hat über die Jahre schleichend zugenommen. Wohlgemerkt, nicht die Abhängigkeit von den Programmierern, die sind selbst nur Opfer.

Ich habe wohl mehr datentechnische Notlagen erlebt als die meisten Forenmember hier. Auch persönlich war ich schon mal betroffen (social engineering traf auf Unvorsichtigkeit). Mit diesem Hintergrund wird die ausschliessliche Nutzung einer App für Geldgeschichten nie in Frage kommen. Jeder Admin muss sich im Beruf einen Wachhund-Instinkt antrainieren, wenn er erfolgreich sein will. Und hier fängt mein Köter an zu bellen. Völlig egal wie viele Einzelargumente jetzt noch kommen zu einzelnen Vorteilen von Apps. Das ist für mich nicht relevant, denn es geht mir um die benutzte Methode und deren Implementierung.

Ein Schmankerl in SQL zum Schluß:

SELECT * FROM users WHERE iq > 60;
0 rows returned

 

[Thai-S]

SELECT * FROM users WHERE iq > 60;
0 rows returned

Bist Du in der Tabelle auch gelistet?
Es gibt Leute die sich zu „Tode“ sichern. Das ganze Leben ist ein Risiko. Manchmal soll man halt die Kirche im Dorf lassen.
Sicherheit und Usability beißt sich oft. Aber Du übertreibst es. Es gibt in der Praxis mit Sicherheit mehr Fälle in denen bei 2FA mit SMS und PC Schäden entstanden als bei 2FA mit App-Authenticator auf einem Handy.
Deine theoretischen Ausführungen mit Tele und 3D-Printer sind vielleicht möglich, nur nicht in der Masse und Praxis. Der heutige Dieb agiert aus dem hintersten was weiß ich wo, aber nicht mit persönlichem Kontakt. Was heute nicht übers Internet geht ist einigermaßen sicher. Siehe auch Taschendiebstahl und Einbrüche. Diese oldschool Kriminalität lässt sehr nach.
Nenn mir bitte Fälle in denen die ein User mit 2FA-Auth. auf einem Handy einen Schaden auf seinem Konto erlitten hat. Bitte jetzt nicht die mit Vertrauensmissbrauch wenn z.B. der Partner auch einen Fingerabdruck-Zugang zum Handy hat und beim Ehestreit das Konto leer räumt. Darfst halt vor dem Ehestreit nicht vergessen den 2. Fingerabdruck zu löschen
Sicherheit muß nur richtig und vor allem wie vorgesehen angewandt werden, dann funktionieren die meisten Systeme. Der grösste Fehler im System sitzt immer noch vor dem Bildschirm.

 

[Pungparamee]

@Bitshock, @Thai-S wieder viele interessante Dinge durch euch erfahren und dazu gelernt. Dankeschön

Ich als Normalo habe als zusätzlichen Schutz Norten auf meinem Smartphone installiert und hoffe damit etwas besser abgesichert zu sein.

 

[Bitshock]

Damit das Ganze hier nicht zum Zwiegespräch verkommt, halte ich mich erstmal zurück. Mich interessieren auch die Argumente anderer Leute zum Thema.

Bist Du in der Tabelle auch gelistet?

Der war gut.

 

[Phyton]

Wer von euch kann auf dem Handy I/O Ports sperren (Ports bei iOS und Android, hihi und roflkopter).

Frage:

TCP Ports oder UDP Ports haben ja was mit dem TCP/IP Protocol stack gemäß RFC zu tun. Wenn ich ein Werkzeug/tool habe um dies zu konfigurieren müßte das doch bei IOS und Android genauso möglich sein wie an jedem anderen device - oder liege ich da falsch?

 

[Thai-S]

Frage:

TCP Ports oder UDP Ports haben ja was mit dem TCP/IP Protocol stack gemäß RFC zu tun. Wenn ich ein Werkzeug/tool habe um dies zu konfigurieren müßte das doch bei IOS und Android genauso möglich sein wie an jedem anderen device - oder liege ich da falsch?

bringt aber in diesem Fall relativ wenig. Oder willst Du Port 80 oder 443 sperren? Die meisten (schädlichen) Dienste laufen doch heute bereits über diese beiden Ports. Der Weg von außen ist sowieso zu.

 

[Phyton]

bringt aber in diesem Fall relativ wenig. Oder willst Du Port 80 oder 443 sperren? Die meisten (schädlichen) Dienste laufen doch heute bereits über diese beiden Ports. Der Weg von außen ist sowieso zu.

Alle Ports dicht, absolute Sicherheit 555.
Ne, meine Frage war rein technischer Natur. Mit TCP/IP kenne ich mich aus, IOS gar nicht, Android etwas besser als Userlevel. Beide kommen aus der Linuxwelt und nutzen TCP/IP.

Um was zum Thema zu schreiben, AMEX nutzt auch 2FA. Die Platinum ist meine primäre CC als Reserve noch ne Visa.
Wobei die Platinum sich nur lohnt, wenn man auch die Guddies nutzen kann. Dann relativiert sich die Jahresgebühr sehr schnell.

 

[savoy]

Darüber hinaus wollen sich alle Apps deutlich öfter als vergleichbare PC-Programme updaten. Verhindert ihr das erstmal und macht euch schlau, was jedes Update eigentlich vom Vorgänger unterscheidet? Wie wollt ihr erkennen, ob nicht per Update ein Schaf plötzlich zum Wolf wird, weil die Programmierer vor den Marketingleuten kuschen? Wie erkennt ihr und was macht ihr dann, wenn ein Angreifer den Update-Mechanismus des Anbieters kapert (oder den Google-Store austrickst) und plötzlich Schadcode ausgeliefert wird?

Ein Linux-PC aktualisiert sich fast täglich, weil regelmäßig Verbesserungen, Fehler oder Sicherheitslücken geschlossen werden.
Dass das für Windows deutlich seltener und für die Anwendungen ganz selten oder nie passiert, ist sicherlich kein gutes Zeichen.
Im Gegensatz zu einem (Windows)PC wo es keine zentrale Softwareverwaltung gibt, werden Android Apps vor Veröffentlichung überprüft. Schwarze Schafe werden aus dem Store entfernt. Aber es ist eher selten, dass Software auf ein mal mutiert und böse wird. Viel öfters werden Sicherheitslücken in produktiver Software ausgenutzt.

Auf meine Frage hin, ob mir ein solches Lesegerät (teuer, weil es zertifiziert sein muss, kein Billig-Chinateil) bei neuem Vertagsabschluß von der Bank gestellt würde, hat sie ganz ernsthaft und mit Bedauern mit "Nein" geantwortet.

Gestellt nicht, aber ab 6 €, bei manchen Kreditinstituten verbilligt.

Wichtiger Secure Enclave (trotzdem wäre ich mit App Sideloading etc. insb. bei Android vorsichtig) ...

Da muss aber genau so wie beim rooten der Nutzer aktiv eingreifen. Som nam na. Vermutlich werden 99,9% der Nutzer ihr Handy nie rooten noch Apps aus unbekannten Quellen installieren und falls doch, dann müssen die sich tatsächlich fragen, ob Banking-Software da noch sicher ist.

 

[wiwowa]

Mit der nötigen Vorsicht und einigen Kenntnissen kann man den Attacken von Skript-Kiddies weitgehend ausweichen.

Regel Nummer 1 wenn du denkst du wärst schlauer hast schon verloren ... Selbst Skript Kiddies tun teilweise sehr weh und von der organisierten Kriminalität will ich gar nicht Anfangen ... Geheimdienste etc. betreffen mich persönlich im Privatleben eher weniger ... naja außer die US Deppen und ihr Hang überall depperte Backdoors platzieren zu wollen .... Danke dafür liebe USA, das macht es den "Skript Kiddies" so leicht.

Die Chips werden maschinell und spanabhebend im Nanometerbereich abgeschliffen und die Leiterbahnen/Speicherzellen schichtweise freigelegt.

Das ist rum ... nicht mehr machbar mit aktuellen Strukturbreiten der Secure Enclave ... kannst gerne mal in Isreal nachfragen gehen. Insbesondere die Sachen die der CCC mal gemacht hat ... wie vergleiche ich das ... das war damals schon fast so wie mit nem Bagger ne Bierflasche zu öffnen, heute sind wir eher auf dem Nivea mit nem Fighter Jet bei Mach 2 einen Faden durch ein Nadelöhr in Bodenhöhe zu fädeln. Geht im Prinzip nur leider is das Risiko eines Fehlschlages dagegen immens und da es hier nicht mehr im irgendwelche Pay-TV Smartcards geht ... naja lassen wir das Thema. Der Angriffsvektor ist eher ... naja zunehmend rein theoretisch bei aktueller Technik.

und zu versuchen die komplette 2FA auf ein einziges Gerät zu verlagern, ist nicht nur unklug sondern auch bodenloser Leichtsinn.

Wird doch gar nicht gemacht, Du hast das Konzept nicht verstanden. 1. Faktor Device 2. Faktor Fingerabdruck/Pin/Face-ID .. diese sind/werden nicht durch das OS geschleust. Ich würde Dir ja gerne ein Schaubild malen, bin aber gerade zu Faul ehrlich gesagt. Aber in Einfach ... vertraust Du deiner EC-Karte? 1. Faktor Karte 2. Faktor Pin ... Secure Enclave auf dem Smartphone ist = Chip auf EC-Karte (nur besser/moderner) Pin EC-Karte = Pin/Face-ID/Fingerabdruck ... EC-Kartenterminal = der Rest des Smartphones inkl. Banking App ... Du gehst aktuell eher davon aus, dass die Smartphone Lösung quasi sowas wie der Magnet-Streifen wäre, nein ist es nicht! Ja auch mir wäre z.B. ein Yubikey als Key-Store mit integrierter Schlüsselerzeugung eigentlich lieber, am besten zwei Stück für Redundanz, aber das hat eben auch alles Vor und Nachteile UND die Nachteile überwiegen in der breiten Masse wohl die Vorteile.

Verschlüsselungen mit Schlüssellängen von mehr als 2048 Bit zu knacken

Die werden nach wir vor nicht geknackt, man verwendet immer einen Implementierungsfehler insbesondere Side-Channel Attacks .... (Außer das Thema Quantencomputer ist endlich ausreichend leistungsfähig, dann ist es rum) Bitte korrigiere mich hier mit Quelle falls ich eine Wissenslücke haben sollte, danke.

Gehe keine unnötigen Risiken ein, und die ausschliessliche Nutzung von Apps für Finanztransaktionen ist für mich ein unnötiges Risiko.

Warum hast dann in USA Online ein Stück Software mit einer Kreditkarte gekauft ? Die verstehst das Konzept noch nicht wie das mit den Schlüsseln in den Smartphones funktioniert, das ist alles. Würdest Du Dich damit mal intensiv beschäftigen würdest Du alles bis auf diese Methode und den physischen Gang zur Bank bleiben lassen, ernsthaft. "Verstehe ich nicht" = unsicher .. keiner von uns wird je alles Verstehen schon gar nicht in einer immer komplexer werdenden Welt, verstehst Du wie das ABS/ESP/etc. in deinem Auto inzwischen wirklich funktioniert? Wenn ja herzlichen Glückwunsch, ich nicht ... Wie viele Vorfälle zu Handy 2FA sind dir bekannt?

Für jeden Admin ein Alptraum, schlimmer als einen Sack Flöhe hüten. Unsere Rückzugsgefechte: Die Notebooks von Aussendienstlern konnten nur noch mit von uns gehärteten Boot-DVDs genutzt werden, sonst gab es keine Verbindung ins Netz.

Ja ja ... hat man damals so gemacht und früher hat man Autos mit einer Kurbel angelassen. Intelligente Leute haben sich jahrelang über genau solche Sachen aufgeregt und diese gelöst, sind die Lösungen alle elegant ? Nein sind sie nicht, aber man hat was gefunden womit man leben kann. So wenn Du aus dem Business kommst, dann kennst ja die guten alten RSA-Tokens am Schlüsselanhänger? Gut, die Secure Enclave am Smartphone ist das nur in besser, viel besser. Wenn es dich interessiert such mal nach CVE-2019-8900 das ist der mir bisher größte bekannte Exploit zum Thema Secure Enclave.

Alles vergeblich, heute haben private Mobilgeräte einen festen Platz in der Berufswelt.

Und weißt warum? Weil die IT verdammt noch mal das Business zu unterstützen hat und nicht als Selbstzweck zu existieren hat und ich bin durch und durch ITler, auch langjähriger Admin. User sind wie Wasser, sie suchen sich ihren Weg entweder Du schaust, dass Du es rechtzeitig vernünftig kanalisierst ... Dämme bauen hält es nur auf bis es überfließt oder der Damm bricht. Die IT könnte so schön sein, wenn wir keine User hätten ... nur leider würde uns dann auch keiner mehr die schönen Spielzeuge bezahlen.

als Oldschooler

Hau mich nicht ... es gibt Oldschooler und es gibt Leute mit veraltetem Wissensstand (der Dir in deiner Rente gegönnt sei). Die Kunst ist den Unterschied zu erkennen. Oldschool hat manchmal echt super Vorteile weil man angeblich "extrem komplexe Dinge" super schnell und einfach Old-School lösen kann. Ich erinnere mich da an eine Gelegenheit, da kam ich in ein Meeting und man hat darüber diskutiert wie man denn am besten einen Offline Task auf einem in einem RZ-verbauten Server durchführen könnte .... 2 stellige Anzahl Leute ... nach 45 Minuten hab ich dann mal als nicht zuständiger frech gefragt "Warum zieht ihr für die Zeit nicht einfach den Netzwerkstecker?"

Das ist für mich nicht relevant, denn es geht mir um die benutzte Methode und deren Implementierung.

Die Du bisher nicht verstanden hast, sorry das ich das sage aber es ist so. Du glaubst es verstanden zu haben, hast Du aber nicht weil Du es auf Basis von veraltetem Experten(!)-Wissen beurteilst. MDM ist gelöst worden zum Beispiel und Firmen die es richtig machen haben kein WhatsApp Problem (gut die haben andere, aber kein WhatsApp Problem). Frag doch mal deine Ex-Kollegen ob sie noch RSA-Hardware Tokens ausgeben oder Soft-Tokens mit App? Und lass Dir erklären warum die das sogar besser finden und nicht unsicher, dann gehst hoffentlich los, entschuldigst dich bei den Bank Leuten und installierst Dir die App ... hoffentlich nicht auf einem verbastelten billig Android, weil Du ja "IT-Experte" bist ......

Es ist schon lustig ... weißt auf der einen Seite hast deine eigenen User damals drangsaliert und nun verhältst Dich exakt genau so als User wie die gegen die Du "Rückzugfsgefechte" ausgekämpft hast ... Klugscheisserisch auf Basis von Halb-Wissen und machst Leute rund die einfach nur ihren Job machen (Bank)

Ich als Normalo habe als zusätzlichen Schutz Norten auf meinem Smartphone installiert und hoffe damit etwas besser abgesichert zu sein.

Gleich werd ich geschlagen, aber als "Normalo" der sich keinen Kopf machen willst kaufst nen Apfel, tauschst den alle 4 Jahre gegen die aktuelle Generation aus und benutzt es einfach. Stand heute kann man darauf vertrauen, dass Du direkt aus der Tagesschau/dem Farang/etc. erfährst wenn da irgendwas schief geht. Nein Apple ist nicht "besser", es ist schlicht weniger fragmentiert UND es wird quasi vom Großteil der vermögenderen in USA und Europa genutzt. Ob das gut ist? Es ist halt einfach so, früher war das mal ne Zeit lang Blackberry, heute ist es halt Apple.

SELECT * FROM users WHERE iq > 60;
0 rows returned

Aus Erfahrung kann ich sagen, die Chance zu scheitern war bei mir immer dann hoch, wenn ich mich für schlauer hielt als alle anderen ... Wahre Intelligenz ist es sich Veränderungen an zu passen und zu erkennen wenn man mal falsch lag. So aber da wir hier ja alle zu Dumm sind und Du gemäß deines Statements ja ebenfalls wäre es eigentlich sinnlos weiter zu reden.

Kreditkartendaten vom PC übers Internet per TCP/IP zum Zahlungsdienstleister, Rückübermittlung der SMS (des Freischaltcodes) aufs Smartphone. Daten, Transportweg, und Geräte sind also sauber voneinander getrennt.

Hach wäre die Welt nur so einfach ... Und noch mal Du hast das Konzept nicht verstanden und auch die Angriffsvektoren nicht. Wie hat man SMS gesicherte Transaktion real mal angeriffen ... ein Beispiel: Zahlungsdienstleister hat Kreditkartendaten nicht ausreichend gesichert, somit wurde Name, Nummer, ggfs. Adresse, Ablaufdatum und der tolle aufgedruckte Code irgendwann mal auf einer Liste im Darknet angeboten. Nun kauft sich einer diese Liste und eine Liste der Kundendatenbank von Rot-ist-Gut-Mobilfunk. Rot-ist-Gut-Mobilfunk bietet Multi-Sim an, nun ist unser freundlicher Kerl mit einem Kontakt gesegnet welcher es ermöglicht für Hans Meyer aus Duisburg eine Multi-Sim zu bestellen ... Hans Meyer hat sein Banking SMS Handy ausgeschaltet im Safe liegen und bekommt gar nicht mit, dass er keine SMS mehr bekommt und unser Freund geht einkaufen. Hans Meyer merkt es erst bei der nächsten Abrechnung oder wenn seine Karte im Laden nicht mehr geht ..... Herzlichen Glückwunsch. Hans Meyer hätte selbst nichts besser machen können ... oh doch ... er hätte 2FA mit dem Smartphone nutzen können .... wie es verdammt noch mal von wirklich jedem inzwischen als sicherste Lösung empfohlen wird. Aber nein Hans Meyer stürmt die Bank und macht die Dame in der nächsten Bankfiliale erst mal an wie das denn passieren konnte, die geht Abends heim, ihr Ehemann bekommt es ab und schwupps haben wir ein neues Forenmember der schreibt "Ich brauch dringend Urlaub in Thailand, ich halt es daheim nicht mehr aus, ist mir auch egal ob die 2000 oder 4000 wollen" ... aber nein Hans Meyer besorgt uns direkt auch noch einen Konkurrenten in Pattaya weil er auch noch den indischen Call Center Agent "Klaus" rund macht was Rot-ist-Gut-Mobilfunk denn für ein Scheißladen ist und "Klaus" darauf hin beschließt die durch "Multi-Sim-SMS-Umleitung" Gewinne in Pattaya an der Beach-Road in Pussy um zu wandeln .... danke Hans, Du machst die Preise kaputt Sei kein Hans, nutze

Wer von euch hat für den Mailverkehr auf dem Handy einen eigenen guten Spamfilter, und beim Surfen einen vernünftigen Werbeblocker? Wer von euch kann verhindern, dass irgendwelche Apps in Bereichen eures internen Speichers Daten hinterlegen, die ihr selbst nicht seht und an die ihr nie im Leben rankommen werdet? Wer von euch kann auf dem Handy I/O Ports sperren (Ports bei iOS und Android, hihi und roflkopter).

Hihi und ROFL-Kopter .... Welchen "internen Speicher" meinst Du ... kennst Du überhaupt die Konzepte wie auf Smartphones gespeichert wird? War zu deiner Zeit Applikations-Virtualisierung schon ein Thema? Hast Du im Ansatz eine Ahnung was auf deinem Windows (ich nehme an 7 weil 10 is ja sicher moderner Bullshit oder noch besser Linux) alles gemacht wird? Hast Du eine Ahnung was dein Toller browser mit der sicherlich installierten Ad-Block Extension schönes tut? So und wenn ich Ports sperren will am Smartphone, dann mache ich ein Wireguard VPN zu einem meiner Server auf und hau mir da eine gescheite Firewall rein. Im "Griff" habe ich das Smartphone nicht, Du deinen PC aber auch nicht, deine SIM-Karte hast Du auch nicht im Griff, nicht mal deine Kreditkarte. So und I/O Ports ... die schlimmsten macht man per Heißklebepistole und abschalten von Bluetooth/NFC zu ... TCP/IP Ports ... viel Spaß dann wird es halt z.B. huckepack auf den DNS-Packeten raus geballert.

So und ich beantworte mir jetzt mal meine ursprüngliche Frage selbst:
1. Du willst es nicht nutzen weil Du glaubst Du wüsstest es besser
2. Du willst es nicht nutzen weil "früher alles besser war"

Gestern zum erstenmal seit ewiger Zeit wieder benutzt, um ein Stück Software bei einer Ami-Bude zu lizensieren.

Warum bist eigentlich zur Bank gegangen und hast Dich dort beschwert, anstatt zu fragen in welchem Laden Du die Software auf einem physischen Medium kaufen kannst? Oder ob Du den Lizenz-Code nicht vielleicht per Geld im Umschlag schicken kannst, legst auch nen frankierten Rückumschlag bei.... Die Welt dreht sich weiter, entweder mitmachen und anpassen oder sich dem neuen Kram komplett verweigern.

Ne, meine Frage war rein technischer Natur. Mit TCP/IP kenne ich mich aus, IOS gar nicht, Android etwas besser als Userlevel. Beide kommen aus der Linuxwelt und nutzen TCP/IP.

Auf dem Gerät machst Du das am besten gar nicht ... mach ein (Wireguard) VPN auf und auf dem "Ziel" konfigurierst ne Firewall. Zum Beispiel zu einem Root-Server/VPS und da dann ganz normal. Gibt bei allen Geräten SW-Lösungen die keinen Split-Traffic zulassen und keinen Traffic zulassen wenn die Verbindung gekappt ist. Könnte man das bei iOS umgehen würdest das zeitnah breit in den Medien erfahren.

Da muss aber genau so wie beim rooten der Nutzer aktiv eingreifen. Som nam na. Vermutlich werden 99,9% der Nutzer ihr Handy nie rooten noch Apps aus unbekannten Quellen installieren und falls doch, dann müssen die sich tatsächlich fragen, ob Banking-Software da noch sicher ist.

Gerade die "Experten" sind hier besonders gefährdet .. deshalb der Hinweis ... der Rest hat keine Ahnung von rooten oder side-loading und ist potentiell eh sicherer. Gerade die Leute die sich über Sicherheitslücken aufregen haben oft genug Alternative Roms auf ihren Android Phones gehabt in der Vergangenheit (die meckern dann auch gerne über 2FA Apps, weil die auf rooted Devices oft genug nicht laufen, am iPhone btw ein klares und recht verlässliches Zeichen wenn die Apps nicht mehr gehen, dass das Telefon kompromittiert wurde inzwischen)

 

[Bitshock]

Nur ganz kurz zwischenduch zur Spezialfrage bezüglich Ports bei iOS und Android:

@ Python und @Thai-S:
Hier zeigt ein ganz ähnliches Dilemma wie bei der 2FA. Homeuser nutzen auch auf dem Mobilgerät die Security und die Ports, die per WLAN die Firewall des Routers bietet. Eine neue Situation entsteht ausserhalb der Reichweite des eigenen WLANs, dann ist man auf die Portregeln des Providers zurückgeworfen. Häufig stehen Handys dann nackig im Netz.

Auf dem Router zu Hause (besser noch: auf der Firmen-Firewall (separates Gerät an der Grenze zur DMZ)) kann man selbst - oder der Admin - einzelne Ports separat sperren. Auf jeden Fall gehört der Port 3389 sofort dichtgemacht.
Bei Firmennetzen kriegen dann aber mobile Aussendienstmitarbeiter Probleme, es sei denn.... Zwischenruf: "Stoppt um Himmels Willen den Bitshock, der argumentiert schon wieder ins uferlose!"

Weitermachen!

 

[wiwowa]

Homeuser nutzen auch auf dem Mobilgerät die Security und die Ports, die per WLAN die Firewall des Routers bietet. Eine neue Situation entsteht ausserhalb der Reichweite des eigenen WLANs, dann ist man auf die Portregeln des Providers zurückgeworfen. Häufig stehen Handys dann nackig im Netz.

Uff ... du weißt aber schon, dass deine FritzBox(?) nur NAT macht und erst mal keine richtige Firewall darstellt und Du im Prinzip bei IPv6 (was Du ja sicherlich ausgeschaltet hast, überall?) genau so nackt mit dem Arsch im Internet hängst. Von 4 over 6 will ich jetzt nicht auch noch anfangen. Aber SOCKS kennst noch oder, wie filtert das deine "Firewall", die wenn es keine Fritz!Box ist hoffentlich nicht von Cisco kommt ? UPnP is auch aus oder kam das irgendwann mal wieder rein?

 

[savoy]

Bei PC-gestützten Infrastrukturen sind das im Moment die Verschlüsselungs-Trojaner, bei mobilgerätegestützten Infrastrukturen sind das die Abräumer von Konten kleiner Leute - dazu zähle ich mich auch.

Also von Verschlüsselungstrojanern auf PC hört man häufig, aber von Abräumen von Konten bei Smartphone-Nutzung habe ich noch nicht gehört, will aber nicht ausschließen, dass ich es überlesen habe.

Biometrische Authentifiziereng (Fingerabdruck, aber ich erweitere das mal um Augeniris Scan, Venenbahnen der Handfläche) sind sichere Verfahren. Nein, sind sie nicht. Jedes der Verfahren ist bereits geknackt worden, es liegen einfache Anleitungen für Amateure dazu in Netz.

Also dazu musst du des Smartphones habhaft werden (Besitz) und dann irgendwie den Fingerabdruckscanner überlisten, also zumindest geht der Angriff nur vor Ort und nicht aus der Ferne – das ist schon eine große Hürde.

Es bleibt dabei: Zwei-Faktor-Authentifizierung auf nur einem einzigen Gerät ist Murks und Stückwerk. Man knackt ein Feature dieses Gesamtkunstwerks aus Gerät, App, und dazu gehörigem Übertragungsweg, dann das nächste, und schwupps hat man Zugriff auf das Konto. Um den zweiten Faktor braucht man sich überhaupt nicht zu kümmern, weil der nicht existiert.

Wenn dir ein Smartphone über den Weg läuft, wie kommst du an das Passwort und Fingerabdruck um den zu entsperren?

Deshalb dürfte der bevorzugte Angriffsweg auf ein Konto über den Handyzweig des Verfahrens laufen. Denn Handyuser sind dümmer und unvorsichtiger (Vorurteil, Urteil und Meinung, alles in einem). Kopflos wie eine Hammelherde.

und deshalb warnt das Bundesamt für Sicherheit in der Informationstechnik for Nutzung der smsTAN und empfiehlt stattdessen pushTAN auf dem Smartphone?

Als Administrator eines Business-Netzwerks mit Client/Server Aufbau, oder auch nur als Admin eines Einzel-PCs, kann ich die Benutzer oft dazu zwingen, Dummheiten zu unterlassen.

Die meisten Leser hier nutzen so eine Struktur für ihren Bank-Zugang

Wer von euch kann auf dem Handy I/O Ports sperren (Ports bei iOS und Android, hihi und roflkopter).

Auf einem Smartphone kannst du keinen Port öffnen. Danke, dass du den nächsten Vorteil gegenüber einem PC erwähnt hast

 

[Bitshock]

@wiwowa Sorry, zu spät gelesen. Dein Beitrag verdient auf jeden Fall eine Antwort, aber nicht mehr heute. Ich muss erstmal weg, und das Anschauen der Landschaft bereitet mir als Altem Sack mehr Freude als Gehirnakrobatik.
@savoy Deine Argumention bezüglich Ports läuft ins Leere.
Bis denne.....

 

[savoy]

@savoy Deine Argumention bezüglich Ports läuft ins Leere.
Bis denne.....

Ja, dann verbinde dich mal mit deinem Smartphone in deinem WLAN und scanne nach offenen Ports auf dem Smartphone. Wenn du keine findest, versuche welche aufzumachen – gute Nacht.

ein Beispiel: Zahlungsdienstleister hat Kreditkartendaten nicht ausreichend gesichert, somit wurde Name, Nummer, ggfs. Adresse, Ablaufdatum und der tolle aufgedruckte Code irgendwann mal auf einer Liste im Darknet angeboten. Nun kauft sich einer diese Liste und eine Liste der Kundendatenbank von Rot-ist-Gut-Mobilfunk. Rot-ist-Gut-Mobilfunk bietet Multi-Sim an, nun ist unser freundlicher Kerl mit einem Kontakt gesegnet welcher es ermöglicht für Hans Meyer aus Duisburg eine Multi-Sim zu bestellen ... Hans Meyer hat sein Banking SMS Handy ausgeschaltet im Safe liegen und bekommt gar nicht mit, dass er keine SMS mehr bekommt und unser Freund geht einkaufen. Hans Meyer merkt es erst bei der nächsten Abrechnung oder wenn seine Karte im Laden nicht mehr geht ..... Herzlichen Glückwunsch. Hans Meyer hätte selbst nichts besser machen können ... oh doch ... er hätte 2FA mit dem Smartphone nutzen können .... wie es verdammt noch mal von wirklich jedem inzwischen als sicherste Lösung empfohlen wird. Aber nein Hans Meyer stürmt die Bank und macht die Dame in der nächsten Bankfiliale erst mal an wie das denn passieren konnte, die geht Abends heim, ihr Ehemann bekommt es ab und schwupps haben wir ein neues Forenmember der schreibt "Ich brauch dringend Urlaub in Thailand, ich halt es daheim nicht mehr aus, ist mir auch egal ob die 2000 oder 4000 wollen" ... aber nein Hans Meyer besorgt uns direkt auch noch einen Konkurrenten in Pattaya weil er auch noch den indischen Call Center Agent "Klaus" rund macht was Rot-ist-Gut-Mobilfunk denn für ein Scheißladen ist und "Klaus" darauf hin beschließt die durch "Multi-Sim-SMS-Umleitung" Gewinne in Pattaya an der Beach-Road in Pussy um zu wandeln .... danke Hans, Du machst die Preise kaputt Sei kein Hans, nutze

Einfach nur köstlich dein Beispiel, aber absolut korrekt wiedergegeben

 

[wiwowa]

Ja, dann verbinde dich mal mit deinem Smartphone in deinem WLAN und scanne nach offenen Ports auf dem Smartphone. Wenn du keine findest, versuche welche aufzumachen – gute Nacht.

Sobald Du eine App installierst die welche aufmacht sind welche offen .. gibt ja sogar Web-Server für iOS inzwischen angeblich sogar im Background WorldWideWeb: Ein kleiner, kostenloser Webserver für das iPhone (muss ich mal testen ... könnte ganz nützlich sein ab und an)

 

[savoy]

Sobald Du eine App installierst die welche aufmacht sind welche offen .. gibt ja sogar Web-Server für iOS inzwischen angeblich sogar im Background WorldWideWeb: Ein kleiner, kostenloser Webserver für das iPhone (muss ich mal testen ... könnte ganz nützlich sein ab und an)

Dann hat der Nutzer aktiv dafür gesorgt und der Anwendungsfall Server auf Smartphone dürfte nicht sehr realistisch sein. Ich bezweifle auch, dass dieses Konstrukt über einen Mobilzugang funktionieren würde.

 

[Riva]

Interessanter Austausch und wie ich finde vor allem Dank @savoy und @wiwowa auch auf einem sehr guten Level.

@savoy sollte ein Angreifer die Mobilfunkdaten und die Bankdaten eines Opfers erlangen, um dann mit sehr viel Glück auch noch beide Authentifizierungsverfahren übernehmen zu können, dann ist das für mich aber eine Wahrscheinlichkeit im gleichen Promillebereich wie in dem von dir beschriebenen Düsenjet-Nadelöhr-Szenario. Mir sind Fälle z.B. in Afrika bekannt, in denen Socialmedia Accounts von Aktivisten, Journalisten, Oppositionellen durch abfischen auf technischer Ebene von SMS komprimittiert wurden. Da waren Geheimdienste und/oder Telcos involviert oder es wurde sehr teure Technik und KnowHow angeschafft.

Weil keine Technologie zu 100% sicher ist und auch nie war, geht es doch immer um Wahrscheinlichkeiten. Dafür setzt man z. B. in der IT-Sicherheit auf Threat Modeling. Der Versuch der Übernahme von zwei Faktoren (egal ob auf einem Gerät oder per SMS) wird nicht im großen Stil auf die gesamte Menschheit durchgeführt. Das ist enormer Aufwand der hohe Kosten erzeugt und deshalb muss es sich um besonders lohnenswerte "Opfer" handeln.

Ist man als lohnenswertes Opfer identifiziert, dann hilft einem auch nicht das neuste iPhone sich zu schützen. Siehe die zahlreichen erfolgreichen Pegasus Angriffe. Es gibt keinen Schutz, weil die ausgenutzten Sicherheitslücken ganz einfach unbekannt sind. Zero Day Attacks, sind meist sehr teuer und verlieren natürlich an Wert desto öfter sie durchgeführt wurden und forensich analysiert werden konnten. Ist ein interessantes Thema und ich empfehle dazu das Buch "This is how they tell me the world will ends", von Nicole Perlroth. Ich hatte das Buch vor dem russischen Angriff auf die Ukraine gelesen und die distopischen Vorhersagen, konnten sich zum Glück doch nicht so ganz bewahrheiten.

 

[elsa7]

Stimmt nicht ganz. Sondern an das Smartphone mit dem du dich angemeldet hast. Stichwort: IMEI

Und diese Aussage mache ich als absoluter Laie, was den IT Bereich angeht.

Im Falle WISE definitiv falsch. Der Bestätigungscode bei WISE wird an die in Deutschland, bei der Kontoeröffnunge angegebene, Handynummer verschickt. Anders ticken die bei der DKB und Barclay. Da hast wohl recht. Das funzt mit der Thai-SiM.

 

[elsa7]

SIM-Karte wäre doch nur relevant bei SMS-Zustellung, ansonsten reicht doch eine beliebige Internetverbindung für das registrierte Endgerät vollkommen aus.

----------------------

Noch mein Statement zu Euren unten aufgeführten Kommentaren. Ich kenne wirklich viele Programmierer und nahezu alle sind sind vernünftige, intelligente und gut ausgebildete Menschen. Sie setzen aber letztlich die Anforderungen um, die der Kunde (auch Fachseite oder Produktowner genannt) wünscht.

Und sie beraten auch, wenn es bessere technische Lösungen oder regulatorische Regelungen gibt, die dem Fachkonzept bzw. der Anforderung entgegenstehen. Am Ende entscheiden aber i.d.R. die Kunden und selten die Programmierer.

Wenn Manager und Entscheider dann Blödsinn entscheiden, dann ist das so, aber die Software ist "worked as designed"...

Klar, dass das Ärgerlich ist, aber beleidigt bitte nicht pauschal die Programmierer, wenn Euch etwas so nicht gefällt.
Gebt der Bank ein sachliches Feedback, das hilft allen.

@TomGerm... vergiss das Ganze einfach. Keiner frägt, keiner berät... keine Bank interessiert, aus eigner Erfahrung, die Belange der Kunden.. zumindest was das Thema dieses Beitrags betrifft. Auch ein Haus steht mit schiefen Mauer... btw. "worked as designed"