3. Juni 2010

Random Stuff – 10

Category: Hacking,Internet,Produkte — Christian @ 19:41

Kommunikation mit der Bank wird immer gefährlicher. Weder Internetbanking noch Geldautomaten sind noch ausreichend sicher. Aber egal, das Risiko trägt ja bekanntlich der Kunde.

BSI-zertifizierter Kobil Kartenleser gehackt

Tja, si eine BSI-Zertifizierung ist auch nicht mehr das, was sie nie war. Der Kobil SecOVID Reader III, der vom BSI für den Einsatz nach dem strengen deutschen Signaturgesetz (SigG) zugelassen wurde, kann mit einer fremden nicht signierten Firmware geflasht werden. Und schon hat sich die Sicherheit erledigt. Und sehr schön, das Problem wurde nicht allgemein bekannt gemacht, weil es sich um „eine überschaubare Kundengruppe“ handeln soll und die die Anwendungen für Geldkarte, HBCI und Secoder nicht von der Lücke betroffen seien. Stimmt zwar nicht aber klingt besser und beruhigt die Homebanking-Kunden die ja für den Schaden haften, wenn was schiefgeht.

Mehr Geldautomaten werden manipuliert

Das Abheben von Geld am Geldautomat wird dafür auch immer unsicherer. Das BKA warnt mal wieder vor Skimming, d.h. manipulierten Geldautomaten um Kartendaten und PIN abzugreifen. „Als normaler Kunde kann man eine Manipulation im Grunde nicht erkennen“, sagte BKA-Präsident Jörg Ziercke. Und: „Viele Banken würden die Manipulationen nicht melden, weil sie sonst um ihre Reputation fürchteten“. Na toll. Aber laut AGB haftet eh der Kunde.

OCSP rettet uns auch nicht

Und für das gewöhnliche Internet-Banking gibt es auch beruhigende Nachrichten für den bösen Hacker. Das Online Certificate Status Protocol (OCSP), das vom Browser verwendet wird um die Gültigkeit von SSL-Zertifikaten zu verifizieren kann geschickt manipuliert werden. Dazu erklärt man dem Browser über eine OCSP-Statusmeldung einfach, der Server sei überlastet und der Browser solle es später nochmal probieren. Das Standardverhalten der Browser ist dann, das Zertifikat halt solange anzuerkennen.

Mobile Banking bedroht

Und für die Freunde von Mobile Banking oder Mobile TANs  gibt es zum Schluß noch den Hinweis, dass zumindest im Android Market bereits eine Applikation aufgetaucht ist, die Bankzugangsdaten ausspähen sollte. Ich denke wir werden noch viel mehr in diese Richtung erleben.

Ich sollte mir mein Gehalt vielleicht wieder bar auszahlen lassen 🙂

2 Comments »

  1. Skimming nimmt immer mehr zu und wird immer rafinierter – die Ermittlungsbehördern jammern über die Flut der Vorfälle, und die Kunden sind aus Sicht der Banken zunächst sowieso schuld. Den Frust über diese Misere habe ich mir die Tage auch schon von der Seele geschrieben. Allgemein mangelt es sämtlichen Bezahlsystemen an Sicherheit… oder kennt jemand auch nur ein System, das ansprechend sicher ist?

    Comment by Stefan — 3. Juni 2010 @ 21:29

  2. Danke für den Link. Nur den letzten Satz sehe ich prinzipiell anders. Natürlich mangelt es allen mir bekannten Bezahlsystemen mehr oder weniger an Sicherheit. Nur, das ist mir völlig egal, WENN der Betreiber des Systems das Risiko übernimmt.

    Mein Beispiel ist immer, dass das Bezahlen mit Kreditkarte unverschlüsselt im Internet weniger gefährlich ist als mit der EC-Karte und PIN-Eingabe in einem deutschen Supermarkt. Wenn im ersten Fall etwas schief geht (was relativ wahrscheinlich ist) haftet nach AGB in praktisch allen relevanten Fällen die ausgebende Kreditkartenfirma. Im zweiten Fall (was zugegeben recht unwahrscheinlich ist aber es sind schon POS-Terminals kompromittiert und originalverpackt aufgetaucht) hafte ich als Nutzer obwohl ich KEINE Möglichkeit habe, die Sicherheit zu kontrollieren.

    Wir brauchen nicht mehr verordnete Sicherheit, wir brauchen einfach nur eine veränderte Haftung für auftretende Vorfälle. Und keine Sorge, den Banken fällt dann ganz schnell was sicheres ein.

    Comment by Christian — 3. Juni 2010 @ 22:55

RSS feed for comments on this post.

Leave a comment

XHTML ( You can use these tags):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> .