ct magazin.tv und c´t mit Thema: Homebanking

eben. genau das meine ich. Es hat mit der Sicherheit des Verfahrens nichts, aber auch nichts zu tun. Und wie die Daten übertragen werden tut hier nichts zur Sache. Ich habe dich wohl wirklich mißverstanden und geglaubt, du würdest dieses Protokoll selbst als Schwachstelle ansehen.
Was ich nicht verstehe: Warum stört dich das Protokoll überhaupt?
also das kann ich nicht nachvollziehen:

Gruß
Raimund

.."Schicht 8 und 9" ist wirklich klasse!

Meine Güte, regt Ihr euch über solche Halbwahrheiten auf !


Ja, es kann auch sein, dass dies ein Fall partieller Amnesie ist und es wirklich alles ganz anders war ... oder es gar keine GeldKarte war.

1. Zum Aufladen wird nicht nur der KCAM sondern mehrere 3-DES Schlüssel benötigt. Das 3-DES Verfahren ist unbestritten. Du kannst gerne mal ganz straffrei was von mir entschlüsseln
2. Die Übertragung der Buchungsdaten ist dadurch gesichert, dass jeder Satz bereits einen eigenen 3-DES MAC hat. Die Lesbarkeit des Protokolls ist daher irrelvant für eine geladene Karte. (Lest es ruhig, lesen bildet )
3. Die zitierten Schattensalden sind ein Feature für die Bundesbank, das bereits seit Bestehen des Systems 1996 existiert, aber was spielt das für eine eine Rolle bei einem Offline-Bezahlverfahren ?

Ich nehme daher an, dass der lizzard mit seiner blanko-Karte eine Basic-Card meint, in die man natürlich alles mögliche schreiben kann.

Das Laden der GeldKarte im Internet ist zwar mehrfach spezifiziert, wurde aber aus Kostengründen nie umgesetzt. Es wäre auch ein Laden im Homebanking möglich. Dafür müsste aber eine Verbindung zwischen dem HB-System und der Ladezentrale geschaffen werden.

Ich kann gar nicht nachvollziehen, wieso alle wünschen, eine physische Karte, die vorwiegend für den Einsatz an reell existierenden Automaten gemacht ist, unbedingt im Internet aufzuladen. Die überwiegende Zahl der Leute laden die Karte ja noch nichtmal beim Gang zum GA.

Wenn die Informationen, die signiert werden, länger als die 16 Zeichen sind, die auf so einem Mini-Display angeziegt werden können, bringt ein Klasse-3 Leser für Signaturen gar nichts.

Der hohe Preis ergibt sich daraus, dass diese Garäte kleine Computer sind mit Prozessor, Speicher, Anzeige und sogar signiertem nachladen der Software. Da kann der Leser kaum billiger werden! Der echt sichere Kartenleser des Fraunhofer-Instituts zum Signieren ist sogar ein echter kleiner PC . Da tuts auch ein alter PC, nur für Signierjobs. Also was solls... Die Signatur-erstellende Umgebung muss einfach sicher sein.

Die unglaublich teueren Klasse-3 Leser werden also immer nur für die Geldkarte verlangt, die je eigentlich mit 0,3% Entgelt ein für alle Beteiligten günstiges Zahlungsmittel sein soll. Das ist ein Dilemma. Auf die Gefahr hin, jetzt wieder eine Sicherheitsdiskussion loszutreten:

Es wäre aber auch eine Softwarelösung denkbar und möglich, da das Risiko im GAU sich ja auf den aufgeladenen Betrag der GeldKarte bechränkt. Hier könnte der Nutzer selbst seine Risoko-Kosten bzw. den Break-Even für den Kauf eines teuren Lesers bestimmen. :beerchug:

Hallo Ronald,


Sorry, da muss ich Dir wohl etwas widersprechen! Beim ersten Punkt hat sich Janus wahrscheinlich etwas unglücklich ausgedrückt. Vom Sinn sollte wohl folgendes dahinter stecken:
Eine Klasse-3 Leser ist für den Einsatz bei digitalen Signaturen nicht notwendig. Das wird sehr schnell deutlich wenn man den Sinn des Displays beim Klasse-3 Lesers sich anschaut. Im Display wird das angezeigt, was signiert werden soll (What you see is what you sign). Ein zehnseitiger Vertrag, der signiert werden soll, kann in diesem Display wohl nicht sinnvoll widergegeben werden.
Beim Zahlen im Internet kann man dagegen hier sehr sinnvoll den Empfänger und anschließend den Betrag anzeigen und bestätigen lassen.

Der höhere Preis ergibt sich sicherlich auch durch die zusätzlichen "Bauteile" im Vergleich zum Klasse 2 Leser. Der eigentlich hohe Preis ergibt sich aber ganz sicher nicht dadurch, dass hier extrem teure Komponenten verwendet werden, sondern schlicht und ergreifend dadurch, dass die Kartenleser nicht in einer Massenproduktion sondern nur in Kleinserien hergestellt werden können. (Bei den Klasse-3 Lesern kann man vermutlich fast von einer Einzelfertigung sprechen) Bei entsprechender Stückzahl würden die Preise sicherlich auch signifikant sinken können. Bis dahin wird es wohl nur sehr wenig Spielraum für Preissenkungen geben.

Gruß

Holger

ich bin nicht so tief im Thema - aber mir ist aufgefallen, dass es zumindest für den Reiner-SCT cyberjack (Klasse2) ein Update gibt, das in den Kartenleser hochgeladen wird. Ist das ein Betriebssystemupdate des Lesers oder sowas?

http://www.heise.de/newsticker/meldung/64965

"Im Vergleich zum Kreditkartenbetrug ist der finanzielle Schaden Branchenkreisen zufolge gering. Viele Banken sähen dies als hinzunehmenden Teil der Betriebskosten. Eine der ersten europäischen Banken, deren Kunden gezielt angeschrieben wurden, war die Postbank. Sie hat inzwischen auf ein System umgestellt, bei dem der Kunde die für einen Online-Banking-Auftrag erforderliche Transaktionsnummer (TAN) nicht mehr selbst auswählen kann. "Es wäre erstaunlich, wenn da kein Geld verschwunden wäre", sagte Martha Bennett, Research Director bei Forrester Research. "Systeme, bei denen die Nutzer die TAN-Nummer selbst aussuchen können, halten den heutigen Gegebenheiten nicht mehr stand"

Wäre schön wenn die c't mal die Tatsache erwähnen würde das die iTAN bei der Postbank ganz einfach ausgehebelt wird wenn man ein Bankingprogramm benutzt. Somit ist das iTAN-Verfahren bei der Postbank zumindest momentan ein Witz.

Gruß,
Vader

Es muss ja nicht zwingend die Software selber angegriffen werden... das ist etwas aufwändig, da es reichlich verscheidene gibt.

Wie wäre es mit nem simplen Keylogger, der funktioniert unviersell und kann nach Eingabe einer TAN mal eben die Verbindung unterbrechen...

Tada, gültige Zugangsdaten bei Standard PIN/TAN.

Fenstertitel auslesen, meisstens steht da doch was von PIN und/oder TAN drin *g*



Das würde ich trivialerweise einfach über Trennen der Verbindung lösen.

lt. Heise sind mehr als 50 Prozent der aktuellen Banking-Angriffe auf Malware zurückzuführen. Und afaik gibt es schon entsprechende Keylogger, die genauso funktionieren, wie Cap schreibt. Das ist wohl inzwischen keine "Produktstudie" mehr..

lol, die Beschreibung, wie du das machst, findest du in der aktuellen ct. Liegt ab heute am Kiosk.
Die Artikel sind übrigens imo gar nicht so schlecht. Ich habe sie zwar erst oberflächlich gelesen, aber im Gegensatz zu dem sonst üblichen Unsinn ist das wirklich erholsam.