Tut mir leid das ich dich da enttäuschen muss... aber ich persönlich bin dann offenbar zu dumm, um hier mitzudiskutieren.

Tröste dich, ich auch.

aber wir könnten ja jezz mit wphg, 54ao, hks13, osp, skiss, bb3 und einigem anderen kontern
Fachchinesich hängt immer vom Level der Beteiligten ab und maxxy ist hier scheinbar ein wenig von uns entfernt.

supi, da kann ich dann auch mitmachen... wobei: meintest du 154ao ?
ach ja, bei bb3 bin ich als alter si-ler auch weg... *grins*

ops: ops: klar, aber maxxy hätte das nicht gemerkt ... :twisted: :twisted:

Ich auch, aber wir sind hier ja international

Finde es gut, dass maxxy hier mit uns auf hohem Niveau diskutieren will. Wäre gut, wenn du deinen Standpunkt nochmals versucht, in einfachen Worten zu erörtern.

Mit usw. meinst du aber nicht eine Host-Manipulation?

Gruß vom auch etwas ratlosen aber den maxxy-nicht-enttäuschen-wollenden ELDI-Man

P.S. Vielleicht kommst du heute Abend einfach mit ins Forum und versuchst es uns dort nochmal plausibel zu machen.

Danke... da könnte ich sogar mitmachen

Manchmal ist Fachchinesisch ja auch nötig und gewollt, man kann ja nicht jeden Sachverhalt auf das Niveau von 5jährigen runterbrechen. Aber man muss meiner Meinung nach auch ein bisschen Verständnis dafür haben, wenn sein Gesprächspartner nicht so tief in der Materie steckt. Meine "Fachgebiete" sind eben andere, und das sollte eben auch akzeptiert werden - was ja auch normalerweise hier wunderbar funktioniert. Und manchmal gilt auch für mich eben die Devise "Wer nicht fragt, bleibt dumm!" - woher soll ich es lernen, wenn sich keiner die Mühe macht es mir zu erklären? Irgendwann hat auch ein Fachmann mal am Anfang seines Wissens gestanden und musste sich durchfragen um zu lernen.

Danke für eure Unterstützung!

Also so einiges ist hier echt lächerlich ! Sorry wenn ich das so schreibe, aber einige scheinen echt die Problematik nicht zu begreifen !

Da ich sehr viel Kontakt zu den einzellnen Banken habe und deren Betreuer im Online Banking und auch zu den Rechenzentren, kann ich hier wohl ein wenih mehr Erfahrung mit reinbringen als einige andere !

Wenn ich höre das dauernt von ManInTheMiddleAttack gesprochen wird, dann muss ich echt schmunzeln ! Man Ihr habt doch echt keine Ahnung !

Bisher waren von 100% der Mißbrauchsfälle, die uns bekannt sind (von verschiedenen Banken, PostBank, Sparkasse etc.) 20% Phisching Fälle und 80% durch Trojaner !

Bisher ist uns kein Mißbrauch durch MITM Attacke bekannt !!!! Und wer sich mit dem Internetmedium auskennt, weiss wie aufwendig so eine ist !

Also haben wir mit Einführung der ITan 80% der Mißbrauchsfälle abgedeckt, durch ein weiteres, momentan stillschweigendes Thema, wird das Phishing auch bald der Vergangenheit angehören !

Also interessieren mich die 0,0001 % bei denen irgendwann mal eine MITM Attacke vorkommen sollte überhaupt nicht ! Denn was macht es für einen Sinn für zig Millionen Euro die Server umzubauen etc. wenn es so extrem minimal ist !

Natürlich nützt eine Desktop Firewall und ein Virenscanner etwas ! Natürlich sind diese nicht das Allheilmittel, aber diese nützen was !

Kleinvieh macht auch Mist ! Firewall, Virenscanner, ITan etc. das alles zusammen bringt Sicherheit !

Und wenn ich das hochtechnologische Geschwafel lese, das interessiert niemanden, da KEIN Hacker sich auf diesem Wege Geld beschaffen wird, weil es viel zu aufwendig ist !

Wir müssen uns hier im klaren sein, dass die Hacker Massenangriffe machen und so die Daten von Kunden bekommen ! Und daran muss was getan werden !

@MUpper: Was für ein Machtwort! :shock: Ahmst du unseren (Ex-) Kanzler nach?

Tja in Bonn wollten die mich nicht haben

Es ärgert mich halt einfach, wenn ich lese das die Banken nichts gegen eine MITM Attacke machen, dass die Sachen machen, die keinen Sinn machen etc. !

Wenn ich überlege, was wir für ein Geld dafür ausgeben, wenn ich überlege, was wir an ManPower in das Thema stecken ! Dann ärgern mich so Aussagen !

Auch wenn ich die Typen lese, die 3 Seiten Beschreibung und Fremdwörter nutzen, wie man Online Banking knacken kann ! Es behauptet niemand das es 100%tig sicher ist aber die Banken machen was ! Und gegen die absoluten Freaks, die sich ggf. in die Telefonleitung noch reinhängen etc. wird es niemals eine 100%tige Lösung geben, weil so Fälle 1mal in 200Jahren vorkommen !

Ich kenne mich auch in der Programmierung, im INet, unter Linux etc. sehr gut aus, habe damals Win95 Beta als Diskette installiert , deswegen ärgert es mich, wenn ein paar dahergelaufene im Fernsehen behaupten alles ist unsicher !

Man muss das alles mal in eine intelligente Relation setzen ! Und dies wird hier und im Fernsehen DEFINITIV NICHT gemacht !

Klar könnte einiges schneller gehen, die Banken schneller reagieren, aber wenn man mal versteht und sieht welche Apparatur dahinter steht, dann weiß man das man nicht grad mal schnell die ITan auf den Markt werfen kann !

P.S. @MUpper! Sorry das ich Sie enttäuschen muss ABER: 80% durch iTan fallen weg! = Diese Aussage ist nicht korrekt! Denn IT-Spezis haben jetzt schon aufgedeckt, dass dieses Verfahren zwar ein Fortschritt ist, jedoch "mit etwas mehr Aufwand" ebenso zu knacken ist. (Der "Angreifer" muss halt auf die Sek. genau die Daten abfangen) Schwer aber auf jeden Fall möglich!!!!!!!!

Das ist ja genau das was ich meine, diese ManInTheMiddle Attacke, die Du ansprichst, hat nichts mit den Trojanern zu tun, die TAN Nummern speichern und weiterleiten !

Dieser Fall, den Du ansprichst, wurde bisher NIEMALS nachvollzogen ! Bisher sind die TAN Nummern über Trojaner weitergeleitet worden ! Deswegen ist dieser Fall total uninteressant und uthopisch !

Das ist ja genau das, was ich oben versuchte zu erläutern !

Oder viel einfacher, der Phisher klaut iTANs von Postbank Kunden und erstellt sich damit per BANKING SOFTWARE statt per Webbrowser ein paar nette Überweiungen. :shock:

@MUpper!
Klar das generell die einfachsten/effizientesten Methoden genutzt werden,
sollte aber (was ich aber nicht glaube, da Social Engineering wohl immer irgendwie funktionieren wird) Phishing nicht mehr funktionieren, werden diejenigen auf das nächst mögliche Verfahren (wenn auch aufwendiger) zurückgreifen.
Möglicherweise MitM aber wohl eher Trojaner.

Gruß
Vader

Und genau gegen Trojaner ist das ITan Verfahren !

Nochmal, es wird niemals möglich sein das Online Banking 100% sicher zu machen, aber man muss es den Leuten auf jedenfall erschweren ! Und deswegen ITan, Phishing Mails "entfernen" etc.

@Mupper Dann liefer doch erstmal eine allgemein gültige Definition für Trojaner und MITM, bzw. wo genau die Abgrenzung liegt? Ist die Marketscore-Sache für dich schon MITM unabhängig davon ob erstmal ne böse Absicht dahinter steckte?

Danke! Du hast gerade bewiesen, dass Du zu der Kategorie Mensch gehörst, die eindeutig nicht versteht, wie man diskutiert. Das Einzige, was lächerlich wäre, ist keine Diskussion über solche Themen zu führen. Denn nur durch die wiederkehrende Diskussion wird es allen, die handeln müssen, wirklich möglich entsprechende Massnahmen und Verfahren zu entwickeln, um diese Welt ein klein wenig sicherer zu machen. Da nützen destruktive Äußerungen, wie Du sie hier anführst, rein gar nix.



Das lassen wir mal einfach so stehen und wenden uns mal den interessanten Aspekten Deiner Aussagen zu.



Das ist Stand heute mit Sicherheit richtig. Es wäre aber durchaus verblendet sich hier auf ein hohes Roß zu setzen und sich in Sicherheit zu wiegen. Ich glaube auch nicht dass das jemanden hier unbewusst war oder ist. Vielmehr hat man sich mit den Aussagen eines gewissen Red-Teams auseinandergesetzt. Und insbesondere mit der fehlenden Seriösität ihrer Aussagen. Schliesslich beziehen diese sich ja auf eine Schwachstelle, die wirklich jedem, der sich mit Sicherheit befasst, bewusst ist. Von daher war diese Medienmeldung über den Heise-Ticker untere Schublade und lässt eigentlich darauf schliessen, dass man hier nur Bekanntheitsgrad erlangen wollte.



Medium ist natürlich auch eine nette Bezeichnung So mal langsam: MITM Attacken sind keinesfalls aufwendig, und es ist durchaus möglich auch diese zu automatisieren. In den Quelltexten vom SDBot, rBot, rxBot findest Du Stand heute bereits Komponenten die dieses unterstützen und sogar auf entsprechende Keywörter reagieren. Also kann und will ich mich mit dieser Aussage nicht weiter auseinandersetzen. Sie ist nämlich - entgegen Deiner eigenen Auffassung - nicht fachlich qualifiziert und eine Fehleinschätzung. Ferner referenziere ich hier mal auf die Einschätzung von Kaspersky, Symantec und Co., diese sehen durchaus die Durchdringung von Trojanern, Viren und Würmern mit klassischen Angriffsmethoden. MITM ist eine solche.



Hättest Du nun gesagt: Die HEUTIGE Form von Phishing-Attacken, so hätte ich Dir recht geben können, so muss ich Dir wieder widersprechen. Probleme sterben nicht wirklich aus, wir werden unseren Teil liefern können diese zu erkennen und weitestgehend zu minimieren. Damit ist es aber auch getan. Denn schliesslich ist es so, dass wenn eine Hürde gesetzt wird, diese bereits in geringen Zeitabständen wieder umgangen wird.



Ich glaube Du minimierst das Problem um Dir selbst eine bestehende Umgebung schön zu reden. Wenn Du Erfahrung hast, weisst Du auch, dass IT-Sicherheit ein iterativer Prozess ist. Du wirst also ständig Geld ausgeben müssen, um Deinen Status im Bereich der Sicherheit an aktuelle Gegebenheiten und Entwicklungen anzupassen. Das ist aber nun mal so, schliesslich möchte man ja über den Draht entsprechendes Geld verdienen.

Von daher halte ich Deine Äußerung für viel zu flach.



Ich verstehe den Kontext von Firewall zu ITAN nicht wirklich. In der Betrachtung vermischt Du Technologien und Verfahren. Diese Betrachtungsweise ist nicht ausreichend. Wir reden hier doch über die Absicherung eines Verfahrens mittels Technologien. Wenn wir hier weiterreden, so stellen wir fest, dass bestimmte Technologien zur Absicherung des Verfahrens noch gar nicht zur Anwendung kommen. Ferner halte ich Desktop-Firewalls für unausgereift, diese verlangen einfachen Benutzern ziemlich viel ab. In größeren Umgebungen sowieso nicht zu bewältigen.

Aber im Punkt Kleinvieh durchaus Zustimmung. Besser etwas tun, als gar nix tun.



Das einzige Geschwaffel was ich hier lese, kommt hier und heute von Dir. Wenn Du nämlich nicht auf Computerbild-Niveau diskutieren willst, dann musst Du erst mal den Begriff Hacker durch Kriminelle ersetzen. (s/Hacker/Kriminelle/g) ... Hacker sind vollkommen was anderes und ich muss mich innerlich verweigern, solche Begrifflichkeiten im Kontext mit einem Verbrechen zu akzeptieren. Das Problem sind nicht Hacker, sondern Kriminelle. Ich hoffe dieses deutlich gemacht zu haben. Danke!



Die Fälle in letzter Zeit zeigen mir eigentlich genau das Gegenteil. Die Angriffe werden ausgeklügelter. Es werden Daten von Kunden abgegriffen und diese Kunden werden dann gezielte Opfer. Auch die Einschätzungen von Symantec in Form ihrer Veröffentlichungen, lassen diesen Schluß zu. Also wiege Dich mal nicht in der falschen Sicherheit, nehme bitte nur die gezielte Datenausspähung bei Firma Boeing in Form eines Trojaners, oder die Ermittlungen der britischen Behörden in Bereich eines Trojaners der gezielt an Behörden versendet wurde.

Ich glaube dass bei einer heutigen Ausbeute von vielleicht 15% in Form von automatisierten Angriffen, sich die Angreifer nicht mit diesem Stand zufrieden geben. Es ist damit Geld zu machen und gutes Geld, weil es teilweise immer noch zu leicht ist. Also sollte man das Thema ein wenig ernster nehmen.

Also hier mal ein paar "Klarstellungen!"



Ein Trojaner, welcher die PIN Nummer, sowie die TAN Nummer während einer Transaktion speichert, da dieser auf Wörter fixiert ist, ist für mich KEINE ManInTheMiddle Attacke !

Ein "Hacker, Dieb, Angreifer" der sich zwischen die Verbindung "stellt" und diese Live über Sniffer die Datenpackete abfängt und wiederum "gefälscht" an den bankserver weitergibt, ist eine ManInTheMiddle Attacke !

Dies mal zu den Formulierungen oder Ausführungen !

Eine solche Live Man In The Middle Attacke ist eine RIESEN Aktion und nicht ohne weiteres Möglich ! Zumal dies bisher nie passiert ist !

Das Trojanerproblem, ist definitiv DAS Problem was momentan schwierigkeiten macht ! Und dagegen MUSS aktuell vorgegangen werden ! Und dies machen wir mit dem ITan Verfahren !



Es geht mir einfach darum, dass manche die Threads nicht lesen, irgendwelche Antworten geben, die ich bereits 3mal aufgeführt habe und dise nochmal benennen ! Logischerweise bin ich jemand der gerne und viel diskutiert, denn nur aus konstruktiven Diskussionen kann man was lernen ! Aber es ärgert mich einfach, wenn dauernt irgendwas angesprochen und durcheinandergeworfen wird ! Nicht von Dir !



Danke





Klar werden alle Hürden umgangen ! Auch ITan wird in 1 oder 2 Jahren lächerlich einfach geknackt, gar keine Frage, aber was sollen wir machen ? Was bitte sehr ? Sollen wir ITan fallen lassen ? Nein wir machen ITan und forschen auch weiterhin was alles möglich ist !

Wir treffen uns alle 2 Monate mit einem Kremium von 13 Banken und externen Firmen die als Sicherheitsberater dienen und besprechen Informationen, tauschen info´s aus etc. ! Also was bitte sehr sollen wir noch machen ?



Naja die Aussage das wir das Thema nciht ernst nehmen, finde ich doch echt charmant ! Wie bereits oben ein paar mal beschrieben, geben wir unglaublich viel Geld für das Thema Sicherheit aus ! Und wir wissen auch, dass wir täglich aktuell sein müssen !

Was mich einfach aufregt an dieser ganzen "Diskussion" ist die Tatsache, dass wir als Banken so schlecht dargestellt werden ! Wenn ich selbst nicht im Sicherheitsauschuss wäre, würde ich vielleicht anders denken, so wie Du, aber ich weiss aus eigener Erfahrung wie viel ManPower ich und die anderen Kollegen in dieses Thema stecken ! Und aus diesem Grunde ärgern mich einige Aussagen hier und diese nehme ich dann "fälschlicherweise" persönlich !

Wenn wie 10Millionen Euro für 100%tige Sicherheit Ausgeben müssten, würden wir dies DIREKT olhne Wimpernschlag machen ! Aber leider gibt es diese nciht ! Wir forschen von Tag zu Tag, informieren uns, besprechen uns, holen Rat bei Drittfirmen und und und ! Dies wird aber NIRGENDS erwähnt, angesprochen oder gar gelobt ! Sowas ärgert mich und sowas nehme ich dann auch persönlich !

Wir wollen auch nur das beste für unsere Kunden ! Und deshalb machen wir alles Menschenmögliche ! Aber leider ist es bei diesem Thema nicht Möglich ! Man kann nur versuchen den Hackern es so schwer wie möglich zu machen ! Aber unmöglich wird dies niemals sein !

Ich finde man muss alle in Betracht kommenden Bedrohungen ernst nehmen.

Zu sagen Man-in-the-middle ist zu aufwändig, wird keiner machen reicht nicht. Immer versuchen einen Schritt voraus zu sein!

@MUpper: ein Post, indem jeder (!) Satz mit einem Ausrufungszeichen endet ist sehr schwer zu lesen...

Gruß
HL

Die einfachste Möglichkeit ist immernoch mit einer gefälschten Internetseite zu arbeiten und da gibt es doch verschiedenste Möglichkeiten, wie ich jemand auf diese Seite bekomme, aber auch genausoviele Varianten wie ich schnell/live oder auch gesammelt die Daten verwerten kann. Bleibt alles unabhängig von der Qualität, was über eine gefälschte Internetseite läuft, Phishing?

Eine gefälschte Internetseite, die in Echtzeit Daten verwertet und auch gezielt die korrekte iTan fordert, kombiniert mit einem Trojaner ala Wayphisher bleibt trotzdem nur Phishing?

Würde ich sagen "JA", da der Kunde erstmal auf diese Seite gelangen muss ! Und dies erfolgt nur über eine E-Mail. Zumindest wäre dies der einfachste weg. Also Phishing. Und was soll die Bank dagegen machen können ?

Irgendwie wird hier dauernt an dem Thema vorbei geredet, was ich sehr schade finde. Ich fragte nach Möglichkeiten, wie die Bank das Online Banking sicherer machen kann, da würde ich gerne Antworten drauf bekommen. Ich würde gerne Input haben, welche Maßnahmen eine Bank ergreifen muss.

Beispielsweise haben wir eine Firma beauftragt, die das Internet da Domains durchforstet, die ähnlich der unseren sind, um diese direkt abzuschalten. Sowas können wir machen und machen wir auch. Weiterhin gibt es eine Kommunikation mit E-Mail , was die Versendung von Phishing Mails angeht, hier wird auch sehr viel getan, aber es gibt nunmal Dinge gegen die wir machtlos sind. Leider. Und ich finde es sehr schade, dass es überall nur heisst die Banken machen nicht.......

PS: Alles ohne Ausrufezeichen ! *g*

Nope !
Der Kunde könnte auch ohne Phising auf dieser gefälschten Seite landen, wenn die hosts datei manipuliert wurde ("Pharming")

Gruß Vader