-->Wenn ich mal kurz zusammenfassen darf, was ich bei Tassie gelernt habe:

Unwahrscheinlich, dass jemand E-Gold mein Passwort entrissen hat.

Ebenso unwahrscheinlich, dass es bei London Gold Exchange geschehen ist.

Mein Computer war trotz Norton Anti-Virus eine offenes Buch für jeden Profi.

Deswegen ist auch egal, wie viele Passwörter ich habe, wenn man sie alle auf der Festplatte wiederfinden kann. Wahrscheinlich existiert sogar eine Zeigervariable in Verbindung mit jedem Passwort auf den jeweiligen Browser/Internetseite, sei es zu E-Gold, sei es zu LGE. Es ist übrigens gerade eben wieder vorgekommen, dass das Passwort im Browser von LGE eingetragen war, allerdings das alte, mit einer weit kürzeren Zeichenlänge. Seltsamerweise wurde nach der Passwortänderung nicht das neue auf der Festplatte gespeichert. Es erschien ein Hinweis, dass das neue Passwort für den Zwischenspeicher zu lang sei. Das selbe ist vor drei Monaten beim Aufrufen des E-Dinar-Browsers passiert, auch nach dem Ändern des Passwortes in ein längeres. Wahrscheinlich hat ein Trojaner extra einen String von 6 Zeichen vorgesehen gehabt.

Möglicherweise war der Besuch des Internetcafés die fatale Lücke, was erklären würde, warum nur zwei von drei Konten geplündert wurden, abgesehen davon, dass das Konto einer Verwandten, was auch von meinem PC verwaltet wird, ebenfalls verschont geblieben ist. In der besagten Ã-rtlichkeit habe ich nämlich nur die geplünderten Konten eingesehen.

Das Sicherheitskonzept von E-Gold betrifft nur E-Gold selbst und die juristische Unangreifbarkeit der Firma. Der Kunde wird nicht über Smartcard-Technologie in das Sicherheitskonzept einbezogen.

Ich hatte gestern mit einem englischen Freund, einem Notar, telefoniert. Seine Sozietät bewerkstelligt keine Überweisung ohne Smartcard. Und bei vielen Transaktionen müssen 3 Notare gemeinsam ihre Karte in den Leser einstecken.

Ich hatte gestern auch eine Unterhaltung mit einem französischen Reserveoffizier, der auch kürzlich in der IT-Branche arbeitslos geworden ist. Für ein wenig Sold ist er für einen Monat bei der elektronischen Aufklärung eingerückt. Er will mein System mit Spyware analysieren. Wir redeten auch über Smartcards. Er meinte, dass auch das unterwanderbar sei, weil die Leser am Ausgang eine Pulsfolge herausgeben, die man doch eine einlesen kann. Wenn ein Trojaner den Pulsgenerator im PC so einstellt, dass das Signal das Kartenleserausgangssignal simuliert, dann kann man diese Sicherheit auch so austricksen.

Ich dachte mir, dass die Leser vielleicht mit Pseudo-Zufallszahlensequenzen arbeiten. Der Kartenleser und der Empfänger bei der Bank sind entsprechend synchronisiert, so, dass die Initialisierung der Pseudozufallssequenzen identisch ist. Um zu verhindern, dass es immer mit derselben Zahlenfolge losgeht, kann die Initialisierung an die Uhr gekoppelt sein.

So etwas kann man nur austricksen, wenn man die Hardware des Zahlengenerators genau kennt. Man müsste den Chip zerstörungsfrei analysieren, was schwer wäre, wenn der Zahlengenerator in einen anderen Chip integriert wäre. Dafür bräuchte man schon ein super Labor und ein Hacker käme hier nicht weiter. Wenn die Smartcardleser aber determinierte Signale herausgeben, mit immer denselben Sequenzen, dann kann man auch diese Hürde umgehen.

Ich denke Reinhard, alles das war keine Reklame für E-Gold, denn die Mindestvoraussetzung SMART CARD steht nicht zur Verfügung. Und ist denn Dein Rechner sicher? Hast auch Du nicht schon Transaktionen von Hotels in Dubai aus vorgenommen?

Auf diesem Hintergrund betrachtet ist der Unterschied zwischen Dir und mir derselbe wie bei zwei Schwuchteln und Aids, den einen trifft’s, den anderen nicht.

Ich werde die entsprechenden Konsequenzen ziehen, Du auch?

Gruß,

Theo

-->

-->... etwas damit zu tun. Oder er kann mit Logfiles aufwarten. Außerdem kann auch ein Besucher auf den Internetterminals Trojaner installieren, wenn die schlecht konfiguriert sind, ich tippe mal drauf, dass es aus einer dieser Ecken kommt. Vielleicht ist ja Herr Hirsch dort noch zugange. Informier mal die Bullen von deinem Verdacht. Zumindest könnte man checken, ob ein Trojaner auf dieser Kiste läuft. Und beeil dich damit, denn je weniger Zeit vergeht desto wahrscheinlicher gibts die Logfiles noch. Meine wurden damals immer nur 4 Wochen aufgehoben, weil sonst extrem viel Datenmüll anfiel.

Möglich ist aber auch ein Zufallstreffer, im Internetcafe sollte man immer schauen, dass die Optionen so eingestellt sind, dass die Passwörter nicht gespeichert werden, bzw. sie löschen, wenn man fertig ist.

Und vielleicht sollte man Konten, die keine TAN haben, generell nicht nutzen, wenn der Betreiber nicht bereit ist, Mindestsicherheitsstandards einzuhalten hat er halt Pech und wenig Kunden.

MfG
igelei

-->Lieber Theo,

eine einfache und billige Lösung zur Erhöhung der Sicherheit hat z.B. Swissquote für seine online-Kunden gewählt:

Zusätzlich zur Eingabe von Benützername und Passwort muss vorab das Passwort ein zweites Mal (nicht speicherbar) eingegeben werden. Das erhöht aber die Sicherheit nur geringfügig.
Zum Einloggen wird dann ein zweistelliger Code vorgegeben, mittels welchem Du auf einer Dir per Post zugestellten Zahlentabelle die durch den Code vorgegebene Zahlenkombination findest, welche dann ein definitves Einloggen ermöglicht.

Zugegeben, das wäre auch zu Knacken, aber nur mit unvergleichlich grösserem Aufwand.

Die Smartcards, oder auch die Coderechner (z.B. bei UBS), die jedesmal aus einer Zahlenvorgabe einen neuen Code errechnen, wären schon noch besser, aber erheblich teurer.

Wenn ich daran denke, dass ich vor Jahren I-Banking mit Windows 95, IE 3.0 und auf dem Computer abgespeicherter TAN-Liste betrieben habe - da hatte ich mehr Glück als Verstand gehabt...

Gruss,
BillyGoat

-->Seltsam nämlich, dass Zeichenketten von 6 Zeichen immer wieder in die Logins der jeweiligen Browser beschrieben werden.

Da hat jemand Speicherplatz auf der Festplatte für exakt 6 Zeichen alloziert.

Jetzt habe ich längere Passwörter und es wird sofort moniert, dass die zu lang für den reservierten Speicherplatz sind? Seltsam, seltsam!

Trotzdem nimmt der Browser die langen Passwörter an und ich kann mich normal einklinken, nur, der Trojaner kann sie mit 6 Zeichen nicht mehr korrekt mitschreiben.

Ich werde meine Festplatte nicht neu formatieren. Jetzt wo das Gold weg ist, werde ich den Trojaner drauflassen, bis ich ihn habe.

-->

-->Hallo Theo

eine echte Scheiße was Dir da passiert ist.
Bist Du sicher daß es vielleicht nicht doch noch eine Möglichkeit gibt?
Am Anfang hattest Du doch auch Probleme mit den Ãœberweisungen wenn ich mich recht erinnere.
Ich vertraue bei Gold noch nicht mal mir selbst;-))
Zumindest muß ich immer die Hand direkt drauf haben.
Alles muß im sofortigen Zugriff sein weil es sonst zu spät sein könnte.

Gruß EUKLID

-->

-->... stelle zum Internet und logge mal jeden Datenverkehr mit (nach Neustart, falls die Kontaktaufnahme so gestartet wird). Vielleicht findest du eine IP oder Mailadresse heraus, wenn der Trojaner nach Hause telefoniert. Manche Scriptkiddies sind ziemlich blöd.
Wenn du eine IP herausfindest, mach mal ein tracert drauf und notiere Zeit und alles was da steht.

MfG
igelei

-->Aber Internetbanking bei normalen Banken ohne Smartcard ist genauso beschissen.

Mich hat die Idee fasziniert. Über Sicherheitsrisiken war ich mir im klaren und ich horte sonst nur Münzen. Ich wollte mir nicht vorwerfen lassen, ich würde nur schwarz sehen. Wäre ich dabei geblieben, ich das Gold noch. Ich hatte nämlich fast 2 Jahre keinen Pfennig mehr bei E-Gold.

Das Geld, das mir gestohlen wurde, war eigentlich zur Konvertierung in islamische Golddinare bestimmt, die ich verkaufen wollte.

Das ist jetzt gestorben.

Aber den Typen erwische ich.

Ich lasse den Trojaner auf der Festplatte, mein Geld ist ja weg. Dann werden die Datenblöcke zurückverfolgt, bis ich ihn habe.

Gruss,

Theo

-->Ich hoffe, Freunde können mir helfen!

-->Lieber Theo,

ich war nie in Dubai - wie kommst Du darauf.

Im übrigen denke ich, dass die Sache wahrscheinlich viel simpler ist, als die komplizierten Überlegungen, die Du und Tassi jetzt anstellen (Hackerangriff, Firewall, Virenschutz etc.).

Hast Du mal Deinen Passwort Manager überprüft? Dort kannst Du festlegen, welche Passwörter vom Computer gespeichert und automatisch eingesetzt werden. Wenn Du bei LGE automatisch vom Computer eingeloggt wirst, dann hast Du halt den Schlüssel zum Tresor dem Computer übergeben. Wenn Du Pin und Tan Nummer auf dem Geldautomaten liegen lässt, kannst Du dem Automaten kein Vorwurf machen, wenn jemand damit Geld abhebt. Wenn z.B. auf der Machine im Internetcafe der Passwortmanager aktiv war, kann jeder dort anschliesend Deine Passwörter aufrufen.

Hast Du denn über die Identität des Clinton Hirsch etwas herausgefunden?

Im übrigen ist das Sicherheitsproblem für alle Internetzahlungen gleich. (bei Kreditkarten gibt es viel größere Probleme). Es gibt mittlerweile auch in der Goldökonomie bessere Lösungen (Pecunix z.B.), aber e-gold funktioniert auf alle Fälle schon besser und sicherer als Kreditkarte. Ich benutze jedenfalls lieber e-gold als Kreditkarte und werde die Karte jetzt ganz kündigen. Was hältst Du denn für besser und sicherer bei Internetzahlungen?

Gruß
R

-->Wenn ich mal kurz zusammenfassen darf, was ich bei Tassie gelernt habe:
>Unwahrscheinlich, dass jemand E-Gold mein Passwort entrissen hat.
>Ebenso unwahrscheinlich, dass es bei London Gold Exchange geschehen ist.
>Mein Computer war trotz Norton Anti-Virus eine offenes Buch für jeden Profi.
>Deswegen ist auch egal, wie viele Passwörter ich habe, wenn man sie alle auf der Festplatte wiederfinden kann. Wahrscheinlich existiert sogar eine Zeigervariable in Verbindung mit jedem Passwort auf den jeweiligen Browser/Internetseite, sei es zu E-Gold, sei es zu LGE.

Ehe Du komplizierte Überlegungen über Sicherheitslücken anstellst, würde ich einfach mal an das Naheliegenste denken.

Es ist übrigens gerade eben wieder vorgekommen, dass das Passwort im Browser von LGE eingetragen war, allerdings das alte, mit einer weit kürzeren Zeichenlänge. Seltsamerweise wurde nach der Passwortänderung nicht das neue auf der Festplatte gespeichert. Es erschien ein Hinweis, dass das neue Passwort für den Zwischenspeicher zu lang sei. Das selbe ist vor drei Monaten beim Aufrufen des E-Dinar-Browsers passiert, auch nach dem Ändern des Passwortes in ein längeres. Wahrscheinlich hat ein Trojaner extra einen String von 6 Zeichen vorgesehen gehabt.

Hast Du in Deinem Internet Explorer Auto-Vervollständigen von Paßwörtern (Extras - Internetoptionen - Inhalte - AutoVervollständigen - Benutzernamen und Kennwörter) aktiviert?

Möglicherweise war der Besuch des Internetcafés die fatale Lücke, was erklären würde, warum nur zwei von drei Konten geplündert wurden, abgesehen davon, dass das Konto einer Verwandten, was auch von meinem PC verwaltet wird, ebenfalls verschont geblieben ist. In der besagten Ã-rtlichkeit habe ich nämlich nur die geplünderten Konten eingesehen.

Genau das dürfte der wahrscheinlichste Weg gewesen sein. Was Du von einem öffentlichen Terminal aus tust, kann im Prinzip hinsichtlich jedes Tastendrucks protokolliert werden. Im Grunde genommen ist es so, als wenn Du eine herkömmliche Überweisung ausschreibst und die Durchschrift (mit Kontonummer und Deiner Unterschrift) öffentlich zugänglich liegenläßt. Es muß damit kein Mißbrauch betrieben werden, aber es kann.

Das Sicherheitskonzept von E-Gold betrifft nur E-Gold selbst und die juristische Unangreifbarkeit der Firma. Der Kunde wird nicht über Smartcard-Technologie in das Sicherheitskonzept einbezogen.
>Ich hatte gestern mit einem englischen Freund, einem Notar, telefoniert. Seine Sozietät bewerkstelligt keine Überweisung ohne Smartcard. Und bei vielen Transaktionen müssen 3 Notare gemeinsam ihre Karte in den Leser einstecken.
>Ich hatte gestern auch eine Unterhaltung mit einem französischen Reserveoffizier, der auch kürzlich in der IT-Branche arbeitslos geworden ist. Für ein wenig Sold ist er für einen Monat bei der elektronischen Aufklärung eingerückt. Er will mein System mit Spyware analysieren. Wir redeten auch über Smartcards. Er meinte, dass auch das unterwanderbar sei, weil die Leser am Ausgang eine Pulsfolge herausgeben, die man doch eine einlesen kann. Wenn ein Trojaner den Pulsgenerator im PC so einstellt, dass das Signal das Kartenleserausgangssignal simuliert, dann kann man diese Sicherheit auch so austricksen.
>Ich dachte mir, dass die Leser vielleicht mit Pseudo-Zufallszahlensequenzen arbeiten. Der Kartenleser und der Empfänger bei der Bank sind entsprechend synchronisiert, so, dass die Initialisierung der Pseudozufallssequenzen identisch ist. Um zu verhindern, dass es immer mit derselben Zahlenfolge losgeht, kann die Initialisierung an die Uhr gekoppelt sein.
>So etwas kann man nur austricksen, wenn man die Hardware des Zahlengenerators genau kennt. Man müsste den Chip zerstörungsfrei analysieren, was schwer wäre, wenn der Zahlengenerator in einen anderen Chip integriert wäre. Dafür bräuchte man schon ein super Labor und ein Hacker käme hier nicht weiter. Wenn die Smartcardleser aber determinierte Signale herausgeben, mit immer denselben Sequenzen, dann kann man auch diese Hürde umgehen.
>Ich denke Reinhard, alles das war keine Reklame für E-Gold, denn die Mindestvoraussetzung SMART CARD steht nicht zur Verfügung. Und ist denn Dein Rechner sicher? Hast auch Du nicht schon Transaktionen von Hotels in Dubai aus vorgenommen?

Sicherlich alles irgendwie bedenkenswert. Ich frage mich aber auch, wie hoch in diesem Bereich eigentlich der Anteil der Internet-Betrügereien ist, verglichen mit dem Anteil von Mißbrauch auf ganz altertümliche Weise (gefälschte Unterschriften und Faxe usw.).

Auf diesem Hintergrund betrachtet ist der Unterschied zwischen Dir und mir derselbe wie bei zwei Schwuchteln und Aids, den einen trifft’s, den anderen nicht.

Diese häßliche Bemerkung hättest Du Dir auch sparen können.

-->Hallo Theo,

Folgend ein Link, wo Du Spybot herunterladen kannst. Der findet fast immer irgend einen Müll der sich eingenistet hat. Die Webseite ist sicher und ich habe nur gute Erfahrungen mit der Software gemacht. Die Software ist übrigens kostenlos. Das Updaten nicht vergessen.

Ich glaube aber, dass das Speichern der Passworte und Kennungen zu Deiner Misere geführt hat.
Ich rufe NIEMALS solche Intimen Seiten wie e-gold von externen Rechnern ab die nicht absolut vertrauenswürdig sind. z.B: Im Ausland, z.B. nutze ich schon mal den Rechner eines sehr guten Freundes. Ich weiss wie gross die Versuchung und manchmal die Notwendigkeit ist vom Internetcafe was abzurufen. Das fällt mir schwer, aber ich halts durch.
Was ist wenn z.B. im Internet Cafe eine kleine Webcam installiert ist und alles filmt inklusive Passworteingabe??? Das ist wie die Tricks beim EC Automaten, nur dass die Betrüger dann nicht einmal Deine EC-Karte brauchen!

Hast Du schon Anzeige erstattet???

liebe Grüsse und gutes Vorankommen

Silver_Bullet







<ul> ~ http://security.kolla.de/</ul>

-->>Wenn ich mal kurz zusammenfassen darf, was ich bei Tassie gelernt habe:
>Unwahrscheinlich, dass jemand E-Gold mein Passwort entrissen hat.
>Ebenso unwahrscheinlich, dass es bei London Gold Exchange geschehen ist.
>Mein Computer war trotz Norton Anti-Virus eine offenes Buch für jeden Profi.

Hi Theo,

ja, so schauts aus.

>Deswegen ist auch egal, wie viele Passwörter ich habe, wenn man sie alle auf der Festplatte wiederfinden kann. Wahrscheinlich existiert sogar eine Zeigervariable in Verbindung mit jedem Passwort auf den jeweiligen Browser/Internetseite, sei es zu E-Gold, sei es zu LGE.

Das ist nicht nur wahrscheinlich, das ist inzwischen mit an Sicherheit grenzender Wahrscheinlichkeit anzunehmen.

Die Pointer sind in Deiner Registry wahrscheinlich unter

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explorer...

zu finden.

>Es ist übrigens gerade eben wieder vorgekommen, dass das Passwort im Browser von LGE eingetragen war, allerdings das alte, mit einer weit kürzeren Zeichenlänge. Seltsamerweise wurde nach der Passwortänderung nicht das neue auf der Festplatte gespeichert. Es erschien ein Hinweis, dass das neue Passwort für den Zwischenspeicher zu lang sei. Das selbe ist vor drei Monaten beim Aufrufen des E-Dinar-Browsers passiert, auch nach dem Ändern des Passwortes in ein längeres. Wahrscheinlich hat ein Trojaner extra einen String von 6 Zeichen vorgesehen gehabt.

Das ist nicht unmoeglich.

Theo, was ich bis jetzt aus der Passwort-Speicherungsangelegenheit erkennen kann ist, dass die Passwoerter fuer den Zugriff auf die LGE-Site und auf die E-Dinar-Site auf Deiner Harddisk gespeichert werden, und nicht von aussen mit dem Stream in Deinen Browser gelangen.

Ob diese Funktion des Speicherns von Passwoertern dieser beiden Sites auf die HD durch ein unerwuenschtes Stueck Software z.B in Form eines Trojaners oder aehnlichem geschieht, den Du Dir auf irgendeine Art und Weise eingefangen hast,
oder ob das Speichern dadurch geschieht, dass der/die Entwickler des Browsercodes (der Datenstrom, der von den Sites in Deinen Browser gelangt und ihn zum Bildaufbau und anderem veranlasst) von LGE und E-Gold explizit das vorgesehen haben, oder ob der/die Entwickler ueberhaupt nicht darauf reflektieren oder nur einer von beiden, sodass ein diesbezueglicher Default zum tragen kommt, der ggf. zuvor durch den Besuch einer voellig anderen Website (weder LGE noch E-Dinar) modifiziert wurde, das alles vermag ich jetzt und von hier aus nicht zu sagen, dazu muesste ich direkt Deine Maschine analysieren, wobei ich allerdings nicht physikalisch vor der Kiste sizten muesste, analysieren und ggf. reparieren kann ich auch remote, sofern bei letzterem nicht Basisfunktionen beschaedigt oder defekt sind.

Definitiv ist nur eines: auch Entwickler einfacher Websites koennen fuer den Benutzer ganz schnell ein Securityhole schaffen, wenn sie z.B. gewisse Defaults nicht explizit ausschalten oder unterdruecken, i.e. ganz bewusst alle relevanten Funktionen in einen definitiv kontrollierten Zustand versetzen. Ob dieses Securityhole durch Nachlaessigkeit (dees haeb I vergesse) oder Nichtwissen (dees haeb I ned gwisst) des Entwicklers zustande kam, das ist dann voellig unerheblich.

>Möglicherweise war der Besuch des Internetcafés die fatale Lücke, was erklären würde, warum nur zwei von drei Konten geplündert wurden, abgesehen davon, dass das Konto einer Verwandten, was auch von meinem PC verwaltet wird, ebenfalls verschont geblieben ist. In der besagten Ã-rtlichkeit habe ich nämlich nur die geplünderten Konten eingesehen.

Theo, nachdem ich das jetzt lese, moechte ich Dir mitteilen, dass genau diese Session an einem Dir voellig fremden Geraet sehr wahrscheinlich das Securityhole war.

Ein bodenloser Leichtsinn, an einer unbekannten Maschine, die frei der Oeffentlichkeit zugaenglich ist - Internetcafe -, persoenlich wichtige Dinge durchzufuehren.

Ich wuerde von so einer Maschine aus noch nicht mal fuer das Forum hier einen Beitrag posten, weil ich dabei mein Passwort eingeben muesste, nur lesen im Forum, das waere dann ok, wenn ich keinen Grund sehen wuerde, meinen Zugriff auf das Forum unter allen Umstaenden nicht bekannt werden zu lassen.

>Das Sicherheitskonzept von E-Gold betrifft nur E-Gold selbst und die juristische Unangreifbarkeit der Firma. Der Kunde wird nicht über Smartcard-Technologie in das Sicherheitskonzept einbezogen.

Ja.

>Ich hatte gestern mit einem englischen Freund, einem Notar, telefoniert. Seine Sozietät bewerkstelligt keine Überweisung ohne Smartcard. Und bei vielen Transaktionen müssen 3 Notare gemeinsam ihre Karte in den Leser einstecken.

Da scheint mir ein angemessenes Sicherheitskonzept dahinter zu stecken.

>Ich hatte gestern auch eine Unterhaltung mit einem französischen Reserveoffizier, der auch kürzlich in der IT-Branche arbeitslos geworden ist. Für ein wenig Sold ist er für einen Monat bei der elektronischen Aufklärung eingerückt. Er will mein System mit Spyware analysieren. Wir redeten auch über Smartcards. Er meinte, dass auch das unterwanderbar sei, weil die Leser am Ausgang eine Pulsfolge herausgeben, die man doch eine einlesen kann. Wenn ein Trojaner den Pulsgenerator im PC so einstellt, dass das Signal das Kartenleserausgangssignal simuliert, dann kann man diese Sicherheit auch so austricksen.
>Ich dachte mir, dass die Leser vielleicht mit Pseudo-Zufallszahlensequenzen arbeiten. Der Kartenleser und der Empfänger bei der Bank sind entsprechend synchronisiert, so, dass die Initialisierung der Pseudozufallssequenzen identisch ist. Um zu verhindern, dass es immer mit derselben Zahlenfolge losgeht, kann die Initialisierung an die Uhr gekoppelt sein.
>So etwas kann man nur austricksen, wenn man die Hardware des Zahlengenerators genau kennt. Man müsste den Chip zerstörungsfrei analysieren, was schwer wäre, wenn der Zahlengenerator in einen anderen Chip integriert wäre. Dafür bräuchte man schon ein super Labor und ein Hacker käme hier nicht weiter. Wenn die Smartcardleser aber determinierte Signale herausgeben, mit immer denselben Sequenzen, dann kann man auch diese Hürde umgehen.

Theo, ich will auf deine vorherigen Absaetze jetzt nicht einsteigen, es gibt auch noch weitere und andere Aspekte, ausserdem habe ich nicht geschrieben, dass die SmartCard-Technologie zu 100% sicher ist, denn dann muesste sie voellig idiotensicher sein, und das wird auch die SMC-Technologie niemals sein, denn gegen Dummheit haben selbst die Goetter seit antiken Zeiten vergeblich gekaempft.

Du darfst mir jedoch ruhig glauben, dass ICH wusste was ich tue, als ich meine Entscheidung fuer Onlinebanking nur mit SMC-Technologie faellte, und dass ich zu dem Zeitpunkt alle Schwachstellen analysiert und in mein Kalkuel einbezogen hatte und habe.

Ich kann mit dem Restrisiko aus der SMC-Technologie, die mir verbleibt, komfortabel leben.

Da ist z.B. mein Risiko, dass eine meiner Banken aufgrund interner Unfaehigkeit mir eine falsche Buchung zu meinen Lasten gerichtlich abgesegnet aufs Auge drueckt wesentlich groesser.

>Ich denke Reinhard, alles das war keine Reklame für E-Gold, denn die Mindestvoraussetzung SMART CARD steht nicht zur Verfügung. Und ist denn Dein Rechner sicher? Hast auch Du nicht schon Transaktionen von Hotels in Dubai aus vorgenommen?

Transaktionen von Hotels in Dubai?

Womoeglich noch von einem state-of-art suessen kleinen unbekannten Internetcafemaschinchen aus, wo man nicht wiederstehen kann, ihr in die Tasten zu greifen und an die Maus zu gehen?

Ooohhhhh Mannnnn, ich halts im Kopf nicht aus!

Theo, das ist kein Spass hier, auch das nicht.

>Auf diesem Hintergrund betrachtet ist der Unterschied zwischen Dir und mir derselbe wie bei zwei Schwuchteln und Aids, den einen trifft’s, den anderen nicht.

Besser: es ist nur eine Frage der Zeit, bis es alle getroffen hat.

Lieber Theo, gerade hatte ich hier an dieser Stelle begonnen zu schreiben, warum es gerade auch in der BRDDR nur eine Frage der Zeit sein wird, ich habe es wieder geloescht.

Nur soviel: Nieten in Nadelstreifen, an vielen Ecken, Enden, und auf allen Ebenen der BRDDR. Versprochen wird alles, gehalten wird nix. Opportunistenpimpfe und -schwachkoepfe par excellance vielerorten, aber sonst ist da nix mehr geblieben.

Wie der Herr, so das Gscherr.

>Ich werde die entsprechenden Konsequenzen ziehen, Du auch?

Ich rate es Dir dringendst.

>Gruß,
>Theo

Gruss
TD

P.S. Ich mache noch nicht einmal Telefonbanking zum Abfragen meiner Konten.

-->...möchte ich erst nach einer eingehenden Beratung mit Leuten entscheiden, die etwas von Computersicherheit verstehen.

Reinhard, ich habe seit zwei Nächten kaum geschlafen und schäme mich vor meiner Frau in Grund und Boden. Zum Glück ist sie nett mit mir.

Theo

-->Hallo Tassie,

Ich hatte aus der Vergangenheit im Forum etwas falsch im Gedächtnis behalten.

Reinhard wird es mir wohl nachsehen.

Aber denke wohl, dass er nicht Deine Sicherheit vorweisen kann.

Danke Dir sehr!

Theo

-->

-->>...möchte ich erst nach einer eingehenden Beratung mit Leuten entscheiden, die etwas von Computersicherheit verstehen.

Eine weise Entscheidung.

Ich gebe Dir hier noch einen kostenlosen Tipp: Frage zuallererst, was bzw. welche Technik die sicherste sei, um sich und seinen Computer unter allen Umstaenden vor unerwuenschtem/nichtauthorisiertem Zugriff und Spionage von und nach aussen zu schuetzen.

Wenn Du dann nicht ohne wenn und aber sofort die Antwort bekommst, das Geraet ohne jegliche Kommunikationsanbindung nach draussen in einem abgeschirmten Raum mit kontrolliertem Zugang zu betreiben, dann kannst Du Deine Berater vergessen.

>Reinhard, ich habe seit zwei Nächten kaum geschlafen und schäme mich vor meiner Frau in Grund und Boden. Zum Glück ist sie nett mit mir.

Kuenstlerpech, nobody is perfect.

Schlaf Dich mal richtig aus, danach sieht die Welt wieder anders aus, das Leben geht weiter.

>Theo

Gruss
TD

-->... und damit genau sieht, was sein Rechner (und natürlich auch andere Rechner mit physikalischem Kontakt zum Netzwerk so von sich geben.
Erhältlich z.B. hier:
http://www.ethereal.com/
gibt aber auch noch andere Free- und Shareware:-)...

MfG
igelei

-->...denn das Denken der Gedanken ist ein gedankenloses Denken. [img][/img]

Bitte nicht persoenlich nehmen, Theo, TD hat nur ein Spaessle gemacht.

>Seltsam nämlich, dass Zeichenketten von 6 Zeichen immer wieder in die Logins der jeweiligen Browser beschrieben werden.
>Da hat jemand Speicherplatz auf der Festplatte für exakt 6 Zeichen alloziert.
>Jetzt habe ich längere Passwörter und es wird sofort moniert, dass die zu lang für den reservierten Speicherplatz sind? Seltsam, seltsam!
>Trotzdem nimmt der Browser die langen Passwörter an und ich kann mich normal einklinken, nur, der Trojaner kann sie mit 6 Zeichen nicht mehr korrekt mitschreiben.

Ich kann es natuerlich nicht ausschliessen, dass Du Recht hast, dass das Securityhole tatsaechlich durch einen Trojaner in Deinem PC zustande gekommen ist.

Aber, wenn ich mir das so durchlese, was Du da oben geschildert hast, und die den Developers von Programmiercode fuer Browser und Viren eigene Logik und Sichtweise in Anschlag bringe und bedenke, dann bleibe ich unter Wahrung aller Fakten nach wie vor der Meinung, dass das Securityhole der PC des Internetcafes war, an dem Du vor Wochen gesessen hast.

Das Verhalten Deines PC wie oben beschrieben wird wahrscheinlich durch Browsereinstellungen und unsaubere ggf. schlampige Entwicklung zustande kommen.

Ausserdem, ein Virusentwickler, der sich fuer Passwoerter interessiert, wird seinen String wohl kaum auf nur 6 Bytes begrenzen, unter 16 Byte Stringlaenge wuerde bei mir als ein solcher Entwickler ueberhaupt nichts laufen, besser 24/32/64 Bytes.

Auch wuerde ich als als Trojanerschreiber dafuer sorgen, dass ein truncated String (ueberlanger String) keine Warnung o.ae. erzeugt, der den Benutzer auf die Anwesenheit des Trojaners aufmerksam machen koennte.

Nee, Theo, Deine Internetcafe-Session war das Problem, 95:5!

>Ich werde meine Festplatte nicht neu formatieren. Jetzt wo das Gold weg ist, werde ich den Trojaner drauflassen, bis ich ihn habe.

Viel Erfolg!

Gruss
TD

-->Sali Theo

<ul><font color=blue>Theo:..Ich habe seit zwei Nächten kaum geschlafen und schäme mich vor meiner Frau in Grund und Boden. Zum Glück ist sie nett mit mir</ul>. </font>

Bei mir hat [m]eine Riesendummheit, die ich vor rund 12 Jahren beging, zu einem happigen finanziellen Schaden geführt. Etwa in der Höhe ca. 70'000 Franken. Meine eigene Firma -damals gerade im Aufbau- wäre daran fast hops gegangen. Glaub' mir: Könnte ich zurück, ich würde diese Riesendummenheit glatt wieder machen;-).

Die Gründe: Die vielen positiven 'Nebeneffekte', die bald danach folgten. a) Noch bessere Beziehung zu meiner Lebenspartnerin, weil man sich in Krisen besser kennenlernt und zusammen wachsen kann. b) Das Sich-bewusst-werden, das trotz des finanziellen Schadens eigentlich so ziemlich alles bestens geblieben ist: Essen/Kleider etc. etc. reichlich genügend wie vorher.Gesundheit immer noch Tip-top. Und das Dach über dem Kopf war ja auch nicht zusammengestürzt. c) Heute sage ich: 70'000 in die Luft geblasen; na und? Das sind sowieso nur Zahlen :-) d) das Innerliche Cool-sein, wenn's um Geld geht, à la"Es ja sind sowieso nur Zahlen" hilft mir auch heute noch bei schwierigen Geschäftsverhandlungen.

Heute hat der bekannte Satz: "Kein Geld ist besser investiert, als verlorerenes" eine viel tiefere Bedeutung für mich. So gesehen müsste man wohl jedem, der einen happigen Verlust einfährt, gratulieren;-).

Tröstende Grüsse

von Liated, der für dich den Daumen drückt, das es mit dir wieder aufwärts geht

-->Lieber Theo,

ich würde die ganze Kraft jetzt erst mal auf das Internetcafe konzentrieren und nicht auf Trojaner und so, wo Du ohnehin nicht viel machen kannst. Vielleicht folgende Schritte:



1.) Nochmal ins Cafe gehen, einloggen und eine Weile rumspielen.
2.) Prüfen, ob Passwörter gespeichert werden und Du auf Seiten von Vorgängern mit deren Passwörtern kommen kannst.
3.) Dann ausloggen und unauffällig beobachten, ob nach Dir einer gezielt an diesen Computer geht.
4.) Strafanzeige stellen und versuchen, die Kiste zu beschlagnahmen, um evtl. festzustellen, wer nach Dir an diesem Computer war.


Gruß
R

-->

-->>ich war nie in Dubai - wie kommst Du darauf.

Hallo Reinhard,

Du hast hoffentlich auch nie Homebanking/Internetbanking auf einer Dir nicht gehoerenden ggf. voellig unbekannten Maschine betrieben.

An dieser Stelle sei auch von mir gesagt, dass ich den PC des allerbesten Freundes nicht fuer mich kritische (Trans-)Aktionen nutzen wuerde, denn ich weiss nicht, noch habe ich darauf Einfluss, wer wann wie wo den PC des besten Freundes ebenfalls noch nutzt.

>Im übrigen denke ich, dass die Sache wahrscheinlich viel simpler ist, als die komplizierten Überlegungen, die Du und Tassi jetzt anstellen (Hackerangriff, Firewall, Virenschutz etc.).

Ich habe es Theo bereits geschrieben, 95:5 fuer seine Internetcafe-Session.

Das aendert jedoch nichts an der Tatsache, dass seine Maschine ziemlich schlecht geschuetzt ist.

>Im übrigen ist das Sicherheitsproblem für alle Internetzahlungen gleich.

Jetzt wirds interessant. [img][/img]

Wenn Du unter"Sicherheitsproblem fuer alle Internetzahlungen" Zahlungen per Homebanking ueber HBCI vom eigenen PC verstehst, bereits dann muss ich Dir widersprechen, verstehst Du darunter Zahlungen, die mit einem X-beliebigem Client auf einer Y-beliebigen Maschine gemacht werden, dann bleibe ich deshalb stumm, weil es mir die Sprache verschlaegt.

Reinhard, die Sicherheitsprobleme bei Zahlungen, wie auch immer diese elektronisch durhgefuehrt werden, sie sind sehr different.

Was immer gleich ist, das ist das Ziel, das"man" bei Zahlungen auf elektronischem Wege moeglichst vollstaendig erreichen moechte, naemlich bei sehr vielen differenten Problemen trotzdem die vollstaendige Sicherheit und Kontrolle zu erreichen, dass kein Unbefugter Finanztransaktionen in anderer Namen und auf fremde Rechnung auf elektronischem Wege durchfuehren kann.

>(bei Kreditkarten gibt es viel größere Probleme).

Dieses System gibt es auch schon viel laenger wie Banking ueber PC und Internet.

Dass es bei den Kreditkarten Probleme gibt, das ist allein auf die Sorglosigkeit vieler Nutzer zurueckzufuehren.

Ich habe selbst 2 von den Dingern, ich habe noch nie eine in einen Reader geschoben, der nicht in einer Bankhalle/-Raum installiert war, ausserdem benutze ich nach Moeglichkeit immer die gleichen Filialen meiner Wahl.

Die Variante Zahlungseinzug per Kreditkarte vermeide ich moeglichst, wenn sie jedoch nicht zu umgehen ist, dann notiere ich mir Datum, Name, Ort der Firma, ggf. Name des Firmenangehoerigen, die Kenntnis von meiner CC-Nummer haben.

Alles andere laeuft mit CC bei mir nicht.

>Es gibt mittlerweile auch in der Goldökonomie bessere Lösungen (Pecunix z.B.), aber e-gold funktioniert auf alle Fälle schon besser und sicherer als Kreditkarte.

Lieber Reinhard, so wie ich meine Kreditkarten von Anfang an benutzt habe halte ich sie fuer sicherer wie E-Gold uebers Internet, denn ich koennte es z.B. ueberhaupt nicht ausschliessen, dass wann wie wo welche Lauscher auf dem weiten Internettransportweg bis in den Bank-Enterprise-Server mein ggf. unmaskierten Passwort abgreifen.

>Ich benutze jedenfalls lieber e-gold als Kreditkarte und werde die Karte jetzt ganz kündigen. Was hältst Du denn für besser und sicherer bei Internetzahlungen?

Du hast die Frage zwar an Theo gestellt, ich bin jetzt so frei und antworte darauf: Zahlungen per Internet nur ueber den eigenen PC und mit Smartcard-Technologie.

Internetbanking ohne diese meine originaere Karte, die auch nie einen anderen Reader sehen wird wie der, der an meinem PC installiert ist, funktioniert nicht in meinem Namen und auf meine Rechnung speziell im Hinblick auf die fuer mich nicht beeinflussbaren Transportstrecken, weitere Einzelheiten zur Begruendung fuer das pro der SMC will ich hier nicht weiter anfuehren.

Dass meine Maschine(n) gut geschuetzt und gepflegt sind, das sollte Dir nicht entgangen sein, das ist natuerlich Basisvorraussetzung schon allein dafuer, dass die Kisten fuer mich definitiv kontrollierbar laufen.

>Gruß
>R

Gruss
TD

-->

-->Soll ich da jetzt hinfahren?

Und an welchem PC habe ich gesessen?