@Tassie, Reinhard: Bitter Lehrgeld, lieber Reinhard,

verfasst von Theo Stuss, 29.09.2003, 11:14

-->Wenn ich mal kurz zusammenfassen darf, was ich bei Tassie gelernt habe:

Unwahrscheinlich, dass jemand E-Gold mein Passwort entrissen hat.

Ebenso unwahrscheinlich, dass es bei London Gold Exchange geschehen ist.

Mein Computer war trotz Norton Anti-Virus eine offenes Buch für jeden Profi.

Deswegen ist auch egal, wie viele Passwörter ich habe, wenn man sie alle auf der Festplatte wiederfinden kann. Wahrscheinlich existiert sogar eine Zeigervariable in Verbindung mit jedem Passwort auf den jeweiligen Browser/Internetseite, sei es zu E-Gold, sei es zu LGE. Es ist übrigens gerade eben wieder vorgekommen, dass das Passwort im Browser von LGE eingetragen war, allerdings das alte, mit einer weit kürzeren Zeichenlänge. Seltsamerweise wurde nach der Passwortänderung nicht das neue auf der Festplatte gespeichert. Es erschien ein Hinweis, dass das neue Passwort für den Zwischenspeicher zu lang sei. Das selbe ist vor drei Monaten beim Aufrufen des E-Dinar-Browsers passiert, auch nach dem Ändern des Passwortes in ein längeres. Wahrscheinlich hat ein Trojaner extra einen String von 6 Zeichen vorgesehen gehabt.

Möglicherweise war der Besuch des Internetcafés die fatale Lücke, was erklären würde, warum nur zwei von drei Konten geplündert wurden, abgesehen davon, dass das Konto einer Verwandten, was auch von meinem PC verwaltet wird, ebenfalls verschont geblieben ist. In der besagten Ã-rtlichkeit habe ich nämlich nur die geplünderten Konten eingesehen.

Das Sicherheitskonzept von E-Gold betrifft nur E-Gold selbst und die juristische Unangreifbarkeit der Firma. Der Kunde wird nicht über Smartcard-Technologie in das Sicherheitskonzept einbezogen.

Ich hatte gestern mit einem englischen Freund, einem Notar, telefoniert. Seine Sozietät bewerkstelligt keine Überweisung ohne Smartcard. Und bei vielen Transaktionen müssen 3 Notare gemeinsam ihre Karte in den Leser einstecken.

Ich hatte gestern auch eine Unterhaltung mit einem französischen Reserveoffizier, der auch kürzlich in der IT-Branche arbeitslos geworden ist. Für ein wenig Sold ist er für einen Monat bei der elektronischen Aufklärung eingerückt. Er will mein System mit Spyware analysieren. Wir redeten auch über Smartcards. Er meinte, dass auch das unterwanderbar sei, weil die Leser am Ausgang eine Pulsfolge herausgeben, die man doch eine einlesen kann. Wenn ein Trojaner den Pulsgenerator im PC so einstellt, dass das Signal das Kartenleserausgangssignal simuliert, dann kann man diese Sicherheit auch so austricksen.

Ich dachte mir, dass die Leser vielleicht mit Pseudo-Zufallszahlensequenzen arbeiten. Der Kartenleser und der Empfänger bei der Bank sind entsprechend synchronisiert, so, dass die Initialisierung der Pseudozufallssequenzen identisch ist. Um zu verhindern, dass es immer mit derselben Zahlenfolge losgeht, kann die Initialisierung an die Uhr gekoppelt sein.

So etwas kann man nur austricksen, wenn man die Hardware des Zahlengenerators genau kennt. Man müsste den Chip zerstörungsfrei analysieren, was schwer wäre, wenn der Zahlengenerator in einen anderen Chip integriert wäre. Dafür bräuchte man schon ein super Labor und ein Hacker käme hier nicht weiter. Wenn die Smartcardleser aber determinierte Signale herausgeben, mit immer denselben Sequenzen, dann kann man auch diese Hürde umgehen.

Ich denke Reinhard, alles das war keine Reklame für E-Gold, denn die Mindestvoraussetzung SMART CARD steht nicht zur Verfügung. Und ist denn Dein Rechner sicher? Hast auch Du nicht schon Transaktionen von Hotels in Dubai aus vorgenommen?

Auf diesem Hintergrund betrachtet ist der Unterschied zwischen Dir und mir derselbe wie bei zwei Schwuchteln und Aids, den einen trifft’s, den anderen nicht.

Ich werde die entsprechenden Konsequenzen ziehen, Du auch?

Gruß,

Theo

Thread gesperrt

 

gesamter Thread:

• @Tassie, Reinhard: Bitter Lehrgeld, lieber Reinhard, - Theo Stuss, 29.09.2003, 11:14
  • ist e-gold & Co. damit für dich gestorben? Bitte um Antwort! (owT) - Otto_Ludwig_Piffel, 29.09.2003, 11:27
    • Re: Ja! (owT) - Theo Stuss, 29.09.2003, 11:55
      • wie kamst du eigentlich auf die Idee mit e-gold? (owT) - Otto_Ludwig_Piffel, 29.09.2003, 11:59
        • Re: Schon drei Jahre her! - Theo Stuss, 29.09.2003, 12:11
          • @Theo - Kraft aufs Wesentliche konzentrieren! - R.Deutsch, 29.09.2003, 17:09
            • Re: Das war 600km südlich von Nantes - Theo Stuss, 29.09.2003, 20:31
  • würde am Internetcafe ansetzen, vielleicht hat der Betreiber... mkT - igelei, 29.09.2003, 11:29
    • Re: Ich denke, es ist mein PC - Theo Stuss, 29.09.2003, 11:54
      • setze dich, so du die Möglichkeit hast, mal mit einem Sniffer auf die Schnitt- - igelei, 29.09.2003, 12:08
        • Re: beherrsche ich technisch nicht - Theo Stuss, 29.09.2003, 12:16
        • @igelei: Was ist denn ein Sniffer und wo kriegt man den?? (owT) - Josef, 29.09.2003, 15:15
          • ein Programm, mit dem man direkt in die IP-Pakete reinschauen kann... mT - igelei, 29.09.2003, 15:38
      • Re: Denke nie gedacht zu haben,... - Tassie Devil, 29.09.2003, 16:01
  • smarte Lösung (doppelte Sicherheit) ohne Samrt-Card denkbar für e-Gold - BillyGoatGruff, 29.09.2003, 11:37
  • Re: @Tassie, Reinhard: Bitter Lehrgeld, lieber Reinhard, - Euklid, 29.09.2003, 11:55
  • Red keinen Stuss:-) - R.Deutsch, 29.09.2003, 13:21
    • Re: Was das Beste und Sicherste ist,... - Theo Stuss, 29.09.2003, 14:33
      • Re: Was das Beste und Sicherste ist,... - Tassie Devil, 29.09.2003, 15:27
      • @Theo - Liated mi Lefuet, 29.09.2003, 17:06
        • Re: Herzlichen Dank! (owT) - Theo Stuss, 29.09.2003, 17:16
        • Das ist eines der Postings, die dieses Forum liebenswert machen. Gruss (owT) - Tofir, 29.09.2003, 19:53
    • Re: Red keinen Stuss:-) - Tassie Devil, 29.09.2003, 17:53
  • @Theo - fridolin, 29.09.2003, 13:27
  • Probiers mal mit Spybot, mit Link - Silver_Bullet, 29.09.2003, 13:46
  • Re: Bitter Lehrgeld - Tassie Devil, 29.09.2003, 14:32
    • Re: Reinhard hat mich da eben korregiert - Theo Stuss, 29.09.2003, 15:10