Board-Ansicht
Mix-Ansicht- @Tassie, Reinhard: Bitter Lehrgeld, lieber Reinhard, - Theo Stuss, 29.09.2003, 11:14
- ist e-gold & Co. damit für dich gestorben? Bitte um Antwort! (owT) - Otto_Ludwig_Piffel, 29.09.2003, 11:27
- Re: Ja! (owT) - Theo Stuss, 29.09.2003, 11:55
- wie kamst du eigentlich auf die Idee mit e-gold? (owT) - Otto_Ludwig_Piffel, 29.09.2003, 11:59
- Re: Schon drei Jahre her! - Theo Stuss, 29.09.2003, 12:11
- @Theo - Kraft aufs Wesentliche konzentrieren! - R.Deutsch, 29.09.2003, 17:09
- Re: Das war 600km südlich von Nantes - Theo Stuss, 29.09.2003, 20:31
- @Theo - Kraft aufs Wesentliche konzentrieren! - R.Deutsch, 29.09.2003, 17:09
- Re: Schon drei Jahre her! - Theo Stuss, 29.09.2003, 12:11
- wie kamst du eigentlich auf die Idee mit e-gold? (owT) - Otto_Ludwig_Piffel, 29.09.2003, 11:59
- Re: Ja! (owT) - Theo Stuss, 29.09.2003, 11:55
- würde am Internetcafe ansetzen, vielleicht hat der Betreiber... mkT - igelei, 29.09.2003, 11:29
- Re: Ich denke, es ist mein PC - Theo Stuss, 29.09.2003, 11:54
- setze dich, so du die Möglichkeit hast, mal mit einem Sniffer auf die Schnitt- - igelei, 29.09.2003, 12:08
- Re: beherrsche ich technisch nicht - Theo Stuss, 29.09.2003, 12:16
- @igelei: Was ist denn ein Sniffer und wo kriegt man den?? (owT) - Josef, 29.09.2003, 15:15
- ein Programm, mit dem man direkt in die IP-Pakete reinschauen kann... mT - igelei, 29.09.2003, 15:38
- Re: Denke nie gedacht zu haben,... - Tassie Devil, 29.09.2003, 16:01
- setze dich, so du die Möglichkeit hast, mal mit einem Sniffer auf die Schnitt- - igelei, 29.09.2003, 12:08
- Re: Ich denke, es ist mein PC - Theo Stuss, 29.09.2003, 11:54
- smarte Lösung (doppelte Sicherheit) ohne Samrt-Card denkbar für e-Gold - BillyGoatGruff, 29.09.2003, 11:37
- Re: @Tassie, Reinhard: Bitter Lehrgeld, lieber Reinhard, - Euklid, 29.09.2003, 11:55
- Red keinen Stuss:-) - R.Deutsch, 29.09.2003, 13:21
- Re: Was das Beste und Sicherste ist,... - Theo Stuss, 29.09.2003, 14:33
- Re: Was das Beste und Sicherste ist,... - Tassie Devil, 29.09.2003, 15:27
- @Theo - Liated mi Lefuet, 29.09.2003, 17:06
- Re: Herzlichen Dank! (owT) - Theo Stuss, 29.09.2003, 17:16
- Das ist eines der Postings, die dieses Forum liebenswert machen. Gruss (owT) - Tofir, 29.09.2003, 19:53
- Re: Red keinen Stuss:-) - Tassie Devil, 29.09.2003, 17:53
- Re: Was das Beste und Sicherste ist,... - Theo Stuss, 29.09.2003, 14:33
- @Theo - fridolin, 29.09.2003, 13:27
- Probiers mal mit Spybot, mit Link - Silver_Bullet, 29.09.2003, 13:46
- Re: Bitter Lehrgeld - Tassie Devil, 29.09.2003, 14:32
- Re: Reinhard hat mich da eben korregiert - Theo Stuss, 29.09.2003, 15:10
- ist e-gold & Co. damit für dich gestorben? Bitte um Antwort! (owT) - Otto_Ludwig_Piffel, 29.09.2003, 11:27
Re: Bitter Lehrgeld
-->>Wenn ich mal kurz zusammenfassen darf, was ich bei Tassie gelernt habe:
>Unwahrscheinlich, dass jemand E-Gold mein Passwort entrissen hat.
>Ebenso unwahrscheinlich, dass es bei London Gold Exchange geschehen ist.
>Mein Computer war trotz Norton Anti-Virus eine offenes Buch für jeden Profi.
Hi Theo,
ja, so schauts aus.
>Deswegen ist auch egal, wie viele Passwörter ich habe, wenn man sie alle auf der Festplatte wiederfinden kann. Wahrscheinlich existiert sogar eine Zeigervariable in Verbindung mit jedem Passwort auf den jeweiligen Browser/Internetseite, sei es zu E-Gold, sei es zu LGE.
Das ist nicht nur wahrscheinlich, das ist inzwischen mit an Sicherheit grenzender Wahrscheinlichkeit anzunehmen.
Die Pointer sind in Deiner Registry wahrscheinlich unter
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explorer...
zu finden.
>Es ist übrigens gerade eben wieder vorgekommen, dass das Passwort im Browser von LGE eingetragen war, allerdings das alte, mit einer weit kürzeren Zeichenlänge. Seltsamerweise wurde nach der Passwortänderung nicht das neue auf der Festplatte gespeichert. Es erschien ein Hinweis, dass das neue Passwort für den Zwischenspeicher zu lang sei. Das selbe ist vor drei Monaten beim Aufrufen des E-Dinar-Browsers passiert, auch nach dem Ändern des Passwortes in ein längeres. Wahrscheinlich hat ein Trojaner extra einen String von 6 Zeichen vorgesehen gehabt.
Das ist nicht unmoeglich.
Theo, was ich bis jetzt aus der Passwort-Speicherungsangelegenheit erkennen kann ist, dass die Passwoerter fuer den Zugriff auf die LGE-Site und auf die E-Dinar-Site auf Deiner Harddisk gespeichert werden, und nicht von aussen mit dem Stream in Deinen Browser gelangen.
Ob diese Funktion des Speicherns von Passwoertern dieser beiden Sites auf die HD durch ein unerwuenschtes Stueck Software z.B in Form eines Trojaners oder aehnlichem geschieht, den Du Dir auf irgendeine Art und Weise eingefangen hast,
oder ob das Speichern dadurch geschieht, dass der/die Entwickler des Browsercodes (der Datenstrom, der von den Sites in Deinen Browser gelangt und ihn zum Bildaufbau und anderem veranlasst) von LGE und E-Gold explizit das vorgesehen haben, oder ob der/die Entwickler ueberhaupt nicht darauf reflektieren oder nur einer von beiden, sodass ein diesbezueglicher Default zum tragen kommt, der ggf. zuvor durch den Besuch einer voellig anderen Website (weder LGE noch E-Dinar) modifiziert wurde, das alles vermag ich jetzt und von hier aus nicht zu sagen, dazu muesste ich direkt Deine Maschine analysieren, wobei ich allerdings nicht physikalisch vor der Kiste sizten muesste, analysieren und ggf. reparieren kann ich auch remote, sofern bei letzterem nicht Basisfunktionen beschaedigt oder defekt sind.
Definitiv ist nur eines: auch Entwickler einfacher Websites koennen fuer den Benutzer ganz schnell ein Securityhole schaffen, wenn sie z.B. gewisse Defaults nicht explizit ausschalten oder unterdruecken, i.e. ganz bewusst alle relevanten Funktionen in einen definitiv kontrollierten Zustand versetzen. Ob dieses Securityhole durch Nachlaessigkeit (dees haeb I vergesse) oder Nichtwissen (dees haeb I ned gwisst) des Entwicklers zustande kam, das ist dann voellig unerheblich.
>Möglicherweise war der Besuch des Internetcafés die fatale Lücke, was erklären würde, warum nur zwei von drei Konten geplündert wurden, abgesehen davon, dass das Konto einer Verwandten, was auch von meinem PC verwaltet wird, ebenfalls verschont geblieben ist. In der besagten Ã-rtlichkeit habe ich nämlich nur die geplünderten Konten eingesehen.
Theo, nachdem ich das jetzt lese, moechte ich Dir mitteilen, dass genau diese Session an einem Dir voellig fremden Geraet sehr wahrscheinlich das Securityhole war.
Ein bodenloser Leichtsinn, an einer unbekannten Maschine, die frei der Oeffentlichkeit zugaenglich ist - Internetcafe -, persoenlich wichtige Dinge durchzufuehren.
Ich wuerde von so einer Maschine aus noch nicht mal fuer das Forum hier einen Beitrag posten, weil ich dabei mein Passwort eingeben muesste, nur lesen im Forum, das waere dann ok, wenn ich keinen Grund sehen wuerde, meinen Zugriff auf das Forum unter allen Umstaenden nicht bekannt werden zu lassen.
>Das Sicherheitskonzept von E-Gold betrifft nur E-Gold selbst und die juristische Unangreifbarkeit der Firma. Der Kunde wird nicht über Smartcard-Technologie in das Sicherheitskonzept einbezogen.
Ja.
>Ich hatte gestern mit einem englischen Freund, einem Notar, telefoniert. Seine Sozietät bewerkstelligt keine Überweisung ohne Smartcard. Und bei vielen Transaktionen müssen 3 Notare gemeinsam ihre Karte in den Leser einstecken.
Da scheint mir ein angemessenes Sicherheitskonzept dahinter zu stecken.
>Ich hatte gestern auch eine Unterhaltung mit einem französischen Reserveoffizier, der auch kürzlich in der IT-Branche arbeitslos geworden ist. Für ein wenig Sold ist er für einen Monat bei der elektronischen Aufklärung eingerückt. Er will mein System mit Spyware analysieren. Wir redeten auch über Smartcards. Er meinte, dass auch das unterwanderbar sei, weil die Leser am Ausgang eine Pulsfolge herausgeben, die man doch eine einlesen kann. Wenn ein Trojaner den Pulsgenerator im PC so einstellt, dass das Signal das Kartenleserausgangssignal simuliert, dann kann man diese Sicherheit auch so austricksen.
>Ich dachte mir, dass die Leser vielleicht mit Pseudo-Zufallszahlensequenzen arbeiten. Der Kartenleser und der Empfänger bei der Bank sind entsprechend synchronisiert, so, dass die Initialisierung der Pseudozufallssequenzen identisch ist. Um zu verhindern, dass es immer mit derselben Zahlenfolge losgeht, kann die Initialisierung an die Uhr gekoppelt sein.
>So etwas kann man nur austricksen, wenn man die Hardware des Zahlengenerators genau kennt. Man müsste den Chip zerstörungsfrei analysieren, was schwer wäre, wenn der Zahlengenerator in einen anderen Chip integriert wäre. Dafür bräuchte man schon ein super Labor und ein Hacker käme hier nicht weiter. Wenn die Smartcardleser aber determinierte Signale herausgeben, mit immer denselben Sequenzen, dann kann man auch diese Hürde umgehen.
Theo, ich will auf deine vorherigen Absaetze jetzt nicht einsteigen, es gibt auch noch weitere und andere Aspekte, ausserdem habe ich nicht geschrieben, dass die SmartCard-Technologie zu 100% sicher ist, denn dann muesste sie voellig idiotensicher sein, und das wird auch die SMC-Technologie niemals sein, denn gegen Dummheit haben selbst die Goetter seit antiken Zeiten vergeblich gekaempft.
Du darfst mir jedoch ruhig glauben, dass ICH wusste was ich tue, als ich meine Entscheidung fuer Onlinebanking nur mit SMC-Technologie faellte, und dass ich zu dem Zeitpunkt alle Schwachstellen analysiert und in mein Kalkuel einbezogen hatte und habe.
Ich kann mit dem Restrisiko aus der SMC-Technologie, die mir verbleibt, komfortabel leben.
Da ist z.B. mein Risiko, dass eine meiner Banken aufgrund interner Unfaehigkeit mir eine falsche Buchung zu meinen Lasten gerichtlich abgesegnet aufs Auge drueckt wesentlich groesser.
>Ich denke Reinhard, alles das war keine Reklame für E-Gold, denn die Mindestvoraussetzung SMART CARD steht nicht zur Verfügung. Und ist denn Dein Rechner sicher? Hast auch Du nicht schon Transaktionen von Hotels in Dubai aus vorgenommen?
Transaktionen von Hotels in Dubai?
Womoeglich noch von einem state-of-art suessen kleinen unbekannten Internetcafemaschinchen aus, wo man nicht wiederstehen kann, ihr in die Tasten zu greifen und an die Maus zu gehen?
Ooohhhhh Mannnnn, ich halts im Kopf nicht aus!
Theo, das ist kein Spass hier, auch das nicht.
>Auf diesem Hintergrund betrachtet ist der Unterschied zwischen Dir und mir derselbe wie bei zwei Schwuchteln und Aids, den einen trifft’s, den anderen nicht.
Besser: es ist nur eine Frage der Zeit, bis es alle getroffen hat.
Lieber Theo, gerade hatte ich hier an dieser Stelle begonnen zu schreiben, warum es gerade auch in der BRDDR nur eine Frage der Zeit sein wird, ich habe es wieder geloescht.
Nur soviel: Nieten in Nadelstreifen, an vielen Ecken, Enden, und auf allen Ebenen der BRDDR. Versprochen wird alles, gehalten wird nix. Opportunistenpimpfe und -schwachkoepfe par excellance vielerorten, aber sonst ist da nix mehr geblieben.
Wie der Herr, so das Gscherr.
>Ich werde die entsprechenden Konsequenzen ziehen, Du auch?
Ich rate es Dir dringendst.
>Gruß,
>Theo
Gruss
TD
P.S. Ich mache noch nicht einmal Telefonbanking zum Abfragen meiner Konten.
Thread gesperrtgesamter Thread:
