-->

-->... etwas damit zu tun. Oder er kann mit Logfiles aufwarten. Außerdem kann auch ein Besucher auf den Internetterminals Trojaner installieren, wenn die schlecht konfiguriert sind, ich tippe mal drauf, dass es aus einer dieser Ecken kommt. Vielleicht ist ja Herr Hirsch dort noch zugange. Informier mal die Bullen von deinem Verdacht. Zumindest könnte man checken, ob ein Trojaner auf dieser Kiste läuft. Und beeil dich damit, denn je weniger Zeit vergeht desto wahrscheinlicher gibts die Logfiles noch. Meine wurden damals immer nur 4 Wochen aufgehoben, weil sonst extrem viel Datenmüll anfiel.

Möglich ist aber auch ein Zufallstreffer, im Internetcafe sollte man immer schauen, dass die Optionen so eingestellt sind, dass die Passwörter nicht gespeichert werden, bzw. sie löschen, wenn man fertig ist.

Und vielleicht sollte man Konten, die keine TAN haben, generell nicht nutzen, wenn der Betreiber nicht bereit ist, Mindestsicherheitsstandards einzuhalten hat er halt Pech und wenig Kunden.

MfG
igelei

-->Lieber Theo,

eine einfache und billige Lösung zur Erhöhung der Sicherheit hat z.B. Swissquote für seine online-Kunden gewählt:

Zusätzlich zur Eingabe von Benützername und Passwort muss vorab das Passwort ein zweites Mal (nicht speicherbar) eingegeben werden. Das erhöht aber die Sicherheit nur geringfügig.
Zum Einloggen wird dann ein zweistelliger Code vorgegeben, mittels welchem Du auf einer Dir per Post zugestellten Zahlentabelle die durch den Code vorgegebene Zahlenkombination findest, welche dann ein definitves Einloggen ermöglicht.

Zugegeben, das wäre auch zu Knacken, aber nur mit unvergleichlich grösserem Aufwand.

Die Smartcards, oder auch die Coderechner (z.B. bei UBS), die jedesmal aus einer Zahlenvorgabe einen neuen Code errechnen, wären schon noch besser, aber erheblich teurer.

Wenn ich daran denke, dass ich vor Jahren I-Banking mit Windows 95, IE 3.0 und auf dem Computer abgespeicherter TAN-Liste betrieben habe - da hatte ich mehr Glück als Verstand gehabt...

Gruss,
BillyGoat

-->Hallo Theo

eine echte Scheiße was Dir da passiert ist.
Bist Du sicher daß es vielleicht nicht doch noch eine Möglichkeit gibt?
Am Anfang hattest Du doch auch Probleme mit den Ãœberweisungen wenn ich mich recht erinnere.
Ich vertraue bei Gold noch nicht mal mir selbst;-))
Zumindest muß ich immer die Hand direkt drauf haben.
Alles muß im sofortigen Zugriff sein weil es sonst zu spät sein könnte.

Gruß EUKLID

-->Lieber Theo,

ich war nie in Dubai - wie kommst Du darauf.

Im übrigen denke ich, dass die Sache wahrscheinlich viel simpler ist, als die komplizierten Überlegungen, die Du und Tassi jetzt anstellen (Hackerangriff, Firewall, Virenschutz etc.).

Hast Du mal Deinen Passwort Manager überprüft? Dort kannst Du festlegen, welche Passwörter vom Computer gespeichert und automatisch eingesetzt werden. Wenn Du bei LGE automatisch vom Computer eingeloggt wirst, dann hast Du halt den Schlüssel zum Tresor dem Computer übergeben. Wenn Du Pin und Tan Nummer auf dem Geldautomaten liegen lässt, kannst Du dem Automaten kein Vorwurf machen, wenn jemand damit Geld abhebt. Wenn z.B. auf der Machine im Internetcafe der Passwortmanager aktiv war, kann jeder dort anschliesend Deine Passwörter aufrufen.

Hast Du denn über die Identität des Clinton Hirsch etwas herausgefunden?

Im übrigen ist das Sicherheitsproblem für alle Internetzahlungen gleich. (bei Kreditkarten gibt es viel größere Probleme). Es gibt mittlerweile auch in der Goldökonomie bessere Lösungen (Pecunix z.B.), aber e-gold funktioniert auf alle Fälle schon besser und sicherer als Kreditkarte. Ich benutze jedenfalls lieber e-gold als Kreditkarte und werde die Karte jetzt ganz kündigen. Was hältst Du denn für besser und sicherer bei Internetzahlungen?

Gruß
R

-->Wenn ich mal kurz zusammenfassen darf, was ich bei Tassie gelernt habe:
>Unwahrscheinlich, dass jemand E-Gold mein Passwort entrissen hat.
>Ebenso unwahrscheinlich, dass es bei London Gold Exchange geschehen ist.
>Mein Computer war trotz Norton Anti-Virus eine offenes Buch für jeden Profi.
>Deswegen ist auch egal, wie viele Passwörter ich habe, wenn man sie alle auf der Festplatte wiederfinden kann. Wahrscheinlich existiert sogar eine Zeigervariable in Verbindung mit jedem Passwort auf den jeweiligen Browser/Internetseite, sei es zu E-Gold, sei es zu LGE.

Ehe Du komplizierte Überlegungen über Sicherheitslücken anstellst, würde ich einfach mal an das Naheliegenste denken.

Es ist übrigens gerade eben wieder vorgekommen, dass das Passwort im Browser von LGE eingetragen war, allerdings das alte, mit einer weit kürzeren Zeichenlänge. Seltsamerweise wurde nach der Passwortänderung nicht das neue auf der Festplatte gespeichert. Es erschien ein Hinweis, dass das neue Passwort für den Zwischenspeicher zu lang sei. Das selbe ist vor drei Monaten beim Aufrufen des E-Dinar-Browsers passiert, auch nach dem Ändern des Passwortes in ein längeres. Wahrscheinlich hat ein Trojaner extra einen String von 6 Zeichen vorgesehen gehabt.

Hast Du in Deinem Internet Explorer Auto-Vervollständigen von Paßwörtern (Extras - Internetoptionen - Inhalte - AutoVervollständigen - Benutzernamen und Kennwörter) aktiviert?

Möglicherweise war der Besuch des Internetcafés die fatale Lücke, was erklären würde, warum nur zwei von drei Konten geplündert wurden, abgesehen davon, dass das Konto einer Verwandten, was auch von meinem PC verwaltet wird, ebenfalls verschont geblieben ist. In der besagten Ã-rtlichkeit habe ich nämlich nur die geplünderten Konten eingesehen.

Genau das dürfte der wahrscheinlichste Weg gewesen sein. Was Du von einem öffentlichen Terminal aus tust, kann im Prinzip hinsichtlich jedes Tastendrucks protokolliert werden. Im Grunde genommen ist es so, als wenn Du eine herkömmliche Überweisung ausschreibst und die Durchschrift (mit Kontonummer und Deiner Unterschrift) öffentlich zugänglich liegenläßt. Es muß damit kein Mißbrauch betrieben werden, aber es kann.

Das Sicherheitskonzept von E-Gold betrifft nur E-Gold selbst und die juristische Unangreifbarkeit der Firma. Der Kunde wird nicht über Smartcard-Technologie in das Sicherheitskonzept einbezogen.
>Ich hatte gestern mit einem englischen Freund, einem Notar, telefoniert. Seine Sozietät bewerkstelligt keine Überweisung ohne Smartcard. Und bei vielen Transaktionen müssen 3 Notare gemeinsam ihre Karte in den Leser einstecken.
>Ich hatte gestern auch eine Unterhaltung mit einem französischen Reserveoffizier, der auch kürzlich in der IT-Branche arbeitslos geworden ist. Für ein wenig Sold ist er für einen Monat bei der elektronischen Aufklärung eingerückt. Er will mein System mit Spyware analysieren. Wir redeten auch über Smartcards. Er meinte, dass auch das unterwanderbar sei, weil die Leser am Ausgang eine Pulsfolge herausgeben, die man doch eine einlesen kann. Wenn ein Trojaner den Pulsgenerator im PC so einstellt, dass das Signal das Kartenleserausgangssignal simuliert, dann kann man diese Sicherheit auch so austricksen.
>Ich dachte mir, dass die Leser vielleicht mit Pseudo-Zufallszahlensequenzen arbeiten. Der Kartenleser und der Empfänger bei der Bank sind entsprechend synchronisiert, so, dass die Initialisierung der Pseudozufallssequenzen identisch ist. Um zu verhindern, dass es immer mit derselben Zahlenfolge losgeht, kann die Initialisierung an die Uhr gekoppelt sein.
>So etwas kann man nur austricksen, wenn man die Hardware des Zahlengenerators genau kennt. Man müsste den Chip zerstörungsfrei analysieren, was schwer wäre, wenn der Zahlengenerator in einen anderen Chip integriert wäre. Dafür bräuchte man schon ein super Labor und ein Hacker käme hier nicht weiter. Wenn die Smartcardleser aber determinierte Signale herausgeben, mit immer denselben Sequenzen, dann kann man auch diese Hürde umgehen.
>Ich denke Reinhard, alles das war keine Reklame für E-Gold, denn die Mindestvoraussetzung SMART CARD steht nicht zur Verfügung. Und ist denn Dein Rechner sicher? Hast auch Du nicht schon Transaktionen von Hotels in Dubai aus vorgenommen?

Sicherlich alles irgendwie bedenkenswert. Ich frage mich aber auch, wie hoch in diesem Bereich eigentlich der Anteil der Internet-Betrügereien ist, verglichen mit dem Anteil von Mißbrauch auf ganz altertümliche Weise (gefälschte Unterschriften und Faxe usw.).

Auf diesem Hintergrund betrachtet ist der Unterschied zwischen Dir und mir derselbe wie bei zwei Schwuchteln und Aids, den einen trifft’s, den anderen nicht.

Diese häßliche Bemerkung hättest Du Dir auch sparen können.

-->Hallo Theo,

Folgend ein Link, wo Du Spybot herunterladen kannst. Der findet fast immer irgend einen Müll der sich eingenistet hat. Die Webseite ist sicher und ich habe nur gute Erfahrungen mit der Software gemacht. Die Software ist übrigens kostenlos. Das Updaten nicht vergessen.

Ich glaube aber, dass das Speichern der Passworte und Kennungen zu Deiner Misere geführt hat.
Ich rufe NIEMALS solche Intimen Seiten wie e-gold von externen Rechnern ab die nicht absolut vertrauenswürdig sind. z.B: Im Ausland, z.B. nutze ich schon mal den Rechner eines sehr guten Freundes. Ich weiss wie gross die Versuchung und manchmal die Notwendigkeit ist vom Internetcafe was abzurufen. Das fällt mir schwer, aber ich halts durch.
Was ist wenn z.B. im Internet Cafe eine kleine Webcam installiert ist und alles filmt inklusive Passworteingabe??? Das ist wie die Tricks beim EC Automaten, nur dass die Betrüger dann nicht einmal Deine EC-Karte brauchen!

Hast Du schon Anzeige erstattet???

liebe Grüsse und gutes Vorankommen

Silver_Bullet







<ul> ~ http://security.kolla.de/</ul>

-->>Wenn ich mal kurz zusammenfassen darf, was ich bei Tassie gelernt habe:
>Unwahrscheinlich, dass jemand E-Gold mein Passwort entrissen hat.
>Ebenso unwahrscheinlich, dass es bei London Gold Exchange geschehen ist.
>Mein Computer war trotz Norton Anti-Virus eine offenes Buch für jeden Profi.

Hi Theo,

ja, so schauts aus.

>Deswegen ist auch egal, wie viele Passwörter ich habe, wenn man sie alle auf der Festplatte wiederfinden kann. Wahrscheinlich existiert sogar eine Zeigervariable in Verbindung mit jedem Passwort auf den jeweiligen Browser/Internetseite, sei es zu E-Gold, sei es zu LGE.

Das ist nicht nur wahrscheinlich, das ist inzwischen mit an Sicherheit grenzender Wahrscheinlichkeit anzunehmen.

Die Pointer sind in Deiner Registry wahrscheinlich unter

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explorer...

zu finden.

>Es ist übrigens gerade eben wieder vorgekommen, dass das Passwort im Browser von LGE eingetragen war, allerdings das alte, mit einer weit kürzeren Zeichenlänge. Seltsamerweise wurde nach der Passwortänderung nicht das neue auf der Festplatte gespeichert. Es erschien ein Hinweis, dass das neue Passwort für den Zwischenspeicher zu lang sei. Das selbe ist vor drei Monaten beim Aufrufen des E-Dinar-Browsers passiert, auch nach dem Ändern des Passwortes in ein längeres. Wahrscheinlich hat ein Trojaner extra einen String von 6 Zeichen vorgesehen gehabt.

Das ist nicht unmoeglich.

Theo, was ich bis jetzt aus der Passwort-Speicherungsangelegenheit erkennen kann ist, dass die Passwoerter fuer den Zugriff auf die LGE-Site und auf die E-Dinar-Site auf Deiner Harddisk gespeichert werden, und nicht von aussen mit dem Stream in Deinen Browser gelangen.

Ob diese Funktion des Speicherns von Passwoertern dieser beiden Sites auf die HD durch ein unerwuenschtes Stueck Software z.B in Form eines Trojaners oder aehnlichem geschieht, den Du Dir auf irgendeine Art und Weise eingefangen hast,
oder ob das Speichern dadurch geschieht, dass der/die Entwickler des Browsercodes (der Datenstrom, der von den Sites in Deinen Browser gelangt und ihn zum Bildaufbau und anderem veranlasst) von LGE und E-Gold explizit das vorgesehen haben, oder ob der/die Entwickler ueberhaupt nicht darauf reflektieren oder nur einer von beiden, sodass ein diesbezueglicher Default zum tragen kommt, der ggf. zuvor durch den Besuch einer voellig anderen Website (weder LGE noch E-Dinar) modifiziert wurde, das alles vermag ich jetzt und von hier aus nicht zu sagen, dazu muesste ich direkt Deine Maschine analysieren, wobei ich allerdings nicht physikalisch vor der Kiste sizten muesste, analysieren und ggf. reparieren kann ich auch remote, sofern bei letzterem nicht Basisfunktionen beschaedigt oder defekt sind.

Definitiv ist nur eines: auch Entwickler einfacher Websites koennen fuer den Benutzer ganz schnell ein Securityhole schaffen, wenn sie z.B. gewisse Defaults nicht explizit ausschalten oder unterdruecken, i.e. ganz bewusst alle relevanten Funktionen in einen definitiv kontrollierten Zustand versetzen. Ob dieses Securityhole durch Nachlaessigkeit (dees haeb I vergesse) oder Nichtwissen (dees haeb I ned gwisst) des Entwicklers zustande kam, das ist dann voellig unerheblich.

>Möglicherweise war der Besuch des Internetcafés die fatale Lücke, was erklären würde, warum nur zwei von drei Konten geplündert wurden, abgesehen davon, dass das Konto einer Verwandten, was auch von meinem PC verwaltet wird, ebenfalls verschont geblieben ist. In der besagten Ã-rtlichkeit habe ich nämlich nur die geplünderten Konten eingesehen.

Theo, nachdem ich das jetzt lese, moechte ich Dir mitteilen, dass genau diese Session an einem Dir voellig fremden Geraet sehr wahrscheinlich das Securityhole war.

Ein bodenloser Leichtsinn, an einer unbekannten Maschine, die frei der Oeffentlichkeit zugaenglich ist - Internetcafe -, persoenlich wichtige Dinge durchzufuehren.

Ich wuerde von so einer Maschine aus noch nicht mal fuer das Forum hier einen Beitrag posten, weil ich dabei mein Passwort eingeben muesste, nur lesen im Forum, das waere dann ok, wenn ich keinen Grund sehen wuerde, meinen Zugriff auf das Forum unter allen Umstaenden nicht bekannt werden zu lassen.

>Das Sicherheitskonzept von E-Gold betrifft nur E-Gold selbst und die juristische Unangreifbarkeit der Firma. Der Kunde wird nicht über Smartcard-Technologie in das Sicherheitskonzept einbezogen.

Ja.

>Ich hatte gestern mit einem englischen Freund, einem Notar, telefoniert. Seine Sozietät bewerkstelligt keine Überweisung ohne Smartcard. Und bei vielen Transaktionen müssen 3 Notare gemeinsam ihre Karte in den Leser einstecken.

Da scheint mir ein angemessenes Sicherheitskonzept dahinter zu stecken.

>Ich hatte gestern auch eine Unterhaltung mit einem französischen Reserveoffizier, der auch kürzlich in der IT-Branche arbeitslos geworden ist. Für ein wenig Sold ist er für einen Monat bei der elektronischen Aufklärung eingerückt. Er will mein System mit Spyware analysieren. Wir redeten auch über Smartcards. Er meinte, dass auch das unterwanderbar sei, weil die Leser am Ausgang eine Pulsfolge herausgeben, die man doch eine einlesen kann. Wenn ein Trojaner den Pulsgenerator im PC so einstellt, dass das Signal das Kartenleserausgangssignal simuliert, dann kann man diese Sicherheit auch so austricksen.
>Ich dachte mir, dass die Leser vielleicht mit Pseudo-Zufallszahlensequenzen arbeiten. Der Kartenleser und der Empfänger bei der Bank sind entsprechend synchronisiert, so, dass die Initialisierung der Pseudozufallssequenzen identisch ist. Um zu verhindern, dass es immer mit derselben Zahlenfolge losgeht, kann die Initialisierung an die Uhr gekoppelt sein.
>So etwas kann man nur austricksen, wenn man die Hardware des Zahlengenerators genau kennt. Man müsste den Chip zerstörungsfrei analysieren, was schwer wäre, wenn der Zahlengenerator in einen anderen Chip integriert wäre. Dafür bräuchte man schon ein super Labor und ein Hacker käme hier nicht weiter. Wenn die Smartcardleser aber determinierte Signale herausgeben, mit immer denselben Sequenzen, dann kann man auch diese Hürde umgehen.

Theo, ich will auf deine vorherigen Absaetze jetzt nicht einsteigen, es gibt auch noch weitere und andere Aspekte, ausserdem habe ich nicht geschrieben, dass die SmartCard-Technologie zu 100% sicher ist, denn dann muesste sie voellig idiotensicher sein, und das wird auch die SMC-Technologie niemals sein, denn gegen Dummheit haben selbst die Goetter seit antiken Zeiten vergeblich gekaempft.

Du darfst mir jedoch ruhig glauben, dass ICH wusste was ich tue, als ich meine Entscheidung fuer Onlinebanking nur mit SMC-Technologie faellte, und dass ich zu dem Zeitpunkt alle Schwachstellen analysiert und in mein Kalkuel einbezogen hatte und habe.

Ich kann mit dem Restrisiko aus der SMC-Technologie, die mir verbleibt, komfortabel leben.

Da ist z.B. mein Risiko, dass eine meiner Banken aufgrund interner Unfaehigkeit mir eine falsche Buchung zu meinen Lasten gerichtlich abgesegnet aufs Auge drueckt wesentlich groesser.

>Ich denke Reinhard, alles das war keine Reklame für E-Gold, denn die Mindestvoraussetzung SMART CARD steht nicht zur Verfügung. Und ist denn Dein Rechner sicher? Hast auch Du nicht schon Transaktionen von Hotels in Dubai aus vorgenommen?

Transaktionen von Hotels in Dubai?

Womoeglich noch von einem state-of-art suessen kleinen unbekannten Internetcafemaschinchen aus, wo man nicht wiederstehen kann, ihr in die Tasten zu greifen und an die Maus zu gehen?

Ooohhhhh Mannnnn, ich halts im Kopf nicht aus!

Theo, das ist kein Spass hier, auch das nicht.

>Auf diesem Hintergrund betrachtet ist der Unterschied zwischen Dir und mir derselbe wie bei zwei Schwuchteln und Aids, den einen trifft’s, den anderen nicht.

Besser: es ist nur eine Frage der Zeit, bis es alle getroffen hat.

Lieber Theo, gerade hatte ich hier an dieser Stelle begonnen zu schreiben, warum es gerade auch in der BRDDR nur eine Frage der Zeit sein wird, ich habe es wieder geloescht.

Nur soviel: Nieten in Nadelstreifen, an vielen Ecken, Enden, und auf allen Ebenen der BRDDR. Versprochen wird alles, gehalten wird nix. Opportunistenpimpfe und -schwachkoepfe par excellance vielerorten, aber sonst ist da nix mehr geblieben.

Wie der Herr, so das Gscherr.

>Ich werde die entsprechenden Konsequenzen ziehen, Du auch?

Ich rate es Dir dringendst.

>Gruß,
>Theo

Gruss
TD

P.S. Ich mache noch nicht einmal Telefonbanking zum Abfragen meiner Konten.