Re: dank Java!??` - Neuer E-Mail-Wurm kommt als Passwort-Kna…
passwort hier nur mit Deiner Anhnung draufloszuhauen könntest Du ja auch
> eine richtige Antwort schreiben oder nicht? Mit Argumenten, die mir
> zeigen, was an meiner Behauptung falsch ist hab ich kein Problem,
> aber ohne solche mich als Ahnungslos zu betiteln ist auch nicht das
> wahre oder?
Vielleicht solltest Du erstmal Argumente bringen, die Deine abstruse
in den Raum gestellte These in irgendeiner Form untermauern. Eine
Behauptung alleine macht noch kein Argument.
Also wo ist der angeblich mögliche Java-Wurm oder wenigstens ein
Proof-of-Concept für einen? Wo sind die damit zerschossenen Rechner?
Seit Jahren behaupten Pappnasen wie Du immer wieder, daß sowas kommen
würde. Wir haben Millionen Rechner mit Unixen aller Art im Netz und
es ist faktisch so ziemlich gar nix passiert. Dabei wären es die
lohnendsten Ziele, denn dort würde es oftmals richtig weh tun.
Bevor Du von anderen forderst, eine derartige Behauptung zu
widerlegen, solltest Du erstmal Argumente bringen, die sie überhaupt
als sinnvolle These aufzeigen und nicht nur als wild in den Raum
geworfene Spekulation.
September 10th, 2008 - Posted in Allgemein | | 0 Comments
Re: OT: Samba und NT-Domäne - Neuer E-Mail-Wurm kommt als Passwort-Kna…
> > Jo. Dann ist ja bis auf Glaubensgründe nichts gegen MS einzuwenden…
>
> Ich hätte da schon noch was… $
> 
Naja. Wie du das beschreibst ist das ja bei euch im Moment eher nicht
der Fall.
> Die externe Web-Präsentation ist schon ein Apache unter
> Linux, Intranet dagegen IIS, weil da wieder Berechtigungen
> eine Rolle spielen.
Berechtigungen?
> DHCP wäre sicher kein Problem und Samba als File-Server
> wäre ja nicht schlecht, aber was ist mit den Druckern, die auch
> darüber bedient werden? Und dann ist es halt nicht klar, ob die
> Zusammenarbeit mit der (restlichen) NT-Domäne funktioniert.
Wie das mit Linux NT in einer Domäne aussieht weiß ich nicht. Linux
only sollte kein Problem sein. Auch mit den Druckern…
> Dann vielleicht noch bei meinen Mail-Gateways, da könnte
> ich mir auch Linux vorstellen, während die Proxys wieder
> wg. der Berechtigungen schwierig sind, hier hat nicht jeder
> Internetzugang.
Squid kann auch ACLs… inwiefern man die dann direkt an LDAP oder so
hängen kann, weiß ich nicht.
> Eine Komplett-Migration halte ich derzeit aber für zu fiktiv.
Das wäre auch zu riskant und unsinnig.
> > […] Ich hab jetzt aber knallhart den Windows Support
> > in diesem Bereich eingestellt. Es ist unglaublich was DAUs so fertig
> > bringen. Da sind mir meine Nerven zu schade für…
>
> Und jetzt Linux-Support, oder wie 
Jo. Komisch nur, dass ich z.B. grad bei meinen Eltern kaum was machen
muss *g*
> Aber mit 133MHz/40MB ist mit SO oder OO aber noch nicht gut
> Kirschen essen.
Nö. Aber die benutzten eh nur Word. Von daher geht vielleicht eine
Abiword lösung oder so.
> > Ging so. Bei dem Wetter ist man nicht so motiviert aufzustehen >
> Und keine Wetter-Besserung in Sicht, das ist das schlimmste.
leider…
nx
September 10th, 2008 - Posted in Allgemein | | 0 Comments
Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…
> In D hab ich nur 4-stellige PINs erlebt. Desweiteren kann man sie
> auch nicht ändern, sprich eine längere verwenden (wiederum in D).
Maestro-Karten können in Deutschland bis zu 12-stllige PINs haben.
Dieses ist aber auch nicht sicher; eine 12-stellige PIN kann ein
“normaler” Mensch sich nicht merken, sondern muss sie sich
aufschreiben. Ich habe auch keine Aufstellung, welche Banken welche
PIN-Länge verwenden. Ich habe mal für die Dreba mit einer 6-stelligen
Pin programmiert.
Du merkst es auch daran, dass man heute häufig die Bestätigungstaste
drücken muss, nachdem man 4 Stellen eingegeben hat. Früher war nach 4
Stellen automatisch Schluß
>
> > erheblich größer. Angefangen damit, dass die PIN durchaus nicht
> > selten auf der Karte notiert wird, bis hin zum Ausspähen, der
>
> Das mit auf der Karte notieren ist auch so eine Behauptung, die auch
> mal bewiesen werden müsste.
Das ist eine Behauptung der Banken, wenn man sich mit Ihnen über
Sicherheitsrisiken unterhält. Genauere Informationen kann vielleicht
bei der Polizei bekommen, wenn sie gestohlene “EC”-karten
sicherstellt.
> Das Klonen
> der Karten mit ihrem Magnetstreifen halte ich für die große Schwäche.
Für Kreditkarten ist es das in jedem Fall (siehe EMV). In Deutschland
ist es noch kein größeres Problem für die Allgemeinheit (nur für
denjenigen, dem es passiert, ist es ärgerlich. Allerdings werden
Auslandsabhebungen i.d.R problemlos von den Banken getragen).
> > Die PIN ist !nicht! auf dem Magnetstreifen gespeichert.
> Nun nicht die PIN, aber die Information um diese offline zu
> verifizieren. Man kann auch OFFLINE an Geld kommen, das ist belegt.
Nein, nein, nein! In Deutschland kann man schon seit vielen Jahren
nicht mehr OFFLINE am Geldautomaten Geld abheben. Wir haben keinen
Offset mehr auf der Karte. Es geht nicht!
> Ich hatte selbst schon mit diesen Geräten zu tun! Vielleicht ist auch
> nur der Algorithmus schwach und längs geknackt oder jemand der
> Beteligten hat den private key (wenn das überhaupt schon so
> funktioniert) weitergegeben…
Der Sicherheitsalgorithmus ist von “Normalsterblichen” nicht zu
knacken. Es gibt auch keinen private Key, der im Internet verteilt
wurde. Das Verschlüsselungssystem in D ist auf einige Jahre als sehr
sicher einzustufen.
> Die Kette ist so schwach wie das schwächste Glied. Siehe oben, die
> gemailten Kartendaten.
Das schwächste Glied ist meistens der Mensch.
Nachtrag:
Das eigentliche Sicherheitsrisiko in D haben wir noch gar nicht
diskutiert. Das sind nicht die Geldautomaten der Banken, sonder die
POS-terminals und das Lastschriftverfahren. Hier gilt wirklich die
Abwägung zwischen Kosten und Nutzen bei der Wirtschaft und bei den
Banken.
September 8th, 2008 - Posted in Allgemein | | 0 Comments
Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…
> Maestro-Karten sind eigentlich der letzte Dreck.
Klare Stellungnahme, leider ohne Begründung.
> Selbst bei nur 3 Versuchen einen 3:9999 Chance das man die richtie
> Kombination erwischt, in Wahrheit wohl noch niedriger da bestimmte
> Kombinationen ja sicher nicht vorkommen.
Du gehst von einer 4-stelligen Pin aus. Das ist abhängig vom Institut
und nicht von der Maestro-Karte als solches.
Deine Rechung ist zwar nicht genau, als Näherung aber ganz gut. Das
macht eine Wahrscheinlichkeit von weit über 99,9% Wahrscheinlichkeit,
dass die PIN nicht erraten wird. Da sind andere Unsicherheitsfaktoren
erheblich größer. Angefangen damit, dass die PIN durchaus nicht
selten auf der Karte notiert wird, bis hin zum Ausspähen, der
PIN-Eingabe oder schlicht Erpressung der PIN durch rohe Gewalt.
>
> Und die PIN als solche ist auch nicht über jeden Zweifel erhaben.
> Manche Gerüchte und wie sie aus den Magnetstreifeninfos gewonnen
> werden kann ist einfach nicht totzukriegen.
Die Gerüchte sind nicht totzukriegen, weil es immer noch Leute gibt,
die diese Gerüchte unreflektiert glaube und in diversen Foren
weiterverbreiten.
Die PIN ist !nicht! auf dem Magnetstreifen gespeichert.
>
> Dazu die Informationen alle auf einem Magnetstreifen gespeichert und
> die Karte im Prinzip leicht kopierbar (sorry, an die angeblichen
> Fälschungsmerkmale glaube ich nicht, denn erstens hab ich schon
> solche Automaten von Innen gesehen und zweitens widersprechen einfach
> zu viele Berichte dieser unbewiesenen Behauptung der Banken).
Auf deutschen Spur3-Karten, wie Maestro, wird ein Sicherheitsmerkmal
eingelassen. Falls du wirklich schon mal solche Automaten von innen
gesehen hast, ist dir vielleicht dir CIM-Box (früher MM-Box)
aufgefallen, die dieses Merkmal prüft. Und zu den Berichten und
Gerüchten siehe oben.
>
> Wären die Banken ernsthaft an Sicherheit interessiert und würden ihre
> Kunden ernst nehmen, dann wären sie wenigstens auf chipbasierte
> Karten umgestiegen.
Dazu gibt es den EMV-Standard, der sich gerade international
durchsetzt. Da Deutschland immer einen deutlich höheren
Sicherheitsstandard hatte (insbesondere gesteuert durch den Zentralen
Kreditausschuß), ist hier der Verlust durch Betrügereien deutlich
geringer und damit auch die Bereitschaft, ausschließlich Chip-Karten
zu verwenden. (Die Geldkarte ist konzeptionell auch defür
verwendtbar, allerdings ist sie ja nie wirklich erfolgreich
geworden).
Ich hoffe, ich konnte an einigen der “Gerüchten” wackeln.
September 7th, 2008 - Posted in Allgemein | | 0 Comments
Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…
>
> > Maestro-Karten sind eigentlich der letzte Dreck.
> Klare Stellungnahme, leider ohne Begründung.
Die Ausführung kommt ja weiter unten. Ich bin u.a. im Kryptobereich
tätig und über Magnetstreifen kann ich mich nur schief lachen. Wie
gesagt kein Unternehmen würde heute noch sowas einsetzen, und wenn
man es hat schafft man es ab.
> Du gehst von einer 4-stelligen Pin aus. Das ist abhängig vom Institut
> und nicht von der Maestro-Karte als solches.
In D hab ich nur 4-stellige PINs erlebt. Desweiteren kann man sie
auch nicht ändern, sprich eine längere verwenden (wiederum in D).
> erheblich größer. Angefangen damit, dass die PIN durchaus nicht
> selten auf der Karte notiert wird, bis hin zum Ausspähen, der
Das mit auf der Karte notieren ist auch so eine Behauptung, die auch
mal bewiesen werden müsste.
> PIN-Eingabe oder schlicht Erpressung der PIN durch rohe Gewalt.
Ja, warum kommt man eigentlich mit dem Ausspähen weiter? Besitz und
Wissen? Warum hat der andere auch eine Karte im Besitz obwohl ich
meine noch habe? Warum ist die Karte also klonbar? (Meinetwegen nur
im Ausland einsetzbar, aber die Daten sind in 5 sec. per GSM/GPRS
gleich vom Kartenleser des Diebes ins Ausland gemailt). Das Klonen
der Karten mit ihrem Magnetstreifen halte ich für die große Schwäche.
Gegen rohe Gewalt oder große Dummheit ist eh nix machbar. Ein
Gewalttäter nimmt gleich die Karte mit oder wartet bis das Geld
abgehoben ist.
> Die Gerüchte sind nicht totzukriegen, weil es immer noch Leute gibt,
> die diese Gerüchte unreflektiert glaube und in diversen Foren
> weiterverbreiten.
> Die PIN ist !nicht! auf dem Magnetstreifen gespeichert.
Nun nicht die PIN, aber die Information um diese offline zu
verifizieren. Man kann auch OFFLINE an Geld kommen, das ist belegt.
Ich hatte selbst schon mit diesen Geräten zu tun! Vielleicht ist auch
nur der Algorithmus schwach und längs geknackt oder jemand der
Beteligten hat den private key (wenn das überhaupt schon so
funktioniert) weitergegeben…
> Auf deutschen Spur3-Karten, wie Maestro, wird ein Sicherheitsmerkmal
> eingelassen. Falls du wirklich schon mal solche Automaten von innen
> gesehen hast, ist dir vielleicht dir CIM-Box (früher MM-Box)
> aufgefallen, die dieses Merkmal prüft. Und zu den Berichten und
> Gerüchten siehe oben.
Die Kette ist so schwach wie das schwächste Glied. Siehe oben, die
gemailten Kartendaten.
> Ich hoffe, ich konnte an einigen der “Gerüchten” wackeln.
Jein, aber wir können das gerne noch weiter diskutieren. Aber wir
scheinen uns einig zu sein, das man an dem System was tun muss. Aber
es scheitert ganz gnadenlos an der Rechnung Aufwände für Umrüstung
(weltweit) vs. Kosten durch Imageverlust wegen ein paar abgezockter
Kunden.
September 6th, 2008 - Posted in Allgemein | | 0 Comments
Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…
>
> > > Vielleicht einfach mal damit ANFANGEN? Mit dem Argument kann man
> > > sonst sämtlichen technischen Fortschritt verhindern. Hätte man vor 5
> > > Jahren mit Chipkarten angefangen und 5 Jahre Ãœbergangsfrist
> > > eingeräumt dann wäre man heute fertig. Stattdessen wird das Problem
> > > totgeschwiegen, einzelne Kunden in den finanziellen Ruin gestürzt und
> > > der Rest außergerichtlich ruhiggestellt. Zum K****.
> >
> > Also ich habe seit über 5 Jahren meine Chipkarte, also wer hat nicht
> > angefangen? Wenn mir also Magnetstreifen zu unsicher ist, mache ich
>
> Der Chip hat aber nicht die Funktion des Magnetstreifen und er wurde
> nicht aufgebracht mit der Vorgabe in 5 Jahren den Magnetstreifen
> abzulösen. Womit der Magnetstreifen eben ewig weiter bleibt.
Wieso hat er es nicht? Die Verfahren laufen nur parallel… Zum
Beispiel zahle ich bei Aldi/Lidl mit Chip, am Zigarettenautomat mit
Chip, das Parkhaus läuft dann wieder über Magnetstreifen.
> > ihn kaputt, kann dafür aber leider keine magnetstreifenbasierenden
> > Dienste mehr nutzen… Wo ist das Problem?
>
> Stellst Du Dich so dumm? Arbeitest Du bei einer Bank und versuchst
> hier anderen weiszumachen der Magnetstreifen und eine 4-stellige PIN
> seien state of the art? Schrott sind sie.
Vielleicht solltest du dich erstmal mit allen Funktionen einer
Chip/Magnetstreifenkarte auseinandersetzen und vergewissern was mit
Chip und was über Magnetstreifen läuft und warum es dann über den
Magnetstreifen läuft und nicht über den Chip.
> > An einem Geldautomaten, der nicht defekt war und nicht von einer
> > ausländischen Bank stammt? Was ist kürzlich? 3 Jahre?
>
> Die Kunden haben heimische Automaten verwendet, die Verbrecher (die
> mit den Kartenleser, nicht die in den Banken) ausländische Automaten.
>
> http://www.presseportal.de/polizeipresse/p_story.htx?nr=853475
September 5th, 2008 - Posted in Allgemein | | 0 Comments
Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…
>
> > Was bringt es, wenn ich dann eine Chipkarte habe, aber nur noch an
> > inländischen Automaten Verfügungen vornehmen kann und alle weiteren
> > Funktionen nicht mehr möglich sind, weil Einzelhändler/Ausland sich
> > noch nicht dafür gerüstet haben?
>
> Vielleicht einfach mal damit ANFANGEN? Mit dem Argument kann man
> sonst sämtlichen technischen Fortschritt verhindern. Hätte man vor 5
> Jahren mit Chipkarten angefangen und 5 Jahre Ãœbergangsfrist
> eingeräumt dann wäre man heute fertig. Stattdessen wird das Problem
> totgeschwiegen, einzelne Kunden in den finanziellen Ruin gestürzt und
> der Rest außergerichtlich ruhiggestellt. Zum K****.
Also ich habe seit über 5 Jahren meine Chipkarte, also wer hat nicht
angefangen? Wenn mir also Magnetstreifen zu unsicher ist, mache ich
ihn kaputt, kann dafür aber leider keine magnetstreifenbasierenden
Dienste mehr nutzen… Wo ist das Problem?
> Und übrigens man kommt auch in D ohne weitere Sicherheitsmerkmale mit
> der Kopie an Geld: Siehe den Fall der kürzlich in Frankfurt(?) durch
> die Presse ging.
An einem Geldautomaten, der nicht defekt war und nicht von einer
ausländischen Bank stammt? Was ist kürzlich? 3 Jahre?
September 5th, 2008 - Posted in Allgemein | | 0 Comments
Das sagt meine Bank dazu … - c’t magazin.tv: Wann ist ein Passwort wi…
passworte vor längerer Zeit mal zum Thema bei der Nord/LB angefragt.
Sehr geehrter Herr XXX,
vielen Dank nochmals für Ihre Anmerkung zur Länge der PIN beim
Online-Banking. Gern gebe ich Ihnen dazu einige Informationen.
Die Sicherheit eines Passwortes oder einer PIN ergibt sich nicht
ausschließlich aus der Anzahl der Stellen, sondern auch aus der
Anzahl der
Zeichen, die für jede Stelle verwendet werden können sowie der Anzahl
der
erlaubten Eingabeversuche. Ich gebe Ihnen Recht, dass eine 5-stellige
PIN
nicht sehr sicher ist, wenn Sie nur numerisch ist. Die PIN im
Online-Banking ist jedoch alphanumerisch, wobei neben Groß- und
Kleinbuchstaben auch Zahlen und einige Sonderzeichen erlaubt sind:
Jede
Stelle kann mit einer Auswahl aus 83 Zeichen belegt werden. Die
Anzahl der
sich hieraus ergebenden Kombinationen (knapp 4 Milliarden) liegt
jenseits
dessen, was durch reines Ausprobieren in weniger als 4 Versuchen
“geknackt”
werden könnte.
Somit ist es nicht von Relevanz, ob die PIN fünf-, sechs- oder
siebenstellig ist. Das größte Sicherheitsrisiko ist die Gefahr, dass
die
PIN vom Inhaber in irgendeiner Form niedergeschrieben und aufbewahrt
wird
(Portemonnaie, Festplatte, Bankingsoftware…). Dies ermöglicht das
Ausspähen durch Dritte. Bitte behalten Sie Ihre PIN nur im Kopf und
schützen Sie Ihren PC mit Antiviren- und Firewall-Software. Dann sind
Sie
auch mit einer 5-stelligen PIN vor Mißbrauch bewahrt.
Ich hoffe, Ihnen hiermit weitergeholfen zu haben. Für Rückfragen
erreichen
Sie mich oder meine KollegInnen
- an unserem Servicetelefon unter der Rufnummer 01802-221919 von
Montag bis
Freitag (0,06 EUR pro Gespräch) jeweils zwischen 8 und 20 Uhr oder
- per E-Mail unter kundenservice@nordlb.de
Mit freundlichen Grüßen
XXX
NORD/LB
Norddeutsche Landesbank Girozentrale
Produkt- und Vertriebsmanagement
Vertriebssteuerung Direct-Banking
Friedrich-Wilhelm-Platz
38100 Braunschweig
E-Mail: Kundenservice@nordlb.de
Internet: www.nordlb.de
September 4th, 2008 - Posted in Allgemein | | 0 Comments
Re: Die sind ja auch nicht sicher - c’t magazin.tv: Wann ist ein Passwort wi…
passwortdie Informationen alle auf einem Magnetstreifen gespeichert und
> die Karte im Prinzip leicht kopierbar (sorry, an die angeblichen
> Fälschungsmerkmale glaube ich nicht, denn erstens hab ich schon
> solche Automaten von Innen gesehen und zweitens widersprechen einfach
> zu viele Berichte dieser unbewiesenen Behauptung der Banken).
Liegt eigentlich nur daran, dass ausländische Banken auf die Prüfung
von Echtheitsmerkmalen verzichten, in D funzt es eben nicht mit einem
Kartenrohling am Automaten.
> Wären die Banken ernsthaft an Sicherheit interessiert und würden ihre
> Kunden ernst nehmen, dann wären sie wenigstens auf chipbasierte
> Karten umgestiegen. In welches Unternehmen oder in welches
> Mobilfunknetz hat man Zugang mit Magnetkarten? LOL.
Sind ja auch keine weitgreifenden Konsequenzen, denn Magnetstreifen
einfach komplett runter zu nehmen… ELV, eccash, Auslandsverfügungen
unmöglich, etc…
Was bringt es, wenn ich dann eine Chipkarte habe, aber nur noch an
inländischen Automaten Verfügungen vornehmen kann und alle weiteren
Funktionen nicht mehr möglich sind, weil Einzelhändler/Ausland sich
noch nicht dafür gerüstet haben?
September 4th, 2008 - Posted in Allgemein | | 0 Comments
