3. Verdammt! - Wie sieht denn da die Prevention aus?

Verdammt! - Wie sieht denn da die Prevention aus?

  • P

    http://www.zdf.de/ZDFmediathek/beitrag/video/1411812/Erfolgreicher-Angriff-aufs-Handy-?setTime=1#/beitrag/video/1411812/Erfolgreicher-Angriff-aufs-Handy-

    Ufff! Das ist ein Sicherheitsloch.
    Was macht man dagegen? SW Zerhacker?!
    Was bei Anruf Fremder auch nichts nutzt.

    0
  • K

    Ich denke nicht das uns nun eine Flut von Mobiltelefon-Hackern überschwemmt, da in meinen Augen noch so ziemlich alles in Kinderschuhen steckt.

    Siehe: http://www.sueddeutsche.de/digital/verschluesselung-geknackt-handys-abhoeren-fuer-jedermann-1.77665

    0
  • C

    Habe gestern meinen Zylinder wieder gefunden. Frage mich, wie er so lange unenddeckt bleiben konnte, jetzt weiß ich nicht mehr wohin mit meinem alten Hut. 😞

    0
  • K

    http://www.alibaba.com/product-free/119078578/IMSI_Catcher.html
    Also, wer zwischen 8000-15000$ verfügt... 🤡

    0
  • _

    Kóyaánasqatsi schrieb:

    Siehe: http://www.sueddeutsche.de/digital/verschluesselung-geknackt-handys-abhoeren-fuer-jedermann-1.77665

    Schön, wie sie da Brute Force mit "brachialer Gewalt" übersetzt haben. 😃

    0
  • M

    Prof84 schrieb:

    Was macht man dagegen?

    ueber 3g netze telephonieren.

    0
  • E

    Kóyaánasqatsi schrieb:

    Ich denke nicht das uns nun eine Flut von Mobiltelefon-Hackern überschwemmt, da in meinen Augen noch so ziemlich alles in Kinderschuhen steckt.

    Siehe: http://www.sueddeutsche.de/digital/verschluesselung-geknackt-handys-abhoeren-fuer-jedermann-1.77665

    Im Gegenteil. Handys waren schon immer unsicherer Scheiß. Deshalb macht man auch den SMS-TAN-Quatsch nicht mit.

    0
  • P

    earli schrieb:

    Kóyaánasqatsi schrieb:

    Ich denke nicht das uns nun eine Flut von Mobiltelefon-Hackern überschwemmt, da in meinen Augen noch so ziemlich alles in Kinderschuhen steckt.

    Siehe: http://www.sueddeutsche.de/digital/verschluesselung-geknackt-handys-abhoeren-fuer-jedermann-1.77665

    Im Gegenteil. Handys waren schon immer unsicherer Scheiß. Deshalb macht man auch den SMS-TAN-Quatsch nicht mit.

    agree++;

    0
  • M

    earli schrieb:

    Kóyaánasqatsi schrieb:

    Ich denke nicht das uns nun eine Flut von Mobiltelefon-Hackern überschwemmt, da in meinen Augen noch so ziemlich alles in Kinderschuhen steckt.

    Siehe: http://www.sueddeutsche.de/digital/verschluesselung-geknackt-handys-abhoeren-fuer-jedermann-1.77665

    Im Gegenteil. Handys waren schon immer unsicherer Scheiß. Deshalb macht man auch den SMS-TAN-Quatsch nicht mit.

    du redest hier von 20 jahre alter (GSM) technik. es ist nicht verboten sich zu informieren, bevor man die stammtischparolen auspackt.
    auch wenn am ende doch nur blabla aus dem hoerer kommt, so ist die technik (und techniken) doch voran geschritten. (und zwar transparent fuer den benutzer)
    berichte dieser art (zdf-mediathek) sind unglaublich oberflaechlicher scheiss. eine richtige einschaetzung der situation ist fuer den zuschauer dadurch nicht moeglich.

    0
  • V

    earli schrieb:

    Im Gegenteil. Handys waren schon immer unsicherer Scheiß. Deshalb macht man auch den SMS-TAN-Quatsch nicht mit.

    Meine Banken führen den Quatsch gerade ein und schaffen normale TANs ab. Sehr unpraktisch.

    0
  • Mod

    Bei einer SMS-TAN ist es egal, wenn jemand mitliest. Man benutzt die SMS bloß, weil Leute von überall aus Bankgeschäfte machen wollen und überall ihre Handys dabei haben. Wenn es praktisch möglich wäre könnte die Bank sich auch ein Minarett bauen und ein Muezzin brüllt die TAN in alle Welt. AM Sicherheitskonzept ändert sich nichts.

    Was die Bank sicherlich freuen wird, ist aber eventuell ein Bonus von der Mobilfunkgesellschaft für das generieren von viel billigem SMS-Traffic den sich die Betreiber teuer bezahlen lassen.

    0
  • C

    Ich verstehe nicht, was ihr gegen SMS-TANs habt. Normale TANs waren ja eh unsicher. Doch auch das iTAN Verfahren wies leider schwere Lücken auf, die durch das SMS-TAN Verfahren geschlossen wurden. Wie wahrscheinlich ist es denn, dass der Nachbar gleich den Computer und das Handy hackt? 😉

    Aber natürlich sollte man Handykommunikation endlich mal vernünftig verschlüsseln!

    0
  • Mod

    cooky451 schrieb:

    Aber natürlich sollte man Handykommunikation endlich mal vernünftig verschlüsseln!

    Ich weiß nicht. Wenn ich telekommuniziere gehe ich ohnehin davon aus, dass es potentiell abgehört wird. Wenn ich das nicht will, muss ich eben verschlüsseln. Und diese Verschlüsselung werde ich dann mit Sicherheit keinem Fremden (=Mobilfunkbetreiber) überlassen, das ist bloß ein unnötiges Risiko, da man dieser Person vertrauen müsste. Wenn das standardmäßig gemacht würde, würde das nur ein allgemeines Gefühl von scheinbarer Sicherheit bringen, welches aber gar nicht gerechtfertigt ist, da alles an der Integrität des Betreibers (Hmm, ein wirtschaftlich denkendes Unternehmen mit geheimen Daten. Das ist bestimmt vertrauenswürdig 🙄 ) und an dessen technischen Fähigkeiten (die Verschlüsselung wird bestimmt an den günstigen kasachischen Dienstleister mit der patentierten Supervollbitverschlüsselung abgegeben). Dann doch lieber ungesichert und dafür günstiger. Das reicht für meine Trivialnachrichten. Und dann spricht sich vielleicht auch irgendwann mal rum, dass man sensible Daten nicht ohne Verschlüsselung (und zwar End zu End! Nicht Ende zu Zwischenstation zu anderem Ende) überträgt.

    0
  • C

    SeppJ schrieb:

    Ich weiß nicht. Wenn ich telekommuniziere gehe ich ohnehin davon aus, dass es potentiell abgehört wird. Wenn ich das nicht will, muss ich eben verschlüsseln. [..]

    Da hast du grundsätzlich recht, aber man muss die Gespräche ja nicht jedem vor die Nase halten, so wie man es momentan macht. Bzw. der Aufwand sollte eigentlich nicht sehr groß sein? Wobei man da natürlich nur spekulieren kann..

    SeppJ schrieb:

    Supervollbitverschlüsselung

    Ich kann keine Schwäche entdecken, sie haben doch vor dem Vergleich ordentlich den Hashwert ausgerechnet! 😃

    0
  • Mod

    cooky451 schrieb:

    SeppJ schrieb:

    Supervollbitverschlüsselung

    Ich kann keine Schwäche entdecken, sie haben doch vor dem Vergleich ordentlich den Hashwert ausgerechnet! 😃

    Du lachst, aber lies mal die Kommentare, wie viele Leute den Witz zuerst gar nicht kapiert haben. Der Blog wird hauptsächlich von Programmierern gelesen, die sollten das eigentlich besser wissen. Wenn so ein krasser Fehler schon nicht so leicht auffällt, wie ist das dann bei echt subtilen Sicherheitsproblemen? Es wundert mich jedenfalls gar nicht mehr, dass bei Heise mittlerweile im Wochentakt eine neue Meldung von Datenklau im großen Stil kommt.

    0
  • S

    cooky451 schrieb:

    Ich verstehe nicht, was ihr gegen SMS-TANs habt. Normale TANs waren ja eh unsicher. Doch auch das iTAN Verfahren wies leider schwere Lücken auf, die durch das SMS-TAN Verfahren geschlossen wurden. Wie wahrscheinlich ist es denn, dass der Nachbar gleich den Computer und das Handy hackt? 😉

    Wenn das moderne WLAN fähige Handy im eigenen WLAN hängt, ist daß bei einem Profi nicht unwahrscheinlich, allerdings dürfte der gesteigerte Aufwand und die Tatsache, daß man bei den Nutzern mit den alten Verfahren leichter ans Ziel kommt, dagegen sprechen, daß jemand diesen Aufwand betreiben möchte.

    Ich habe alle meine Online Banking Geschäfte auf Tangeneratoren umgestellt.
    Das ist momentan neben Secoder mit Klasse 2 Lesegerät noch am sichersten, allerdings kostet es im Gegensatz zu einem Secoder Lesegerät nichts, denn die Banken stellen die Tangeneratoren gratis zur Verfügung.

    Aber natürlich sollte man Handykommunikation endlich mal vernünftig verschlüsseln!

    Dagegen dürfte die Politik und die innere Sicherheit wie Polizei usw. etwas haben.

    Möglich wäre es durchaus mit einer extra Software die die Tondaten zuerst verschlüsselt und dann als Datenpakete an das andere Handy verschickt, nur sind nicht alle Handys dafür gut gegeeignet.
    Man braucht z.B. softwareseitigen Zugriff auf das Mic des Handys und man muß nen Server für den Empfang auf dem Handy laufen lassen können.
    JavaME erlaubt nicht auf jedem Handy den Zugriff auf das Mic und die Datenkommunikation ist auch eingeschränkt.
    Bei Android und Symbian OS basierten Handys wäre es auch möglich, aber im großen und ganzen bräuchte man für fast jede Plattform eine angepaßte Software
    und jeder Handynutzer müßte sich diese SW auf seinem Handy selber installieren um diese Möglichkeit zu nutzen.

    Der nächste Punkt der dagegen spricht sind die Kosten für die Datenkommunikation, denn man müßte natürlich die typischen Protokolle verwenden, die für den Datentransport zuständig sind und das bedeutet im GSM Netz z.B. nicht die Nutzung von dem günstigen und überwiegend genutzten CSD Verfahren, sondern eben GPRS, EDGE usw. und diese Paketorientierten Datenprotokolle werden oft anders berechnet.
    Bezüglich UMTS habe ich mich da noch nicht informiert.

    Die einfachste Kommunikationsart wäre aber wohl einfach die Daten über das Internet zu transportieren, wobei man dafür wieder eine günstige Flatrate benötigt, damit es sich rechnet und da haben die Telekommunikationsanbieter sicher etwas dagegen.

    Fazit:
    Technisch möglich: ja
    politisch gewollt: nein
    und transparent und einfach für den Benutzer: ebenfalls nein.

    0
  • C

    sdf schrieb:

    Wenn das moderne WLAN fähige Handy im eigenen WLAN hängt, ist daß bei einem Profi nicht unwahrscheinlich,

    Hm.. darum hätte ich mir jetzt am wenigsten Sorgen gemacht. Soweit ich informiert bin, ist WPA2 mit nem brauchbaren Schlüssel eigentlich nicht ernsthaft knackbar. Oder habe ich da was verpasst? Bin nicht so der Haxor. 🙂

    sdf schrieb:

    Ich habe alle meine Online Banking Geschäfte auf Tangeneratoren umgestellt.

    Man kann dann auch den Auftrag auf den Dingern sehen? Sonst wär das ganze System ja für die Katz.

    sdf schrieb:

    Man braucht z.B. softwareseitigen Zugriff auf das Mic des Handys und man muß nen Server für den Empfang auf dem Handy laufen lassen können.

    Nja, ich meinte ja, dass neue Handys einfach von Anfang an damit ausgestattet sein sollten, sodass man die Netze langsam umstellen kann. Sich da selbst was zusammen zu frickeln ist natürlich immer so eine Sache.

    sdf schrieb:

    Dagegen dürfte die Politik und die innere Sicherheit wie Polizei usw. etwas haben.

    Das wird es wohl sein. Ich finde die Denkweise irgendwie lustig, die halten einen echt für doof. Die Einzigen, die hier angeschmiert werden, sind die "normalen" Bürger. Wer Dreck am Stecken hat, wird es wohl nicht mit seinem Handy in aller Welt verbreiten. 🙄

    0
  • S

    cooky451 schrieb:

    sdf schrieb:

    Wenn das moderne WLAN fähige Handy im eigenen WLAN hängt, ist daß bei einem Profi nicht unwahrscheinlich,

    Hm.. darum hätte ich mir jetzt am wenigsten Sorgen gemacht. Soweit ich informiert bin, ist WPA2 mit nem brauchbaren Schlüssel eigentlich nicht ernsthaft knackbar. Oder habe ich da was verpasst? Bin nicht so der Haxor. 🙂

    Wenn jemand es schafft deinen PC zu infiltrieren, dann ist er auch in deinem LAN und WPA2 auch kein Schutz mehr, zumal WPA2 für WLAN eh nur ein lokaler Schutz rund um deine Umgebung ist, aber Angriffe auch vom Internet aus stattfinden können.

    sdf schrieb:

    Ich habe alle meine Online Banking Geschäfte auf Tangeneratoren umgestellt.

    Man kann dann auch den Auftrag auf den Dingern sehen? Sonst wär das ganze System ja für die Katz.

    Also bei meinem TAN Generator der Sparkasse kann man die KontoNR an die überwiesen wird und den Überweisungsbetrag sehen und die generierte TAN gilt nur für diese Überweisung, da aus der KontoNR und dem Überweisungsbetrag eine Prüfsumme errechnet wird, mit der dann auch die TAN generiert wird.

    Die TAN paßt somit nur zu deiner eingegeben Überweisung und die kannst du nochmals auf dem Display des TAN-Generators überprüfen.
    Siehe auch:
    http://www.youtube.com/watch?v=U7PnC1S-j4I

    Einen potentielle Lücke gibt es nur bei Sammelüberweisungen, aber die mache ich als Privatperson nicht. Mehr dazu steht auch hier:
    http://de.wikipedia.org/wiki/Transaktionsnummer#TAN-Generator

    Es gibt von einigen Banken auch noch ein paar andere TAN-Generatoren die sich im Detail und im Verfahren unterscheiden können.
    Siehe obiger WP Artikel.

    sdf schrieb:

    Man braucht z.B. softwareseitigen Zugriff auf das Mic des Handys und man muß nen Server für den Empfang auf dem Handy laufen lassen können.

    Nja, ich meinte ja, dass neue Handys einfach von Anfang an damit ausgestattet sein sollten, sodass man die Netze langsam umstellen kann. Sich da selbst was zusammen zu frickeln ist natürlich immer so eine Sache.

    Nunja, wie schon gesagt, technisch möglich wäre das durchaus, nur ist es politisch nicht gewollt, denn die Strafverfolgungsbehörden wollen beim Betreiber des Mobilfunknetzes in der Lage sein, beim Telefongesprech mitzulauschen und eine Punkt zu Punkt Verschlüsselung vom einen Handy zum anderen würde dem im Wege stehen.
    Es bleibt also bestenfalls bei einer Verschlüsselung zwischen deinem Handy und dem Mobilfunkmast bzw. Mobilfunkbetreiber.

    Die Einzigen, die hier angeschmiert werden, sind die "normalen" Bürger. Wer Dreck am Stecken hat, wird es wohl nicht mit seinem Handy in aller Welt verbreiten. 🙄

    Ich stimme dir zu.

    Wäre ich Terrorist dann würde ich nur über verschlüsselte Kanäle kommunizieren.
    ZRTP wäre z.B. eine Möglichkeit für die Kommunikation übers Internet:
    http://en.wikipedia.org/wiki/ZRTP

    PS:
    Ob der TAN-Generator bei deiner Bank etwas kostet ist von Bank zu Bank unterschiedlich.
    Bei meiner Sparkasse hat es nichts gekostet, bei anderen soll es aber etwas gekostet haben. Es hängt also von deiner Sparkasse oder Bank ab.

    0
Log in to reply